每个 VMware Cloud Director 预定义角色都包含一组执行常用工作流操作所需的默认权限。默认情况下,所有预定义全局租户角色会发布到系统中的每个组织。

预定义提供者角色

默认情况下,仅提供者组织的本地提供者角色才为系统管理员多站点系统角色。系统管理员可以创建其他自定义提供者角色。

系统管理员
系统管理员角色仅在提供者组织中存在。 系统管理员角色包括系统中的所有权限。有关仅适用于 系统管理员角色的权限列表,请参见 VMware Cloud Director 中的系统管理员权限系统管理员凭据在安装和配置过程中创建。 系统管理员可在提供者组织中创建其他系统管理员和用户帐户。
多站点系统
用于为多站点部署运行检测信号进程。该角色只有一个权限,即 多站点:系统操作,该权限允许发出 Cloud Director OpenAPI 请求以检索站点关联的远程成员的状态。

预定义全局租户角色

默认情况下,预定义全局租户角色及其包含的权限发布到所有组织。系统管理员可从各个组织取消发布权限和全局租户角色。系统管理员可以编辑或删除预定义全局租户角色。系统管理员可以创建和发布其他全局租户角色。

组织管理员
创建组织后, 系统管理员可以将 组织管理员的角色分配给组织中的任何用户。具有预定义 组织管理员角色的用户可以管理其组织中的用户和组,并为其分配角色(包括预定义的 组织管理员角色)。某个 组织管理员创建或修改的角色对其他组织不可见。
目录作者
与预定义的 目录作者角色关联的权限允许用户创建和发布目录。
vApp 作者
与预定义的 vApp 作者角色关联的权限允许用户使用目录并创建 vApp。
vApp 用户
与预定义的 vApp 用户角色关联的权限允许用户使用现有 vApp。
仅控制台访问权限
与预定义的 仅控制台访问权限角色关联的权限允许用户查看虚拟机状态和属性并使用客户机操作系统。
遵从身份提供者
与预定义的 遵从身份提供程序角色相关联的权限根据从用户的 OAuth 或 SAML 身份提供程序收到的信息确定。如果为用户或组分配了 遵从身份提供程序角色,则要符合包含条件,身份提供程序提供的角色或组名称必须与组织中定义的角色或组名称完全匹配且大小写一致。
  • 如果由 OAuth 身份提供程序定义用户,则会将在用户 OAuth 令牌的 roles 阵列中命名的角色分配给用户。
  • 如果由 SAML 身份提供程序定义用户,则会将在 SAML 属性中指定的角色分配给用户,该属性的名称显示在 RoleAttributeName 元素中,该元素位于组织 OrgFederationSettingsSamlAttributeMapping 元素中。
如果为用户分配了 遵从身份提供者角色,但组织中没有匹配的角色或组名称,则用户可以登录组织,但没有任何权限。如果身份提供程序将用户与某个系统级角色(例如 系统管理员)相关联,则该用户可以登录到该组织,但没有任何权限。必须手动为此类用户分配角色。

每个预定义的角色都包含一组默认权限,遵从身份提供者角色除外。只有系统管理员才能修改预定义角色中的权限。如果系统管理员修改了某个预定义角色,则所做修改将传播到该角色在系统中的所有实例。

预定义全局角色中的权限

系统管理员可以使用 Service Provider Admin Portal 查看角色中所含权限的列表。
  1. 在顶部导航栏中,单击管理
  2. 在左侧面板中的提供者访问控制下,选择角色
  3. 单击要查看的角色的名称。
组织管理员可以使用 Service Provider Admin Portal 或 Cloud Director OpenAPI 查看角色中的权限,或者为组织创建本地角色。

多个预定义全局角色共有各种权限。这些权限默认授予所有新组织,并且可在组织管理员创建的其他角色中使用。有关预定义租户角色中权限的列表,请参见预定义全局租户角色中的 VMware Cloud Director 权限