Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイアウォール (DFW) ルールを作成できます。
IDFW は、仮想デスクトップ (VDI) またはリモート デスクトップ セッション(RDSH サポート)で使用できます。複数のユーザーによる同時ログインや、要件に基づくアプリケーションへのユーザー アクセスを可能にし、独立したユーザー環境を維持できます。VDI 管理システムは、VDI 仮想マシンへのアクセス権を付与するユーザーを制御します。NSX-T は、送信元の仮想マシン (VM) から宛先サーバへのアクセスを制御します。ここでは IDFW が有効になっています。RDSH を使用して、管理者は Active Directory (AD) 内のさまざまなユーザーを含むセキュリティ グループを作成し、そのユーザーのロールに基づいてアプリケーション サーバへのアクセスを許可または拒否します。たとえば、人事およびエンジニアリングは同じ RDSH サーバに接続し、このサーバから異なるアプリケーションにアクセスできます。
IDFW は、サポート対象のオペレーティング システムが実行されている仮想マシンでも使用できます。Identity Firewall でサポートされる構成 を参照してください。
IDFW 構成のワークフローの概要は次のとおりです。ワークフローは、インフラストラクチャの準備から始まります。この段階では、NSX が Active Directory のユーザーおよびグループを利用できるようにするため、管理者が保護対象の各クラスタに必要なコンポーネントをインストールし、Active Directory の同期を設定します。次に、Active Directory ユーザーがログインするデスクトップを IDFW が識別し、IDFW ルールを適用する必要があります。ネットワーク イベントがユーザーによって生成されると、仮想マシン上に VMware Tools でインストールされたシン エージェントは情報を収集して転送し、コンテキスト エンジンに送信します。この情報は、分散ファイアウォールに適用するために使用されます。
IDFW は、分散ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ID ベースのグループは、DFW ルールの宛先として使用できません。
サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。
- ユーザーは仮想マシンにログインし、Skype や Outlook を起動してネットワーク接続を開始します。
- ユーザーのログイン イベントはシン エージェントによって検出され、接続情報と ID 情報が収集され、コンテキスト エンジンに送信されます。
- コンテキスト エンジンは、接続情報と ID 情報を該当するルール環境の分散ファイアウォール ルールに転送します。