导 言
NutanixframeTM桌面服务平台使客户能够通过框架平台内定义的一套安全角色实施基于角色访问控制适当的用户认证和授权安全实践并讨论使用第三方SAML2身份提供者和授权规则实施RBAC的最佳做法框架定义安全作用具体说明访问框架实体类型(客户、组织、账号)的程度和在这些实体类型中可做些什么使用这些框架角色,您可配置一个或多个SAML2或OAUT2身份提供程序并定义授权规则,授予认证用户一个或多个框架角色
框架平台层次划分
Frame认证和授权能力使用需要理解Frame三级平台层次,因为如果组织IdP和授权规则定义,你必须确定Field三级平台层次分何级图1描述框架平台层次
图1
客户实体
框架层次顶端是Customer实体创建30天框架免费测试或激活付费框架订阅时,Nutanix自动创建客户实体创建免费试订或激活付费订阅后,可登录MyNutanix并访问Frame客户实体首个用户将分配客户管理员角色,然后注册公共或私有云基础设施并配置身份提供者供其他管理员和终端用户使用
实施最佳做法:通常将公有或私有云基础设施和身份提供商与客户实体关联允许创建Frame账户并定义授权规则
组织实体
也可以在Film创建一个或多个“Organization”实体二级实体类型用于逻辑分组框架账户组织实体正使用公司部门或分支分离框架账户、服务开发生命周期(开发/测试/生产)、子公司或不同地理区域托管服务提供商可以为每个客户创建组织实体逻辑分组客户框架账户并关联客户云基础设施和身份提供商
框架账号
框架账户第三级算法中包含沙盒构建和维护OS应用库、非持久VM库、实用服务器配置设置定义终端用户经验与Frame账户相联的基础设施资源使用先前注册的公共或私有云基础设施创建
框架平台层次详解咨询https://docs.frame.nutanix.com/account-management/platform-hierarchy.html.
验证
需要至少配置一个身份提供者到Frame客户实体中,这样你和你的用户就能访问Field企业使用案例最常见的身份提供商类型是第三方SAML2身份提供商,如Azure Active目录或Okta第三方SAML2idPs能满足多因子验证要求以及用户端点验证要求
SAML2身份提供者从未收到用户证书用户直接认证IdP和IdP返回SAML2验证响应消息
实施最佳做法:除标准SAML2属性外,名名和姓配置SAML2IdP内含SAML2群属性分组属性允许你指定一个或多个组用户所属并用分组属性和关联值而不是个人用户标识写授权规则简化框架授权规则数并保留身份提供程序内用户授权策略对大多数企业而言,分组属性值来自Windows主动目录组列表
Nutanix Elevate服务提供程序向客户服务时, 配置客户实体级SAML2id向客户提供能力 并自带SAML2id
图2
实现最佳实践:一旦你配置第三方SAML2提供商客户实体级并验证SAML2授权规则框架管理员后,你的管理员使用SAML2提供商,而不是MyNutanix访问框架客户点名用户订阅时,用户只使用SAML2IdP确保管理员不双重计为每月收费周期中两个唯一用户
参考框架文档了解Frame支持方式的进一步细节用户认证.
框架用户角色
努坦尼斯框架定义20多个框架管理员、支持用户角色这三个作用为分配用户提供管理员、安全管理员、只读管理员和/或分析员(报告)权限分三级最后,对终端用户来说,启动板作用允许用户访问一个或多个启动板启动虚拟化应用或桌面会议
实施最佳做法:初始时,你先从行政用户和终端用户开始,这两个用户将分别分配客户管理员和启动板用户角色企业支持/服务台想使用账户支持作用
参考框架文档了解更多不同细节用户角色.
RBAC配置用户
saml2身份提供程序配置客户或组织实体级后,您现在能在同一实体级或层次下层创建授权规则
框架SAML2权限定义包括:
- SAML2IDP集成名
- 条件评价
- 一个或多个条件
- 一个或多个角色,每个角色都定义在框架实体上(客户、组织、账号、启动板/启动板/启动板/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序/启动程序
下图SAML2IdP集成名为nutanix-demo-ahv,条件评价为Boolean
图3
上例中,当用户SAML2IdP向框架提供SAML2验证响应消息时,Frame包含SAML2属性组并值为ServiceEngineering,用户将能够访问指定账户内虚拟桌面
视SAML2IDP而定,组属性名可以是URL(例如,http://shemas.microsoft.com/ws/2008/06/identity/claims/groups for AzureAD或Okta简单字符串)。
实现最佳实践: 泛泛使用“ 封装式运算符说明条件, 而不是等值, 特别是当SAML2IDP返回SAML2属性值列表时
关于SAML2权限的进一步信息,访问我们SAML2权限文档.
结论
Nutanix框架允许你执行基于角色访问控制遍历Frame客户租户并下到File账号sml2身份提供商向Frame提供SAmL2响应,包括SAmL2群属性框架内SAML2权限定义的一部分,SAML2群属性和关联值可确定用户对特定框架角色分配
William是Nutanix框架解决方案架构主管,与全球企业和软件公司合作,在一个多云世界中利用FrameDaWilliam在癌症常识公司、NetDeposit公司、Hewlett-Packard公司、VeriFone公司和多互联网公司、支付公司和电子商务创业企业工作25年以上,执行管理公司、程序管理公司、工程公司和执行咨询公司职位William接收BSMS和PHD斯坦福大学电气工程
2021Nutanix公司所有版权保留Nutanix标识和Nutanix所有产品、特征和服务名称均注册Nutanix公司商标美国和其他国家此处提及的其他商标名仅用于识别目的,并可能为各自持有人的商标内存外部网站链接非Nutanix.comNutanix不控制这些网站并免责所有外部网站内容或精度的责任连接外部网站的决定不应被视为认可网站内容或含有明示或隐含前瞻声明,此类报表的准确性涉及风险和不确定性,并取决于未来事件,包括可能超出我们控制范围的事件,实际结果可能与此类报表预期或隐含的实际结果有实质上和不利的差异。本文所列任何前瞻声明均自此日期起发言,除法律规定外,我们不承担更新或以其他方式修改任何前瞻声明以反映后续事件或情况的义务。