如何为 1 个以上的子租户配置基于角色的管理访问panorama为了Prisma access多租户环境。
3957
Created On 07/12/21 04:58 AM - Last Modified 05/17/23 03:27 AM
Objective
创建具有基于角色的管理员访问权限的用户Panorama每个用户可以分配多个Prisma Access子租户或访问域,并避免公开这些用户的所有子租户。
Environment
- Prisma Access 多租户环境由Panorama.
- Panorama 版本:9.1.11 或以上。
- Cloud services plugin: 2.0.0-h13 或 2.1.0-h4 或以上
Procedure
1:配置Prisma Access对于多租户,根据使用以下文档的要求,并将唯一的访问域与每个子租户相关联。
规划您的多租户部署
2:导航到GUI:Panorama > 访问域验证每个子租户都有唯一的访问域。
3:导航到GUI:Panorama > 管理员角色. 为角色类型为“的每个租户添加管理员角色”设备组和模板“ 和使能够Web 中的所有组件UI.
4:创建一个管理员用户GUI:Panorama > 管理员并选择管理员类型为“设备组和模板" 并添加具有各自角色的访问域。 这里创建了一个名为“admin1234”的用户来管理 2 个子租户。 访问域分别是 Eng_Tenant 和 Marketing_Tenant,它们的管理角色 First_tenant 和 second_tenant 是在前面的步骤中创建的。 实际的子租户名称在此步骤中不可见。
5:执行panorama当地的犯罪保存配置。
6:现在登录panorama使用新添加的用户。 该页面仅加载 1 个访问域,并且在页面的左下角可见。
7:要将租户 /access-domain 从 Eng_Tenant 切换到 Marketing_Tenant,请单击 Access domain 下拉菜单并选择第二个域。 页面加载后,需要刷新整个页面以加载第二个租户的云插件配置。
8:每次用户将租户从第一租户切换到第二租户或相反时,都需要进行页面刷新。
Additional Information
如果panorama正在运行 9.1.10 或以下版本,该功能可能无法正常使用。 A 等不及9.1.11发布的用户可以使用基于9.1.10的热修复。 或者,他们可以升级到 10.0.6 或更高版本。
此设置还取决于插件版本,租户切换需要插件 2.0.0-h13 或 2.1.0-h4 才能工作。
如果用户不刷新panorama选择第二个访问域后的浏览器页面,一个UI错误"未经授权的请求" 可以呈现给用户。 这将通过未来的云插件版本进一步改进。 在此之前,刷新浏览器以加载配置。