È possibile assegnare ruoli a utenti o gruppi di utenti se VMware Identity Manager™ è integrato con NSX o se si utilizza LDAP come provider di autenticazione. È inoltre possibile assegnare ruoli a identità entità.

Un'entità è un componente o un'applicazione di terze parti, come ad esempio un prodotto OpenStack. Con un'identità entità, un'entità può utilizzare il nome dell'identità per creare un oggetto e assicurarsi che solo un'entità con lo stesso nome di identità possa modificare o eliminare l'oggetto. Un'identità entità ha le seguenti proprietà:
  • Nome
  • ID nodo: può essere un qualsiasi valore alfanumerico assegnato a un'identità entità
  • Certificato
  • Ruolo RBAC che indica i diritti di accesso di questa entità

Gli utenti (identità locali, remote o entità) con il ruolo di amministratore aziendale possono modificare o eliminare oggetti di proprietà di identità entità. Gli utenti (identità locali, remote o entità) senza il ruolo di amministratore aziendale non possono modificare o eliminare oggetti protetti di proprietà delle identità entità, ma possono modificare o eliminare oggetti non protetti.

Se il certificato di un utente identità entità scade, è necessario importare un nuovo certificato ed effettuare una chiamata API per aggiornare il certificato dell'utente identità entità (vedere la procedura seguente). Per ulteriori informazioni sull'API di NSX, all'indirizzo https://code.vmware.com è disponibile un collegamento alla risorsa API.

Il certificato di un utente identità entità deve soddisfare i seguenti requisiti:
  • Basato su SHA256.
  • Algoritmo di messaggi RSA/DSA con dimensione di chiave di 2048 bit o superiore.
  • Non può essere un certificato root.

È possibile eliminare un'identità entità utilizzando l'API. Tuttavia, l'eliminazione di un'identità entità non comporta l'eliminazione automatica del certificato corrispondente. È necessario eliminare il certificato manualmente.

Procedura per eliminare un'identità di entità e il relativo certificato:
  1. Recuperare i dettagli dell'identità entità da eliminare e prendere nota del valore di certificate_id nella risposta.

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. Eliminare l'identità entità.

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. Eliminare il certificato utilizzando il valore di certificate_id ottenuto nel passaggio 1.

    DELETE /api/v1/trust-management/certificates/<certificate_id>

Per LDAP, è possibile configurare i gruppi di utenti per le informazioni di mappatura dei ruoli utente; i gruppi corrispondono ai gruppi di utenti specificati in Active Directory. Per concedere a un utente le autorizzazioni per NSX, aggiungere tale utente al gruppo mappato in AD. A partire da NSX 4.2, una singola origine identità LDAP può aggiungere fino a 20 gruppi in NSX. Se si tenta di aggiungere più di 20 gruppi, si verifica un errore.

Prerequisiti

È necessario disporre di un provider di autenticazione configurato:

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Gestione utenti.
  3. Per assegnare ruoli agli utenti, selezionare Aggiungi > Assegnazione ruolo per vIDM.
    1. Selezionare un utente o un gruppo di utenti.
    2. Selezionare un ruolo.
    3. Fare clic su Salva.
  4. Per aggiungere un'identità entità, selezionare Aggiungi > Identità entità con ruolo.
    1. Immettere un nome per l'identità entità.
    2. Selezionare un ruolo.
    3. Immettere un ID nodo.
    4. Immettere un certificato in formato PEM.
    5. Fare clic su Salva.
  5. Per aggiungere un'assegnazione di ruolo per LDAP, selezionare Aggiungi > Assegnazione ruolo per LDAP.
    1. Selezionare un dominio.
    2. Inserire i primi caratteri del nome dell'utente, dell'ID di accesso o del nome di un gruppo per cercare nella directory LDAP, quindi selezionare un utente o un gruppo dall'elenco visualizzato.
    3. Selezionare un ruolo.
    4. Fare clic su Salva.
  6. Se il certificato per l'identità entità scade, eseguire la procedura seguente. Non utilizzare questa procedura per sostituire i certificati di identità entità Local Manager o Global Manager. Per sostituire i certificati, fare invece riferimento a Sostituzione dei certificati tramite API per maggiori dettagli.
    1. Importare un nuovo certificato e annotare l'ID del certificato. Vedere Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
    2. Chiamare l'API seguente per ottenere l'ID dell'identità entità.
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. Chiamare l'API seguente per aggiornare il certificato dell'identità entità. È necessario fornire l'ID del certificato importato e l'ID dell'utente dell'identità entità.
      Ad esempio,
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }