Cómo se administran las autorizaciones y el acceso de los usuarios en Automation Pipelines

Automation Pipelines ofrece varias maneras de garantizar que los usuarios tengan la autorización y el consentimiento adecuados para trabajar con las canalizaciones que publican las aplicaciones de software.

Cada miembro de un equipo tiene una función asignada, la cual otorga permisos específicos en las canalizaciones, los endpoints y los paneles de control, así como la posibilidad de marcar recursos como restringidos.

Las operaciones de usuario y las autorizaciones permiten controlar cuándo se ejecuta una canalización y cuándo debe detenerse para su autorización. La función determina si puede reanudar una canalización y ejecutar canalizaciones que incluyan variables o endpoints restringidos.

Utilice variables secretas para ocultar y cifrar información confidencial. Utilice variables restringidas para las cadenas, las contraseñas y las URL que deben estar ocultas y cifradas, así como para restringir el uso en ejecuciones. Por ejemplo, utilice una variable secreta para una contraseña o una URL. Puede usar variables de tipo secreto y restringido en cualquier tipo de tarea de la canalización.

Qué son las funciones en Automation Pipelines

Según su función en Automation Pipelines, puede realizar ciertas acciones y acceder a determinadas áreas. Por ejemplo, su función puede permitirle crear, actualizar y ejecutar canalizaciones. También es posible que solo tenga permiso para ver canalizaciones.

Todas las acciones excepto las restringidas significa que esta función tiene permiso para realizar acciones de creación, lectura, actualización y eliminación sobre las entidades, excepto para los endpoints y las variables restringidos.

Tabla 1. Permisos de acceso a nivel de proyecto y servicio en Automation Pipelines
	Funciones de Automation Pipelines
Niveles de acceso	Administrador de Automation Pipelines	Desarrollador de Automation Pipelines	Ejecutor de Automation Pipelines	Visor de Automation Pipelines	Usuario de Automation Pipelines
Acceso a nivel de servicio de Automation Pipelines	Todas las acciones	Todas las acciones excepto las restringidas	Acciones de ejecución	Solo lectura	Ninguna
Acceso a nivel de proyecto: administrador del proyecto	Todas las acciones	Todas las acciones	Todas las acciones	Todas las acciones	Todas las acciones
Acceso a nivel de proyecto: miembro del proyecto	Todas las acciones	Todas las acciones excepto las restringidas	Todas las acciones excepto las restringidas	Todas las acciones excepto las restringidas	Todas las acciones excepto las restringidas
Acceso a nivel de proyecto: visor de proyectos	Todas las acciones	Todas las acciones excepto las restringidas	Acciones de ejecución	Solo lectura	Solo lectura

Los usuarios que tengan la función Administrador de proyecto pueden realizar todas las acciones en los proyectos donde son el administrador del proyecto.

Un administrador del proyecto puede crear, leer, actualizar y eliminar canalizaciones, variables, endpoints, paneles de control y activadores, e iniciar una canalización que incluya variables o endpoints restringidos si estos recursos se encuentran en el proyecto en el que el usuario es administrador del proyecto.

Los usuarios que tengan la función de visor de servicios pueden ver toda la información que está disponible para el administrador. No pueden realizar ninguna acción, a menos que un administrador la realice como un administrador del proyecto o un miembro del proyecto. Si el usuario está afiliado a un proyecto, tiene los permisos relacionados con la función. El visor de proyectos no extenderá sus permisos de la forma en que lo hace el administrador o el miembro. Esta función es de solo lectura en todos los proyectos.

Si tiene permisos de lectura en un proyecto, aún puede ver los recursos restringidos.

Para ver los endpoints restringidos, que muestran un icono de candado en la tarjeta de endpoint, haga clic en Configurar > Endpoints.
Para ver las variables restringidas y secretas, que muestran los valores RESTRINGIDA o SECRETA en la columna Tipo, haga clic en Configurar > Variables.

Tabla 2. Capacidades de la función de servicio de Automation Pipelines
Contexto de interfaz de usuario	Capacidades	Función de administrador de Automation Pipelines	Función de desarrollador de Automation Pipelines	Función de ejecutor de Automation Pipelines	Función de visor de Automation Pipelines
Canalizaciones
	Ver canalizaciones	Sí	Sí	Sí	Sí
	Crear canalizaciones	Sí	Sí
	Ejecutar canalizaciones	Sí	Sí	Sí
	Ejecutar canalizaciones que incluyan endpoints o variables restringidos	Sí
	Actualizar canalizaciones	Sí	Sí
	Eliminar canalizaciones	Sí	Sí
Ejecuciones de canalizaciones
	Ver ejecuciones de canalizaciones	Sí	Sí	Sí	Sí
	Reanudar, pausar y cancelar ejecuciones de canalizaciones	Sí	Sí	Sí
	Reanudar canalizaciones que se detienen para su autorización en recursos restringidos	Sí
Integraciones personalizadas
	Crear integraciones personalizadas	Sí	Sí
	Leer integraciones personalizadas	Sí	Sí	Sí	Sí
	Actualizar integraciones personalizadas	Sí	Sí
Endpoints
	Ver ejecuciones	Sí	Sí	Sí	Sí
	Crear ejecuciones	Sí	Sí
	Actualizar ejecuciones	Sí	Sí
	Eliminar ejecuciones	Sí	Sí
Marcar recursos como restringidos
	Marcar un endpoint o una variable como restringidos	Sí
Paneles de control
	Ver paneles de control	Sí	Sí	Sí	Sí
	Crear paneles de control	Sí	Sí
	Actualizar paneles de control	Sí	Sí
	Eliminar paneles de control	Sí	Sí

Funciones personalizadas y permisos en Automation Pipelines

Puede crear funciones personalizadas en Automation Assembler que extienden los privilegios a los usuarios que trabajan con canalizaciones. Al crear una función personalizada para canalizaciones de Automation Pipelines, seleccione uno o varios permisos de canalización.

Seleccione la cantidad mínima de permisos de canalización necesarios para los usuarios a los que se les asignará esta función personalizada.

Cuando se asigna un usuario a un proyecto y se le da una función en ese proyecto, y ese usuario tiene asignada una función personalizada que incluye uno o varios permisos de canalización, este puede realizar todas las acciones que habilitan los permisos. Por ejemplo, puede crear variables restringidas, administrar canalizaciones restringidas, crear y administrar integraciones personalizadas, y mucho más.

Tabla 3. Permisos de canalización que se pueden asignar a funciones personalizadas
Permiso de canalización	Administrador de Automation Pipelines	Desarrollador de Automation Pipelines	Ejecutor de Automation Pipelines	Visor de Automation Pipelines	Administrador del proyecto	Miembro del proyecto	Visor de proyectos
Administrar canalizaciones	Sí	Sí			Sí	Sí
Administrar canalizaciones restringidas	Sí				Sí
Administrar integraciones personalizadas	Sí	Sí
Ejecutar canalizaciones	Sí	Sí	Sí		Sí	Sí
Ejecutar canalizaciones restringidas	Sí				Sí
Administrar ejecuciones	Sí				Sí
Lectura (este permiso no es visible)	Sí	Sí	Sí	Sí	Sí	Sí	Sí

Tabla 4. Cómo se pueden utilizar los permisos de canalización con funciones personalizadas
Permiso	Qué se puede hacer
Administrar canalizaciones	Crear, actualizar, eliminar y clonar canalizaciones. Publique canalizaciones y anule su publicación en Automation Service Broker. Crear, actualizar y eliminar endpoints. Crear, actualizar y eliminar variables normales y secretas. Crear, clonar, actualizar y eliminar un agente de escucha de Gerrit. Conectar y desconectar un agente de escucha de Gerrit. Crear, clonar, actualizar y eliminar un activador de Gerrit. Crear, actualizar y eliminar un webhook de Git. Crear, actualizar y eliminar un webhook de Docker. Utilizar las plantillas de canalización inteligentes para crear canalizaciones. Importar canalizaciones de YAML y exportarlas a YAML. Crear, actualizar y eliminar paneles de control personalizados. Leer todas las integraciones personalizadas. Leer todos los endpoints y variables restringidos, pero no ver sus valores.
Administrar canalizaciones restringidas	Crear, actualizar y eliminar endpoints. Marcar los endpoints como restringidos, actualizar los endpoints restringidos y eliminarlos. Crear, actualizar y eliminar variables normales y secretas. Crear, actualizar y eliminar variables restringidas. Todos los permisos que puede tener con Administrar canalizaciones.
Administrar integraciones personalizadas	Crear y actualizar integraciones personalizadas. Publicar versiones de integraciones personalizadas. Eliminar y dejar de usar versiones de integraciones personalizadas. Eliminar integraciones personalizadas.
Ejecutar canalizaciones	Ejecute las canalizaciones. Pausar, reanudar y cancelar ejecuciones de canalizaciones. Repetir ejecuciones de canalizaciones. Reanudar, volver a ejecutar y activar manualmente un evento de activador de Gerrit. Aprobar una operación de usuario y realizar aprobaciones por lotes de las operaciones de usuario.
Ejecutar canalizaciones restringidas	Ejecute las canalizaciones. Pausar, reanudar, cancelar y eliminar ejecuciones de canalizaciones. Repetir ejecuciones de canalizaciones. Sincronizar una ejecución de canalización en curso. Forzar la eliminación de una ejecución de canalización en curso. Reanudar, volver a ejecutar, eliminar y activar manualmente un evento de activador de Gerrit. Resolver elementos restringidos y continuar con la ejecución de la canalización. Cambiar el contexto de usuario y continuar con la ejecución de la canalización después de la aprobación de una tarea Operación de usuario. Todos los permisos que tiene con Ejecutar canalizaciones.
Administrar ejecuciones	Ejecute las canalizaciones. Pausar, reanudar, cancelar y eliminar ejecuciones de canalizaciones. Repetir ejecuciones de canalizaciones. Reanudar, volver a ejecutar, eliminar y activar manualmente un evento de activador de Gerrit. Todos los permisos que tiene con Ejecutar canalizaciones.

Las funciones personalizadas pueden incluir combinaciones de permisos. Estos permisos se organizan en grupos de capacidades que permiten a los usuarios administrar o ejecutar canalizaciones, con y sin recursos restringidos. Estos permisos representan todas las capacidades que cada función puede tener en Automation Pipelines.

Por ejemplo, si crea una función personalizada e incluye el permiso llamado administrar canalizaciones restringidas, los usuarios que tengan la función de desarrollador de Automation Pipelines pueden hacer lo siguiente:

Crear, actualizar y eliminar endpoints.
Marcar los endpoints como restringidos, actualizar los endpoints restringidos y eliminarlos.
Crear, actualizar y eliminar variables normales y secretas.
Crear, actualizar y eliminar variables restringidas.

Tabla 5. Ejemplo de combinaciones de permisos de canalización en funciones personalizadas
Número de permisos asignados a la función personalizada	Ejemplos de permisos combinados	Cómo utilizar esta combinación
Un permiso	Ejecutar canalizaciones
Dos permisos	Administrar canalizaciones y ejecutar canalizaciones
Tres permisos	Administrar canalizaciones, ejecutar canalizaciones y ejecutar canalizaciones restringidas
	Administrar canalizaciones, administrar integraciones personalizadas y ejecutar canalizaciones restringidas	Esta combinación podría aplicarse a una función de desarrollador de Automation Pipelines, pero se limitará a los proyectos en los que el usuario es miembro.
	Administrar canalizaciones, administrar integraciones personalizadas y administrar ejecuciones	Esta combinación se puede aplicar a un administrador de Automation Pipelines, pero se limitará a los proyectos en los que el usuario es miembro.
	Administrar canalizaciones, administrar canalizaciones restringidas y administrar integraciones personalizadas	Con esta combinación, un usuario tiene todos los permisos, y puede crear y eliminar cualquier elemento en Automation Pipelines.

Si tiene la función de administrador

Como administrador, puede crear integraciones personalizadas, endpoints, variables, activadores, canalizaciones y paneles de control.

Los proyectos permiten que las canalizaciones accedan a recursos de infraestructura. Los administradores crean proyectos para que los usuarios puedan agrupar canalizaciones, endpoints y paneles de control. A continuación, los usuarios seleccionan el proyecto en sus canalizaciones. Cada proyecto incluye un administrador y usuarios con funciones asignadas.

Con la función de administrador, puede marcar endpoints y variables como recursos restringidos, y ejecutar canalizaciones que utilicen recursos restringidos. Si un usuario no administrativo ejecuta la canalización que incluye una variable o un endpoint restringidos, la canalización se detendrá en la tarea donde se utiliza la variable restringida y un administrador deberá reanudar la canalización.

Como administrador, también puede solicitar que las canalizaciones se publiquen en Automation Service Broker.

Si tiene la función de desarrollador

Puede trabajar con canalizaciones igual que un administrador, excepto que no puede trabajar con endpoints ni variables restringidos.

Si ejecuta una canalización que utiliza variables o extremos restringidos, la canalización solo se ejecutará hasta la tarea que utiliza el recurso restringido. A continuación, se detiene y un administrador de Automation Pipelines o del proyecto debe reanudar la canalización.

Si tiene la función de usuario

Puede acceder a Automation Pipelines, pero no tiene ningún privilegio, como brindan las otras funciones.

Si tiene la función de visor

Puede ver los mismos recursos que ve un administrador, como las canalizaciones, los endpoints, las ejecuciones de canalizaciones, los paneles de control, las integraciones personalizadas y los activadores, pero no puede crearlos, actualizarlos ni eliminarlos. Para realizar acciones, el rol de visor también debe tener la función de administrador del proyecto o miembro del proyecto.

Los usuarios que tengan la función de visor pueden ver los proyectos. También pueden ver endpoints y variables restringidos, pero no la información detallada sobre ellos.

Si tiene la función de ejecutor

Puede ejecutar canalizaciones y realizar acciones en las tareas de operación de usuario. También puede reanudar, pausar y cancelar ejecuciones de canalizaciones. Sin embargo, no puede modificar las canalizaciones.

Cómo se asignan y se actualizan las funciones

Para asignar y actualizar las funciones de otros usuarios, debe ser administrador y propietario de la organización.

Para obtener más información acerca de las funciones, consulte ¿Cuáles son las funciones de usuario de VMware Aria Automation.

Para ver los usuarios activos y sus funciones, en VMware Aria Automation, haga clic en los nueve puntos de la esquina superior derecha.
Haga clic en Administración de identidades y acceso.
Aparecerá una lista de usuarios activos. Para agregar funciones a un usuario o cambiar sus funciones, haga clic en la casilla de verificación situada junto al nombre de usuario y, a continuación, haga clic en Editar funciones.
Al agregar o cambiar las funciones de usuario, también puede agregar acceso a los servicios.
Para guardar los cambios, haga clic en Guardar.