NSX verwendet vorhandene Rollen und führt einige neue ein, um die Multi-Tenant-Funktion zu unterstützen.
Im Folgenden sind einige der Rollen aufgeführt, die im Kontext der Multi-Tenant-Funktion verwendet werden:
- Rollen, die Zugriff auf den
/-Speicherplatz haben, haben damit Zugriff auf die gesamte Konfiguration unter/infrasowie auf/org:- Enterprise-Administrator: Der Anbieteradministrator ist für die Vorbereitung der Infrastruktur verantwortlich und ein Superuser, der auf Konfigurationen innerhalb und außerhalb von Projekten zugreifen kann.
- Auditor: Benutzer mit dieser Rolle haben schreibgeschützten Zugriff auf Systemeinstellungen und -konfiguration sowie vollen Zugriff auf die Fehlerbehebungstools.
- In NSX 4.0.1.1 eingeführte Rollen für die Multi-Tenant-Funktion, die nur Zugriff auf die Konfiguration unter
/orgshaben:- Organisationsadministrator (technische Vorschau, nicht für Produktionsbereitstellungen): Die Organisationsadministratorrolle ist derzeit im Modus der technischen Vorschau verfügbar, um Projekte innerhalb der Organisation zu verwalten. Diese Rolle hat jedoch keinen Zugriff auf
/infra-Objekte, die zum Erstellen von Projekten erforderlich sind. Verwenden Sie die Rolle „Enterprise-Administrator“ für die Projekterstellung. - Projektadministrator: Der Projektadministrator verwaltet ein Projekt und hat vollständigen Zugriff auf die Konfiguration innerhalb dieses Projekts.
- Organisationsadministrator (technische Vorschau, nicht für Produktionsbereitstellungen): Die Organisationsadministratorrolle ist derzeit im Modus der technischen Vorschau verfügbar, um Projekte innerhalb der Organisation zu verwalten. Diese Rolle hat jedoch keinen Zugriff auf
Weisen Sie die Rolle „Projektadministrator“ zu, indem Sie den folgenden API-Aufruf ausführen:
POST /policy/api/v1/aaa/role-bindings/Beispielanforderung:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/Text:
{
“name”: “[email protected]”,
“type”: “remote_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“identity_source_type”: “LDAP”,
“read_roles_for_paths”: true
}
Sie können einem bestimmten Projekt auch die folgenden vorhandenen Rollen zuweisen, indem Sie den Projektpfad angeben:
- Netzwerkadministrator: Die Rolle „Netzwerkadministrator“, wenn sie einem Projektpfad zugewiesen ist, verwaltet die Netzwerke und Dienste auf dieser Projektebene.
- Netzwerkoperator: Benutzer mit dieser Rolle haben, wenn sie einem Projektpfad zugewiesen sind, schreibgeschützten Zugriff auf die Netzwerkkonfiguration auf dieser Projektebene.
- Sicherheitsadministrator: Die Rolle „Sicherheitsadministrator“ verwaltet, wenn sie einem Projektpfad zugewiesen ist, die Sicherheitsrichtlinien auf dieser Projektebene.
- Sicherheitsoperator: Benutzer mit dieser Rolle haben, wenn sie einem Projektpfad zugewiesen sind, schreibgeschützten Zugriff auf die Sicherheitskonfiguration auf dieser Projektebene.
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>Text:
{
“name”: “[email protected]”,
“type”: “local_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“read_roles_for_paths”: true
}
Löschen Sie die Rolle „Auditor“, um sicherzustellen, dass dem lokalen Benutzer ausschließlich die Rolle „Projektadministrator“ zugewiesen wird.
DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
Authentifizierung
Die Multi-Tenant-Funktion in
NSX unterstützt Benutzer, die für mehrere Arten von Identitätsquellen konfiguriert sind. Im Folgenden sind die unterstützten Typen von Identitätsquellen und deren Konfigurationsparameter aufgeführt:
- Lokale Benutzer (admin, audit, guestuser1, guestuser2)
“type”: “local_user”,
- vIDM (VMware Identity Manager)
“type”: “remote_user”, “identity_source_type”: “VIDM”,
- LDAP (Lightweight Directory Access Protocol)
“type”: “remote_user”, “identity_source_type”: “LDAP”,
- Prinzipalidentität (über Zertifikat oder JWT-Token)
Rollen können nur mithilfe der Prinzipalidentitäts-API zugewiesen werden.
