Vous pouvez attribuer des rôles à des utilisateurs ou à des groupes d'utilisateurs si VMware Identity Manager est intégré à NSX-T Data Center, ou si LDAP est votre fournisseur d'authentification. Vous pouvez également attribuer des rôles à des identités de principal.
- Nom
- ID de nœud : il peut s'agir de n'importe quelle valeur alphanumérique attribuée à une identité de principal
- Certificat
- Rôle RBAC indiquant les droits d'accès de ce principal
Les utilisateurs (locaux, distants ou avec identité de principal) ayant le rôle d'administrateur d'entreprise peuvent modifier ou supprimer des objets appartenant à des identités de principal. Les utilisateurs (locaux, distants ou avec identité de principal) n'ayant pas le rôle d'administrateur d'entreprise ne peuvent pas modifier ou supprimer des objets appartenant à des identités de principal, mais peuvent modifier ou supprimer les objets non protégés.
Si le certificat d'un utilisateur d'identité de principal expire, vous devez importer un nouveau certificat et effectuer un appel d'API pour mettre à jour le certificat de l'utilisateur d'identité de principal (voir la procédure ci-dessous). Pour plus d'informations sur l'API NSX-T Data Center, un lien vers la ressource API est disponible à l'adresse https://docs.vmware.com/fr/VMware-NSX-T-Data-Center.
- S'appuyer sur SHA256.
- Disposer d'un algorithme de message RSA/DSA avec une taille de clé de 2048 bits ou supérieure.
- Ne pas être un certificat racine.
Vous pouvez supprimer une identité de principal à l'aide de l'API. Toutefois, la suppression d'une identité de principal ne supprime pas automatiquement le certificat correspondant. Vous devez supprimer le certificat manuellement.
- Obtenez les détails de l'identité de principal à supprimer et notez la valeur certificate_id dans la réponse.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- Supprimez l'identité de principal.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- Supprimez le certificat à l'aide de la valeur certificate_id obtenue à l'étape 1.
DELETE /api/v1/trust-management/certificates/<certificate_id>
Pour LDAP, vous configurez des groupes d'utilisateurs sur les informations de mappage des rôles d'utilisateur ; les groupes correspondent aux groupes d'utilisateurs spécifiés dans Active Directory (AD). Pour accorder à un utilisateur des autorisations sur NSX, ajoutez cet utilisateur au groupe mappé dans AD.
Conditions préalables
Vous devez disposer d'un fournisseur d'authentification configuré :
- Pour une attribution de rôle pour vIDM, vérifiez qu'un hôte vIDM est associé à NSX-T. Pour plus d'informations, reportez-vous à la section Configurer l'intégration de VMware Identity Manager/Workspace ONE Access.
- Pour une attribution de rôle pour LDAP, vérifiez que vous disposez d'une source d'identité LDAP. Pour plus d'informations, reportez-vous à la section Source d'identité LDAP.
Procédure
- Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
- Sélectionnez .
- Pour attribuer des rôles à des utilisateurs, sélectionnez
.
- Sélectionnez un utilisateur ou un groupe d'utilisateurs.
- Sélectionnez un rôle.
- Cliquez sur Enregistrer.
- Pour ajouter une identité de principal, sélectionnez
.
- Entrez un nom pour l'identité de principal.
- Sélectionnez un rôle.
- Entrez un ID de nœud.
- Entrez un certificat au format PEM.
- Cliquez sur Enregistrer.
- Pour ajouter une attribution de rôle pour LDAP, sélectionnez
.
- Sélectionnez un domaine.
- Entrez les premiers caractères du nom de l'utilisateur, l'ID de connexion ou un nom de groupe pour effectuer une recherche dans l'annuaire LDAP, puis sélectionnez un utilisateur ou un groupe dans la liste qui s'affiche.
- Sélectionnez un rôle.
- Cliquez sur Enregistrer.
- (Facultatif) Si vous utilisez NSX Cloud, connectez-vous au dispositif CSM au lieu de NSX Manager et répétez les étapes 1 à 4.
- Si le certificat de l'identité de principal expire, procédez comme suit :
- Importez un nouveau certificat et notez l'ID du certificat. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
- Appelez l'API suivante pour obtenir l'ID de l'identité de principal.
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- Appelez l'API suivante pour mettre à jour le certificat de l'identité de principal. Vous devez fournir l'ID du certificat importé et l'ID de l'utilisateur d'identité de principal.
Par exemple,
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }