预定义 VMware Cloud Director 角色及其权限

每个 VMware Cloud Director 预定义角色都包含一组执行常用工作流操作所需的默认权限。默认情况下，所有预定义全局租户角色会发布到系统中的每个组织。

预定义提供者角色

默认情况下，仅提供者组织的本地提供者角色才为系统管理员和多站点系统角色。系统管理员可以创建其他自定义提供者角色。

系统管理员: 系统管理员角色仅在提供者组织中存在。系统管理员角色包括系统中的所有权限。有关仅适用于系统管理员角色的权限列表，请参见《VMware Cloud Director 服务提供商管理指南》。系统管理员凭据在安装和配置过程中创建。系统管理员可在提供者组织中创建其他系统管理员和用户帐户。
多站点系统: 用于为多站点部署运行检测信号进程。该角色只有一个权限，即多站点：系统操作，该权限允许发出 Cloud Director OpenAPI 请求以检索站点关联的远程成员的状态。

预定义全局租户角色

默认情况下，预定义全局租户角色（子提供者管理员除外）及其包含的权限将发布到所有组织。系统管理员可从各个组织取消发布权限和全局租户角色。系统管理员可以编辑或删除预定义全局租户角色。系统管理员可以创建和发布其他全局租户角色。您只能将全局租户角色发布到直接租户，也就是说，只能将全局租户角色发布到您直接管理的组织。

服务提供商发布到您的组织的所有默认全局角色

子提供者管理员

创建组织后，系统管理员可以将子提供者管理员角色分配给组织中的任何用户。具有预定义子提供者管理员角色的用户可以创建和管理组织和组织 VDC，还可以管理子提供者组织中的用户和组以及为其分配角色（包括预定义子提供者管理员角色）。在子提供者组织中创建的角色对子提供者管理的租户不可见。在子提供者组织中创建并随后发布的全局角色对全局角色发布到的受管组织可见。

有关子提供者角色的详细信息角色，请参见。有关子提供者权限的完整列表，请参见预定义全局租户角色中的 VMware Cloud Director 权限。

组织管理员

创建组织后，系统管理员或子提供者管理员可以将组织管理员角色分配给组织中的任何用户。具有预定义组织管理员角色的用户可以管理其组织中的用户和组，并为其分配角色（包括预定义的组织管理员角色）。某个组织管理员创建或修改的角色对其他组织不可见。

目录作者

与预定义的目录作者角色关联的权限允许用户创建和发布目录。

vApp 作者

与预定义的 vApp 作者角色关联的权限允许用户使用目录并创建 vApp。

vApp 用户

与预定义的 vApp 用户角色关联的权限允许用户使用现有 vApp。

仅控制台访问权限

与预定义的仅控制台访问权限角色关联的权限允许用户查看虚拟机状态和属性并使用客户机操作系统。

遵从身份提供者

与预定义的遵从身份提供程序角色相关联的权限根据从用户的 OAuth 或 SAML 身份提供程序收到的信息确定。如果为用户或组分配了遵从身份提供程序角色，则要符合包含条件，身份提供程序提供的角色或组名称必须与组织中定义的角色或组名称完全匹配且大小写一致。

如果由 OAuth 身份提供程序定义用户，则会将在用户 OAuth 令牌的 roles 阵列中命名的角色分配给用户。
如果由 SAML 身份提供程序定义用户，则会将在 SAML 属性中指定的角色分配给用户，该属性的名称显示在 RoleAttributeName 元素中，该元素位于组织 OrgFederationSettings 的 SamlAttributeMapping 元素中。

如果为用户分配了遵从身份提供者角色，但组织中没有匹配的角色或组名称，则用户可以登录组织，但没有任何权限。如果身份提供程序将用户与某个系统级角色（例如系统管理员）相关联，则该用户可以登录到该组织，但没有任何权限。必须手动为此类用户分配角色。

每个预定义的角色都包含一组默认权限，遵从身份提供者角色除外。只有系统管理员才能修改预定义角色中的权限。如果系统管理员修改了某个预定义角色，则所做修改将传播到该角色在系统中的所有实例。

预定义全局角色中的权限

多个预定义全局角色共有各种权限。这些权限默认授予给所有新组织，并且可在子提供者管理员或组织管理员创建的其他角色中使用。有关预定义租户角色中权限的列表，请参见预定义全局租户角色中的 VMware Cloud Director 权限。