如果 VMware Identity Manager™NSX-T Data Center 整合,或者如果您使用 LDAP 做為驗證提供者,則可以將角色指派給使用者或使用者群組。也可以指派角色給主體身分識別。

主體是一個元件或第三方應用程式,例如 OpenStack 產品。藉由主體身分識別,主體可以使用身分識別名稱來建立物件,並確保僅具有相同身分識別名稱的實體能夠修改或刪除物件。主體身分識別具有下列內容:
  • 名稱
  • 節點識別碼 - 這可以是指派給主體身分識別的任何英數位元值
  • 憑證
  • 指示此主體存取權的 RBAC 角色

具有企業管理員角色的使用者 (本機、遠端或主體身分識別),可以修改或刪除主體身分識別所擁有的物件。不具企業管理員角色的使用者 (本機、遠端或主體身分識別),無法修改或刪除主體身分識別所擁有的受保護物件,但可以修改或刪除不受保護的物件。

如果主體身分識別使用者的憑證到期,您必須匯入新憑證並進行 API 呼叫,以更新主體身分識別使用者的憑證 (請參閱下列程序)。如需有關 NSX-T Data Center API 的詳細資訊,請存取訪《NSX-T Data Center API 指南》(網址為 https://code.vmware.com/) 中的 API 資源連結。

主體身分識別使用者的憑證必須符合下列需求:
  • 以 SHA256 為基礎。
  • 金鑰大小為 2048 位元或以上的 RSA/DSA 訊息演算法。
  • 不得為根憑證。

您可以使用 API 來刪除主體身分識別。不過,刪除主體身分識別不會自動刪除對應的憑證。您必須手動刪除憑證。

刪除主體身分識別及其憑證的步驟:
  1. 取得要刪除之主體身分識別的詳細資料,並記下回應中的 certificate_id 值。

    GET /api/v1/trust-management/principal-identities/<principal-identity-id>

  2. 刪除主體身分識別。

    DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>

  3. 使用在步驟 1 中取得的 certificate_id 值來刪除憑證。

    DELETE /api/v1/trust-management/certificates/<certificate_id>

對於 LDAP,您可以將使用者群組設定為使用者角色對應資訊;群組會與 Active Directory (AD) 中指定的使用者群組對應。若要授與 NSX-T Data Center 使用者權限,請將該使用者新增至 AD 中的對應群組。

必要條件

您必須已設定驗證提供者:

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 使用者管理
  3. 若要指派角色給使用者,請選取新增 > vIDM 的角色指派
    1. 選取使用者或使用者群組。
    2. 選取角色。
    3. 按一下儲存
  4. 若要新增主體身分識別,請選取新增 > 具有角色的主體身分識別
    1. 輸入主體身分識別的名稱。
    2. 選取角色。
    3. 輸入節點識別碼。
    4. 以 PEM 格式輸入憑證。
    5. 按一下儲存
  5. 若要為 LDAP 新增角色指派,請選取新增 > LDAP 的角色指派
    1. 選取網域。
    2. 輸入使用者名稱、登入識別碼或群組名稱的前幾個字元,以搜尋 LDAP 目錄,然後從顯示的清單中選取使用者或群組。
    3. 選取角色。
    4. 按一下儲存
  6. 選用:如果使用 NSX Cloud,請登入 CSM 應用裝置,而非 NSX Manager,然後重複步驟 1 至 4。
  7. 如果主體身分識別的憑證到期,請執行下列步驟。請勿使用此程序來更換本機管理程式全域管理程式的主體身分識別憑證。相反地,若要更換憑證,請參閱更換憑證,以取得詳細資料。
    1. 匯入新憑證並記下憑證的識別碼。請參閱匯入自我簽署的憑證或 CA 簽署的憑證
    2. 呼叫下列 API 以取得主體身分識別的識別碼。
      GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
    3. 呼叫下列 API 以更新主體身分識別的憑證。您必須提供已匯入憑證的識別碼和主體身分識別使用者的識別碼。
      例如,
      POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate
      {
          "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb",
          "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc"
      }