每个 VMware Cloud Director 预定义角色都包含一组执行常用工作流操作所需的默认权限。默认情况下,所有预定义全局租户角色会发布到系统中的每个组织。
预定义提供者角色
默认情况下,仅提供者组织的本地提供者角色才为系统管理员和多站点系统角色。系统管理员可以创建其他自定义提供者角色。
预定义全局租户角色
默认情况下,预定义全局租户角色(子提供者管理员除外)及其包含的权限将发布到所有组织。系统管理员可从各个组织取消发布权限和全局租户角色。系统管理员可以编辑或删除预定义全局租户角色。系统管理员可以创建和发布其他全局租户角色。您只能将全局租户角色发布到直接租户,也就是说,只能将全局租户角色发布到您直接管理的组织。
服务提供商发布到您的组织的所有默认全局角色
- 子提供者管理员
-
创建组织后,
系统管理员可以将
子提供者管理员角色分配给组织中的任何用户。具有预定义
子提供者管理员角色的用户可以创建和管理组织和组织 VDC,还可以管理子提供者组织中的用户和组以及为其分配角色(包括预定义
子提供者管理员角色)。在子提供者组织中创建的角色对子提供者管理的租户不可见。在子提供者组织中创建并随后发布的全局角色对全局角色发布到的受管组织可见。
有关子提供者角色的详细信息角色,请参见。有关子提供者权限的完整列表,请参见预定义全局租户角色中的 VMware Cloud Director 权限。
- 组织管理员
- 创建组织后, 系统管理员或 子提供者管理员可以将 组织管理员角色分配给组织中的任何用户。具有预定义 组织管理员角色的用户可以管理其组织中的用户和组,并为其分配角色(包括预定义的 组织管理员角色)。某个 组织管理员创建或修改的角色对其他组织不可见。
- 目录作者
- 与预定义的 目录作者角色关联的权限允许用户创建和发布目录。
- vApp 作者
- 与预定义的 vApp 作者角色关联的权限允许用户使用目录并创建 vApp。
- vApp 用户
- 与预定义的 vApp 用户角色关联的权限允许用户使用现有 vApp。
- 仅控制台访问权限
- 与预定义的 仅控制台访问权限角色关联的权限允许用户查看虚拟机状态和属性并使用客户机操作系统。
- 遵从身份提供者
-
与预定义的
遵从身份提供程序角色相关联的权限根据从用户的 OAuth 或 SAML 身份提供程序收到的信息确定。如果为用户或组分配了
遵从身份提供程序角色,则要符合包含条件,身份提供程序提供的角色或组名称必须与组织中定义的角色或组名称完全匹配且大小写一致。
- 如果由 OAuth 身份提供程序定义用户,则会将在用户 OAuth 令牌的 roles 阵列中命名的角色分配给用户。
- 如果由 SAML 身份提供程序定义用户,则会将在 SAML 属性中指定的角色分配给用户,该属性的名称显示在 RoleAttributeName 元素中,该元素位于组织 OrgFederationSettings 的 SamlAttributeMapping 元素中。
每个预定义的角色都包含一组默认权限,遵从身份提供者角色除外。只有系统管理员才能修改预定义角色中的权限。如果系统管理员修改了某个预定义角色,则所做修改将传播到该角色在系统中的所有实例。
预定义全局角色中的权限
多个预定义全局角色共有各种权限。这些权限默认授予给所有新组织,并且可在子提供者管理员或组织管理员创建的其他角色中使用。有关预定义租户角色中权限的列表,请参见预定义全局租户角色中的 VMware Cloud Director 权限。