Dienstanbieter können die VMware Cloud Director-API verwenden, um Erweiterungen zu erstellen, die den Mandanten zusätzliche VMware Cloud Director-Funktionen bieten. Wenn Ihnen ein Dienstanbieter Zugriff gewährt hat, können Sie definierte Entitäten verwalten und diese gemeinsam mit anderen Mandanten nutzen.

Dienstanbieter können laufzeitdefinierte Entitätstypen erstellen, wodurch Erweiterungen die erweiterungsspezifischen Informationen in VMware Cloud Director speichern und bearbeiten können. Beispielsweise kann eine Kubernetes-Erweiterung Informationen zu den Kubernetes-Clustern speichern, die sie in laufzeitdefinierten Entitäten verwaltet. Die Erweiterung kann anschließend Erweiterungs-APIs für die Verwaltung dieser Cluster unter Verwendung der Informationen aus den laufzeitdefinierten Entitäten bereitstellen. Wenn der Dienstanbieter das Rechtepaket für den für den laufzeitdefinierten Entitätstyp freigibt, können Sie Instanzen des Typs erstellen.

Wenn Sie eine definierte Entität in einer Mandantenorganisation erstellen, können Sie die definierte Entität nicht für Mandanten in einer anderen Organisation freigeben. Sie können den Besitzer einer definierten Entität nicht in einen Benutzer in einer anderen Organisation ändern.

Zugriff auf definierte Entitäten

Zwei sich ergänzende Mechanismen steuern den Zugriff auf laufzeitdefinierte Entitäten.

  • Rechte: Wenn ein Dienstanbieter einen laufzeitdefinierten Entitätstyp erstellt, so erstellt er ein Rechtepaket für den Typ. Ein Dienstanbieter muss Ihnen mindestens eines der fünf typspezifischen Rechte zuweisen: Ansicht: TYPE, Bearbeiten: TYPE, Vollständige Kontrolle: TYPE, Administratoransicht: TYPE und Vollständige Kontrolle des Administrators: TYPE.

    Die Rechte Ansicht: TYPE, Bearbeiten: TYPE und Vollständige Kontrolle: TYPE funktionieren nur in Kombination mit einem ACL-Eintrag.

  • Zugriffssteuerungsliste (ACL): Die ACL-Tabelle enthält Einträge, die den Zugriff der Benutzer auf bestimmte Entitäten im System definieren. Sie bietet eine zusätzliche Kontrollebene für die Entitäten. Beispiel: Das Recht Bearbeiten: TYPE gibt an, dass ein Benutzer Entitäten ändern kann, auf die er Zugriff hat, und die ACL-Tabelle legt fest, auf welche Entitäten der Benutzer Zugriff hat.
Tabelle 1. Rechte und ACL-Einträge für RDE-Vorgänge
Vorgang für Entität Option Beschreibung
Lesen Recht Administratoransicht: TYPE Benutzer mit diesem Recht können alle laufzeitdefinierten Entitäten dieses Typs innerhalb einer Organisation sehen.
Recht Ansicht: TYPE und ACL-Eintrag >= Ansicht Benutzer mit diesem Recht und einer ACL auf Leseebene können laufzeitdefinierte Entitäten dieses Typs anzeigen.
Ändern Recht Vollständige Kontrolle des Administrators: TYPE Benutzer mit diesem Recht können laufzeitdefinierte Entitäten dieses Typs in allen Organisationen erstellen, anzeigen, ändern und löschen.
Recht Bearbeiten: TYPE und ACL-Eintrag >= Ändern Benutzer mit diesem Recht und einer ACL auf Änderungsebene können laufzeitdefinierte Entitäten dieses Typs erstellen, anzeigen und ändern.
Löschen Recht Vollständige Kontrolle des Administrators: TYPE Benutzer mit diesem Recht können laufzeitdefinierte Entitäten dieses Typs in allen Organisationen erstellen, anzeigen, ändern und löschen.
Recht Vollständige Kontrolle: TYPE und ACL-Eintrag = Vollständige Kontrolle Benutzer mit diesem Recht und einer ACL mit vollständiger Kontrolle können laufzeitdefinierte Entitäten dieses Typs erstellen, anzeigen, ändern und löschen.

Freigeben definierter Entitäten für einen anderen Benutzer

Wenn ein Systemadministrator das Rechtepaket für einen definierten Entitätstyp veröffentlicht und Ihnen ReadWrite- oder FullControl-Zugriff gewährt hat bzw. Sie der Besitzer der definierten Entität sind, können Sie den Zugriff auf diese Entitäten für andere Benutzer freigeben.

  1. Weisen Sie den Benutzerrollen, die die spezifische Zugriffsebene für die definierte Entität erhalten sollen, das Recht Ansicht: TYPE, Bearbeiten: TYPE oder Vollständige Kontrolle: TYPE aus dem Paket zu.

    Hinweis: Sie müssen als Systemadministrator oder Organisationsadministrator angemeldet sein, um Rechte zuzuweisen.

    Sollen die Benutzer mit der Rolle tkg_viewer beispielsweise Tanzu Kubernetes-Cluster innerhalb der Organisation anzeigen können, müssen Sie der Rolle das Recht Ansicht: Tanzu Kubernetes-Gastcluster hinzufügen. Wenn Benutzer mit der Rolle tkg_author Tanzu Kubernetes-Cluster in dieser Organisation erstellen, anzeigen und ändern können sollen, fügen Sie dieser Rolle das Recht Bearbeiten: Tanzu Kubernetes-Gastcluster hinzu. Wenn Benutzer mit der Rolle tkg_admin Tanzu Kubernetes-Cluster in dieser Organisation erstellen, anzeigen, ändern und löschen können sollen, fügen Sie dieser Rolle das Recht Vollständige Kontrolle: Tanzu Kubernetes-Gastcluster hinzu.

  2. Gewähren Sie dem jeweiligen Benutzer eine Zugriffssteuerungsliste (ACL), indem Sie den folgenden REST-API-Aufruf ausführen.

    POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls
     {
       "grantType" : "MembershipAccessControlGrant",
       "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]",
       "memberId" : "urn:vcloud:user:[User_ID]"
     }

    Access_level muss ReadOnly, ReadWrite oder FullControl sein. User_ID muss die ID des Benutzers sein, dem Sie den Zugriff auf die definierte Entität gewähren möchten.

    Sie müssen über ReadWrite- oder FullControl-Zugriff auf eine Entität verfügen, um ACL-Zugriff auf diese Entität zu gewähren.

    Benutzer mit der Rolle tkg_viewer, die im Beispiel beschrieben sind, können keinen ACL-Zugriff gewähren. Benutzer mit der Rolle tkg_author oder tkg_admin können den Zugriff auf eine VMWARE:TKGCLUSTER-Entität für Benutzer mit der Rolle tkg_viewer, tkg_author oder tkg_admin freigeben, indem Sie ihnen mit der API-Anforderung ACL-Zugriff gewähren.

    Benutzer mit dem Recht Vollständige Kontrolle des Administrators: Tanzu Kubernetes-Gastcluster können ACL-Zugriff auf jede VMWARE:TKGCLUSTER-Entität gewähren.

    Sie können auch REST-API-Aufrufe verwenden, um den Zugriff zu widerrufen oder anzuzeigen, wer Zugriff auf die Entität hat. Weitere Informationen finden Sie in der Dokumentation zur VMware Cloud Director-REST-API unter https://developer.vmware.com/.

Ändern des Besitzers einer definierten Entität

Der Besitzer einer definierten Entität oder ein Benutzer mit dem Recht Vollständige Kontrolle des Administrators: TYPE kann den Besitz auf einen anderen Benutzer übertragen, indem er das definierte Entitätsmodell aktualisiert und im Feld für den Besitzer die ID des neuen Besitzers angibt.