Cuando se asigna un rol a un usuario de SSO, vCenter autentica al usuario mediante el servicio de identidad configurado en el servidor SSO. Si el servidor SSO no se configuró o no se encuentra disponible, se autentica al usuario de forma local o mediante Active Directory según la configuración de vCenter.

  1. Inicie sesión en vSphere Web Client.

  2. Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager (NSX Managers).

  3. Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).

  4. Haga clic en Usuarios (Users).

  5. Haga clic en Agregar (Add).

    Se abrirá la ventana Asignar rol (Assign Role).

  6. Haga clic en Especificar un usuario de vCenter (Specify a vCenter user) o en Especificar un grupo de vCenter (Specify a vCenter group).

  7. Especifique el nombre de Usuario (User) o Grupo (Group) de vCenter para el usuario.

    Consulte el siguiente ejemplo para obtener más información.

    Nombre de dominio: corp.vmware.com

    Alias: corp

    Nombre de grupo: group1@corp.vmware.com

    Nombre de usuario: user1@corp.vmware.com

    Cuando se asigna una función a un grupo en NSX Manager, cualquier usuario de ese grupo puede iniciar sesión en la interfaz de usuario de dicho producto.

    Para asignar un rol a un usuario, escriba el alias de usuario. Por ejemplo, user1@corp.

  8. Haga clic en Siguiente (Next).

  9. Seleccione el rol para el usuario y haga clic en Siguiente (Next). Para obtener más información sobre los roles disponibles, consulte Administrar derechos de usuario.

  10. Haga clic en Finalizar (Finish).

    Se mostrará la cuenta de usuario en la tabla Usuarios (Users).

Información sobre la asignación de roles según el grupo

Las organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después de la integración con SSO, NSX Manager puede obtener detalles sobre los grupos a los que pertenece el usuario. En lugar de asignar roles a usuarios individuales que pueden pertenecer al mismo grupo, NSX Manager asigna roles a los grupos. En las siguientes situaciones se muestra la forma en que NSX Manager asigna los roles.

Situación de control de acceso basado en roles

En esta situación se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSX en el siguiente entorno.

Dominio de AD: corp.local, grupo de vCenter: neteng@corp.local, nombre de usuario: smoore@corp.local

Requisitos previos: vCenter Server registrado en NSX Manager y SSO configurado.

  1. Asigne un rol a Sally.

    1. Inicie sesión en vSphere Web Client.

    2. Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager (NSX Managers).

    3. Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).

    4. Haga clic en Usuarios (Users) y seleccione Agregar (Add).

      Se abrirá la ventana Asignar función (Assign Role).

    5. Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y escriba neteng@corp.local en Grupo (Group).

    6. Haga clic en Siguiente (Next).

    7. En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) y seleccione Siguiente (Next).

  2. Otorgue permiso a Sally para acceder al centro de datos.

    1. Haga clic en el icono Inicio (Home) y seleccione Inicio de vCenter (vCenter Home) > Centros de datos (Datacenters).

    2. Seleccione un centro de datos y haga clic en Acciones (Actions) > Todas las acciones de vCenter (All vCenter Actions) > Agregar permiso (Add Permission).

    3. Haga clic en Agregar (Add) y seleccione el dominio CORP.

    4. En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show Groups First).

    5. Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).

    6. En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección de Propagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).

  3. Cierre la sesión de vSphere Web Client y vuelva a iniciar sesión como smoore@corp.local.

    Sally solo podrá realizar operaciones de NSX. Por ejemplo, instalar dispositivos virtuales, crear conmutadores lógicos, etc.

Situación de herencia de permisos mediante pertenencia de grupo o de usuario

Opción de grupo

Valor

Nombre

G1

Rol asignado

Auditor (solo lectura)

Recursos

Raíz global

Opción de usuario

Valor

Nombre

John

Pertenece al grupo

G1

Rol asignado

Ninguno

John pertenece al grupo G1, al que se le ha asignado el rol Auditor. John hereda los permisos sobre recursos y el rol de ese grupo.

Situación de usuario miembro de varios grupos

Opción de grupo

Valor

Nombre

G1

Rol asignado

Auditor (solo lectura)

Recursos

Raíz global

Opción de grupo

Valor

Nombre

G2

Rol asignado

Administrador de seguridad (lectura y escritura)

Recursos

Centro de datos 1

Opción de usuario

Valor

Nombre

Joseph

Pertenece al grupo

G1, G2

Rol asignado

Ninguno

Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisos incluidos en los roles Auditor y Administrador de seguridad. Por ejemplo, Joseph posee los siguientes permisos:

  • Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1

  • Solo lectura (Auditor) para raíz global

Situación de usuario miembro de varios roles

Opción de grupo

Valor

Nombre

G1

Rol asignado

Administrador empresarial

Recursos

Raíz global

Opción de usuario

Valor

Nombre

Bob

Pertenece al grupo

G1

Rol asignado

Administrador de seguridad (lectura y escritura)

Recursos

Centro de datos 1

Se asignó el rol Administrador de seguridad a Bob; es por eso que no hereda los permisos de los roles del grupo. Bob posee los siguientes permisos:

  • Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1 y sus recursos secundarios

  • Rol Administrador empresarial en Centro de datos 1.