Contrôle d'accès basé sur les rôles dans Fédération NSX

Vous pouvez configurer le contrôle d'accès basé sur les rôles (RBAC) de Fédération NSX pour limiter l'accès du système aux utilisateurs autorisés. Le RBAC de Fédération NSX fonctionne de la même manière que le RBAC NSX pour les utilisateurs autorisés. Cette rubrique fournit des informations de configuration facultatives pour le RBAC sur Fédération NSX lorsque celle-ci est utilisée avec des fournisseurs d'authentification spécifiques.

La plupart des tâches d'authentification et d'autorisation utilisent les mêmes procédures que celles décrites dans la section Authentification et autorisation du Guide d'administration de NSX. Exception : la configuration de VMware Identity Manager™ (vIDM) et de LDAP n'est pas synchronisée entre les gestionnaires globaux (GM) actifs ou en veille et les gestionnaires locaux (LM). Pour cela, vous devez configurer chaque GM ou LM (cluster NSX) séparément pour vIDM et LDAP. Les utilisateurs doivent également disposer des mêmes liaisons de rôle sur chaque serveur Fédération NSX pour un accès transparent.

Par exemple, si vous utilisez l'authentification Fédération NSX et vIDM ou LDAP et que vous souhaitez basculer entre le GM et le serveur LM à l'aide du menu déroulant Emplacement de la page GM, assurez-vous que vous effectuez les tâches générales suivantes afin que votre configuration soit définie correctement. Ces tâches de configuration aident les utilisateurs qui utilisent les fournisseurs d'authentification vIDM et LDAP à éviter les messages d'erreur d'autorisation de l'utilisateur.

Tâche	Atteindre
Configurez vIDM ou LDAP sur les serveurs du gestionnaire global actif et en veille séparément.	Intégration avec VMware Identity Manager/Workspace ONE Access Intégration avec LDAP
Configurez vIDM ou LDAP sur chaque serveur du gestionnaire local.	Intégration avec VMware Identity Manager/Workspace ONE Access Intégration avec LDAP
Assurez-vous que les utilisateurs qui souhaitent basculer entre les serveurs GM et LM à l'aide du menu déroulant Emplacement disposent des mêmes rôles d'utilisateur sur les serveurs GM et LM. Si l'utilisateur dispose d'un rôle sur le GM, mais pas de rôle sur le LM, les utilisateurs peuvent observer une erreur d'autorisation telle que « L'utilisateur ne dispose d'aucune autorisation sur toutes les fonctionnalités ».	Utilisation des interfaces Web du gestionnaire global et local Gérer les comptes d'utilisateurs locaux Créer ou gérer des rôles personnalisés Ajouter une attribution de rôle ou une identité de principal

Pour vous assurer que le menu déroulant Emplacement permet à votre utilisateur de basculer entre les serveurs GM et LM, vérifiez que la tâche se termine après avoir mis à jour les rôles d'utilisateur sur le serveur LM de lecture seule pour écrire ou mettre en miroir les rôles du GM. Pour plus d'informations, accédez à Utilisation des interfaces Web du gestionnaire global et local et à Surveillance des emplacements Fédération NSX.