Als Cloud-Administrator möchten Sie steuern, welche Aufgaben Ihre Benutzer in VMware Aria Automation ausführen können. Abhängig von Ihren Verwaltungszielen und den Zuständigkeiten des Anwendungsentwicklungsteams können Sie die Benutzerrollen für die Unterstützung dieser Ziele auf verschiedene Arten konfigurieren.
Die folgenden Automation Assembler- und Automation Service Broker-Beispiele basieren auf drei Anwendungsbeispielen. Diese Beispiele bieten nur genügend Anweisungen, um die Anwendung von Benutzerrollen zu veranschaulichen.
Die Zielgruppe für diese Anwendungsbeispiele sind der Cloud-Administrator, der auch solcher betrachtet wird, und die Dienstadministratoren.
Die Anwendungsbeispiele bauen aufeinander auf. Auch wenn Sie bereit sind, direkt zu Anwendungsbeispiel 3 zu gehen, müssen Sie möglicherweise die Anwendungsbeispiele 1 und 2 durchgehen, um besser zu verstehen, warum Sie die Rollen in der angegebenen Weise konfigurieren.
Der Zweck der Anwendungsbeispiele besteht darin, Benutzerrollen zu demonstrieren. Es geht nicht um detaillierte Informationen zum Konfigurieren Ihrer Infrastruktur, Verwalten von Projekten, Erstellen von Cloud-Vorlagen und Arbeiten mit Bereitstellungen.
Bevor Sie beginnen, müssen Sie die Ebenen der Benutzerrollen verstehen, die von einem Cloud-Administrator in der VMware Aria Automation-Konsole konfiguriert werden.
- Organisationsrollen
Die Organisationsrollen steuern, wer auf die Konsole zugreifen kann.
Als Organisationsbesitzer müssen Sie sicherstellen, dass allen Benutzern von Diensten mindestens eine Organisationsmitglieds-Rolle zugewiesen wird.
Rolle Beschreibung Organisationsbesitzer Ein Administrator kann Benutzer hinzufügen, die Rolle der Benutzer ändern und Benutzer aus der Organisation entfernen. Der Besitzer verwaltet, auf welche Dienste Benutzer Zugriff haben. Organisationsmitglied Ein allgemeiner Benutzer kann sich bei der Organisationskonsole anmelden. Für den Zugriff auf die Dienste muss ein Organisationsbesitzer den Benutzern Dienstrollen zuweisen. - Dienstrollen
Die Dienstrollen steuern, wer auf ihre zugewiesenen Dienste zugreifen kann.
Als Organisationsbesitzer müssen Sie sicherstellen, dass den Benutzern, die Zugriff auf die Dienste benötigen, die entsprechende Rolle zugewiesen wird. Sie verwenden die Rollen, um zu steuern, wie viel der Benutzer in jedem Dienst tun kann.
Tabelle 1. Beschreibungen der Automation Assembler-Dienstrollen Rolle Beschreibung Assembler-Administrator Ein Benutzer, der über Lese- und Schreibzugriff auf die gesamte Benutzeroberfläche und die API-Ressourcen verfügt. Dies ist die einzige Benutzerrolle, mit alles angezeigt und durchgeführt werden kann, einschließlich Cloud-Konten hinzufügen, neue Projekte erstellen und einen Projektadministrator zuweisen. Assembler-Benutzer Ein Benutzer, der nicht über die Rolle des Assembler-Administrators verfügt. In einem Automation Assembler-Projekt fügt der Administrator Projekten Benutzer als Projektmitglieder, -administratoren oder -Viewer hinzu. Der Administrator kann auch einen Projektadministrator hinzufügen.
Assembler-Viewer Ein Benutzer, der Lesezugriff zum Anzeigen von Informationen hat, Werte jedoch nicht erstellen, aktualisieren oder löschen kann. Dies ist eine Rolle, die für alle Projekte in allen Diensten nur über Leserechte verfügt. Benutzer mit der Rolle „Viewer“ können alle für den Administrator verfügbaren Informationen anzeigen. Er kann keine Aktionen ausführen, es sei denn, er wird zu einem Projektadministrator oder Projektmitglied gemacht. Wenn der Benutzer zu einem Projekt gehört, verfügt er über die Berechtigungen, die mit dieser Rolle verbunden sind. Der Projekt-Viewer erweitert seine Berechtigungen nicht in der Weise, wie dies bei den Rollen „Projektadministrator“ oder „Projektmitglied“ der Fall ist.
Tabelle 2. Beschreibungen der Service Broker-Dienstrollen Rolle Beschreibung Service Broker-Administrator Muss über Lese- und Schreibzugriff auf die gesamte Benutzeroberfläche und die API-Ressourcen verfügen. Dies ist die einzige Benutzerrolle, mit der alle Aufgaben ausgeführt werden können, zum Beispiel das Erstellen eines neuen Projekts und die Zuweisung eines Projektadministrators. Service Broker-Benutzer Jeder Benutzer, der nicht über die Automation Service Broker-Administratorrolle verfügt. In einem Automation Service Broker-Projekt fügt der Administrator Projekten Benutzer als Projektmitglieder, -administratoren oder -Viewer hinzu. Der Administrator kann auch einen Projektadministrator hinzufügen.
Service Broker-Viewer Ein Benutzer, der Lesezugriff zum Anzeigen von Informationen hat, Werte jedoch nicht erstellen, aktualisieren oder löschen kann. Dies ist eine Rolle, die für alle Projekte in allen Diensten nur über Leserechte verfügt. Benutzer mit der Rolle „Viewer“ können alle für den Administrator verfügbaren Informationen anzeigen. Er kann keine Aktionen ausführen, es sei denn, er wird zu einem Projektadministrator oder Projektmitglied gemacht. Wenn der Benutzer zu einem Projekt gehört, verfügt er über die Berechtigungen, die mit dieser Rolle verbunden sind. Der Projekt-Viewer erweitert seine Berechtigungen nicht in der Weise, wie dies bei den Rollen „Projektadministrator“ oder „Projektmitglied“ der Fall ist.
Tabelle 3. Beschreibungen der Pipelines-Dienstrollen Rolle Beschreibung Pipeline-Administrator Ein Benutzer, der über Lese- und Schreibzugriff auf die gesamte Benutzeroberfläche und die API-Ressourcen verfügt. Dies ist die einzige Benutzerrolle, der alles angezeigt wird und die alle Aktionen ausführen kann, einschließlich dem Erstellen von Projekten, Integrieren von Endpoints, Hinzufügen von Auslösern, Erstellen von Pipelines und benutzerdefinierten Dashboards, Markieren von Endpoints und Variablen als eingeschränkte Ressourcen, Ausführen von Pipelines, die eingeschränkte Ressourcen verwenden, und Anfordern der Veröffentlichung von Pipelines in Automation Service Broker. Pipelines-Entwickler Ein Benutzer, der mit Pipelines, aber nicht mit eingeschränkten Endpoints oder Variablen arbeiten kann. Wenn eine Pipeline einen eingeschränkten Endpoint oder eine eingeschränkte Variable enthält, muss dieser Benutzer eine Genehmigung für die Pipeline-Aufgabe erhalten, die den eingeschränkten Endpoint oder die eingeschränkte Variable verwendet. Pipelines-Executor Ein Benutzer, der Pipelines ausführen und Benutzervorgangsaufgaben genehmigen oder ablehnen kann. Dieser Benutzer kann Ausführungen von Pipelines fortsetzen, anhalten und abbrechen, er kann jedoch Pipelines nicht ändern. Pipelines-Benutzer Ein Benutzer, der auf Automation Pipelines zugreifen kann, jedoch über keine anderen Rechte in Automation Pipelines verfügt. Pipelines-Viewer Ein Benutzer, der über Lesezugriff zum Anzeigen von Pipelines, Endpoints, Pipeline-Ausführungen und Dashboards verfügt, diese jedoch nicht erstellen, aktualisieren oder löschen kann. Ein Benutzer, der auch über die Rolle „Dienst-Viewer“ verfügt, kann alle für den Administrator verfügbaren Informationen anzeigen. Er kann keine Aktionen ausführen, es sei denn, er wird zu einem Projektadministrator oder Projektmitglied gemacht. Wenn der Benutzer zu einem Projekt gehört, verfügt er über die Berechtigungen, die mit dieser Rolle verbunden sind. Der Projekt-Viewer erweitert seine Berechtigungen nicht in der Weise, wie dies bei den Rollen „Projektadministrator“ oder „Projektmitglied“ der Fall ist. - Projektmitgliedschaftsrollen
Die Projektmitgliedschaft legt fest, welche Infrastrukturressourcen und Cloud-Vorlagen verfügbar sind.
Die Projektmitgliedschaft wird im Dienst von einem Benutzer mit einer Dienstadministrator-Rolle definiert. Der Dienstadministrator muss sicherstellen, dass den Benutzern, die Zugriff auf ein oder mehrere Projekte benötigen, die entsprechende Projekt-Rolle in jedem Projekt zugewiesen wird.
Tabelle 4. Projektrollen Rolle Beschreibung Projektadministrator Ein Projektadministrator kann seine eigenen Projekte verwalten, Cloud-Vorlagen erstellen und bereitstellen, die mit seinen Projekten verknüpft sind, und Projektbereitstellungen für alle Projektmitglieder verwalten. Projektmitglied Ein Projektmitglied kann Cloud-Vorlagen erstellen und bereitstellen, die mit seinen Projekten verknüpft sind, und seine eigenen sowie alle freigegebenen Bereitstellungen verwalten. Projekt-Viewer Ein Projekt-Viewer ist ein Mitglied des Projekts mit schreibgeschütztem Zugriff auf seine Projektressourcen, Cloud-Vorlagen und Bereitstellungen. - Benutzerdefinierte Rollen
Die benutzerdefinierten Rollen werden von Automation Assembler zur Optimierung der Mitglieds- und Viewer-Rollen erstellt.
Die in diesen Anwendungsbeispielen gezeigten Verfahren sind dazu gedacht, die Benutzerrollen zu erläutern. Es handelt sich nicht um detaillierte oder definitive Verfahren zum Einrichten von VMware Aria Automation.
Bedenken Sie bei der Konfiguration von Rollen, dass Benutzer, die API-Vorgänge ausführen, den Rollen unterliegen, die Sie hier zuweisen.
Voraussetzungen
- Stellen Sie sicher, dass Sie über die Organisationsbesitzer-Rolle verfügen. Sie müssen die Registerkarte Identitäts- und Zugriffsverwaltung anzeigen können, um sich bei der Konsole anzumelden. Wenn dies nicht der Fall ist, wenden Sie sich an den Organisationsbesitzer.
- Stellen Sie sicher, dass Sie über die Dienstadministratorrolle für die verschiedenen Dienste verfügen. Wenn Sie sich nicht sicher sind, über welche Rolle Sie verfügen, wenden Sie sich an den Organisationsbesitzer.
- Stellen Sie sicher, dass Ihre Benutzer zu VMware Aria Automation hinzugefügt wurden.
Möglicherweise müssen Sie diese hinzufügen.
- Eine ausführlichere Aufgaben- und Rollenliste für verschiedene Rollen finden Sie unter Organisations- und Dienstbenutzerrollen in vRealize Automation.