Nutanix Frame 中以角色為基礎的訪問控制和用戶授權
簡介
Nutanix Frame™ 桌面即服務平台讓客戶能夠經由 Frame 平台內定義的一組安全角色,透過以角色為基礎的訪問控制 (RBAC) 實施正確的用戶身份驗證和授權安全實踐。在本文章中,我們將解釋 RBAC 在 Frame 中的工作原理,並談論利用第三方 SAML2 身份提供者和授權規則來實施 RBAC 的最佳實踐。Frame 定義的安全角色指定了對 Frame 實體類型(客戶、組織、帳戶)的訪問級別,以及可以在這些實體類型中執行的操作。使用這些 Frame 角色,您可以配置一個或多個 SAML2 或 OAuth2 身份提供者 (IdP),然後定義授權規則,授予通過身份驗證的用戶特定 Frame 實體的一個或多個 Frame 角色。
Frame 平台的階層式架構
使用 Frame 的身份驗證和授權功能必須了解 Frame 3 層式平台的階層式架構,因為您必須確定您的組織 IdP 和授權規則應定義在 Frame 3 層式平台的階層式架構中的哪個級別。Frame 平台階層式架構如圖 1 所示。
客戶實體
Frame 階層式架構的頂部是「客戶」實體。當您創建 30 天 Frame 免費試用或啟用您的 Frame 付費訂閱時,Nutanix 會自動創建 Customer 實體。創建免費試用訂閱或啟用付費訂閱後,您就可以登錄 My Nutanix 並訪問您的 Frame 客戶實體。作為第一個用戶,您將被分配為客戶管理員的角色,然後您可以註冊您的公有或私有雲基礎架構,並為您的其他管理員和終端用戶配置身份提供者。
實施最佳實踐:以一般規則來說,將您的公有或私有雲基礎架構和身份提供者連接到您的客戶實體。這讓您能夠在所有組織和帳戶中利用您的身份提供者創建 Frame 帳戶,並定義授權規則。
組織實體
您還可以在 Frame 中創建一個或多個「組織」實體。此二級實體類型被用於根據客戶要求對 Frame 帳戶進行邏輯分組。組織實體被用於按公司部門或分公司、服務開發生命週期(開發/測試/生產)、子公司或不同地理區域分隔 Frame 帳戶。託管服務供應商可以為每個客戶端創建一個組織實體,來對客戶端的 Frame 帳戶進行邏輯分組,並將客戶端的雲端基礎架構和身份提供者與該組織實體相連接。
Frame 帳戶
在階層式架構的第三個「帳戶」級別,Frame 帳戶包含用於建構和維護作業系統和應用程式的沙箱、用戶的非持久性或持久性 VM、實用伺服器,以及定義終端用戶體驗的配置設定。與 Frame 帳戶關聯的基礎架構資源是由您之前註冊的公有或私有雲基礎架構所創建的。
更多有關 Frame 平台的階層式架構的詳細資訊,請參閱https://docs.frame.nutanix.com/account-management/platform-hierarchy.html 上的 Frame 文檔。
驗證
您需要在 Frame 客戶實體中至少配置一個身份提供者,您和您的用戶才可以訪問 Frame。企業用例中,最常見的身份提供者類型是第三方 SAML2 身份提供者,例如 Azure Active Directory 或 Okta。第三方 SAML2 IdP 使您能夠滿足多重因素,以及用戶、端點和網路環境中的身份驗證要求。
有了 SAML2 身份提供者,Frame Platform 永遠不會收到用戶憑據。用戶直接向 IdP 進行身份驗證,並且 IdP 在用戶成功驗證身份後,透過用戶的瀏覽器向 Frame 平台回傳 SAML2 的身份驗證訊息。
實施最佳實踐:除了電子郵件地址、名字和姓氏的標準 SAML2 屬性之外,配置您的 SAML2 IdP 來含括 SAML2 組屬性。組屬性讓您能夠指定用戶所屬的一個或多個組,然後使用組屬性和關聯值(而非單個用戶身份)編寫授權規則。這簡化了 Frame 中授權規則的數量,並將用戶授權策略保留在您的身份提供者中。對於大多數企業,組屬性值將來自分配給用戶的 Windows Active Directory 組列表。
如果您是「Nutanix Elevate 服務供應商計劃」中,為您的客戶提供服務的託管服務供應商,請在客戶實體級別配置您的 SAML2 IdP。如果您讓您的客戶使用自己的 SAML2 IdP,請在其各自的組織實體上配置您每個客戶的 IdP。
實施最佳實踐:在客戶實體級別配置第三方 SAML2 提供商,並為您的 Frame 管理員驗證 SAML2 授權規則後,讓您的管理員使用您的 SAML2 提供商,而不是 My Nutanix 來訪問 Frame。對於已訂閱指定用戶訂閱的客戶,讓您的用戶僅使用您的 SAML2 IdP 可確保管理員在每月計費周期內不會被重複計為兩個唯一用戶。
有關 Frame 如何支持用戶身份驗證的詳細資訊,請參閱 Frame 文檔。
Frame 用戶角色
為了讓您能夠授予用戶所需的最低權限級別,Nutanix Frame 定義了 20 多個特定於 Frame 的管理員、支持和用戶角色。這些角色在平台階層式架構的三個級別中的每一個級別上、服務台或帳戶級別中的限制管理員上,提供分配的用戶管理員、安全管理員、唯讀管理員和/或分析師(報告)權限。最後至於終端用戶,有一個 Launchpad 角色,用於授予這些用戶訪問一個或多個 Launchpad 的權限,以在一個或多個 Frame 帳戶中啟動虛擬化應用程式或桌面會話。
實施最佳實踐:最初,您將分別始於管理用戶、被分配為客戶管理員的終端用戶、Launchpad 角色。擁有服務台的企業將希望使用帳戶支持角色。
更多有關不同用戶角色的詳細資訊,請參閱 Frame 文檔。
為用戶配置 RBAC
在客戶或組織實體級別配置 SAML2 身份提供者後,您現在可以在階層式架構中的同一級別或較低級別創建授權規則(「SAML2 權限」)。
Frame SAML2 權限包括:
- SAML2 IdP 整合名稱
- 條件評估(永遠、布林 AND、布林 OR)
- 一個或多個條件
- 一個或多個角色,每個角色都定義在一個 Frame 實體(客戶、組織、帳戶、啟動台)上。
在下圖中,SAML2 IdP 整合名稱是「nutanix-demo-ahv」,條件評估將是「布林 AND」(如果定義了兩個以上的條件)。
在上面的示例中,當用戶的 SAML2 IdP 向包含 SAML2 屬性為「groups」且值為「Sales Engineering」的 Frame 提供 SAML2 身份驗證回應訊息時,Frame 將授予通過身份驗證的用戶,在 Launchpad「桌面」上的「Launchpad User」角色(定義在「William Wong 7.23.X」Frame 帳戶中)。用戶於是將能夠訪問指定帳戶內的虛擬桌面。
根據 SAML2 IdP,「groups」屬性名稱可能是 URL(例如以 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 命名 Azure AD,或用簡單字串命名 Okta)。
實施最佳實踐:一般而言,在指定條件時使用「包含」運算符,而不是「等於」,尤其是當 SAML2 IdP 將回傳 SAML2 屬性的列表時。
更多有關 SAML2 權限的資訊,請造訪我們的 SAML2 權限文檔。
結論
Nutanix Frame 讓您能夠在橫跨您的 Frame 租用客戶和您的 Frame 帳戶實施以角色為基礎的訪問控制。您可以使用 SAML2 身份提供者向包含 SAML2 組屬性的 Frame 提供 SAML2 回應,來創建細粒度的授權規則。在 Frame 中作為 SAML2 權限定義的一部分,SAML2 組屬性和關聯值可以將用戶分配給理想的客戶、組織、帳戶和/或 Launchpad 實體這些特定的 Frame 角色。
