Las organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después de la integración con SSO, NSX Manager puede obtener más información sobre los grupos a los que pertenece el usuario. En lugar de asignar funciones a usuarios individuales que pueden pertenecer al mismo grupo, NSX Manager asigna funciones a los grupos. En los siguientes escenarios, se muestra la forma en que NSX Manager asigna las funciones.

Situación de control de acceso basado en roles

En este escenario se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSX en el siguiente entorno:
  • Dominio de AD: corp.local
  • Grupo de vCenter: neteng@corp.local
  • Nombre de usuario: smoore@corp.local

Requisitos: vCenter Server debe estar registrado en NSX Manager y se debe configurar SSO. Tenga en cuenta que el servicio SSO es obligatorio solo para grupos.

  1. Asigne un rol a Sally.
    1. Inicie sesión en vSphere Web Client.
    2. Acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Usuarios y dominios (Users and Domains).
    3. Asegúrese de estar en la pestaña Usuarios (Users).
    4. Haga clic en el icono Agregar (Add).

      Se abrirá la ventana Asignar función (Assign Role).

    5. Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y escriba neteng@corp.local en Grupo (Group).
    6. Haga clic en Siguiente (Next).
    7. En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) y seleccione Siguiente (Next).
  2. Otorgue permiso a Sally para acceder al centro de datos.
    1. Haga clic en el icono Inicio (Home) y, a continuación en Redes (Networking).
    2. Seleccione un centro de datos y haga clic en Acciones (Actions) > Agregar permiso (Add Permission).
    3. Haga clic en Agregar (Add) y seleccione el dominio corp.local.
    4. En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show Groups First).
    5. Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).
    6. En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección de Propagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).
  3. Cierre sesión en vSphere Web Client y vuelva a iniciarla como smoore@corp.local.

    Sally solo podrá realizar operaciones de NSX. Por ejemplo, podrá instalar dispositivos virtuales, crear conmutadores lógicos y otras tareas de operaciones.

Situación de herencia de permisos mediante pertenencia de grupo o de usuario

En este escenario, John pertenece al grupo G1, al que se le ha asignado la función auditor (auditor). John hereda los permisos sobre recursos y el rol de ese grupo.

Opción de grupo Valor de ejemplo
Nombre G1
Rol asignado Auditor (solo lectura)
Recursos Raíz global
Opción de usuario Valor de ejemplo
Nombre John
Pertenece al grupo G1
Rol asignado Ninguno

Situación de usuario miembro de varios grupos

En este escenario, Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisos incluidos en las funciones auditor y administrador de seguridad. Por ejemplo, Joseph tiene los siguientes permisos:
  • Lectura y escritura (función administrador de seguridad) para Centro de datos 1
  • Solo lectura (función auditor) para raíz global
Opción de grupo Valor de ejemplo
Nombre G1
Rol asignado Auditor (solo lectura)
Recursos Raíz global
Opción de grupo Valor de ejemplo
Nombre G2
Rol asignado Administrador de seguridad (lectura y escritura)
Recursos Centro de datos 1
Opción de usuario Valor de ejemplo
Nombre Joseph
Pertenece al grupo G1, G2
Rol asignado Ninguna

Situación de usuario miembro de varios roles

En este escenario, Bob tiene asignada la función administrador de seguridad, por lo que no hereda los permisos de la función de este grupo. Bob posee los siguientes permisos:
  • Lectura y escritura (función administrador de seguridad) para Centro de datos 1 y sus recursos secundarios
  • Función administrador empresarial en Centro de datos 1.
Opción de grupo Valor de ejemplo
Nombre G1
Rol asignado Administrador empresarial
Recursos Raíz global
Opción de usuario Valor de ejemplo
Nombre Bob
Pertenece al grupo G1
Rol asignado Administrador de seguridad (lectura y escritura)
Recursos Centro de datos 1