So konfigurieren Sie den rollenbasierten Verwaltungszugriff für mehr als 1 Untermandanten aus einer panorama Prisma access mehrinstanzenfähigen Umgebung.
3951
Created On 07/12/21 04:58 AM - Last Modified 05/17/23 03:27 AM
Objective
Erstellen Sie Benutzer mit rollenbasiertem Administratorzugriff auf die Bereiche, in denen Panorama jedem Benutzer mehr als ein Prisma Access Untermandant oder Zugriffsdomänen zugewiesen werden können, und vermeiden Sie, dass alle Untermandanten für diese Benutzer verfügbar gemacht werden.
Environment
- Prisma Access Mehrinstanzenfähige Umgebung, die von Panorama.
- Panorama Version: 9.1.11 oder höher.
- Cloud services plugin: 2.0.0-h13 oder 2.1.0-h4 oder höher
Procedure
1 : Konfigurieren Sie gemäß den Anforderungen gemäß dem folgenden Dokument für mehrere Mandanten, und ordnen Sie Prisma Access jedem Untermandanten eindeutige Zugriffsdomänen zu.
Planen Sie Ihre mehrinstanzenfähige Bereitstellung
2: Navigieren Sie zu : Panorama > Zugriffsdomäne, um zu GUIüberprüfen, ob für jeden Untermandanten eindeutige Zugriffsdomänen vorhanden sind.
3: Navigieren Sie zuGUI: Panorama > Admin-Rollen. Fügen Sie für jeden Mandanten eine Administratorrolle mit dem Rollentyp "Gerätegruppe und Vorlage" hinzu, und aktivieren Sie alle Komponenten in Web UI.
4: Erstellen Sie einen Admin-Benutzer aus: Panorama > Administratoren und wählen Sie den Administratortyp als "Gerätegruppe und Vorlage" aus GUIund fügen Sie beide Zugriffsdomänen mit ihren jeweiligen Rollen hinzu. Hier wurde ein Benutzer namens "admin1234" erstellt, um 2 Untermandanten zu verwalten. Die Zugriffsdomänen sind Eng_Tenant bzw. Marketing_Tenant, und ihre Administratorrollen First_tenant und second_tenant wurden in den vorherigen Schritten erstellt. Die tatsächlichen Namen der Untermandanten sind in diesem Schritt nicht sichtbar.
5: Führen Sie einen lokalen Commit durchpanorama, um die Konfiguration zu speichern.
6: Melden Sie sich nun mit dem neu hinzugefügten panorama Benutzer an. Die Seite wird mit nur 1 Zugangsdomain geladen und das ist unten links auf der Seite sichtbar.
7: Um den Mandanten /access-domain von Eng_Tenant auf Marketing_Tenant umzustellen, klicken Sie auf das Dropdown-Menü Access domain und wählen Sie die zweite Domain aus. Sobald die Seite geladen ist, muss die gesamte Seite aktualisiert werden, um die Cloud-Plug-in-Konfiguration für den zweiten Mandanten zu laden.
8: Die Seitenaktualisierung muss jedes Mal durchgeführt werden, wenn ein Benutzer den Mandanten vom ersten zum zweiten oder umgekehrt wechselt.
Additional Information
Wenn die Version 9.1.10 oder niedriger ausgeführt wird, funktioniert die panorama Funktion möglicherweise nicht wie erwartet. A Der auf 9.1.10 basierende Hotfix ist für Benutzer verfügbar, die nicht bis zur Veröffentlichung von 9.1.11 warten können. Alternativ können sie ein Upgrade auf Version 10.0.6 oder höher durchführen.
Diese Einrichtung hängt auch von der Plugin-Version ab und Plugin 2.0.0-h13 oder 2.1.0-h4 ist erforderlich, damit der Mandantenwechsel funktioniert.
Wenn der Benutzer die panorama Browserseite nach Auswahl der zweiten Zugriffsdomäne nicht aktualisiert, wird dem Benutzer möglicherweise der UI Fehler " Nicht autorisierte Anfrage" angezeigt. Dies wird durch zukünftige Cloud-Plugin-Releases weiter verbessert. Aktualisieren Sie bis dahin den Browser, um die Konfiguration zu laden.