NSX フェデレーション ロールベースのアクセス コントロール (RBAC) を構成して、許可されたユーザーにシステムへのアクセスを制限できます。NSX フェデレーション RBAC は、許可されたユーザーの NSX RBAC と同様に機能します。このトピックでは、特定の認証プロバイダで RBAC を使用する場合の NSX フェデレーション に関するオプションの構成情報について説明します。
ほとんどの認証と認可タスクでは、『NSX 管理ガイド』の「認証と認可」セクションで説明されている手順と同じ手順を使用します。例外の 1 つは、VMware Identity Manager™ (vIDM) と LDAP 構成がアクティブまたはスタンバイ グローバル マネージャ (GM) からローカル マネージャ (LM) に同期されていないことです。このため、各 GM または LM(NSX クラスタ)を vIDM と LDAP 用に個別に構成する必要があります。また、シームレスなアクセスのために、ユーザーが各 NSX フェデレーション サーバで同じロール バインドを持っている必要があります。
たとえば、
NSX フェデレーション を使用し、vIDM または LDAP 認証を使用して、GM ページの [場所] ドロップダウン メニューで GM と LM サーバを切り替える場合は、適切に構成されるように、次の概要レベルのタスクを完了している必要があります。これらの構成タスクは、vIDM および LDAP 認証プロバイダを使用するユーザーが、ユーザー権限エラー メッセージを回避するのに役立ちます。
タスク | 移動 |
---|---|
アクティブ グローバル マネージャ サーバとスタンバイ グローバル マネージャ サーバの両方で vIDM または LDAP を個別に構成します。 | |
各ローカル マネージャ サーバで vIDM または LDAP を構成します。 | |
[場所] ドロップダウン メニューを使用して GM サーバと LM サーバを切り替えるユーザーが、GM サーバと LM サーバの両方で同じユーザー ロールを持っていることを確認します。ユーザーが GM のロールを持っていて、LM のロールを持っていない場合、「機能に対する権限がユーザーにありません」などの権限エラーが表示されることがあります。 |
[場所] ドロップダウン メニューでユーザーが GM サーバと LM サーバを切り替えられるようにするには、LM サーバのユーザー ロールを読み取り専用から GM ロールへの書き込みまたはミラーリングに更新した後、タスクが完了したことを確認します。詳細については、グローバル マネージャとローカル マネージャの Web インターフェイスの使用とNSX フェデレーション の場所のモニタリングを参照してください。