Lorsque vous attribuez un rôle à un utilisateur SSO, vCenter authentifie l'utilisateur avec le service d'identité configuré sur le serveur SSO. Si le serveur SSO n'est pas configuré ou s'il n'est pas disponible, l'utilisateur est authentifié localement ou avec Active Directory, selon la configuration de vCenter.

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security), puis sur NSX Manager (NSX Managers).
  3. Cliquez sur un dispositif NSX Manager dans la colonne Nom, puis cliquez sur l'onglet Gérer (Manage).
  4. Cliquez sur Utilisateurs (Users).
  5. Cliquez sur Ajouter (Add).

    La fenêtre Attribuer un rôle s'affiche.

  6. Cliquez sur Spécifier un utilisateur vCenter (Specify a vCenter user) ou Spécifier un groupe vCenter (Specify a vCenter group).
  7. Tapez le nom de l'utilisateur (User) ou du groupe (Group) vCenter correspondant à l'utilisateur.

    Pour plus d'informations, reportez-vous à l'exemple ci-dessous.

    Nom de domaine : corp.vmware.com

    Alias : corp

    Nom de groupe : group1@corp.vmware.com

    Nom d'utilisateur : user1@corp.vmware.com

    Lorsqu'un rôle est attribué à un groupe sur NSX Manager, n'importe quel utilisateur de ce groupe peut être connecté à l'interface utilisateur de NSX Manager.

    Lorsque vous attribuez un rôle à un utilisateur, tapez l'alias de l'utilisateur. Par exemple, user1@corp.

  8. Cliquez sur Suivant (Next).
  9. Sélectionnez le rôle de l'utilisateur et cliquez sur Suivant (Next). Pour plus d'informations sur les rôles disponibles, reportez-vous à la section Gestion des droits d'utilisateur.
  10. Cliquez sur Terminer (Finish).

    Le compte utilisateur apparaît dans la table Utilisateurs.

Comprendre les attributions de rôles selon les groupes

Les organisations créent des groupes d'utilisateurs pour gérer correctement les utilisateurs. Après l'intégration à SSO, NSX Manager est en mesure d'obtenir les détails des groupes auxquels un utilisateur appartient. Au lieu d'attribuer des rôles à des utilisateurs pouvant appartenir à un même groupe, NSX Manager attribue des rôles aux groupes. Les scénarios suivants illustrent l'attribution de rôles par NSX Manager.

Scénario de contrôle d'accès basé sur les rôles

Dans ce scénario, une ingénieure réseau, Sally Moore, obtient un accès aux composants NSX dans l'environnement suivant.

Domaine AD : corp.local, groupe vCenter : neteng@corp.local, nom d'utilisateur : smoore@corp.local

Conditions préalables : vCenter Server a été enregistré dans NSX Manager et SSO a été configuré. Notez que SSO est requis uniquement pour les groupes.

  1. Attribuez un rôle à Sally.
    1. Connectez-vous à vSphere Web Client.
    2. Cliquez sur Mise en réseau et sécurité (Networking & Security), puis sur NSX Manager (NSX Managers).
    3. Cliquez sur un dispositif NSX Manager dans la colonne Nom, puis cliquez sur l'onglet Gérer (Manage).
    4. Cliquez sur Utilisateurs (Users), puis sur Ajouter (Add).

      La fenêtre Attribuer un rôle s'affiche.

    5. Cliquez sur Spécifier un groupe vCenter (Specify a vCenter group) et tapez neteng@corp.local dans Groupe (Group).
    6. Cliquez sur Suivant (Next).
    7. Dans Sélectionner des rôles, cliquez sur Administrateur NSX (NSX Administrator), puis sur Suivant (Next).
  2. Accordez l'accès au centre de données à Sally.
    1. Cliquez sur l'icône d'accueil, puis sur Accueil de vCenter (vCenter Home) > Centres de données (Datacenters).
    2. Sélectionnez un centre de données et cliquez sur Actions > Toutes les actions vCenter (All vCenter Actions) > Ajouter autorisation (Add Permission).
    3. Cliquez sur Ajouter (Add) et sélectionnez le domaine CORP.
    4. Dans Utilisateurs et groupes (Users and Groups), sélectionnez Afficher groupes d'abord (Show Groups First).
    5. Sélectionnez NetEng et cliquez sur OK.
    6. Dans Rôle attribué (Assigned Role), sélectionnez Lecture seule (Read-only) et désélectionnez Propager vers les enfants (Propagate to children), puis cliquez sur OK.
  3. Déconnectez-vous de vSphere Web Client, puis reconnectez-vous en tant que smoore@corp.local.

    Sally peut effectuer des opérations NSX uniquement. Par exemple, elle peut installer des dispositifs virtuels, créer des commutateurs logiques, etc.

Hériter d'autorisations par l'intermédiaire d'un scénario d'appartenance à un groupe d'utilisateurs

Option du groupe Valeur
Nom G1
Rôle attribué Auditeur (lecture seule)
ressources réseau Racine globale
Option de l'utilisateur Valeur
Nom John
Appartient au groupe G1
Rôle attribué Aucun

John appartient au groupe G1 auquel le rôle d'auditeur a été attribué. John hérite du rôle et des autorisations pour les ressources du groupe.

Scénario d'un utilisateur membre de plusieurs groupes

Option du groupe Valeur
Nom G1
Rôle attribué Auditeur (lecture seule)
ressources réseau Racine globale
Option du groupe Valeur
Nom G2
Rôle attribué Administrateur de sécurité (lecture et écriture)
ressources réseau Centre de données 1
Option de l'utilisateur Valeur
Nom Joseph
Appartient au groupe G1, G2
Rôle attribué Aucun

Joseph appartient aux groupes G1 et G2 et hérite de la combinaison des droits et des autorisations des rôles d'auditeur et d'administrateur de sécurité. John a par exemple les autorisations suivantes :

  • Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1
  • Lecture seule (auditeur) pour racine globale

Scénario d'un utilisateur membre de plusieurs rôles

Option du groupe Valeur
Nom G1
Rôle attribué Administrateur d'entreprise
ressources réseau Racine globale
Option de l'utilisateur Valeur
Nom Bob
Appartient au groupe G1
Rôle attribué Administrateur de sécurité (lecture et écriture)
ressources réseau Centre de données 1

Bob s'est vu attribuer le rôle d'administrateur de sécurité. Il n'hérite donc pas des autorisations du rôle de groupe. Bob bénéficie des autorisations suivantes

  • Lecture, écriture (rôle d'administrateur de sécurité) pour Centre de données 1 et ses ressources enfants
  • Rôle d'administrateur d'entreprise sur Centre de données 1