SSO ユーザーにロールを割り当てると、vCenter Server はその SSO サーバで設定されている ID サービスを使用してユーザーを認証します。SSO サーバが構成されていないか使用不可の場合、ユーザーは vCenter Server の設定に基づいてローカルに、または Active Directory によって認証されます。

  1. vSphere Web Client にログインします。
  2. [Networking and Security (Networking & Security)] をクリックし、[NSX Manager (NSX Managers)] をクリックします。
  3. [名前 ()] 列で NSX Manager をクリックして、[管理 (Manage)] タブをクリックします。
  4. [ユーザー (Users)] をクリックします。
  5. [追加 (Add)] をクリックします。

    [ロールの割り当て] ウィンドウが開きます。

  6. [vCenter ユーザーを指定する (Specify a vCenter user)] または [vCenter グループを指定する (Specify a vCenter group)] をクリックします。
  7. vCenter Server の [ユーザー (User)] 名、またはユーザーの [グループ (Group)] 名を入力します。

    詳細については、次の例を参照してください。

    ドメイン名:corp.vmware.com

    エイリアス:corp

    グループ名:group1@corp.vmware.com

    ユーザー名:user1@corp.vmware.com

    グループに NSX Manager のロールを割り当てると、そのグループのユーザーは NSX Manager のユーザー インターフェイスにログインできます。

    ロールをユーザーに割り当てる場合、ユーザーのエイリアスを入力します。たとえば、user1@corp と入力します。

  8. [次へ (Next)] をクリックします。
  9. このユーザーのロールを選択し、[次へ (Next)] をクリックします。使用可能なロールの詳細については、ユーザー権限の管理を参照してください。
  10. [終了 (Finish)] をクリックします。

    作成したユーザー アカウントが Users テーブルに表示されます。

グループ ベースのロール割り当てについて

組織は、ユーザーを適切に管理するためにユーザー グループを作成します。SSO との統合後、NSX Manager はユーザーが属するグループの詳細情報を取得できます。同じグループに属する可能性がある個々のユーザーにロールを割り当てる代わりに、NSX Manager はグループにロールを割り当てます。NSX Manager がロールをどのように割り当てるかについて、次のシナリオで説明します。

ロール ベースのアクセス制御のシナリオ

このシナリオでは、IT ネットワーク エンジニア (Sally Moore) に、次の環境内の NSX コンポーネントへのアクセス権を与えます。

Active Directory ドメイン:corp.local、vCenter グループ:neteng@corp.local、ユーザー名:smoore@corp.local

前提条件:vCenter Server が NSX Manager に登録されており、SSO が構成されている。 SSO は、グループの場合にのみ必要になります。

  1. ロールを Sally に割り当てます。
    1. vSphere Web Client にログインします。
    2. [Networking and Security (Networking & Security)] をクリックし、[NSX Manager (NSX Managers)] をクリックします。
    3. [名前 ()] 列で NSX Manager をクリックして、[管理 (Manage)] タブをクリックします。
    4. [ユーザー (Users)] をクリックし、[追加 (Add)] をクリックします。

      [ロールの割り当て] ウィンドウが開きます。

    5. [vCenter グループを指定する (Specify a vCenter group)] をクリックし、[グループ (Group)]neteng@corp.local と入力します。
    6. [次へ (Next)] をクリックします。
    7. [ロールの選択] で [NSX Administrator] をクリックし、[次へ (Next)] をクリックします。
  2. データセンターに対する権限を Sally に付与します。
    1. [ホーム] アイコンをクリックして、[vCenter ホーム (vCenter Home)] > [データセンター (Datacenters)] をクリックします。
    2. データセンターを選択し、[アクション (Actions)] > [すべての vCenter アクション (All vCenter Actions)] > [権限の追加 (Add Permission)] をクリックします。
    3. [追加 (Add)] をクリックし、ドメイン CORP を選択します。
    4. [ユーザーとグループ (Users and Groups)][最初にグループを表示 (Show Groups First)] を選択します。
    5. NetEng を選択し、[OK] をクリックします。
    6. [割り当てられたロール (Assigned Role)] で、[読み取り専用 (Read-only)] を選択し、[子へ伝達 (Propagate to children)] を選択解除して、[OK] をクリックします。
  3. vSphere Web Client からログアウトし、smoore@corp.local として再度ログインします。

    Sally は NSX 操作のみを実行できます。たとえば、仮想アプライアンスのインストール、論理スイッチの作成などが可能です。

ユーザー グループのメンバーシップ経由で権限を継承するシナリオ

グループ オプション
名前 G1
割り当てられたロール Auditor(読み取り専用)
リソース グローバル ルート
ユーザー オプション
名前 John
属するグループ G1
割り当てられたロール なし。

John は、Auditor ロールが割り当てられているグループ G1 に属しています。John は、グループ ロールとリソース権限を継承します。

複数グループに属するユーザー メンバーのシナリオ

グループ オプション
名前 G1
割り当てられたロール Auditor(読み取り専用)
リソース グローバル ルート
グループ オプション
名前 G2
割り当てられたロール Security Administrator(読み取りと書き込み)
リソース Datacenter1
ユーザー オプション
名前 Joseph
属するグループ G1、G2
割り当てられたロール なし。

Joseph はグループ G1 と G2 に属しており、Auditor ロールと Security Administrator ロールの権利と権限の組み合わせを継承します。たとえば、John には次の権限があります。

  • Datacenter1 の読み取り、書き込み(Security Administrator ロール)
  • グローバル ルートの読み取り専用 (Auditor)

複数ロールを持つユーザー メンバーのシナリオ

グループ オプション
名前 G1
割り当てられたロール Enterprise Administrator
リソース グローバル ルート
ユーザー オプション
名前 Bob
属するグループ G1
割り当てられたロール Security Administrator(読み取りと書き込み)
リソース Datacenter1

Bob には Security Administrator ロールが割り当てられているため、グループ ロールの権限を継承しません。Bob には次の権限があります。

  • Datacenter1 とその子リソースの読み取り、書き込み(Security Administrator ロール)
  • Datacenter1 での Enterprise Administrator ロール