In vSphere sind Rechte detaillierte Zugriffssteuerungen, die in Rollen gruppiert und Benutzern oder Gruppen zugeordnet werden können. Mit dem Rechte-Recorder können Sie den Mindestsatz an Rechten ermitteln, die zum Ausführen eines vCenter Server-Workflows erforderlich sind.
Um einen bestimmten Satz von Vorgängen auszuführen, ist es sehr schwierig, den minimalen Satz von Rechten zu ermitteln, die vom Benutzer benötigt werden. Die Rechte verfügen nicht über eine 1:1-Zuordnung mit dem spezifischen Workflow, der in der Regel aus mehreren Aufrufen verschiedener APIs besteht, die auf dem jeweiligen Objekt ausgeführt werden. Infolgedessen hat der Benutzer entweder mehr oder zu wenig Zugriff auf die Umgebung. Mit dem Ziel, die Sicherheit der Umgebung zu gewährleisten, hilft Ihnen die Funktion „Rechte-Recorder“ dabei, die Mindestanzahl an Rechten zu ermitteln, die zur Ausführung eines vCenter Server-Workflows erforderlich sind. Damit können Sie die Rechte überwachen und abfragen, die während der Durchführung eines Vorgangs überprüft wurden. Rechte-Recorder wird mithilfe eines REST API implementiert.
Hinweis: Diese Funktion ist als API verfügbar und unterstützt nur Workflows, die von einem Skript ausgeführt werden. „Rechte-Recorder“ wird auf der Benutzeroberfläche nicht unterstützt.
Durch Abfragen der ListAPI können Sie Listen von Überprüfung von Rechten zusammen mit den entsprechenden Sitzungen, Benutzern, verwalteten Objekten und Vorgangs-IDs (opIDs) abrufen. Sie können die entsprechenden Filter verwenden, um Rechtefür einen bestimmten Workflow zu erhalten.
Angenommen, Benutzer A muss eine VM erstellen. Zum Erstellen einer VM sind bestimmte Rechte erforderlich. Benutzer A muss Rechte beim Systemadministrator anfordern. Der Systemadministrator kann den Rechte-Recorder aktivieren und den Vorgang zum Erstellen einer VM ausführen. Während der Überprüfung der Rechte werden die Daten für die Rechte gespeichert, die während des Vorgangs „VM erstellen“ überprüft wurden. Die Daten enthalten PrivilegeID, sessionID, OpID usw. In diesem Beispiel verwendet dieser Systemadministrator die Filter, um Berechtigungen für den Workflow „VM erstellen“ zu erhalten. Der Systemadministrator kann jetzt eine Rolle mit den erforderlichen Mindestrechten erstellen und sie dem Benutzer zuweisen.