ユーザー ベースの分散ファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall (IDFW) は、Active Directory ユーザーのログイン先を監視し、分散ファイアウォールがファイアウォール ルールを適用する際に使用する IP アドレスにログインをマッピングします。Identity Firewall では、ゲスト イントロスペクション フレームワークまたは Active Directory イベント ログ スクレイピングのいずれかが必要です。これらの方法のいずれか、または両方を使用できます。Active Directory ログ スクレイパと ゲスト イントロスペクション の両方が使用されている場合、ゲスト イントロスペクション が優先されます。Active Directory イベント ログ スクレイパと ゲスト イントロスペクション の両方を使用する場合は、これらが排他的に動作することに注意してください。つまり、片方が動作を停止しても、他方がバックアップとして動作を開始することはありません。

ユーザーの有効化と無効化、ユーザーの削除など、Active Directory グループ メンバーシップの変更は、RDSH の Identity Firewall ルールを使用しているログイン ユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログオフを強制的に実行することをお勧めします。これは、Active Directory の制限が原因で発生しています。

1. ユーザーが仮想マシンにログインします。
2. NSX 管理プレーンがユーザーのログイン イベントを受信します。
3. NSX 管理プレーンがユーザーを確認し、このユーザーが属するすべての Active Directory (AD) グループを受信します。NSX 管理プレーンが、影響を受けるすべての Active Directory グループ用のグループ変更イベントを送信します。
4. 各 Active Directory グループで、この Active Directory グループを含むセキュリティ グループ (SG) のすべてにフラグが設定され、この変更を処理するためにジョブがキューに追加されます。1 つのセキュリティ グループに複数の Active Directory グループが含まれている場合、1 つのユーザー ログイン イベントが同じセキュリティ グループの複数の処理イベントのトリガーとなることがあります。これに対応するため、重複するセキュリティ グループ処理要求が削除されます。

Identity Firewall (IDFW) の Southbound フロー：

1. セキュリティ グループ処理要求が受信されます。セキュリティ グループが変更されると、NSX は影響を受けるすべてのエンティティを更新し、Identity Firewall (IDFW) ルールごとにアクションをトリガします。
2. NSX が、セキュリティ グループのすべての Active Directory グループを受信します。
3. Active Directory から、NSX は Active Directory グループに属するすべてのユーザーを受信します。
4. Active Directory ユーザーが IP アドレスに関連付けられます。
5. IP アドレスが vNIC にマッピングされ、vNIC が仮想マシンにマッピングされます。仮想マシンのリストには、セキュリティ グループセキュリティ グループから仮想マシンへの変換の結果が表示されます。