È possibile assegnare ruoli a utenti o gruppi di utenti se VMware Identity Manager™ è integrato con NSX o se si utilizza LDAP come provider di autenticazione. È inoltre possibile assegnare ruoli a identità entità.
- Nome
- ID nodo: può essere un qualsiasi valore alfanumerico assegnato a un'identità entità
- Certificato
- Ruolo RBAC che indica i diritti di accesso di questa entità
Gli utenti (identità locali, remote o entità) con il ruolo di amministratore aziendale possono modificare o eliminare oggetti di proprietà di identità entità. Gli utenti (identità locali, remote o entità) senza il ruolo di amministratore aziendale non possono modificare o eliminare oggetti protetti di proprietà delle identità entità, ma possono modificare o eliminare oggetti non protetti.
Se il certificato di un utente identità entità scade, è necessario importare un nuovo certificato ed effettuare una chiamata API per aggiornare il certificato dell'utente identità entità (vedere la procedura seguente). Per ulteriori informazioni sull'API di NSX, all'indirizzo https://code.vmware.com è disponibile un collegamento alla risorsa API.
- Basato su SHA256.
- Algoritmo di messaggi RSA/DSA con dimensione di chiave di 2048 bit o superiore.
- Non può essere un certificato root.
È possibile eliminare un'identità entità utilizzando l'API. Tuttavia, l'eliminazione di un'identità entità non comporta l'eliminazione automatica del certificato corrispondente. È necessario eliminare il certificato manualmente.
- Recuperare i dettagli dell'identità entità da eliminare e prendere nota del valore di certificate_id nella risposta.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- Eliminare l'identità entità.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- Eliminare il certificato utilizzando il valore di certificate_id ottenuto nel passaggio 1.
DELETE /api/v1/trust-management/certificates/<certificate_id>
Per LDAP, è possibile configurare i gruppi di utenti per le informazioni di mappatura dei ruoli utente; i gruppi corrispondono ai gruppi di utenti specificati in Active Directory. Per concedere a un utente le autorizzazioni per NSX, aggiungere tale utente al gruppo mappato in AD. A partire da NSX 4.2, una singola origine identità LDAP può aggiungere fino a 20 gruppi in NSX. Se si tenta di aggiungere più di 20 gruppi, si verifica un errore.
Prerequisiti
È necessario disporre di un provider di autenticazione configurato:
- Per l'assegnazione di ruoli per vIDM, verificare che un host vIDM sia associato a NSX. Per ulteriori informazioni, vedere Configurazione dell'integrazione con VMware Identity Manager/Workspace ONE Access.
- Per l'assegnazione dei ruoli per LDAP, assicurarsi di avere un'origine identità LDAP. Per ulteriori informazioni, vedere Origine identità LDAP.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Selezionare .
- Per assegnare ruoli agli utenti, selezionare
.
- Selezionare un utente o un gruppo di utenti.
- Selezionare un ruolo.
- Fare clic su Salva.
- Per aggiungere un'identità entità, selezionare
.
- Immettere un nome per l'identità entità.
- Selezionare un ruolo.
- Immettere un ID nodo.
- Immettere un certificato in formato PEM.
- Fare clic su Salva.
- Per aggiungere un'assegnazione di ruolo per LDAP, selezionare
.
- Selezionare un dominio.
- Inserire i primi caratteri del nome dell'utente, dell'ID di accesso o del nome di un gruppo per cercare nella directory LDAP, quindi selezionare un utente o un gruppo dall'elenco visualizzato.
- Selezionare un ruolo.
- Fare clic su Salva.
- Se il certificato per l'identità entità scade, eseguire la procedura seguente. Non utilizzare questa procedura per sostituire i certificati di identità entità Local Manager o Global Manager. Per sostituire i certificati, fare invece riferimento a Sostituzione dei certificati tramite API per maggiori dettagli.
- Importare un nuovo certificato e annotare l'ID del certificato. Vedere Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
- Chiamare l'API seguente per ottenere l'ID dell'identità entità.
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- Chiamare l'API seguente per aggiornare il certificato dell'identità entità. È necessario fornire l'ID del certificato importato e l'ID dell'utente dell'identità entità.
Ad esempio,
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }