如果 VMware Identity Manager 與 NSX-T Data Center 整合,或者如果您使用 LDAP 做為驗證提供者,則可以將角色指派給使用者或使用者群組。也可以指派角色給主體身分識別。
- 名稱
- 節點識別碼 - 這可以是指派給主體身分識別的任何英數位元值
- 憑證
- 指示此主體存取權的 RBAC 角色
具有企業管理員角色的使用者 (本機、遠端或主體身分識別),可以修改或刪除主體身分識別所擁有的物件。不具企業管理員角色的使用者 (本機、遠端或主體身分識別),無法修改或刪除主體身分識別所擁有的受保護物件,但可以修改或刪除不受保護的物件。
如果主體身分識別使用者的憑證到期,您必須匯入新憑證並進行 API 呼叫,以更新主體身分識別使用者的憑證 (請參閱下列程序)。如需關於 NSX-T Data Center API 的詳細資訊,請存取 https://docs.vmware.com/tw/VMware-NSX-T-Data-Center 中的 API 資源連結。
- 以 SHA256 為基礎。
- 金鑰大小為 2048 位元或以上的 RSA/DSA 訊息演算法。
- 不可為根憑證。
您可以使用 API 來刪除主體身分識別。不過,刪除主體身分識別不會自動刪除對應的憑證。您必須手動刪除憑證。
- 取得要刪除之主體身分識別的詳細資料,並記下回應中的 certificate_id 值。
GET /api/v1/trust-management/principal-identities/<principal-identity-id> - 刪除主體身分識別。
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id> - 使用在步驟 1 中取得的 certificate_id 值來刪除憑證。
DELETE /api/v1/trust-management/certificates/<certificate_id>
對於 LDAP,您可以將使用者群組設定為使用者角色對應資訊;群組會與 Active Directory (AD) 中指定的使用者群組對應。若要授與 NSX 的使用者權限,請將該使用者新增至 AD 中的對應群組。
必要條件
您必須已設定驗證提供者:
- 對於 vIDM 的角色指派,確認 vIDM 主機與 NSX-T 建立關聯。如需詳細資訊,請參閱設定 VMware Identity Manager/Workspace ONE Access 整合。
- 對於 LDAP 的角色指派,確認您具有 LDAP 身分識別來源。如需詳細資訊,請參閱LDAP 身分識別來源。
程序
- 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
- 選取。
- 若要指派角色給使用者,請選取。
- 選取使用者或使用者群組。
- 選取角色。
- 按一下儲存。
- 若要新增主體身分識別,請選取。
- 輸入主體身分識別的名稱。
- 選取角色。
- 輸入節點識別碼。
- 以 PEM 格式輸入憑證。
- 按一下儲存。
- 若要為 LDAP 新增角色指派,請選取。
- 選取網域。
- 輸入使用者名稱、登入識別碼或群組名稱的前幾個字元,以搜尋 LDAP 目錄,然後從顯示的清單中選取使用者或群組。
- 選取角色。
- 按一下儲存。
- (選擇性) 如果您使用 NSX Cloud,請登入 CSM 應用裝置 (而非 NSX Manager),並重複步驟 1 至 4。
- 如果主體身分識別的憑證到期,請執行下列步驟:
- 匯入新憑證並記下憑證的識別碼。請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 呼叫下列 API 以取得主體身分識別的識別碼。
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities - 呼叫下列 API 以更新主體身分識別的憑證。您必須提供已匯入憑證的識別碼和主體身分識別使用者的識別碼。
例如,
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }
