Ajouter une attribution de rôle ou une identité de principal

Vous pouvez attribuer des rôles à des utilisateurs ou à des groupes d'utilisateurs si VMware Identity Manager™ est intégré à NSX, ou si LDAP est votre fournisseur d'authentification. Vous pouvez également attribuer des rôles à des identités de principal.

Un principal est un composant ou une application tierce, comme un produit OpenStack. Avec une identité de principal, un principal peut utiliser le nom d'identité pour créer un objet et s'assurer que seule une entité portant le même nom d'identité peut modifier ou supprimer l'objet. Une identité de principal possède les propriétés suivantes :

Nom
ID de nœud : il peut s'agir de n'importe quelle valeur alphanumérique attribuée à une identité de principal
Certificat
Rôle RBAC indiquant les droits d'accès de ce principal

Les utilisateurs (locaux, distants ou avec identité de principal) ayant le rôle d'administrateur d'entreprise peuvent modifier ou supprimer des objets appartenant à des identités de principal. Les utilisateurs (locaux, distants ou avec identité de principal) n'ayant pas le rôle d'administrateur d'entreprise ne peuvent pas modifier ou supprimer des objets appartenant à des identités de principal, mais peuvent modifier ou supprimer les objets non protégés.

Si le certificat d'un utilisateur d'identité de principal expire, vous devez importer un nouveau certificat et effectuer un appel d'API pour mettre à jour le certificat de l'utilisateur d'identité de principal (voir la procédure ci-dessous). Pour plus d'informations sur NSX API, un lien vers la ressource API est disponible à l'adresse https://code.vmware.com.

Le certificat d'un utilisateur d'identité de principal doit répondre aux exigences suivantes :

S'appuyer sur SHA256.
Disposer d'un algorithme de message RSA/DSA avec une taille de clé de 2048 bits ou supérieure.
Il ne peut pas s'agir d'un certificat racine.

Vous pouvez supprimer une identité de principal à l'aide de l'API. Toutefois, la suppression d'une identité de principal ne supprime pas automatiquement le certificat correspondant. Vous devez supprimer le certificat manuellement.

Étapes de suppression d'une identité de principal et de son certificat :

Obtenez les détails de l'identité de principal à supprimer et notez la valeur certificate_id dans la réponse.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
Supprimez l'identité de principal.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
Supprimez le certificat à l'aide de la valeur certificate_id obtenue à l'étape 1.
DELETE /api/v1/trust-management/certificates/<certificate_id>

Pour LDAP, vous configurez des groupes d'utilisateurs sur les informations de mappage des rôles d'utilisateur ; les groupes correspondent aux groupes d'utilisateurs spécifiés dans Active Directory (AD). Pour accorder à un utilisateur des autorisations sur NSX, ajoutez cet utilisateur au groupe mappé dans AD. À partir de NSX 4.2, une source d'identité LDAP unique peut ajouter jusqu'à 20 groupes pour NSX. Une erreur se produira si plus de 20 groupes sont tentés.

Conditions préalables

Vous devez disposer d'un fournisseur d'authentification configuré :

Pour l'attribution de rôle pour vIDM, vérifiez qu'un hôte vIDM est associé à NSX. Pour plus d'informations, consultez Configurer l'intégration de VMware Identity Manager/Workspace ONE Access.
Pour une attribution de rôle pour LDAP, vérifiez que vous disposez d'une source d'identité LDAP. Pour plus d'informations, reportez-vous à la section Source d'identité LDAP.

Procédure

Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
Sélectionnez Système > Gestion des utilisateurs.
Pour attribuer des rôles à des utilisateurs, sélectionnez Ajouter > Attribution de rôle pour vIDM.
1. Sélectionnez un utilisateur ou un groupe d'utilisateurs.
2. Sélectionnez un rôle.
3. Cliquez sur Enregistrer.
Pour ajouter une identité de principal, sélectionnez Ajouter > Identité de principal avec rôle.
1. Entrez un nom pour l'identité de principal.
2. Sélectionnez un rôle.
3. Entrez un ID de nœud.
4. Entrez un certificat au format PEM.
5. Cliquez sur Enregistrer.
Pour ajouter une attribution de rôle pour LDAP, sélectionnez Ajouter > Attribution de rôle pour LDAP.
1. Sélectionnez un domaine.
2. Entrez les premiers caractères du nom de l'utilisateur, l'ID de connexion ou un nom de groupe pour effectuer une recherche dans l'annuaire LDAP, puis sélectionnez un utilisateur ou un groupe dans la liste qui s'affiche.
3. Sélectionnez un rôle.
4. Cliquez sur Enregistrer.
Si le certificat de l'identité de principal expire, procédez comme suit. N'utilisez pas cette procédure pour remplacer les certificats d'identité de principal Gestionnaire local ou Gestionnaire global. Pour remplacer ces certificats, reportez-vous plutôt à la section Remplacer les certificats via l'API pour plus de détails.
1. Importez un nouveau certificat et notez l'ID du certificat. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
2. Appelez l'API suivante pour obtenir l'ID de l'identité de principal.
  GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
3. Appelez l'API suivante pour mettre à jour le certificat de l'identité de principal. Vous devez fournir l'ID du certificat importé et l'ID de l'utilisateur d'identité de principal.
  Par exemple,
```
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
{
    "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
    "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
}
```