VMware Identity Manager™NSX と統合されている場合、または LDAP を認証プロバイダとして使用している場合は、ユーザーまたはユーザー グループにロールを割り当てることができます。プリンシパル ID にロールを割り当てることもできます。

プリンシパルは、コンポーネント、または OpenStack 製品などのサードパーティ アプリケーションです。プリンシパル ID がある場合、プリンシパルはこの ID を使用してオブジェクトを作成し、同じ ID のエンティティにのみオブジェクトの変更または削除を許可できます。プリンシパル ID には、次のプロパティがあります。
  • 名前
  • ノード ID:プリンシパル ID に割り当てられた任意の英数字です。
  • 証明書
  • このプリンシパルのアクセス権を示す RBAC ロール

エンタープライズ管理者ロールが割り当てられているユーザー(ローカル、リモート、またはプリンシパル ID)は、プリンシパル ID が所有するオブジェクトを変更または削除できます。エンタープライズ管理者ロールが割り当てられていないユーザー(ローカル、リモート、またはプリンシパル ID)は、プリンシパル ID が所有する保護されたオブジェクトを変更および削除することができません。ただし、保護されていないオブジェクトを変更または削除することはできます。

プリンシパル ID などのユーザー証明書が期限切れになった場合、新しい証明書をインポートし、API 呼び出しを行ってプリンシパル ID ユーザーの証明書を更新する必要があります(以下の手順を参照)。NSX API の詳細については、https://code.vmware.com で API リソースへのリンクを参照してください。

プリンシパル ID ユーザーの証明書は、次の要件を満たす必要があります。
  • SHA 256 ベース。
  • 2,048 ビット以上のキーサイズを持つ RSA/DSA メッセージ アルゴリズム。
  • ルート証明書にすることはできません。

API を使用して、プリンシパル ID を削除できます。ただし、プリンシパル ID を削除しても、対応する証明書は自動的に削除されません。証明書を手動で削除する必要があります。

プリンシパル ID と証明書の削除手順:
  1. 削除するプリンシパル ID の詳細を取得し、応答の certificate_id 値をメモします。

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. プリンシパル ID を削除します。

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. 手順 1 で取得した certificate_id 値を使用して証明書を削除します。

    DELETE /api/v1/trust-management/certificates/<certificate_id>

LDAP の場合、ユーザー グループとユーザー ロールのマッピング情報に構成します。グループは、Active Directory (AD) で指定されたユーザー グループに対応しています。NSX のユーザー権限を付与するには、そのユーザーをマッピングされた Active Directory のグループに追加します。NSX 4.2 以降では、1 つの LDAP ID ソースで最大 20 のグループを NSX に追加できます。20 を超えるグループを追加しようとすると、エラーが発生します。

前提条件

認証プロバイダが構成されている必要があります。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [ユーザー管理] の順に選択します。
  3. ユーザーにロールを割り当てるには、[追加] > [vIDM のロールの割り当て] の順に選択します。
    1. ユーザーまたはユーザー グループを選択します。
    2. ロールを選択します。
    3. [保存] をクリックします。
  4. プリンシパル ID を追加するには、[追加] > [ロールを持つプリンシパル ID] の順に選択します。
    1. プリンシパル ID の名前を入力します。
    2. ロールを選択します。
    3. ノード ID を入力します。
    4. 証明書を PEM 形式で入力します。
    5. [保存] をクリックします。
  5. LDAP のロール割り当てを追加するには、[追加] > [LDAP のロールの割り当て] の順に選択します。
    1. ドメインを選択します。
    2. LDAP ディレクトリを検索するには、ユーザー名、ログイン ID またはグループ名の最初の数文字を入力して、表示されたリストからユーザーまたはグループを選択します。
    3. ロールを選択します。
    4. [保存] をクリックします。
  6. プリンシパル ID の証明書の有効期限が切れた場合は、次の手順を実行します。ローカル マネージャ または グローバル マネージャ のプリンシパル ID の証明書を置き換える場合は、この手順を使用しないでください。それらの証明書を置き換える方法の詳細については、「API による証明書の置き換え」を参照してください。
    1. 新しい証明書をインポートして、証明書の ID をメモしておきます。「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
    2. 次の API を呼び出して、プリンシパル ID を取得します。
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. 次の API を呼び出して、プリンシパル ID の証明書を更新します。インポートされた証明書の ID を指定します。また、プリンシパル ID ユーザーの ID も指定する必要があります。
      次はその例です。
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }