NSX utiliza funciones existentes e introduce otras nuevas para admitir varios tenants.
A continuación, se muestran algunas de las funciones que se utilizan en el contexto de varios tenants:
- Funciones que tienen acceso al espacio de
/, lo que les permite acceder a toda la configuración en/infray/org:- Administrador empresarial: el administrador del proveedor es responsable de preparar la infraestructura y es un superusuario que puede acceder a configuraciones dentro y fuera de proyectos.
- Auditor: los usuarios con esta función tienen acceso de solo lectura a la configuración y a los ajustes del sistema, pero tienen acceso completo a las herramientas de solución de problemas.
- Funciones introducidas en NSX 4.0.1.1 para varios tenants que solo tienen acceso a la configuración en
/orgs:- Administrador de organización (vista previa técnica, no para implementaciones de producción): el rol de administrador de organización está disponible actualmente en el modo de vista previa técnica para administrar proyectos dentro de la organización. Sin embargo, esta función no tiene acceso a los objetos
/infranecesarios para crear proyectos. Utilice la función de administrador empresarial para la creación de proyectos. - Administrador de proyectos: el administrador de proyectos administra un proyecto y tiene acceso completo a la configuración dentro de ese proyecto.
- Administrador de organización (vista previa técnica, no para implementaciones de producción): el rol de administrador de organización está disponible actualmente en el modo de vista previa técnica para administrar proyectos dentro de la organización. Sin embargo, esta función no tiene acceso a los objetos
Asigne la función de administrador de proyectos mediante la siguiente llamada API:
POST /policy/api/v1/aaa/role-bindings/Solicitud de ejemplo:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/Cuerpo:
{
“name”: “[email protected]”,
“type”: “remote_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“identity_source_type”: “LDAP”,
“read_roles_for_paths”: true
}
También puede asignar las siguientes funciones existentes a un proyecto específico proporcionando la ruta del proyecto:
- Administrador de red: la función Administrador de red, cuando se asigna a una ruta de proyecto, administra las redes y los servicios en ese nivel de proyecto.
- Operador de red: los usuarios con esta función, cuando se asignan a una ruta de proyecto, tienen acceso de solo lectura a la configuración de redes en ese nivel de proyecto.
- Administrador de seguridad: la función Administrador de seguridad, cuando se asigna a una ruta de proyecto, administra las directivas de seguridad en ese nivel de proyecto.
- Operador de seguridad: los usuarios con esta función, cuando se asignan a una ruta de proyecto, tienen acceso de solo lectura a la configuración de seguridad en ese nivel de proyecto.
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>Cuerpo:
{
“name”: “[email protected]”,
“type”: “local_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“read_roles_for_paths”: true
}
Para asegurarse de que solo se asigne la función de administrador de proyecto al usuario local, elimine la función Auditor.
DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
Autenticación
El modo de varios tenants de
NSX admite usuarios configurados en varios tipos de orígenes de identidad. A continuación, se muestran los tipos compatibles de orígenes de identidad y sus parámetros de configuración:
- Usuarios locales (admin, audit, guestuser1, guestuser2)
“type”: “local_user”,
- vIDM (VMware Identity Manager)
“type”: “remote_user”, “identity_source_type”: “VIDM”,
- LDAP (Protocolo ligero de acceso a directorios)
“type”: “remote_user”, “identity_source_type”: “LDAP”,
- Identidad de entidad de seguridad (mediante certificado o token JWT)
Las funciones solo se pueden asignar mediante la API de identidad principal.
