如果 VMware Identity ManagerNSX-T Data Center 整合,或者如果您使用 LDAP 做為驗證提供者,則可以將角色指派給使用者或使用者群組。也可以指派角色給主體身分識別。

主體是 NSX-T Data Center 元件或第三方應用程式,例如 OpenStack 產品。藉由主體身分識別,主體可以使用身分識別名稱來建立物件,並確保僅具有相同身分識別名稱的實體能夠修改或刪除物件。主體身分識別具有下列內容:
  • 名稱
  • 節點識別碼 - 這可以是指派給主體身分識別的任何英數位元值
  • 憑證
  • 指示此主體存取權的 RBAC 角色

具有企業管理員角色的使用者 (本機、遠端或主體身分識別),可以修改或刪除主體身分識別所擁有的物件。不具企業管理員角色的使用者 (本機、遠端或主體身分識別),無法修改或刪除主體身分識別所擁有的受保護物件,但可以修改或刪除不受保護的物件。

如果主體身分識別使用者的憑證到期,您必須匯入新憑證並進行 API 呼叫,以更新主體身分識別使用者的憑證 (請參閱下列程序)。如需關於 NSX-T Data Center API 的詳細資訊,請存取 https://docs.vmware.com/tw/VMware-NSX-T-Data-Center 中的 API 資源連結。

主體身分識別使用者的憑證必須符合下列需求:
  • 以 SHA256 為基礎。
  • 金鑰大小為 2048 位元或以上的 RSA/DSA 訊息演算法。
  • 不可為根憑證。

您可以使用 API 來刪除主體身分識別。不過,刪除主體身分識別不會自動刪除對應的憑證。您必須手動刪除憑證。

刪除主體身分識別及其憑證的步驟:
  1. 取得要刪除之主體身分識別的詳細資料,並記下回應中的 certificate_id 值。

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. 刪除主體身分識別。

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. 使用在步驟 1 中取得的 certificate_id 值來刪除憑證。

    DELETE /api/v1/trust-management/certificates/<certificate_id>

對於 LDAP,您可以將使用者群組設定為使用者角色對應資訊;群組會與 Active Directory (AD) 中指定的使用者群組對應。若要授與 NSX 的使用者權限,請將該使用者新增至 AD 中的對應群組。

必要條件

您必須已設定驗證提供者:

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取系統 > 使用者和角色
  3. 若要指派角色給使用者,請選取新增 > vIDM 的角色指派
    1. 選取使用者或使用者群組。
    2. 選取角色。
    3. 按一下儲存
  4. 若要新增主體身分識別,請選取新增 > 具有角色的主體身分識別
    1. 輸入主體身分識別的名稱。
    2. 選取角色。
    3. 輸入節點識別碼。
    4. 以 PEM 格式輸入憑證。
    5. 按一下儲存
  5. 若要為 LDAP 新增角色指派,請選取新增 > LDAP 的角色指派
    1. 選取網域。
    2. 輸入使用者名稱、登入識別碼或群組名稱的前幾個字元,以搜尋 LDAP 目錄,然後從顯示的清單中選取使用者或群組。
    3. 選取角色。
    4. 按一下儲存
  6. (選擇性) 如果您使用 NSX Cloud,請登入 CSM 應用裝置 (而非 NSX Manager),並重複步驟 1 至 4。
  7. 如果主體身分識別的憑證到期,請執行下列步驟:
    1. 匯入新憑證並記下憑證的識別碼。請參閱匯入自我簽署的憑證或 CA 簽署的憑證
    2. 呼叫下列 API 以取得主體身分識別的識別碼。
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. 呼叫下列 API 以更新主體身分識別的憑證。您必須提供已匯入憑證的識別碼和主體身分識別使用者的識別碼。
      例如,
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }