VMware Identity Manager가 NSX-T Data Center에 통합되어 있거나 LDAP를 인증 제공자로 사용하는 경우 사용자 또는 사용자 그룹에 역할을 할당할 수 있습니다. 역할을 주체 ID에 할당할 수도 있습니다.
- 이름
- 노드 ID - 주체 ID에 할당된 모든 영숫자 값일 수 있습니다.
- 인증서
- 주체의 액세스 권한을 나타내는 RBAC 역할
엔터프라이즈 관리자 역할이 있는 사용자(로컬, 원격 또는 주체 ID)는 주체 ID가 소유하는 개체를 수정하거나 삭제할 수 있습니다. 엔터프라이즈 관리자 역할이 없는 사용자(로컬, 원격 또는 주체 ID)는 주체 ID가 소유하는 보호된 개체를 수정하거나 삭제할 수 없지만 보호되지 않는 개체는 수정하거나 삭제할 수 있습니다.
주체 ID 사용자의 인증서가 만료되면 새 인증서를 가져온 후 API를 호출하여 주체 ID 사용자의 인증서를 업데이트해야 합니다(아래 절차 참조). NSX-T Data Center API에 대한 자세한 내용은 https://code.vmware.com/에서 "NSX-T Data Center API 가이드" 를 참조하십시오.
- SHA256을 기준으로 합니다.
- 2048비트 또는 키 크기보다 큰 RSA/DSA 메시지 알고리즘입니다.
- 루트 인증서일 수 없습니다.
API를 사용하여 주체 ID를 삭제할 수 있습니다. 그러나 주체 ID를 삭제해도 해당 인증서가 자동으로 삭제되지는 않습니다. 인증서를 수동으로 삭제해야 합니다.
- 삭제할 주체 ID의 세부 정보를 가져오고 응답에 certificate_id 값을 기록합니다.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- 주체 ID를 삭제합니다.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- 1단계에서 가져온 certificate_id 값을 사용하여 인증서를 삭제합니다.
DELETE /api/v1/trust-management/certificates/<certificate_id>
LDAP의 경우 사용자 그룹-사용자 역할 매핑 정보로 구성합니다. 그룹은 AD(Active Directory)에 지정된 사용자 그룹에 해당합니다. NSX-T Data Center에 대한 사용자 사용 권한을 부여하려면 AD의 매핑된 그룹에 해당 사용자를 추가합니다.
사전 요구 사항
인증 제공자가 구성되어 있어야 합니다.
- vIDM에 대한 역할 할당의 경우 vIDM 호스트가 NSX-T Data Center에 연결되어 있는지 확인합니다. 자세한 내용은 VMware Identity Manager/Workspace ONE Access 통합 구성 항목을 참조하십시오.
- LDAP에 대한 역할 할당을 위해 LDAP ID 소스가 있는지 확인합니다. 자세한 내용은 LDAP ID 소스 항목을 참조하십시오.
프로시저
- 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
- 을 선택합니다.
- 역할을 사용자에 할당하려면
을 선택합니다.
- 사용자 또는 사용자 그룹을 선택합니다.
- 역할을 선택합니다.
- 저장을 클릭합니다.
- 주체 ID를 추가하려면
를 선택합니다.
- 주체 ID의 이름을 입력합니다.
- 역할을 선택합니다.
- 노드 ID를 입력합니다.
- 인증서를 PEM 형식으로 입력합니다.
- 저장을 클릭합니다.
- LDAP에 대한 역할 할당을 추가하려면
을 선택합니다.
- 도메인을 선택합니다.
- LDAP 디렉토리를 검색할 사용자 이름, 로그인 ID 또는 그룹 이름의 처음 몇 자를 입력한 다음, 나타나는 목록에서 사용자 또는 그룹을 선택합니다.
- 역할을 선택합니다.
- 저장을 클릭합니다.
- 선택 사항: NSX Cloud를 사용하는 경우 NSX Manager 대신 CSM 장치에 로그인하고 1~4단계를 반복합니다.
- 주체 ID에 대한 인증서가 만료되면 다음 단계를 수행합니다. 로컬 관리자 또는 글로벌 관리자 주체 ID 인증서를 교체하려면 이 절차를 사용하지 마십시오. 대신 인증서를 교체하려면 자세한 내용은 인증서 바꾸기 항목을 참조하십시오.
- 새 인증서를 가져오고 인증서 ID를 기록해 둡니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
- 다음 API를 호출하여 주체 ID의 ID를 가져옵니다.
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- 다음 API를 호출하여 주체 ID의 인증서를 업데이트합니다. 가져온 인증서의 ID와 주체 ID의 사용자 ID를 제공해야 합니다.
예를 들면 다음과 같습니다.
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }