組織は、ユーザーを適切に管理するためにユーザー グループを作成します。SSO との統合後、NSX Manager はユーザーが属するグループの詳細情報を取得できます。同じグループに属する可能性がある個々のユーザーにロールを割り当てる代わりに、NSX Manager はグループにロールを割り当てます。NSX Manager がロールをどのように割り当てるかについて、次のシナリオで説明します。

ロール ベースのアクセス制御のシナリオ

このシナリオでは、IT ネットワーク エンジニア (Sally Moore) に、次の環境内の NSX コンポーネントへのアクセス権を付与します。
  • Active Directory ドメイン:corp.local
  • vCenter Server グループ:neteng@corp.local
  • ユーザー名:smoore@corp.local

前提条件:vCenter ServerNSX Manager に登録し、SSO を設定する必要があります。 SSO は、グループの場合にのみ必要になります。

  1. ロールを Sally に割り当てます。
    1. vSphere Web Client にログインします。
    2. [ネットワークとセキュリティ (Networking & Security)] > [システム (System)] > [ユーザーとドメイン (Users and Domains)] の順に移動します。
    3. [ユーザー (Users)] タブが開かれていることを確認します。
    4. [追加 (Add)]アイコンをクリックします。

      [ロールの割り当て] ウィンドウが開きます。

    5. [vCenter Server グループを指定する (Specify a vCenter group)] をクリックし、[グループ (Group)]neteng@corp.local と入力します。
    6. [次へ (Next)] をクリックします。
    7. [ロールの選択 (Select Roles)][NSX 管理者 (NSX Administrator)] をクリックし、[次へ (Next)] をクリックします。
  2. データセンターに対する権限を Sally に付与します。
    1. [ホーム] アイコンをクリックして、[ネットワーク (Networking)] をクリックします。
    2. データセンターを選択して、[アクション (Actions)] > [権限の追加 (Add Permission)] をクリックします。
    3. [追加 (Add)] をクリックして、[corp.local] ドメインを選択します。
    4. [ユーザーとグループ (Users and Groups)][最初にグループを表示 (Show Groups First)] を選択します。
    5. [NetEng] を選択し、[OK] をクリックします。
    6. [割り当てられたロール (Assigned Role)] で、[読み取り専用 (Read-only)] を選択し、[子へ伝達 (Propagate to children)] を選択解除して、[OK] をクリックします。
  3. vSphere Web Client からログアウトし、smoore@corp.local として再度ログインします。

    Sally は NSX 操作のみを実行できます。たとえば、仮想アプライアンスのインストール、論理スイッチの作成などの操作が可能です。

ユーザー グループのメンバーシップ経由で権限を継承するシナリオ

John は、Auditor ロールが割り当てられているグループ G1 に属しています。John は、グループ ロールとリソース権限を継承します。

グループ オプション 値の例
名前 G1
割り当てられたロール Auditor(読み取り専用)
リソース グローバル ルート
ユーザー オプション 値の例
名前 John
属するグループ G1
割り当てられたロール なし。

複数グループに属するユーザー メンバーのシナリオ

Joseph はグループ G1 と G2 に属しており、 Auditor ロールと Security Administrator ロールの権利と権限の組み合わせを継承します。たとえば、Joseph には次の権限があります。
  • Datacenter1 の読み取り、書き込み(Security Administrator ロール)
  • グローバル ルートの読み取り専用(Auditor ロール)
グループ オプション 値の例
名前 G1
割り当てられたロール Auditor(読み取り専用)
リソース グローバル ルート
グループ オプション 値の例
名前 G2
割り当てられたロール Security Administrator(読み取りと書き込み)
リソース Datacenter1
ユーザー オプション 値の例
名前 Joseph
属するグループ G1、G2
割り当てられたロール なし。

複数ロールを持つユーザー メンバーのシナリオ

このシナリオでは、Bob に Security Administrator ロールが割り当てられています。このため、グループ ロールの権限は継承されません。Bob には次の権限があります。
  • Datacenter1 とその子リソースの読み取り、書き込み(Security Administrator ロール)
  • Datacenter1 での Enterprise Administrator ロール
グループ オプション 値の例
名前 G1
割り当てられたロール Enterprise Administrator
リソース グローバル ルート
ユーザー オプション 値の例
名前 Bob
属するグループ G1
割り当てられたロール Security Administrator(読み取りと書き込み)
リソース Datacenter1