Sie können Active Directory-Gruppen mit vRealize Log Insight über die VMware Identity Manager-Single Sign-On-Authentifizierung verwenden. Ihre Site muss für eine VMware Identity Manager-Authentifizierung mit aktivierter Active Directory-Unterstützung konfiguriert sein. Zudem muss eine Serversynchronisierung eingerichtet sein.

Sie müssen auch Gruppeninformationen in vRealize Log Insight importieren.

Ein VMware Identity Manager-Benutzer übernimmt Rollen, die einer Gruppe zugewiesen sind, der er angehört, sowie die diesem Einzelbenutzer zugewiesenen Rollen. Sie können z. B. Gruppe A die Rolle Administrator – Nur Lesezugriff und einem Benutzer die Rolle Benutzer zuweisen. Derselbe Benutzer kann auch der Gruppe A zugewiesen werden. Wenn sich der Benutzer anmeldet, übernimmt er die Gruppenrolle mit Berechtigungen für die Rollen Administrator – Nur Lesezugriff sowie Benutzer.

Bei dieser Gruppe handelt es sich nicht um eine lokale VMware Identity Manager-Gruppe, sondern um eine Active Directory-Gruppe, die mit VMware Identity Manager synchronisiert ist.

Voraussetzungen

  • Stellen Sie sicher, dass Sie das UPN-Attribut (userPrincipalName- bzw. Benutzerprinzipalnamensattribut) konfiguriert haben. Es kann über die Verwaltungsschnittstelle von VMware Identity Manager unter Identitäts- und Zugriffsmanagement > Benutzerattribute konfiguriert werden.

  • Vergewissern Sie sich, dass Sie bei der vRealize Log Insight-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die Berechtigung Zugriffssteuerung mit der Zugriffsebene Bearbeiten verfügt. Das URL-Format der Web-Benutzeroberfläche lautet https://log-insight-host, wobei log-insight-host die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.

  • Stellen Sie sicher, dass Sie die VMware Identity Manager-Unterstützung in vRealize Log Insight konfiguriert haben. Siehe Aktivieren der Benutzerauthentifizierung durch VMware Identity Manager.

Prozedur

  1. Erweitern Sie das Hauptmenü und navigieren Sie zu Management > Zugriffssteuerung.
  2. Klicken Sie auf Benutzer.
  3. Blättern Sie zur Tabelle „Directory Groups“ und klicken Sie auf Neue Gruppe.
  4. Wählen VMware Identity Manager aus dem Dropdown-Menü Typ aus.
    Der von Ihnen bei der Konfiguration der VMware Identity Manager-Unterstützung angegebene Standarddomänenname wird im Textfeld Domäne angezeigt.
  5. Ändern Sie den Domänennamen in den Active Directory-Namen für die Gruppe.
  6. Geben Sie den Namen der Gruppe ein, die Sie hinzufügen möchten.
  7. Wählen Sie rechts in der Liste Rollen eine oder mehrere vordefinierte benutzerdefinierte Benutzerrollen aus.
    Option Beschreibung
    Dashboard-Benutzer Dashboard-Benutzer können nur die Seite Dashboards von vRealize Log Insight verwenden.
    Super-Admin Super-Admin-Benutzer können auf alle Funktionen von vRealize Log Insight zugreifen, vRealize Log Insight verwalten und die Konten aller anderen Benutzer verwalten.
    Benutzer Die Benutzer können auf alle Funktionalitäten von vRealize Log Insight zugreifen. Benutzer können Protokollereignisse anzeigen, Abfragen zum Suchen und Filtern von Protokollen ausführen, Inhaltspakete in ihren eigenen Benutzerbereich importieren, Warnungen anzeigen und ihre eigenen Benutzerkonten verwalten, um ihr Kennwort oder ihre E-Mail-Adresse zu ändern. Benutzer haben keinen Zugriff auf die Verwaltungsoptionen und können keine Inhalte für andere Benutzer freigeben, keine Warnmeldungen erstellen oder ändern, die Konten anderer Benutzer nicht ändern und keine Inhaltspakete aus dem Marketplace installieren. Sie können jedoch ein Inhaltspaket, das nur für sie sichtbar ist, in ihren eigenen Benutzerbereich importieren.
    Leseberechtigung-Admin „Administrator – Nur Lesezugriff“-Benutzer können Admin-Informationen anzeigen, haben vollständigen Benutzerzugriff und können freigegebenen Inhalt bearbeiten.
    Benutzerdefinierte Rolle Ein Benutzer mit einer benutzerdefinierten Rolle kann Informationen basierend auf den mit der Rolle verknüpften Berechtigungen anzeigen oder ändern.
    Um die mit einer vordefinierten oder benutzerdefinierten Rolle verbundenen Berechtigungen anzuzeigen, klicken Sie auf der Seite Zugriffssteuerung auf die Registerkarte Rollen und dann auf Berechtigungen anzeigen für die Rolle.
  8. Klicken Sie auf Speichern.
    Für die Authentifizierung überprüft vRealize Log Insight, ob die Domäne des Benutzers mit einer Gruppe verknüpft ist. Wenn die Domäne keiner Gruppe angehört, überprüft vRealize Log Insight, ob die Domäne eine Vertrauensstellung mit einer Domäne hergestellt hat, die einer Gruppe zugeordnet ist. Wenn eine domänenübergreifende Vertrauensstellung eingerichtet wurde, kann sich der Benutzer bei vRealize Log Insight anmelden, und das entsprechende Benutzerkonto wird zur Benutzertabelle in Zugriffssteuerung > Benutzer hinzugefügt.

Ergebnisse

Benutzer, die zu der Gruppe gehören, die Sie hinzugefügt haben, können sich über ihr VMware Identity Manager-Konto bei vRealize Log Insight anmelden. Sie verfügen dann über dieselbe Berechtigungsstufe wie die Gruppe, der sie angehören.