Las organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después de la integración con SSO, NSX Manager puede obtener más información sobre los grupos a los que pertenece el usuario. En lugar de asignar funciones a usuarios individuales que pueden pertenecer al mismo grupo, NSX Manager asigna funciones a los grupos. En los siguientes escenarios, se muestra la forma en que NSX Manager asigna las funciones.
Situación de control de acceso basado en roles
En este escenario se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de
NSX en el siguiente entorno:
Requisitos: vCenter Server debe estar registrado en NSX Manager y se debe configurar SSO. Tenga en cuenta que el servicio SSO es obligatorio solo para grupos.
- Asigne un rol a Sally.
- Inicie sesión en vSphere Web Client.
- Acceda a .
- Asegúrese de estar en la pestaña Usuarios (Users).
- Haga clic en el icono Agregar (Add).
Se abrirá la ventana Asignar función (Assign Role).
- Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y escriba [email protected] en Grupo (Group).
- Haga clic en Siguiente (Next).
- En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) y seleccione Siguiente (Next).
- Otorgue permiso a Sally para acceder al centro de datos.
- Haga clic en el icono Inicio (Home) y, a continuación en Redes (Networking).
- Seleccione un centro de datos y haga clic en .
- Haga clic en Agregar (Add) y seleccione el dominio corp.local.
- En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show Groups First).
- Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).
- En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección de Propagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).
- Cierre sesión en vSphere Web Client y vuelva a iniciarla como [email protected].
Sally solo podrá realizar operaciones de NSX. Por ejemplo, podrá instalar dispositivos virtuales, crear conmutadores lógicos y otras tareas de operaciones.
Situación de herencia de permisos mediante pertenencia de grupo o de usuario
En este escenario, John pertenece al grupo G1, al que se le ha asignado la función auditor (auditor). John hereda los permisos sobre recursos y el rol de ese grupo.
| Opción de grupo |
Valor de ejemplo |
| Nombre |
G1 |
| Rol asignado |
Auditor (solo lectura) |
| Recursos |
Raíz global |
| Opción de usuario |
Valor de ejemplo |
| Nombre |
John |
| Pertenece al grupo |
G1 |
| Rol asignado |
Ninguno |
Situación de usuario miembro de varios grupos
En este escenario, Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisos incluidos en las funciones
auditor y
administrador de seguridad. Por ejemplo, Joseph tiene los siguientes permisos:
- Lectura y escritura (función administrador de seguridad) para Centro de datos 1
- Solo lectura (función auditor) para raíz global
| Opción de grupo |
Valor de ejemplo |
| Nombre |
G1 |
| Rol asignado |
Auditor (solo lectura) |
| Recursos |
Raíz global |
| Opción de grupo |
Valor de ejemplo |
| Nombre |
G2 |
| Rol asignado |
Administrador de seguridad (lectura y escritura) |
| Recursos |
Centro de datos 1 |
| Opción de usuario |
Valor de ejemplo |
| Nombre |
Joseph |
| Pertenece al grupo |
G1, G2 |
| Rol asignado |
Ninguna |
Situación de usuario miembro de varios roles
En este escenario, Bob tiene asignada la función
administrador de seguridad, por lo que no hereda los permisos de la función de este grupo. Bob posee los siguientes permisos:
- Lectura y escritura (función administrador de seguridad) para Centro de datos 1 y sus recursos secundarios
- Función administrador empresarial en Centro de datos 1.
| Opción de grupo |
Valor de ejemplo |
| Nombre |
G1 |
| Rol asignado |
Administrador empresarial |
| Recursos |
Raíz global |
| Opción de usuario |
Valor de ejemplo |
| Nombre |
Bob |
| Pertenece al grupo |
G1 |
| Rol asignado |
Administrador de seguridad (lectura y escritura) |
| Recursos |
Centro de datos 1 |
