在專案中新增 NSX VPC 後,您可以將角色指派給 NSX VPC 中的使用者。之後,這些使用者即可根據在 NSX VPC 內執行的工作負載的要求,開始設定網路或安全性物件。
在
NSX VPC 中,您可以將下列角色指派給使用者:
- VPC 管理員
- 安全管理員
- 網路管理員
- 安全營運人員
- 網路營運人員
VPC 管理員對 NSX VPC 中的所有網路與安全性物件具備完整存取權。NSX VPC 中的其他使用者角色對 NSX VPC 中的物件具備有限的存取權,具體取決於這些角色的權限。
備註: 依預設,只有企業管理員可以在
NSX VPC 中新增使用者角色指派。專案管理員和 VPC 管理員無權在
NSX VPC 中新增使用者角色指派,除非企業管理員將專案管理員和 VPC 管理員角色設定為可以執行使用者角色指派。
如果允許專案管理員和 VPC 管理員角色執行使用者角色指派,則可能被視為會在某些 NSX 環境帶來安全風險,因為這允許這些角色為系統中的任何使用者設定角色指派。因此,預設行為是僅允許企業管理員在 NSX VPC 中新增使用者角色指派。
企業管理員可以執行下列步驟,以將權限授與專案和 VPC 管理員角色,使其可以新增使用者角色指派:
- 在預設視圖中,導覽至。
- 在專案管理員角色旁邊,按一下
![[動作] 功能表。](images/GUID-4526BB43-F90D-4B07-B5D4-27E4B24D4BD6-low.png)
,然後按一下允許角色指派。 - 在 VPC 管理員角色旁邊,按一下 ,然後按一下允許角色指派。
對於使用者的驗證和授權,NSX 多承租人支援以下身分識別來源:
- 本機使用者 (例如 guestuser1、guestuser2)
- VMware Identity Manager
- 輕量型目錄存取通訊協定 (LDAP)
- OpenID Connect
備註: 從
NSX 4.1.2 開始,支援 OpenID Connect 身分識別來源。但是,僅當您從系統的
使用者管理頁面來新增使用者角色指派時,才支援使用此身分識別來源來進行使用者驗證。如果您要從
管理專案頁面或
VPC 頁面來新增使用者角色指派,則目前不支援此身分識別來源。
若要在 NSX VPC 中新增使用者角色指派,有下列三種方法可用:
- 方法 1:從 [使用者管理] 頁面為 NSX VPC 新增角色指派
-
使用者管理頁面僅可供企業管理員使用。專案管理員和 VPC 管理員無法使用此頁面,即使企業管理員授權他們執行使用者角色指派也是如此。
- 方法 2:從 VPC 頁面為 NSX VPC 新增角色指派
-
專案管理員和 VPC 管理員均可使用 VPC 頁面。但是,僅當企業管理員授權他們執行使用者角色指派時,他們才能從此頁面來新增使用者角色。
- 方法 3:從 [管理專案] 頁面為 NSX VPC 新增角色指派
-
企業管理員和專案管理員均可使用管理專案頁面。但是,僅當企業管理員已授與權限給專案管理員角色,使其有權執行使用者角色指派,專案管理員才可以從此頁面來新增使用者角色。
若要進一步瞭解此方法,請參閱從 [管理專案] 頁面為 NSX 專案新增角色指派。
VPC 管理員無法存取管理專案頁面。
