Les organisations créent des groupes d'utilisateurs pour gérer correctement les utilisateurs. Après l'intégration à SSO, NSX Manager est en mesure d'obtenir les détails des groupes auxquels un utilisateur appartient. Au lieu d'attribuer des rôles à des utilisateurs susceptibles d'appartenir au même groupe, NSX Manager attribue des rôles aux groupes. Les scénarios suivants illustrent l'attribution de rôles par NSX Manager.

Scénario de contrôle d'accès basé sur les rôles

Dans ce scénario, une ingénieure réseau, Sally Moore, obtient un accès aux composants NSX dans l'environnement suivant :
  • Domaine AD : corp.local
  • Groupe vCenter : neteng@corp.local
  • Nom d'utilisateur : smoore@corp.local

Conditions préalables : vCenter Server doit être enregistré avec NSX Manager et SSO doit être configuré. Notez que SSO est requis uniquement pour les groupes.

  1. Attribuez un rôle à Sally.
    1. Connectez-vous à vSphere Web Client.
    2. Accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).
    3. Vérifiez que vous êtes bien dans l'onglet Utilisateurs (Users).
    4. Cliquez sur l'icône Ajouter (Add).

      La fenêtre Attribuer un rôle s'affiche.

    5. Cliquez sur Spécifier un groupe vCenter (Specify a vCenter group) et tapez neteng@corp.local dans Groupe (Group).
    6. Cliquez sur Suivant (Next).
    7. Dans Sélectionner les rôles (Select Roles), cliquez sur Administrateur NSX (NSX Administrator), puis sur Suivant (Next).
  2. Accordez l'accès au centre de données à Sally.
    1. Cliquez sur l'icône Accueil, puis sur Mise en réseau (Networking).
    2. Sélectionnez un centre de données et cliquez sur Actions > Ajouter une autorisation (Add Permission).
    3. Cliquez sur Ajouter (Add) et sélectionnez le domaine corp.local.
    4. Dans Utilisateurs et groupes (Users and Groups), sélectionnez Afficher groupes d'abord (Show Groups First).
    5. Sélectionnez NetEng et cliquez sur OK.
    6. Dans Rôle attribué (Assigned Role), sélectionnez Lecture seule (Read-only), désélectionnez Propager vers les enfants (Propagate to children), puis cliquez sur OK.
  3. Déconnectez-vous de vSphere Web Client et reconnectez-vous en tant que smoore@corp.local.

    Sally peut effectuer des opérations NSX uniquement. Par exemple, elle peut installer des dispositifs virtuels, créer des commutateurs logiques et effectuer d'autres tâches opérationnelles.

Hériter d'autorisations par l'intermédiaire d'un scénario d'appartenance à un groupe d'utilisateurs

Dans ce scénario, John appartient au groupe G1 auquel le rôle auditeur a été attribué. John hérite du rôle et des autorisations pour les ressources du groupe.

Option du groupe Valeur d'exemple
Nom G1
Rôle attribué Auditeur (lecture seule)
Ressources Racine globale
Option de l'utilisateur Valeur d'exemple
Nom John
Appartient au groupe G1
Rôle attribué Aucune

Scénario d'un utilisateur membre de plusieurs groupes

Dans ce scénario, Joseph appartient aux groupes G1 et G2 et hérite de la combinaison des droits et des autorisations des rôles auditeur et administrateur de sécurité. Joseph dispose par exemple des autorisations suivantes :
  • Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1
  • Lecture seule (auditeur) pour racine globale
Option du groupe Valeur d'exemple
Nom G1
Rôle attribué Auditeur (lecture seule)
Ressources Racine globale
Option du groupe Valeur d'exemple
Nom G2
Rôle attribué Administrateur de sécurité (lecture et écriture)
Ressources Centre de données 1
Option de l'utilisateur Valeur d'exemple
Nom Joseph
Appartient au groupe G1, G2
Rôle attribué Aucun

Scénario d'un utilisateur membre de plusieurs rôles

Dans ce scénario, Bob se voit attribuer le rôle administrateur de sécurité. Il n'hérite donc pas des autorisations du rôle de groupe. Bob bénéficie des autorisations suivantes :
  • Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1 et ses ressources enfants
  • Rôle administrateur d'entreprise sur Centre de données 1
Option du groupe Valeur d'exemple
Nom G1
Rôle attribué Administrateur d'entreprise
Ressources Racine globale
Option de l'utilisateur Valeur d'exemple
Nom Bob
Appartient au groupe G1
Rôle attribué Administrateur de sécurité (lecture et écriture)
ressources réseau Centre de données 1