O vSphere oferece suporte a vários modelos para determinar se um usuário tem permissão para realizar uma tarefa. A associação de grupo em um grupo do vCenter Single Sign-On decide o que você tem permissão para fazer. Sua função em um objeto ou sua permissão global determina se você tem permissão para realizar outras tarefas.

Visão geral da autorização

O vSphere permite que usuários com privilégios concedam a outros usuários permissões para realizar tarefas. Você pode usar permissões globais ou pode usar permissões locais do vCenter Server para autorizar outros usuários para instâncias individuais do vCenter Server.

A figura a seguir ilustra como as permissões globais e locais funcionam.

Figura 1. Permissões globais e permissões locais
Esta figura ilustra como as permissões globais e locais funcionam.

Nesta figura:

  1. Você atribui uma permissão global no nível do objeto raiz com "Propagar para filhos" selecionado.
  2. vCenter Server propaga as permissões para as hierarquias de objeto vCenter Server 1 e vCenter Server 2 no ambiente.
  3. Uma permissão local na pasta raiz em vCenter Server 2 substitui a permissão global.
Permissões de vCenter Server

O modelo de permissão para sistemas vCenter Server depende da atribuição de permissões a objetos na hierarquia de objetos. Os usuários obtêm permissões das seguintes maneiras.

  • De uma permissão específica para o usuário ou dos grupos dos quais o usuário é membro
  • De uma permissão no objeto ou por meio da herança de permissão de um objeto pai

Cada permissão concede a um usuário ou grupo um conjunto de privilégios, ou seja, uma função para um objeto selecionado. Você pode usar o vSphere Client para adicionar permissões. Por exemplo, você pode clicar com o botão direito do mouse em uma máquina virtual, selecionar Adicionar permissão (Add Permission) e preencher a caixa de diálogo para atribuir uma função a um grupo de usuários. Essa função concede a esses usuários os privilégios correspondentes na máquina virtual.

Figura 2. Adicionando permissões a uma máquina virtual usando o vSphere Client
Clique com o botão direito do mouse em uma máquina virtual e selecione Adicionar Permissões para visualizar a caixa de diálogo Adicionar Permissões.
Permissões globais
As permissões globais dão a um usuário ou grupo privilégios para exibir ou gerenciar todos os objetos em cada uma das hierarquias de inventário das soluções na implantação. Ou seja, as permissões globais são aplicadas a um objeto raiz global que abrange hierarquias de inventário de solução. (As soluções incluem vCenter Server, vRealize Orchestrator e assim por diante.) Permissões globais também se aplicam a objetos globais, como tags e bibliotecas de conteúdo. Por exemplo, considere uma implantação que consiste em duas soluções, vCenter Server e vRealize Orchestrator. Você pode usar permissões globais para atribuir uma função a um grupo de usuários que tenha privilégios somente leitura para todos os objetos nas hierarquias de objeto vCenter Server e vRealize Orchestrator.
As permissões globais são replicadas no domínio vCenter Single Sign-On (vsphere.local por padrão). As permissões globais não fornecem autorização para serviços gerenciados por meio dos grupos de domínio do vCenter Single Sign-On. Consulte Permissões globais.
Associação de grupo em vCenter Single Sign-On grupos
Os membros de um grupo de domínio vCenter Single Sign-On podem realizar determinadas tarefas. Por exemplo, você pode executar o gerenciamento de licenças se for um membro do grupo LicenseService.Administrators. Consulte a documentação do Autenticação do vSphere .
ESXi Permissões de host local
Se você estiver gerenciando um host ESXi autônomo que não é gerenciado por um sistema do vCenter Server, poderá atribuir uma das funções predefinidas aos usuários. Consulte a documentação do vSphere Single Host Management - VMware Host Client .
Para hosts gerenciados, atribua funções ao objeto de host ESXi no inventário do vCenter Server.

Compreendendo o modelo de permissão de nível de objeto

Você autoriza um usuário ou grupo a realizar tarefas em objetos vCenter Server usando permissões no objeto. Do ponto de vista programático, quando um usuário tenta realizar uma operação, um método de API é executado. vCenter Server verifica as permissões para esse método para ver se o usuário está autorizado a realizar a operação. Por exemplo, quando um usuário tenta adicionar um host, o método AddStandaloneHost_Task(addStandaloneHost) é chamado. Este método requer que a função para o usuário tenha o privilégio Host . Inventário . Adicionar host autônomo . Se a verificação não encontrar esse privilégio, o usuário terá a permissão negada para adicionar o host.

Os seguintes conceitos são importantes.

Permissões
Cada objeto na hierarquia de objetos vCenter Server tem permissões associadas. Cada permissão especifica para um grupo ou usuário quais privilégios esse grupo ou usuário tem no objeto. As permissões podem se propagar para objetos herdeiros.
Usuários e Grupos
Em sistemas do vCenter Server, você pode atribuir privilégios apenas a usuários autenticados ou grupos de usuários autenticados. Os usuários são autenticados por meio do vCenter Single Sign-On. Os usuários e os grupos devem ser definidos na origem da identidade que o vCenter Single Sign-On usa para autenticar. Defina usuários e grupos usando as ferramentas na sua origem de identidade, por exemplo, Active Directory.
Privilégios
Privilégios são controles de acesso refinados. Você pode agrupar esses privilégios em funções, que podem ser mapeadas para usuários ou grupos.
Funções
As funções são conjuntos de privilégios. As funções permitem que você atribua permissões em um objeto com base em um conjunto típico de tarefas que os usuários executam. As funções do sistema, como Administrador, são predefinidas em vCenter Server e não podem ser alteradas. O vCenter Server também fornece algumas funções de amostra padrão, como Administrador do Pool de Recursos, que você pode modificar. Você pode criar funções personalizadas do zero ou clonando e modificando funções de amostra. Consulte Criar uma função personalizada do vCenter Server.

A figura a seguir ilustra como uma permissão é construída a partir de privilégios e funções e atribuída a um usuário ou grupo para um objeto do vSphere.

Figura 3. Permissões do vSphere
Vários privilégios são combinados em uma função. A função é atribuída a usuários ou grupos.
Para atribuir permissões a um objeto, siga estas etapas:
  1. Selecione o objeto ao qual você deseja aplicar a permissão na hierarquia de objetos vCenter Server.
  2. Selecione o grupo ou usuário que deve ter privilégios no objeto.
  3. Selecione privilégios individuais ou uma função, que é um conjunto de privilégios, que o grupo ou usuário deve ter no objeto.

    Por padrão, a opção Propagar para filhos não está selecionada. Você deve marcar a caixa de seleção para que o grupo ou usuário tenha a função selecionada no objeto selecionado e seus objetos herdeiros.

O vCenter Server oferece funções de amostra, que combinam conjuntos de privilégios usados com frequência. Você também pode criar funções personalizadas combinando um conjunto de funções.

As permissões geralmente devem ser definidas em um objeto de origem e um objeto de destino. Por exemplo, se você mover uma máquina virtual, precisará de privilégios nessa máquina virtual, mas também de privilégios no centro de dados de destino.

Consulte as seguintes informações.
Para saber mais sobre ... Consulte…
Criando funções personalizadas. Criar uma função personalizada do vCenter Server
Todos os privilégios e os objetos aos quais você pode aplicar os privilégios Privilégios definidos
Conjuntos de privilégios que são necessários em diferentes objetos para diferentes tarefas. Privilégios necessários para tarefas comuns
O modelo de permissões para hosts ESXi autônomos é mais simples. Consulte Atribuindo privilégios para ESXi hosts.

vCenter Server Validação do usuário

Os sistemas vCenter Server que usam um serviço de diretório regularmente validam usuários e grupos em relação ao domínio de diretório do usuário. A validação ocorre em intervalos regulares especificados nas configurações de vCenter Server. Por exemplo, suponha que o usuário Smith tenha atribuído uma função em vários objetos. O administrador do domínio altera o nome para Smith2. O host conclui que Smith não existe mais e remove as permissões associadas a esse usuário dos objetos do vSphere quando ocorre a próxima validação.

Da mesma forma, se o usuário Smith for removido do domínio, todas as permissões associadas a esse usuário serão removidas quando a próxima validação ocorrer. Se um novo usuário Smith for adicionado ao domínio antes que a próxima validação ocorra, o novo usuário Smith substituirá o antigo usuário Smith em permissões em qualquer objeto.