Vordefinierte VMware Cloud Director-Rollen und zugehörige Rechte

Jede vordefinierte VMware Cloud Director-Rolle enthält einen Standardsatz an Rechten, die erforderlich sind, um in gemeinsamen Workflows enthaltene Vorgänge auszuführen. Standardmäßig werden alle globalen vordefinierten Mandantenrollen für jeder Organisation im System veröffentlicht:

Vordefinierte Anbieterrollen

Standardmäßig gibt es als lokale Anbieterrollen für die Anbieterorganisationen nur die Rollen Systemadministrator und Multisite-System. Systemadministratoren können zusätzliche benutzerdefinierte Anbieterrollen erstellen.

Systemadministrator: Die Rolle Systemadministrator ist nur in der Anbieterorganisation vorhanden. Die Rolle Systemadministrator umfasst alle Rechte im System. Eine Liste der Rechte, die nur für die Rolle Systemadministrator verfügbar sind, finden Sie im VMware Cloud Director for Service Providers – Administratorhandbuch. Die Anmeldeinformationen des Systemadministrators werden während der Installation und Konfiguration festgelegt. Ein Systemadministrator kann zusätzliche Systemadministrator- und Benutzerkonten in der Anbieterorganisation einrichten.
Multisite-System: Wird zur Ausführung des Heartbeat-Prozesses für Bereitstellungen mit mehreren Standorten verwendet. Diese Rolle verfügt lediglich über das Recht Multisite: Systemvorgänge, mit dem eine Cloud Director OpenAPI-Anforderung zum Abrufen des Status des Remotemitglieds einer Sitezuordnung gestellt werden kann.

Vordefinierte globale Mandantenrollen

Standardmäßig werden die vordefinierten globalen Mandantenrollen und die darin enthaltenen Rechte (mit Ausnahme von Administrator des Unteranbieters) für alle Organisationen veröffentlicht. Systemadministratoren können die Veröffentlichung von Rechten und globalen Mandantenrollen einzelner Organisationen rückgängig machen. Systemadministratoren können vordefinierte globale Mandantenrollen bearbeiten oder löschen. Systemadministratoren können zusätzliche globale Mandantenrollen erstellen und veröffentlichen. Sie können globale Mandantenrollen nur für Ihre direkten Mandanten veröffentlichen, also nur für die Organisationen, die Sie direkt verwalten.

Alle globalen Standardrollen, die der Dienstanbieter für Ihre Organisation veröffentlicht

Administrator des Unteranbieters

Nach dem Erstellen einer Organisation kann ein Systemadministrator einem beliebigen Benutzer in der Organisation die Rolle Administrator des Unteranbieters zuweisen. Ein Benutzer mit der vordefinierten Rolle Administrator des Unteranbieters kann Organisationen und Organisations-VDCs erstellen und verwalten, Benutzer und Gruppen in den Organisationen des Unteranbieters verwalten und ihnen Rollen zuweisen, einschließlich der vordefinierten Rolle Administrator des Unteranbieters. Rollen, die in der Unteranbieterorganisation erstellt wurden, sind für die Mandanten, die der Unteranbieter verwaltet, nicht sichtbar. Globale Rollen, die in der Unteranbieterorganisation erstellt und dann veröffentlicht wurden, sind für die verwalteten Organisationen sichtbar, in denen die globale Rolle veröffentlicht wird.

Weitere Informationen zur Rolle des Unteranbieters finden Sie unter . Eine vollständige Liste der Rechte für Unteranbieter finden Sie unter VMware Cloud Director-Rechte in vordefinierten globalen Mandantenrollen.

Organisationsadministrator

Nach dem Erstellen einer Organisation kann ein Systemadministrator oder ein Administrator des Unteranbieters einem beliebigen Benutzer in der Organisation die Rolle Organisationsadministrator zuweisen. Ein Benutzer mit der vordefinierten Rolle Organisationsadministrator kann Benutzer und Gruppen in seiner Organisation verwalten und ihnen Rollen zuweisen, einschließlich der vordefinierten Rolle Organisationsadministrator. Von einem Organisationsadministrator erstellte oder geänderte Rollen sind für andere Organisationen nicht sichtbar.

Katalogautor

Die mit der vordefinierten Rolle Katalogautor verknüpften Rechte ermöglichen es einem Benutzer, Kataloge zu erstellen und zu veröffentlichen.

vApp-Autor

Die mit der vordefinierten Rolle vApp-Autor verknüpften Rechte ermöglichen es einem Benutzer, Kataloge zu verwenden und vApps zu erstellen.

vApp-Benutzer

Die mit der vordefinierten Rolle vApp-Benutzer verknüpften Rechte ermöglichen es einem Benutzer, vorhandene vApps zu verwenden.

Nur Konsolenzugriff

Die mit den vordefinierten Rolle Nur Konsolenzugriff verknüpften Rechte ermöglichen es einem Benutzer, den Status und die Eigenschaften von virtuellen Maschinen anzuzeigen und das Gastbetriebssystem zu verwenden.

Auf Identitätsanbieter zurückstellen

Die mit der vordefinierten Rolle Auf Identitätsanbieter zurückstellen verknüpften Rechte werden basierend auf vom OAuth- oder SAML-Identitätsanbieter empfangenen Informationen festgelegt. Um sich für die Aufnahme zu qualifizieren, wenn einem Benutzer oder einer Gruppe die Rolle Auf Identitätsanbieter zurückstellen zugewiesen ist, muss ein vom Identitätsanbieter bereitgestellter Rollen- oder Gruppenname exakt (unter Berücksichtigung von Groß-/Kleinschreibung) mit einem innerhalb Ihrer Organisation definierten Rollen- oder Gruppennamen übereinstimmen.

Wenn ein OAuth-Identitätsanbieter den Benutzer definiert, werden dem Benutzer die im Array roles des benutzereigenen OAuth-Tokens angegebenen Rollen zugewiesen.
Wenn ein SAML-Identitätsanbieter den Benutzer definiert, werden dem Benutzer die Rollen zugewiesen, die in dem SAML-Attribut angegeben werden, dessen Name im Element RoleAttributeName angezeigt wird, das sich wiederum im Element SamlAttributeMapping in OrgFederationSettings der Organisation befindet.

Wenn einem Benutzer die Rolle Auf Identitätsanbieter zurückstellen zugewiesen wird, jedoch keine übereinstimmende Rolle bzw. kein übereinstimmender Gruppenname in Ihrer Organisation vorhanden ist, kann sich der Benutzer bei der Organisation anmelden, verfügt jedoch über keine Rechte. Wenn ein Identitätsanbieter einem Benutzer eine Rolle auf Systemebene zuweist, wie beispielsweise die eines Systemadministrators, kann sich der Benutzer bei der Organisation anmelden, verfügt jedoch über keine Rechte. Solchen Benutzern müssen Sie eine Rolle manuell zuweisen.

Mit Ausnahme der Rolle Auf Identitätsanbieter zurückstellen enthält jede vordefinierte Rolle einen Satz von Standardrechten. Nur ein Systemadministrator kann die Rechte in einer vordefinierten Rolle ändern. Wenn ein Systemadministrator eine vordefinierte Rolle ändert, werden die Änderungen an alle Instanzen der Rolle im System weitergegeben.

Rechte in vordefinierten globalen Mandantenrollen

Mehrere vordefinierte globale Rollen haben verschiedene Rechte gemein. Diese Rechte werden standardmäßig allen neuen Organisationen gewährt und können in anderen Rollen verwendet werden, die vom Administrator des Unteranbieters oder vom Organisationsadministrator erstellt werden. Eine Liste der Rechte in vordefinierten Mandantenrollen finden Sie unter VMware Cloud Director-Rechte in vordefinierten globalen Mandantenrollen.