Les organisations créent des groupes d'utilisateurs pour gérer correctement les utilisateurs. Après l'intégration à SSO, NSX Manager est en mesure d'obtenir les détails des groupes auxquels un utilisateur appartient. Au lieu d'attribuer des rôles à des utilisateurs susceptibles d'appartenir au même groupe, NSX Manager attribue des rôles aux groupes. Les scénarios suivants illustrent l'attribution de rôles par NSX Manager.
Scénario de contrôle d'accès basé sur les rôles
Dans ce scénario, une ingénieure réseau, Sally Moore, obtient un accès aux composants
NSX dans l'environnement suivant :
Conditions préalables : vCenter Server doit être enregistré avec NSX Manager et SSO doit être configuré. Notez que SSO est requis uniquement pour les groupes.
- Attribuez un rôle à Sally.
- Connectez-vous à vSphere Web Client.
- Accédez à .
- Vérifiez que vous êtes bien dans l'onglet Utilisateurs (Users).
- Cliquez sur l'icône Ajouter (Add).
La fenêtre Attribuer un rôle s'affiche.
- Cliquez sur Spécifier un groupe vCenter (Specify a vCenter group) et tapez [email protected] dans Groupe (Group).
- Cliquez sur Suivant (Next).
- Dans Sélectionner les rôles (Select Roles), cliquez sur Administrateur NSX (NSX Administrator), puis sur Suivant (Next).
- Accordez l'accès au centre de données à Sally.
- Cliquez sur l'icône Accueil, puis sur Mise en réseau (Networking).
- Sélectionnez un centre de données et cliquez sur .
- Cliquez sur Ajouter (Add) et sélectionnez le domaine corp.local.
- Dans Utilisateurs et groupes (Users and Groups), sélectionnez Afficher groupes d'abord (Show Groups First).
- Sélectionnez NetEng et cliquez sur OK.
- Dans Rôle attribué (Assigned Role), sélectionnez Lecture seule (Read-only), désélectionnez Propager vers les enfants (Propagate to children), puis cliquez sur OK.
- Déconnectez-vous de vSphere Web Client et reconnectez-vous en tant que [email protected].
Sally peut effectuer des opérations NSX uniquement. Par exemple, elle peut installer des dispositifs virtuels, créer des commutateurs logiques et effectuer d'autres tâches opérationnelles.
Hériter d'autorisations par l'intermédiaire d'un scénario d'appartenance à un groupe d'utilisateurs
Dans ce scénario, John appartient au groupe G1 auquel le rôle auditeur a été attribué. John hérite du rôle et des autorisations pour les ressources du groupe.
| Option du groupe |
Valeur d'exemple |
| Nom |
G1 |
| Rôle attribué |
Auditeur (lecture seule) |
| Ressources |
Racine globale |
| Option de l'utilisateur |
Valeur d'exemple |
| Nom |
John |
| Appartient au groupe |
G1 |
| Rôle attribué |
Aucune |
Scénario d'un utilisateur membre de plusieurs groupes
Dans ce scénario, Joseph appartient aux groupes G1 et G2 et hérite de la combinaison des droits et des autorisations des rôles
auditeur et
administrateur de sécurité. Joseph dispose par exemple des autorisations suivantes :
- Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1
- Lecture seule (auditeur) pour racine globale
| Option du groupe |
Valeur d'exemple |
| Nom |
G1 |
| Rôle attribué |
Auditeur (lecture seule) |
| Ressources |
Racine globale |
| Option du groupe |
Valeur d'exemple |
| Nom |
G2 |
| Rôle attribué |
Administrateur de sécurité (lecture et écriture) |
| Ressources |
Centre de données 1 |
| Option de l'utilisateur |
Valeur d'exemple |
| Nom |
Joseph |
| Appartient au groupe |
G1, G2 |
| Rôle attribué |
Aucun |
Scénario d'un utilisateur membre de plusieurs rôles
Dans ce scénario, Bob se voit attribuer le rôle
administrateur de sécurité. Il n'hérite donc pas des autorisations du rôle de groupe. Bob bénéficie des autorisations suivantes :
- Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1 et ses ressources enfants
- Rôle administrateur d'entreprise sur Centre de données 1
| Option du groupe |
Valeur d'exemple |
| Nom |
G1 |
| Rôle attribué |
Administrateur d'entreprise |
| Ressources |
Racine globale |
| Option de l'utilisateur |
Valeur d'exemple |
| Nom |
Bob |
| Appartient au groupe |
G1 |
| Rôle attribué |
Administrateur de sécurité (lecture et écriture) |
| ressources réseau |
Centre de données 1 |
