Puede asignar funciones a usuarios o grupos de usuarios si VMware Identity Manager está integrado con NSX-T Data Center o si tiene LDAP como proveedor de autenticación. También puede asignar funciones a las identidades principales.

Una entidad principal es un componente o una aplicación de terceros, como un producto de OpenStack. Con una identidad de entidades de seguridad, una entidad de seguridad puede utilizar el nombre de dicha identidad para crear un objeto y garantizar que solo una entidad con el mismo nombre de identidad pueda modificar o eliminar el objeto. La identidad de entidades de seguridad tiene las siguientes propiedades:
  • Nombre
  • Identificador de nodo: puede ser cualquier valor alfanumérico asignado a una identidad principal
  • Certificado
  • Función RBAC que indica los derechos de acceso de esta entidad de seguridad

Los usuarios (identidad local, remota o de entidades de seguridad) con la función de administrador empresarial pueden modificar o eliminar objetos que sean propiedad de las identidades de entidades de seguridad. Los usuarios (identidad local, remota o de entidades de seguridad) sin la función de administrador empresarial no pueden modificar ni eliminar objetos protegidos que sean propiedad de las identidades de entidades de seguridad, pero pueden modificar y eliminar objetos no protegidos.

Si el certificado de un usuario de identidad de entidad de seguridad caduca, debe importar un certificado nuevo y hacer una llamada API para actualizar el certificado de ese usuario (consulte el procedimiento a continuación). Para obtener más información acerca de la API de NSX-T Data Center, consulte la Guía de la API de NSX-T Data Center en https://code.vmware.com/.

El certificado de un usuario de identidad principal debe cumplir con los siguientes requisitos:
  • Basado en SHA256.
  • Algoritmo de mensaje RSA/DSA con un tamaño de clave mínimo de 2048 bits.
  • No puede ser un certificado raíz.

Puede eliminar una identidad principal mediante la API. Sin embargo, la eliminación de una identidad principal no elimina automáticamente el certificado correspondiente. Debe eliminar el certificado manualmente.

Pasos para eliminar una identidad principal y su certificado:
  1. Consulte los detalles de la identidad principal que desea eliminar y anote el valor de certificate_id en la respuesta.

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. Elimine la identidad principal.

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. Elimine el certificado utilizando el valor de certificate_id obtenido en el paso 1.

    DELETE /api/v1/trust-management/certificates/<certificate_id>

Para LDAP, debe configurar los grupos de usuarios con la información de asignación de funciones de usuario; los grupos se corresponden con los grupos de usuarios especificados en Active Directory (AD). Para conceder permisos a un usuario en NSX-T Data Center, agregue ese usuario al grupo asignado en AD.

Requisitos previos

Debe tener un proveedor de autenticación configurado:

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Seleccione Sistema > Usuarios y funciones.
  3. Para asignar funciones a los usuarios, seleccione Agregar > Asignación de funciones para vIDM.
    1. Seleccione un usuario o un grupo de usuarios.
    2. Seleccione una función.
    3. Haga clic en Guardar.
  4. Para agregar una identidad principal, seleccione Agregar > Identidad principal con función.
    1. Introduzca un nombre para la identidad principal.
    2. Seleccione una función.
    3. Escriba un identificador de nodo.
    4. Introduzca un certificado en formato PEM.
    5. Haga clic en Guardar.
  5. Para agregar una asignación de función para LDAP, seleccione Agregar > Asignación de funciones para LDAP.
    1. Seleccione un dominio.
    2. Introduzca los primeros caracteres del nombre del usuario, el identificador de inicio de sesión o un nombre de grupo para buscar en el directorio LDAP y, a continuación, seleccione un usuario o un grupo de la lista que aparece.
    3. Seleccione una función.
    4. Haga clic en Guardar.
  6. Opcional: si utiliza NSX Cloud, inicie sesión en el dispositivo de CSM en lugar de en NSX Manager y repita los pasos del 1 al 4.
  7. Si el certificado de la identidad de entidad de seguridad vence, realice los siguientes pasos. No use este procedimiento para reemplazar certificados de identidad principal de Local Manager o Global Manager. En su lugar, para reemplazar los certificados, consulte Reemplazar certificados para obtener más información.
    1. Importe un certificado nuevo y anote el identificador del certificado. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
    2. Haga la siguiente llamada API para obtener el identificador de la identidad de entidad de seguridad.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. Haga la siguiente llamada API para actualizar el certificado de la identidad de entidad de seguridad. Debe proporcionar el identificador del certificado importado y el identificador del usuario de identidad de entidad de seguridad.
      Por ejemplo,
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }