Vous pouvez attribuer des rôles à des utilisateurs ou à des groupes d'utilisateurs si VMware Identity Manager est intégré à NSX-T Data Center, ou si LDAP est votre fournisseur d'authentification. Vous pouvez également attribuer des rôles à des identités de principal.

Un principal est un composant NSX-T Data Center ou une application tierce, comme un produit OpenStack. Avec une identité de principal, un principal peut utiliser le nom d'identité pour créer un objet et s'assurer que seule une entité portant le même nom d'identité peut modifier ou supprimer l'objet. Une identité de principal possède les propriétés suivantes :
  • Nom
  • ID de nœud : il peut s'agir de n'importe quelle valeur alphanumérique attribuée à une identité de principal
  • Certificat
  • Rôle RBAC indiquant les droits d'accès de ce principal

Les utilisateurs (locaux, distants ou avec identité de principal) ayant le rôle d'administrateur d'entreprise peuvent modifier ou supprimer des objets appartenant à des identités de principal. Les utilisateurs (locaux, distants ou avec identité de principal) n'ayant pas le rôle d'administrateur d'entreprise ne peuvent pas modifier ou supprimer des objets appartenant à des identités de principal, mais peuvent modifier ou supprimer les objets non protégés.

Si le certificat d'un utilisateur d'identité de principal expire, vous devez importer un nouveau certificat et effectuer un appel d'API pour mettre à jour le certificat de l'utilisateur d'identité de principal (voir la procédure ci-dessous). Pour plus d'informations sur l'API NSX-T Data Center, un lien vers la ressource API est disponible à l'adresse https://docs.vmware.com/fr/VMware-NSX-T-Data-Center.

Le certificat d'un utilisateur d'identité de principal doit répondre aux exigences suivantes :
  • S'appuyer sur SHA256.
  • Disposer d'un algorithme de message RSA/DSA avec une taille de clé de 2048 bits ou supérieure.
  • Ne pas être un certificat racine.

Vous pouvez supprimer une identité de principal à l'aide de l'API. Toutefois, la suppression d'une identité de principal ne supprime pas automatiquement le certificat correspondant. Vous devez supprimer le certificat manuellement.

Étapes de suppression d'une identité de principal et de son certificat :
  1. Obtenez les détails de l'identité de principal à supprimer et notez la valeur certificate_id dans la réponse.

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. Supprimez l'identité de principal.

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. Supprimez le certificat à l'aide de la valeur certificate_id obtenue à l'étape 1.

    DELETE /api/v1/trust-management/certificates/<certificate_id>

Pour LDAP, vous configurez des groupes d'utilisateurs sur les informations de mappage des rôles d'utilisateur ; les groupes correspondent aux groupes d'utilisateurs spécifiés dans Active Directory (AD). Pour accorder à un utilisateur des autorisations sur NSX, ajoutez cet utilisateur au groupe mappé dans AD.

Conditions préalables

Vous devez disposer d'un fournisseur d'authentification configuré :

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Sélectionnez Système > Utilisateurs et rôles.
  3. Pour attribuer des rôles à des utilisateurs, sélectionnez Ajouter > Attribution de rôle pour vIDM.
    1. Sélectionnez un utilisateur ou un groupe d'utilisateurs.
    2. Sélectionnez un rôle.
    3. Cliquez sur Enregistrer.
  4. Pour ajouter une identité de principal, sélectionnez Ajouter > Identité de principal avec rôle.
    1. Entrez un nom pour l'identité de principal.
    2. Sélectionnez un rôle.
    3. Entrez un ID de nœud.
    4. Entrez un certificat au format PEM.
    5. Cliquez sur Enregistrer.
  5. Pour ajouter une attribution de rôle pour LDAP, sélectionnez Ajouter > Attribution de rôle pour LDAP.
    1. Sélectionnez un domaine.
    2. Entrez les premiers caractères du nom de l'utilisateur, l'ID de connexion ou un nom de groupe pour effectuer une recherche dans l'annuaire LDAP, puis sélectionnez un utilisateur ou un groupe dans la liste qui s'affiche.
    3. Sélectionnez un rôle.
    4. Cliquez sur Enregistrer.
  6. (Facultatif) Si vous utilisez NSX Cloud, connectez-vous au dispositif CSM au lieu de NSX Manager et répétez les étapes 1 à 4.
  7. Si le certificat de l'identité de principal expire, procédez comme suit :
    1. Importez un nouveau certificat et notez l'ID du certificat. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
    2. Appelez l'API suivante pour obtenir l'ID de l'identité de principal.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. Appelez l'API suivante pour mettre à jour le certificat de l'identité de principal. Vous devez fournir l'ID du certificat importé et l'ID de l'utilisateur d'identité de principal.
      Par exemple,
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }