O vSphere oferece suporte a vários modelos para determinar se um usuário tem permissão para realizar uma tarefa. A associação de grupo em um grupo do vCenter Single Sign-On decide o que você tem permissão para fazer. Sua função em um objeto ou sua permissão global determina se você tem permissão para realizar outras tarefas.
Visão geral da autorização
O vSphere permite que usuários com privilégios concedam a outros usuários permissões para realizar tarefas. Você pode usar permissões globais ou pode usar permissões locais do vCenter Server para autorizar outros usuários para instâncias individuais do vCenter Server.
A figura a seguir ilustra como as permissões globais e locais funcionam.
Nesta figura:
- Você atribui uma permissão global no nível do objeto raiz com "Propagar para filhos" selecionado.
- vCenter Server propaga as permissões para as hierarquias de objeto vCenter Server 1 e vCenter Server 2 no ambiente.
- Uma permissão local na pasta raiz em vCenter Server 2 substitui a permissão global.
- Permissões de vCenter Server
-
O modelo de permissão para sistemas vCenter Server depende da atribuição de permissões a objetos na hierarquia de objetos. Os usuários obtêm permissões das seguintes maneiras.
- De uma permissão específica para o usuário ou dos grupos dos quais o usuário é membro
- De uma permissão no objeto ou por meio da herança de permissão de um objeto pai
Cada permissão concede a um usuário ou grupo um conjunto de privilégios, ou seja, uma função para um objeto selecionado. Você pode usar o vSphere Client para adicionar permissões. Por exemplo, você pode clicar com o botão direito do mouse em uma máquina virtual, selecionar Adicionar permissão (Add Permission) e preencher a caixa de diálogo para atribuir uma função a um grupo de usuários. Essa função concede a esses usuários os privilégios correspondentes na máquina virtual.
- Permissões globais
- As permissões globais dão a um usuário ou grupo privilégios para exibir ou gerenciar todos os objetos em cada uma das hierarquias de inventário das soluções na implantação. Ou seja, as permissões globais são aplicadas a um objeto raiz global que abrange hierarquias de inventário de solução. (As soluções incluem vCenter Server, vRealize Orchestrator e assim por diante.) Permissões globais também se aplicam a objetos globais, como tags e bibliotecas de conteúdo. Por exemplo, considere uma implantação que consiste em duas soluções, vCenter Server e vRealize Orchestrator. Você pode usar permissões globais para atribuir uma função a um grupo de usuários que tenha privilégios somente leitura para todos os objetos nas hierarquias de objeto vCenter Server e vRealize Orchestrator.
- Associação de grupo em vCenter Single Sign-On grupos
- Os membros de um grupo de domínio vCenter Single Sign-On podem realizar determinadas tarefas. Por exemplo, você pode executar o gerenciamento de licenças se for um membro do grupo LicenseService.Administrators. Consulte a documentação do Autenticação do vSphere .
Compreendendo o modelo de permissão de nível de objeto
Você autoriza um usuário ou grupo a realizar tarefas em objetos vCenter Server usando permissões no objeto. Do ponto de vista programático, quando um usuário tenta realizar uma operação, um método de API é executado. vCenter Server verifica as permissões para esse método para ver se o usuário está autorizado a realizar a operação. Por exemplo, quando um usuário tenta adicionar um host, o método AddStandaloneHost_Task(addStandaloneHost) é chamado. Este método requer que a função para o usuário tenha o privilégio . Se a verificação não encontrar esse privilégio, o usuário terá a permissão negada para adicionar o host.
Os seguintes conceitos são importantes.
- Permissões
- Cada objeto na hierarquia de objetos vCenter Server tem permissões associadas. Cada permissão especifica para um grupo ou usuário quais privilégios esse grupo ou usuário tem no objeto. As permissões podem se propagar para objetos herdeiros.
- Usuários e Grupos
- Em sistemas do vCenter Server, você pode atribuir privilégios apenas a usuários autenticados ou grupos de usuários autenticados. Os usuários são autenticados por meio do vCenter Single Sign-On. Os usuários e os grupos devem ser definidos na origem da identidade que o vCenter Single Sign-On usa para autenticar. Defina usuários e grupos usando as ferramentas na sua origem de identidade, por exemplo, Active Directory.
- Privilégios
- Privilégios são controles de acesso refinados. Você pode agrupar esses privilégios em funções, que podem ser mapeadas para usuários ou grupos.
- Funções
- As funções são conjuntos de privilégios. As funções permitem que você atribua permissões em um objeto com base em um conjunto típico de tarefas que os usuários executam. As funções do sistema, como Administrador, são predefinidas em vCenter Server e não podem ser alteradas. O vCenter Server também fornece algumas funções de amostra padrão, como Administrador do Pool de Recursos, que você pode modificar. Você pode criar funções personalizadas do zero ou clonando e modificando funções de amostra. Consulte Criar uma função personalizada do vCenter Server.
A figura a seguir ilustra como uma permissão é construída a partir de privilégios e funções e atribuída a um usuário ou grupo para um objeto do vSphere.
- Selecione o objeto ao qual você deseja aplicar a permissão na hierarquia de objetos vCenter Server.
- Selecione o grupo ou usuário que deve ter privilégios no objeto.
- Selecione privilégios individuais ou uma função, que é um conjunto de privilégios, que o grupo ou usuário deve ter no objeto.
Por padrão, a opção Propagar para filhos não está selecionada. Você deve marcar a caixa de seleção para que o grupo ou usuário tenha a função selecionada no objeto selecionado e seus objetos herdeiros.
O vCenter Server oferece funções de amostra, que combinam conjuntos de privilégios usados com frequência. Você também pode criar funções personalizadas combinando um conjunto de funções.
As permissões geralmente devem ser definidas em um objeto de origem e um objeto de destino. Por exemplo, se você mover uma máquina virtual, precisará de privilégios nessa máquina virtual, mas também de privilégios no centro de dados de destino.
Para saber mais sobre ... | Consulte… |
---|---|
Criando funções personalizadas. | Criar uma função personalizada do vCenter Server |
Todos os privilégios e os objetos aos quais você pode aplicar os privilégios | Privilégios definidos |
Conjuntos de privilégios que são necessários em diferentes objetos para diferentes tarefas. | Privilégios necessários para tarefas comuns |
vCenter Server Validação do usuário
Os sistemas vCenter Server que usam um serviço de diretório regularmente validam usuários e grupos em relação ao domínio de diretório do usuário. A validação ocorre em intervalos regulares especificados nas configurações de vCenter Server. Por exemplo, suponha que o usuário Smith tenha atribuído uma função em vários objetos. O administrador do domínio altera o nome para Smith2. O host conclui que Smith não existe mais e remove as permissões associadas a esse usuário dos objetos do vSphere quando ocorre a próxima validação.
Da mesma forma, se o usuário Smith for removido do domínio, todas as permissões associadas a esse usuário serão removidas quando a próxima validação ocorrer. Se um novo usuário Smith for adicionado ao domínio antes que a próxima validação ocorra, o novo usuário Smith substituirá o antigo usuário Smith em permissões em qualquer objeto.