VMware Identity ManagerNSX-T Data Center と統合されている場合は、ユーザーまたはユーザー グループにロールを割り当てることができます。プリンシパル ID にロールを割り当てることもできます。

プリンシパルは、 NSX-T Data Center コンポーネント、または OpenStack 製品などのサードパーティ アプリケーションです。プリンシパル ID がある場合、プリンシパルはこの ID を使用してオブジェクトを作成し、同じ ID のエンティティにのみオブジェクトの変更または削除を許可できます。プリンシパル ID には、次のプロパティがあります。
  • 名前
  • ノード ID
  • 証明書
  • このプリンシパルのアクセス権を示す RBAC ロール

エンタープライズ管理者ロールが割り当てられているユーザー(ローカル、リモート、またはプリンシパル ID)は、プリンシパル ID が所有するオブジェクトを変更または削除できます。エンタープライズ管理者ロールが割り当てられていないユーザー(ローカル、リモート、またはプリンシパル ID)は、プリンシパル ID が所有する保護されたオブジェクトを変更および削除することができません。ただし、保護されていないオブジェクトを変更または削除することはできます。

プリンシパル ID などのユーザー証明書が期限切れになった場合、新しい証明書をインポートし、API 呼び出しを行ってプリンシパル ID ユーザーの証明書を更新する必要があります(以下の手順を参照)。NSX-T Data Center API の詳細については、https://docs.vmware.com/jp/VMware-NSX-T-Data-Center で API リソースへのリンクを取得できます。

プリンシパル ID ユーザーの証明書は、次の要件を満たす必要があります。
  • SHA 256 ベース。
  • 2,048 ビット以上のキーサイズを持つ RSA/DSA メッセージ アルゴリズム。
  • ルート証明書にすることはできません。

前提条件

  • ユーザーにロールを割り当てる場合は、vIDM ホストが NSX-T に関連付けられていることを確認します。詳細については、VMware Identity Manager Integration の設定を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [ユーザー] の順に選択します。
  3. ユーザーにロールを割り当てるには、[追加] > [ロールの割り当て] の順に選択します。
    1. ユーザーまたはユーザー グループを選択します。
    2. ロールを選択します。
    3. [保存] をクリックします。
  4. プリンシパル ID を追加するには、[追加] > [ロールを持つプリンシパル ID] の順に選択します。
    1. プリンシパル ID の名前を入力します。
    2. ロールを選択します。
    3. ノード ID を入力します。
    4. 証明書を PEM 形式で入力します。
    5. [保存] をクリックします。
  5. (オプション) NSX Cloud を使用している場合は、NSX Manager の代わりに CSM アプライアンスにログインし、手順 1 ~ 4 を繰り返します。
  6. プリンシパル ID の証明書が期限切れで失効した場合は、次の操作を行います。
    1. 新しい証明書をインポートして、証明書の ID をメモしておきます。証明書のインポート を参照してください。
    2. 次の API を呼び出して、プリンシパル ID を取得します。
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. 次の API を呼び出して、プリンシパル ID の証明書を更新します。インポートされた証明書の ID を指定します。また、プリンシパル ID ユーザーの ID も指定する必要があります。
      次はその例です。
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }