Jede vordefinierte VMware Cloud Director-Rolle enthält einen Standardsatz an Rechten, die erforderlich sind, um in gemeinsamen Workflows enthaltene Vorgänge auszuführen. Standardmäßig werden alle globalen vordefinierten Mandantenrollen für jeder Organisation im System veröffentlicht:

Vordefinierte Anbieterrollen

Standardmäßig gibt es als lokale Anbieterrollen für die Anbieterorganisationen nur die Rollen Systemadministrator und Multisite-System. Systemadministratoren können zusätzliche benutzerdefinierte Anbieterrollen erstellen.

Systemadministrator
Die Rolle Systemadministrator ist nur in der Anbieterorganisation vorhanden. Die Rolle Systemadministrator umfasst alle Rechte im System. Eine Liste der Rechte, die nur für die Rolle Systemadministrator verfügbar sind, finden Sie unter Systemadministratorrechte. Die Anmeldeinformationen des Systemadministrators werden während der Installation und Konfiguration festgelegt. Ein Systemadministrator kann zusätzliche Systemadministrator- und Benutzerkonten in der Anbieterorganisation einrichten.
Multisite-System
Wird zur Ausführung des Heartbeat-Prozesses für Bereitstellungen mit mehreren Standorten verwendet. Diese Rolle verfügt lediglich über das Recht Multisite: Systemvorgänge, mit dem eine Cloud Director OpenAPI-Anforderung zum Abrufen des Status des Remotemitglieds einer Sitezuordnung gestellt werden kann.

Vordefinierte globale Mandantenrollen

Standardmäßig werden die vordefinierten globalen Mandantenrollen und die darin enthaltenen Rechte für alle Organisationen veröffentlicht. Systemadministratoren können die Veröffentlichung von Rechten und globalen Mandantenrollen einzelner Organisationen rückgängig machen. Systemadministratoren können vordefinierte globale Mandantenrollen bearbeiten oder löschen. Systemadministratoren können zusätzliche globale Mandantenrollen erstellen und veröffentlichen.

Organisationsadministrator
Nach dem Erstellen einer Organisation kann ein Systemadministrator einem beliebigen Benutzer in der Organisation die Rolle Organisationsadministrator zuweisen. Ein Benutzer mit der vordefinierten Rolle Organisationsadministrator kann Benutzer und Gruppen in seiner Organisation verwalten und ihnen Rollen zuweisen, einschließlich der vordefinierten Rolle Organisationsadministrator. Von einem Organisationsadministrator erstellte oder geänderte Rollen sind für andere Organisationen nicht sichtbar.
Katalogautor
Die mit der vordefinierten Rolle Katalogautor verknüpften Rechte ermöglichen es einem Benutzer, Kataloge zu erstellen und zu veröffentlichen.
vApp-Autor
Die mit der vordefinierten Rolle vApp-Autor verknüpften Rechte ermöglichen es einem Benutzer, Kataloge zu verwenden und vApps zu erstellen.
vApp-Benutzer
Die mit der vordefinierten Rolle vApp-Benutzer verknüpften Rechte ermöglichen es einem Benutzer, vorhandene vApps zu verwenden.
Nur Konsolenzugriff
Die mit den vordefinierten Rolle Nur Konsolenzugriff verknüpften Rechte ermöglichen es einem Benutzer, den Status und die Eigenschaften von virtuellen Maschinen anzuzeigen und das Gastbetriebssystem zu verwenden.
Auf Identitätsanbieter zurückstellen
Die mit der vordefinierten Rolle Auf Identitätsanbieter zurückstellen verknüpften Rechte werden basierend auf vom OAuth- oder SAML-Identitätsanbieter empfangenen Informationen festgelegt. Um sich für die Aufnahme zu qualifizieren, wenn einem Benutzer oder einer Gruppe die Rolle Auf Identitätsanbieter zurückstellen zugewiesen ist, muss ein vom Identitätsanbieter bereitgestellter Rollen- oder Gruppenname exakt (unter Berücksichtigung von Groß-/Kleinschreibung) mit einem innerhalb Ihrer Organisation definierten Rollen- oder Gruppennamen übereinstimmen.
  • Wenn ein OAuth-Identitätsanbieter den Benutzer definiert, werden dem Benutzer die im Array roles des benutzereigenen OAuth-Tokens angegebenen Rollen zugewiesen.
  • Wenn ein SAML-Identitätsanbieter den Benutzer definiert, werden dem Benutzer die Rollen zugewiesen, die in dem SAML-Attribut angegeben werden, dessen Name im Element RoleAttributeName angezeigt wird, das sich wiederum im Element SamlAttributeMapping in OrgFederationSettings der Organisation befindet.
Wenn einem Benutzer die Rolle Auf Identitätsanbieter zurückstellen zugewiesen wird, jedoch keine übereinstimmende Rolle bzw. kein übereinstimmender Gruppenname in Ihrer Organisation vorhanden ist, kann sich der Benutzer bei der Organisation anmelden, verfügt jedoch über keine Rechte. Wenn ein Identitätsanbieter einem Benutzer eine Rolle auf Systemebene zuweist, wie beispielsweise die eines Systemadministrators, kann sich der Benutzer bei der Organisation anmelden, verfügt jedoch über keine Rechte. Solchen Benutzern müssen Sie eine Rolle manuell zuweisen.

Mit Ausnahme der Rolle Auf Identitätsanbieter zurückstellen enthält jede vordefinierte Rolle einen Satz von Standardrechten. Nur ein Systemadministrator kann die Rechte in einer vordefinierten Rolle ändern. Wenn ein Systemadministrator eine vordefinierte Rolle ändert, werden die Änderungen an alle Instanzen der Rolle im System weitergegeben.

Rechte in vordefinierten globalen Mandantenrollen

Ein Systemadministrator kann das Service Provider Admin Portal verwenden, um die Liste der in einer Rolle enthaltenen Rechte anzuzeigen.
  1. Klicken Sie in der oberen Navigationsleiste auf Administration.
  2. Wählen Sie im linken Bereich unter Zugriffssteuerung Anbieter die Option Rollen.
  3. Klicken Sie auf den Namen der Rolle, die Sie anzeigen möchten.
Ein Organisationsadministrator kann das Service Provider Admin Portal oder die Cloud Director OpenAPI verwenden, um die Rechte in einer Rolle anzuzeigen oder lokale Rollen für die Organisation zu erstellen.

Mehrere vordefinierte globale Rollen haben verschiedene Rechte gemein. Diese Rechte werden standardmäßig allen neuen Organisationen gewährt und können in anderen Rollen verwendet werden, die vom Organisationsadministrator erstellt werden. Eine Liste der Rechte in vordefinierten Mandantenrollen finden Sie unter Rechte in vordefinierten globalen Mandantenrollen.