授权决定用户或进程可以访问或修改 vRealize Suite 部署中的哪些组件。vRealize Suite 中的不同产品以不同的粒度级别处理授权。
不同类型的管理员负责针对不同产品或产品组件向不同类型的用户分配访问权限。
vCenter Server 授权
vCenter Server 权限模型允许管理员针对 vCenter Server 对象层次结构中的特定对象为用户或组分配角色。角色是特权集。vCenter Server 包含预定义的角色,但是您也可以创建自定义角色。
在很多情况下,必须同时在源对象和目标对象上定义权限。例如,如果移动虚拟机,则不仅需要针对该虚拟机的某些特权,还需要针对目标数据中心的相应特权。
此外,使用全局权限可以向 vCenter 对象层次结构中的所有对象分配某些用户特权。使用全局权限时需谨慎,在按对象层次结构向下传播权限时尤其如此。
有关详细信息以及 vCenter Server 权限的说明视频,请参见《vSphere 安全性》文档。
vRealize Automation 身份验证
通过 vRealize Automation,可以使用预定义角色决定用户或组可以执行的任务。与 vCenter Server 相反,您无法定义自定义角色,但提供了丰富的预定义角色集。
身份验证和授权按如下方式进行操作:
- 系统管理员将执行单点登录和基本租户设置的初始配置,包括为每个租户指定至少一个身份存储和租户管理员。
- 此后,租户管理员可配置其他身份存储并将角色分配给身份存储中的用户或组。
租户管理员还可在其自身的租户中创建自定义组,并将身份存储中定义的用户和组添加到自定义组中。可以为身份存储组和用户等自定义组分配角色
- 然后管理员可根据用户和组本身所属的角色,将角色分配给用户和组。
- 提供了一组系统范围的预定义角色,例如,系统管理员、IaaS 管理员和架构管理员。
- 还提供了一组单独的预定义租户角色,例如,租户管理员或应用程序目录管理员。