Durch die Autorisierung wird festgelegt, welcher Benutzer oder Prozess auf welche Komponenten in Ihrer vRealize Suite-Bereitstellung zugreifen bzw. diese ändern darf. Unterschiedliche Produkte in vRealize Suite verarbeiten die Autorisierung auf verschiedenen Granularitätsebenen.

Unterschiedliche Typen von Administratoren sind dafür verantwortlich, verschiedenen Arten von Benutzern Zugang zu verschiedenen Produkten oder Produktkomponenten zu gewähren.

vCenter Server-Autorisierung

Mithilfe des vCenter Server-Berechtigungsmodells können Administratoren Benutzern oder Gruppen Rollen für bestimmte Objekte in der vCenter Server-Objekthierarchie zuweisen. Rollen umfassen Gruppen von Berechtigungen. vCenter Server enthält vordefinierte Rollen, aber Sie können auch benutzerdefinierte Rollen erstellen.

In vielen Fällen müssen Berechtigungen sowohl für ein Quellobjekt als auch für ein Zielobjekt definiert werden. Wenn Sie beispielsweise eine virtuelle Maschine verschieben, benötigen Sie einige Berechtigungen für diese virtuelle Maschine, aber auch Berechtigungen für das Zieldatencenter.

Zudem können Sie mithilfe von globalen Berechtigungen bestimmten Benutzern Berechtigungen für alle Objekte in der vCenter-Objekthierarchie gewähren. Globale Berechtigungen sollten Sie mit Vorsicht verwenden, insbesondere wenn diese in der Objekthierarchie abwärts weitergegeben werden.

Weitere Details sowie Videos mit Anleitungen zu vCenter Server-Berechtigungen finden Sie in der Dokumentation zu vSphere-Sicherheit.

vRealize Automation-Authentifizierung

Mit vRealize Automation können Sie vordefinierte Rollen verwenden, um festzulegen, welcher Benutzer bzw. welche Gruppe bestimmte Aufgaben ausführen darf. Im Gegensatz zu vCenter Server können Sie keine benutzerdefinierten Rollen festlegen, jedoch ist ein umfangreicher Satz vordefinierter Rollen verfügbar.

Bei der Authentifizierung und Autorisierung gehen Sie wie folgt vor:
  1. Der Systemadministrator führt die Erstkonfiguration von Single Sign On und die Basismandanteneinrichtung durch, einschließlich der Festlegung von zumindest einer Identitätsquelle und einem Mandantenadministrator für jeden Mandanten.
  2. Anschließend kann ein Mandantenadministrator zusätzliche Identitätsquellen konfigurieren und den Benutzern oder Gruppen Rollen aus den Identitätsquellen zuweisen.

    Mandantenadministratoren können in ihrem eigenen Mandanten auch benutzerdefinierte Gruppen erstellen und ihnen Benutzer und Gruppen hinzufügen, die in der Identitätsquelle definiert sind. Benutzerdefinierten Gruppen, wie z. B. Identitätsquellengruppen und -benutzern, können Rollen zugewiesen werden

  3. Administratoren können den Benutzern und Gruppen anschließend abhängig von der Rolle, der sie selbst angehören, Rollen zuweisen.
    • Ein Satz systemweiter Rollen, wie z. B. Systemadministrator, IaaS-Administrator sowie Fabric-Administrator, ist vordefiniert.
    • Weiterhin ist ein separater Satz von Mandantenrollen vordefiniert, wie z. B. Mandantenadministrator oder Anwendungskatalog-Administrator.

Weitere Informationen finden Sie in der vRealize Automation-Dokumentation.