vSphere unterstützt mehrere Modelle mit fein abgestufter Steuerung, um zu bestimmen, ob ein Benutzer eine Aufgabe ausführen darf. vCenter Single Sign-On verwendet die Gruppenmitgliedschaft in einer vCenter Single Sign-On-Gruppe, um zu entscheiden, welche Aktionen Sie ausführen dürfen. Ihre Rolle bezüglich eines Objekts oder Ihre globale Berechtigung bestimmt, ob Sie andere Aufgaben in vSphere ausführen dürfen.

Übersicht über die Autorisierung

vSphere 6.0 und höher ermöglicht es Benutzern mit entsprechenden Rechten, anderen Benutzern Berechtigungen zum Durchführen von Aufgaben zu geben. Sie können globale oder lokale vCenter Server-Berechtigungen verwenden, um andere Benutzer für einzelne vCenter Server-Instanzen zu autorisieren.
vCenter Server-Berechtigungen

Das Berechtigungsmodell für vCenter Server-Systeme basiert auf der Zuweisung von Berechtigungen zu Objekten in der Objekthierarchie. Jede Berechtigung erteilt einem Benutzer oder einer Gruppe eine Reihe von Berechtigungen (d. h. eine Rolle) für das ausgewählte Objekt. Sie können beispielsweise eine virtuelle Maschine auswählen und die Option Berechtigung hinzufügen auswählen, um einer Gruppe von Benutzern in einer von Ihnen ausgewählten Domäne eine Rolle zuzuweisen. Diese Rolle weist diesen Benutzern die entsprechenden Rechte auf der VM zu.

Globale Berechtigungen
Globale Berechtigungen werden auf ein globales Stammobjekt angewendet, das für mehrere Lösungen verwendet wird. Wenn z. B. sowohl vCenter Server als auch vRealize Orchestrator installiert sind, können Sie globale Berechtigungen verwenden. Sie können beispielsweise einer Gruppe von Benutzern Leseberechtigung für alle Objekte in beiden Objekthierarchien zuweisen.
Globale Berechtigungen werden nicht repliziert, wenn Ihre Umgebung einen lokalen vCenter Server und einen vCenter Server in der Cloud einschließt.
Gruppenmitgliedschaft in vCenter Single Sign-On-Gruppen
Für VMware Cloud on AWS ist eine Cloudadministrator-Gruppe in vCenter Single Sign-On vordefiniert. Wenn Sie den verknüpften Hybridmodus verwenden, fügen Sie diese Gruppe zur verknüpften Domäne hinzu.

Grundlegendes zum Berechtigungsmodell auf Objektebene

Für einen Benutzer oder eine Gruppe autorisieren Sie die Ausführung von Aufgaben für vCenter-Objekte, indem Sie Berechtigungen für das Objekt verwenden. Das vSphere-Berechtigungsmodell basiert auf der Zuweisung von Berechtigungen zu Objekten in der vSphere-Objekthierarchie. Jede Berechtigung erteilt einem Benutzer oder einer Gruppe eine Reihe von Rechten (d. h. eine Rolle) für das ausgewählte Objekt. Beispielsweise kann eine Gruppe von Benutzern in einer VM die Rolle „Nur Lesezugriff“ und in einer anderen VM die Rolle „Administrator“ haben.

Die folgenden Konzepte sind wichtig.

Berechtigungen
Jedem Objekt in der vCenter Server-Objekthierarchie sind Berechtigungen zugeordnet. Jede Berechtigung gibt für eine Gruppe oder einen Benutzer an, über welche Rechte diese Gruppe bzw. dieser Benutzer für das Objekt verfügt.
Benutzer und Gruppen
Auf vCenter Server-Systemen können Sie Rechte nur authentifizierten Benutzern oder Gruppen von authentifizierten Benutzern zuweisen. Die Benutzer werden über vCenter Single Sign On authentifiziert. Die Benutzer und Gruppen müssen in der Identitätsquelle definiert werden, die vCenter Single Sign On für die Authentifizierung verwendet. Definieren Sie Benutzer und Gruppen mithilfe der Tools in Ihrer Identitätsquelle, wie z. B. Active Directory.
Berechtigungen
Rechte sind detaillierte Zugriffssteuerungsoptionen. Sie können diese Rechte nach Rollen gruppieren, die Sie dann Benutzern oder Gruppen zuordnen können.
Rollen
Rollen sind Gruppen von Rechten. Rollen ermöglichen die Zuweisung von Berechtigungen zu einem Objekt basierend auf typischen Aufgaben, die Benutzer ausführen. Standardrollen, wie z. B. Administrator, sind in vCenter Server vordefiniert und können nicht geändert werden. Andere Rollen, wie z. B. Ressourcenpool-Administrator, sind vordefinierte Beispielrollen. Sie können benutzerdefinierte Rollen entweder von Grund auf neu oder aber durch Klonen und Ändern von Beispielrollen erstellen. Siehe Erstellen einer benutzerdefinierten Rolle.
Abbildung 1. vSphere-Berechtigungen
Mehrere Rechte werden zu einer Rolle zusammengefasst. Die Rolle wird Benutzern oder Gruppen zugewiesen.
Führen Sie die folgenden Schritte aus, um einem Objekt Berechtigungen zuzuweisen:
  1. Wählen Sie das Objekt aus, auf das Sie die Berechtigung in der vCenter-Objekthierarchie anwenden möchten.

    In VMware Cloud on AWS können Sie keine Berechtigungen für Objekte ändern, die VMware für Sie verwaltet (beispielsweise die vCenter Server-Instanz oder ESXi-Hosts).

  2. Wählen Sie die Gruppe oder den Benutzer aus, für die bzw. den Sie Rechte für das Objekt erteilen möchten.
  3. Wählen Sie einzelne Rechte oder eine Rolle aus, bei der es sich um einen Satz von Rechten handelt, die die Gruppe bzw. der Benutzer für dieses Objekt haben sollte.

    Berechtigungen werden standardmäßig weitergegeben, d. h., die Gruppe oder der Benutzer verfügt über die ausgewählte Rolle für das ausgewählte Objekt und dessen untergeordnete Objekte.

vCenter Server bietet vordefinierte Rollen aus einer Kombination von häufig verwendeten Berechtigungssätzen. Sie können benutzerdefinierte Rollen auch erstellen, indem Sie einen Satz von Rollen kombinieren.

Oft müssen Berechtigungen sowohl für ein Quell- als auch für ein Zielobjekt definiert werden. Wenn Sie beispielsweise eine virtuelle Maschine verschieben, benötigen Sie Rechte für diese virtuelle Maschine, aber auch Rechte für das Zieldatencenter.

Siehe folgende Informationen.
Um mehr zu erfahren über... Siehe...
Erstellen von benutzerdefinierten Rollen. Erstellen einer benutzerdefinierten Rolle
Alle Berechtigungen und die Objekte, auf die Sie die Berechtigungen anwenden können Definierte Rechte
Gruppen von Berechtigungen, die für verschiedene Objekte und verschiedene Aufgaben erforderlich sind. Erforderliche Berechtigungen für allgemeine Aufgaben

vCenter Server-Benutzervalidierung

vCenter Server-Systeme, die einen Verzeichnisdienst verwenden, validieren Benutzer und Gruppen regelmäßig anhand der Verzeichnisdomäne des Benutzers. Die Validierung wird in regelmäßigen Zeitabständen durchgeführt, die in den vCenter Server-Einstellungen angegeben sind. Beispiel: Dem Benutzer Schmidt wurde eine Rolle für mehrere Objekte zugewiesen. Der Domänenadministrator ändert den Namen in Schmidt2. Der Host folgert, dass Schmidt nicht mehr vorhanden ist, und entfernt während der nächsten Validierung die Berechtigungen von Benutzer Schmidt aus den vSphere-Objekten.

Wenn der Benutzer „Schmidt“ aus der Domäne entfernt wird, werden ebenfalls alle Berechtigungen für diesen Benutzer bei der nächsten Validierung entfernt. Wenn vor der nächsten Validierung ein neuer Benutzer namens „Schmidt“ zur Domäne hinzugefügt wird, ersetzt der neue Benutzer den alten Benutzer bei den Berechtigungen für ein Objekt.