Configurar acesso e função do usuário do FMC 

Opções de download

  • PDF     (966.6 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:14 de abril de 2026
ID do documento:225724

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Problema

Este documento descreve como configurar permissões de usuário diferentes para vários usuários no FMC em subdomínios e domínios globais.

Ambiente

  • Cisco Secure Firewall Management Center (FMC) - 7.6.4 (aplicável a todos os FMCs)
  • Implantação em vários domínios com domínio e subdomínios globais
  • Vários dispositivos FTD atribuídos a diferentes subdomínios
  • Vários usuários que exigem diferentes níveis de permissão

Resolução

Este documento resolve como configurar permissões de usuário diferentes para vários usuários no FMC em domínios globais e subdomínios, com a capacidade de restringir o acesso entre domínios e limitar o acesso global ao domínio para usuários específicos. O Cisco FMC suporta atribuição de função de usuário granular em vários domínios com a capacidade de restringir o acesso entre domínios. A configuração envolve a criação de usuários em domínios específicos e a atribuição de funções apropriadas para controlar níveis de acesso.

Criar comportamento de acesso de usuário e domínio

O sistema de gestão de utilizadores do CVP funciona de forma diferente consoante o local onde os utilizadores são criados:

Usuários criados em subdomínios

  • Os usuários criados diretamente em um subdomínio só são visíveis dentro do domínio específico:

Users Created in Sub-Domains Step 1inline_image_0.pngUsers Created in Sub-Domains Step 2inline_image_1.png

  • Esses usuários devem fazer logon usando o formato de especificação de domínio: subdomínio\nome de usuário.

  • O acesso é automaticamente restrito ao domínio em que o usuário foi criado:

Users Created in Sub-Domains Step 3inline_image_2.png

  • As funções personalizadas criadas no subdomínio aplicam-se somente a esse domínio.

Usuários criados no domínio global:

  • Os usuários criados a partir do domínio global podem fazer login apenas com seu nome de usuário, mesmo que suas funções estejam apenas em subdomínios.

  • Esses usuários permanecem visíveis na lista de usuários do domínio global:

Users Created in Global Domaininline_image_3.png

  • As atribuições de função podem ser feitas para qualquer domínio descendente:

Role Assignmentsinline_image_4.png

  • O acesso pode ser restrito a subdomínios específicos por meio da atribuição de funções:

Restrict Access to Specific Sub-Domainsinline_image_5.png

Etapas de Configuração para Restrição de Usuário do Subdomínio

  • Navegue até o subdomínio específico onde o acesso deve ser restrito e crie a conta de usuário em Sistema/Usuários.

Navigate to Specific Sub-Domain Step 1inline_image_6.pngNavigate to Specific Sub-Domain Step 2inline_image_7.pngNavigate to Specific Sub-Domain Step 3inline_image_8.png

  • Crie funções personalizadas no subdomínio em Sistema / Funções de Usuário. As funções de usuário personalizadas criadas em um subdomínio estão disponíveis apenas nesse domínio e não podem ser acessadas de outros domínios.

Create Custom Rolesinline_image_9.png

  • Atribua a função personalizada ao usuário. O usuário herda permissões somente para o domínio em que o usuário e a função foram criados.

Assign Custom Role ot Userinline_image_10.png

  • Formato de logon do usuário para usuários de subdomínio. Os usuários criados em subdomínios devem usar este formato de logon:

Nome de usuário: Subdomínio\nome de usuário

Senha: [senha do usuário]

User Logininline_image_11.png

Etapas de Configuração para Usuários de Domínio Global com Restrições de Subdomínio

  • Crie o usuário no domínio Global em Sistema / Usuários. Use uma conta administrativa com acesso de domínio Global para criar o usuário.

Create User in Global Domaininline_image_12.png

  • Atribua funções somente para subdomínios específicos em Sistema/Usuários. Na configuração do usuário, atribua funções exclusivamente para o(s) subdomínio(s) de destino sem fornecer nenhuma permissão de domínio Global.

Users Created in Global Domaininline_image_3.pngAssign Roles only for Specific Sub-Domainsinline_image_14.png

  • Esses usuários podem fazer logon apenas com seus nomes de usuário, sem especificação de domínio:

Nome de usuário: nome de usuário

Senha: [senha do usuário]

User Logininline_image_15.png

  • O usuário só tem acesso aos subdomínios onde as funções foram especificamente atribuídas, sem acesso ao domínio global ou a outros subdomínios.

User Can Access Sub-Domaininline_image_16.png

Flexibilidade de atribuição de função

Os usuários podem ter privilégios diferentes em cada domínio:

  • Privilégios somente leitura no domínio Global com privilégios de Administrador em um domínio descendente

  • Sem acesso global ao domínio com permissões totais de administrador em subdomínios específicos

  • Permissões do Policy Editor em um subdomínio sem acesso a outros subdomínios

Considerações do Usuário Externo

Para usuários externos (autenticação LDAP ou RADIUS):

  • Se as funções de usuário forem atribuídas por meio de associação de grupo ou atributos de usuário, os direitos de acesso mínimos não poderão ser removidos.

  • Direitos adicionais podem ser atribuídos a um escopo maior do que a função de usuário padrão.

  • Os objetos de autenticação externa estão disponíveis apenas no domínio em que foram criados.

  • Permissões de usuário individuais devem ser configuradas em um escopo maior do que a função de Usuário Padrão para a restrição apropriada.

Limitações e considerações

  • As funções de usuário personalizadas criadas em domínios ancestrais não podem ser editadas a partir de domínios descendentes.

  • A Autenticação Shell está disponível apenas no domínio Global, não em subdomínios.

  • As preferências do usuário e as configurações do painel se aplicam a todos os domínios aos quais a conta tem acesso.

  • As modificações de permissão para usuários são configuradas individualmente e não em grupos ou métodos em massa.

Causa

Este requisito decorre da necessidade de implementar um controlo de acesso granular em instalações de CVP com vários domínios em que os utilizadores necessitam de níveis variáveis de acesso a domínios globais e subdomínios, com restrições específicas entre domínios para manter os limites de segurança.

Conteúdo relacionado

Histórico de revisões

Revisão Data de publicação Comentários
1.0
14-Apr-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Echo Quiroz-Garcia
    Engenheiro de consultoria técnica

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos