如果 VMware Identity Manager™ 與 NSX 整合,或者如果您使用 LDAP 做為驗證提供者,則可以將角色指派給使用者或使用者群組。也可以指派角色給主體身分識別。
- 名稱
- 節點識別碼 - 這可以是指派給主體身分識別的任何英數位元值
- 憑證
- 指示此主體存取權的 RBAC 角色
具有企業管理員角色的使用者 (本機、遠端或主體身分識別),可以修改或刪除主體身分識別所擁有的物件。不具企業管理員角色的使用者 (本機、遠端或主體身分識別),無法修改或刪除主體身分識別所擁有的受保護物件,但可以修改或刪除不受保護的物件。
如果主體身分識別使用者的憑證到期,您必須匯入新憑證並進行 API 呼叫,以更新主體身分識別使用者的憑證 (請參閱下列程序)。如需關於 NSX API 的詳細資訊,請存取 https://code.vmware.com 中的 API 資源連結。
- 以 SHA256 為基礎。
- 金鑰大小為 2048 位元或以上的 RSA/DSA 訊息演算法。
- 不得為根憑證。
您可以使用 API 來刪除主體身分識別。不過,刪除主體身分識別不會自動刪除對應的憑證。您必須手動刪除憑證。
- 取得要刪除之主體身分識別的詳細資料,並記下回應中的 certificate_id 值。
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- 刪除主體身分識別。
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- 使用在步驟 1 中取得的 certificate_id 值來刪除憑證。
DELETE /api/v1/trust-management/certificates/<certificate_id>
對於 LDAP,您可以將使用者群組設定為使用者角色對應資訊;群組會與 Active Directory (AD) 中指定的使用者群組對應。若要授與 NSX 使用者權限,請將該使用者新增至 AD 中的對應群組。從 NSX 4.2 開始,單一 LDAP 身分識別來源最多可向 NSX 新增 20 個群組。如果嘗試新增的群組超過 20 個,將導致錯誤。
必要條件
您必須已設定驗證提供者:
- 對於 vIDM 的角色指派,確認 vIDM 主機與 NSX 相關聯。如需詳細資訊,請參閱設定 VMware Identity Manager/Workspace ONE Access 整合。
- 對於 LDAP 的角色指派,確認您具有 LDAP 身分識別來源。如需詳細資訊,請參閱LDAP 身分識別來源。
程序
- 使用 admin 權限來登入 NSX Manager。
- 選取 。
- 若要指派角色給使用者,請選取
。
- 選取使用者或使用者群組。
- 選取角色。
- 按一下儲存。
- 若要新增主體身分識別,請選取
。
- 輸入主體身分識別的名稱。
- 選取角色。
- 輸入節點識別碼。
- 以 PEM 格式輸入憑證。
- 按一下儲存。
- 若要為 LDAP 新增角色指派,請選取
。
- 選取網域。
- 輸入使用者名稱、登入識別碼或群組名稱的前幾個字元,以搜尋 LDAP 目錄,然後從顯示的清單中選取使用者或群組。
- 選取角色。
- 按一下儲存。
- 如果主體身分識別的憑證到期,請執行下列步驟。請勿使用此程序來取代本機管理員或全域管理員的主體身分識別憑證。相反地,若要取代憑證,請參閱透過 API 更換憑證,以取得詳細資料。
- 匯入新憑證並記下憑證的識別碼。請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 呼叫下列 API 以取得主體身分識別的識別碼。
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- 呼叫下列 API 以更新主體身分識別的憑證。您必須提供已匯入憑證的識別碼和主體身分識別使用者的識別碼。
例如,
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }