Nachdem Sie ein Projekt hinzugefügt haben, können Sie den Benutzern im Projekt Rollen zuweisen. Diese Benutzer können dann mit der Konfiguration von Netzwerk- oder Sicherheitsobjekten im Projekt beginnen.

In einem Projekt können Sie Benutzern folgende Rollen zuweisen:
  • Projektadministrator
  • Sicherheitsadministrator
  • Netzwerkadmin
  • Sicherheitsbeauftragter
  • Netzwerkoperator

Ein Projektadministrator hat vollständigen Zugriff auf alle Netzwerk- und Sicherheitsobjekte innerhalb eines Projekts. Die anderen projektspezifischen Benutzerrollen besitzen eingeschränkten Zugriff auf Objekte im Projekt, die über die Berechtigungen dieser Rollen festgelegt werden.

Hinweis: Standardmäßig kann nur ein Enterprise-Administrator Benutzerrollenzuweisungen in Projekten hinzufügen. Ein Projektadministrator besitzt keine Berechtigungen zum Hinzufügen von Benutzerrollenzuweisungen in Projekten, sofern die Rolle des Projektadministrators nicht vom Enterprise-Administrator für die Durchführung von Benutzerrollenzuweisungen konfiguriert ist.

Wenn der Projektadministrator berechtigt ist, Benutzerrollen zuzuweisen, kann dies in einigen NSX-Umgebungen als Sicherheitsrisiko gelten, da diese Berechtigung einem Projektadministrator die Möglichkeit verschafft, Rollenzuweisungen für beliebige Benutzer im System zu konfigurieren. Daher können laut Standardverhalten ausschließlich Enterprise-Administratoren Benutzerrollenzuweisungen in Projekten hinzufügen.

Ein Enterprise-Administrator kann folgende Schritte ausführen, um die Berechtigungen zum Hinzufügen von Benutzerrollenzuweisungen für die Rolle des Projektadministrators zu erteilen:
  1. Navigieren Sie in der Ansicht Standard zu System > Benutzerverwaltung > Rollen.
  2. Klicken Sie neben der Rolle Projektadministrator auf das Symbol für das Menü "Aktionen" und dann auf Rollenzuweisungen zulassen.
Für die Benutzerauthentifizierung und -autorisierung unterstützt NSX mit mehreren Mandanten folgende Identitätsquellen:
  • Lokale Benutzer (z. B. guestuser1, guestuser2)
  • VMware Identity Manager
  • LDAP (Lightweight Directory Access Protocol)
  • OpenID Connect (Weitere Informationen finden Sie im Hinweis nach dieser Aufzählung)
  • Prinzipalidentität (mit Zertifikat oder JSON-Web-Token)
Hinweis: Die OpenID Connect-Identitätsquelle wird ab NSX 4.1.2 unterstützt. Diese Identitätsquelle wird jedoch nur für die Benutzerauthentifizierung unterstützt, wenn Sie Benutzerrollenzuweisungen über die Seite Benutzerverwaltung des Systems hinzufügen. Wenn Sie Benutzerrollenzuweisungen über die Seite Projekte verwalten hinzufügen, wird diese Identitätsquelle derzeit nicht unterstützt.

Die beiden folgenden Methoden sind für das Hinzufügen von Benutzerrollenzuweisungen in Projekten verfügbar:

Methode 1: Hinzufügen von Benutzerrollenzuweisungen auf der Seite „Benutzerverwaltung“

Die Seite Benutzerverwaltung ist nur für den Enterprise-Administrator verfügbar. Ein Projektadministrator kann diese Seite selbst dann nicht verwenden, wenn ein Enterprise-Administrator der Rolle des Projektadministrators die Berechtigungen für Benutzerrollenzuweisungen in Projekten erteilt hat.

Methode 2: Hinzufügen von Benutzerrollenzuweisungen auf der Seite „Projekte verwalten“

Die Seite Projekte verwalten ist sowohl für den Enterprise-Administrator als auch für den Projektadministrator verfügbar. Ein Projektadministrator kann jedoch Benutzerrollen nur dann auf dieser Seite hinzufügen, wenn ein Enterprise-Administrator der Rolle des Projektadministrators die Berechtigungen zum Durchführen von Benutzerrollenzuweisungen erteilt hat.