NSX 會使用現有角色,並推出一些新角色,以支援多承租人。

以下是多承租人環境中使用的一些角色:

  • 有權存取 / 空間的角色,從而允許他們存取 /infra/org 下的所有組態:
    • 企業管理員:提供者管理員負責準備基礎結構,並且是能夠存取專案內部和外部組態的超級使用者。
    • 稽核員:具備此角色的使用者對系統設定和組態具有唯讀存取權,但對於疑難排解工具,則具有完整存取權。
  • 以下是 NSX 4.0.1.1 中針對多承租人所推出的角色,這些角色僅對 /orgs 下的組態具備存取權:
    • 組織管理員 (技術預覽;不適用於生產部署):組織管理員角色目前在技術預覽模式下提供,可用來管理組織內的專案。但是,此角色無權存取建立專案所需的 /infra 物件。需使用企業管理員角色來建立專案。
    • 專案管理員:專案管理員可管理專案,且對該專案中的組態具有完整存取權。
可藉由發出以下 API 呼叫,來指派專案管理員角色:
POST /policy/api/v1/aaa/role-bindings/
範例要求:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/
本文:
{
    “name”: “[email protected]”,
    “type”: “remote_user”,
    “roles_for_paths”: [
        {
            “path”: “/orgs/default/projects/project-1”,
            “roles”: [
                {
                    “role”: “project_admin”
                }
            ]
        }
    ],
    “resource_type”: “RoleBinding”,
    “identity_source_type”: “LDAP”,
    “read_roles_for_paths”: true
}
您還可以提供專案路徑,將以下的現有角色指派給特定專案:
  • 網路管理員:網路管理員角色在指派給專案路徑後,可在該專案層級管理網路和服務。
  • 網路營運人員:具有此角色的使用者在指派給專案路徑後,可在該專案層級對網路組態具備唯讀存取權。
  • 安全管理員:安全管理員角色在指派給專案路徑後,可在該專案層級管理安全原則。
  • 安全營運人員:具有此角色的使用者在指派給項目路徑後,可在該專案層級對安全性組態具備唯讀存取權。
為特定專案的本機使用者指派角色的範例要求:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
本文:
{
    “name”: “[email protected]”,
    “type”: “local_user”,
    “roles_for_paths”: [
        {
            “path”: “/orgs/default/projects/project-1”,
            “roles”: [
                {
                    “role”: “project_admin”
                }
            ]
        }
    ],
    “resource_type”: “RoleBinding”,
    “read_roles_for_paths”: true
}

為確保僅為本機使用者指派專案管理員角色,請刪除稽核員角色。

DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>

驗證

NSX 多承租人支援在多種類型的身分識別來源上所設定的使用者。以下是支援的身分識別來源類型及其組態參數:
  • 本機使用者 (admin、audit、guestuser1、guestuser2)
    “type”: “local_user”,
  • vIDM (VMware Identity Manager)
    “type”: “remote_user”,
    “identity_source_type”: “VIDM”,
  • LDAP (輕量型目錄存取通訊協定)
    “type”: “remote_user”,
    “identity_source_type”: “LDAP”,
  • 主體身分識別 (透過憑證或 JWT Token)

    只能使用主體身分識別 API 來指派角色。