組織は、ユーザーを適切に管理するためにユーザー グループを作成します。SSO との統合後、NSX Manager はユーザーが属するグループの詳細情報を取得できます。同じグループに属する可能性がある個々のユーザーにロールを割り当てる代わりに、NSX Manager はグループにロールを割り当てます。NSX Manager がロールをどのように割り当てるかについて、次のシナリオで説明します。
ロール ベースのアクセス制御のシナリオ
このシナリオでは、IT ネットワーク エンジニア (Sally Moore) に、次の環境内の
NSX コンポーネントへのアクセス権を付与します。
- Active Directory ドメイン:corp.local
- vCenter Server グループ:[email protected]
- ユーザー名:[email protected]
前提条件:vCenter Server を NSX Manager に登録し、SSO を設定する必要があります。 SSO は、グループの場合にのみ必要になります。
- ロールを Sally に割り当てます。
- vSphere Web Client にログインします。
- の順に移動します。
- [ユーザー (Users)] タブが開かれていることを確認します。
- [追加 (Add)]アイコンをクリックします。
[ロールの割り当て] ウィンドウが開きます。
- [vCenter Server グループを指定する (Specify a vCenter group)] をクリックし、[グループ (Group)] に [email protected] と入力します。
- [次へ (Next)] をクリックします。
- [ロールの選択 (Select Roles)] で [NSX 管理者 (NSX Administrator)] をクリックし、[次へ (Next)] をクリックします。
- データセンターに対する権限を Sally に付与します。
- [ホーム] アイコンをクリックして、[ネットワーク (Networking)] をクリックします。
- データセンターを選択して、 をクリックします。
- [追加 (Add)] をクリックして、[corp.local] ドメインを選択します。
- [ユーザーとグループ (Users and Groups)] で [最初にグループを表示 (Show Groups First)] を選択します。
- [NetEng] を選択し、[OK] をクリックします。
- [割り当てられたロール (Assigned Role)] で、[読み取り専用 (Read-only)] を選択し、[子へ伝達 (Propagate to children)] を選択解除して、[OK] をクリックします。
- vSphere Web Client からログアウトし、[email protected] として再度ログインします。
Sally は NSX 操作のみを実行できます。たとえば、仮想アプライアンスのインストール、論理スイッチの作成などの操作が可能です。
ユーザー グループのメンバーシップ経由で権限を継承するシナリオ
John は、Auditor ロールが割り当てられているグループ G1 に属しています。John は、グループ ロールとリソース権限を継承します。
| グループ オプション | 値の例 |
|---|---|
| 名前 | G1 |
| 割り当てられたロール | Auditor(読み取り専用) |
| リソース | グローバル ルート |
| ユーザー オプション | 値の例 |
|---|---|
| 名前 | John |
| 属するグループ | G1 |
| 割り当てられたロール | なし。 |
複数グループに属するユーザー メンバーのシナリオ
Joseph はグループ G1 と G2 に属しており、
Auditor ロールと
Security Administrator ロールの権利と権限の組み合わせを継承します。たとえば、Joseph には次の権限があります。
- Datacenter1 の読み取り、書き込み(Security Administrator ロール)
- グローバル ルートの読み取り専用(Auditor ロール)
| グループ オプション | 値の例 |
|---|---|
| 名前 | G1 |
| 割り当てられたロール | Auditor(読み取り専用) |
| リソース | グローバル ルート |
| グループ オプション | 値の例 |
|---|---|
| 名前 | G2 |
| 割り当てられたロール | Security Administrator(読み取りと書き込み) |
| リソース | Datacenter1 |
| ユーザー オプション | 値の例 |
|---|---|
| 名前 | Joseph |
| 属するグループ | G1、G2 |
| 割り当てられたロール | なし。 |
複数ロールを持つユーザー メンバーのシナリオ
このシナリオでは、Bob に
Security Administrator ロールが割り当てられています。このため、グループ ロールの権限は継承されません。Bob には次の権限があります。
- Datacenter1 とその子リソースの読み取り、書き込み(Security Administrator ロール)
- Datacenter1 での Enterprise Administrator ロール
| グループ オプション | 値の例 |
|---|---|
| 名前 | G1 |
| 割り当てられたロール | Enterprise Administrator |
| リソース | グローバル ルート |
| ユーザー オプション | 値の例 |
|---|---|
| 名前 | Bob |
| 属するグループ | G1 |
| 割り当てられたロール | Security Administrator(読み取りと書き込み) |
| リソース | Datacenter1 |
