Un derecho es la unidad fundamental de control de acceso en VMware Cloud Director. Una función asocia un nombre de función a un conjunto de derechos. Cada organización puede tener distintos derechos y funciones.

VMware Cloud Director utiliza funciones y sus derechos asociados para determinar si un usuario o grupo tiene autorización para realizar una operación. Muchos de los procedimientos documentados en las guías de VMware Cloud Director incluyen una función de requisitos previos. Estos requisitos previos dan por hecho que la función con nombre es la función predefinida sin modificar o una función que incluye un conjunto de derechos equivalente.

Los administradores del sistema y los administradores de los subproveedores pueden utilizar paquetes de derechos y funciones globales de tenant para administrar los derechos y las funciones disponibles en cada organización.

Después de instalar VMware Cloud Director, el sistema solo contiene el System Rights Bundle, que incluye todos los derechos que están disponibles en el sistema. El System Rights Bundle no está publicado en ninguna organización. El sistema también contiene funciones globales de tenant integradas que se publican en todas las organizaciones administradas por la organización de system, excepto la función de administrador de subproveedores, que no se publica de forma predeterminada. Para obtener información sobre las funciones predefinidas, consulte Funciones predeterminadas de VMware Cloud Director y sus derechos.

Además del System Rights Bundle, el sistema puede contener un Legacy Rights Bundle para cada organización existente. Cada Legacy Rights Bundle incluye los derechos que están disponibles en la organización asociada en el momento de la actualización y se publica solo para esa organización.

Nota: Para comenzar a usar el modelo de paquetes de derechos para una organización existente, debe eliminar el Legacy Rights Bundle correspondiente.
Nota:

VMware Cloud Director incluye OpenAPI para administrar derechos y funciones. Para obtener información sobre OpenAPI de VMware Cloud Director, consulte Introducción a OpenAPI de VMware Cloud Director en https://developer.broadcom.com/.

Terminología de derechos

Derecho
Cada derecho proporciona acceso para ver o administrar un tipo de objeto concreto en VMware Cloud Director. Los derechos pertenecen a distintas categorías en función de los objetos con los que se relacionan, por ejemplo, vApp, Catalog, Organization, etc. La organización de proveedor contiene todos los derechos disponibles en el sistema. El administrador del sistema define los derechos que están disponibles para cada organización. Los subproveedores pueden definir los derechos disponibles para las organizaciones que administran. No puede crear ni modificar los derechos incluidos en VMware Cloud Director.
Paquete de derechos
Los administradores del sistema pueden utilizar paquetes de derechos para administrar los derechos que están disponibles para cada organización. Un paquete de derechos es un conjunto de derechos que el administrador del sistema puede publicar en una o varias organizaciones. El administrador del sistema o el administrador de subproveedores pueden crear y publicar los paquetes de derechos que corresponden a los niveles de servicio, funcionalidad monetizable por separado o cualquier otro agrupamiento arbitrario de derechos. Los administradores del sistema y los administradores de subproveedores pueden publicar paquetes de derechos solo en las organizaciones que administran directamente; por ejemplo, un proveedor no puede publicar un paquete de derechos en una organización de tenant que administra un subproveedor. Solo los administradores del sistema y los administradores de subproveedores pueden ver y administrar los paquetes de derechos. Los administradores pueden publicar varios paquetes en la misma organización.
Clasificación de los derechos
A partir de la versión 10.6, VMware Cloud Director clasifica los derechos en tres grupos: derechos de Provider, Sub-provider y Tenant. Los derechos de provider solo se aplican a los proveedores y no pueden ser asignados ni visibles para nadie más. Los proveedores pueden publicar los derechos de sub-provider en sus tenants directos y proporcionarles capacidades de subproveedor, pero los administradores de subproveedores no pueden publicar los derechos de sub-provider en las organizaciones de tenant que administran. Los tenant son derechos normales que se pueden asignar a cualquier persona.

Si desea ver una lista de todos los derechos de VMware Cloud Director con nombres de derechos de API, nombres de derechos de interfaz de usuario, clasificaciones de derechos, categorías de derechos de interfaz de usuario, etc., consulte el archivo sobre derechos de VMware Cloud Director 10.6 en formato CSV.

Si lo prefiere, puede encontrar las clasificaciones de derechos al utilizar la API de VMware Cloud Director, VMware Cloud Director devuelve el campo isPublishable con cada derecho. El campo es true o false en función de la clasificación y el contexto desde el que se realiza la llamada. Por ejemplo, un derecho clasificado sub-provider es true en el contexto del proveedor, pero false en el contexto de subproveedor.

Derechos de organización
Derechos de organización son el conjunto completo de derechos que están disponibles para una organización. Los derechos de organización pueden constar de varios paquetes de derechos, pero los administradores de organización y los usuarios de cada organización ven un conjunto plano de derechos que pueden utilizar para crear y modificar funciones específicas para tenants.

Terminología de funciones

Función
Una función es un conjunto de derechos que se puede asignar a uno o varios usuarios y grupos. Al crear o importar un usuario o un grupo, se les debe asignar una función.
Funciones de proveedor
Las funciones de proveedor son el conjunto de funciones que solo están disponibles para la organización de proveedor. Los administradores del sistema pueden asignar funciones de proveedor solo a los usuarios de proveedor. Los administradores del sistema pueden crear funciones de proveedor personalizadas.
Función de subproveedor
A partir de VMware Cloud Director 10.6, los administradores del sistema pueden publicar los derechos necesarios en una organización para que se convierta en una organización de subproveedores. Un usuario con la función administrador de subproveedores predefinida puede crear y administrar organizaciones y VDC de organización, administrar usuarios y grupos en las organizaciones del subproveedor y asignarles funciones, incluida la de administrador de subproveedores predefinida. El administrador de subproveedores funciona dentro de la organización de subproveedor. La función de administrador de subproveedores puede crear y publicar paquetes de derechos y funciones globales.

Para obtener más información sobre la función de subproveedor, consulte Descripción general de la administración de VMware Cloud Director. Para obtener la lista completa de derechos de subproveedor, consulte Derechos de VMware Cloud Director en funciones globales de tenant predefinidas.

Funciones de tenant

Las funciones de tenant son el conjunto de funciones disponibles en una organización.

Los administradores del sistema y los administradores de subproveedores pueden crear y editar funciones globales de tenant y publicarlas en una o varias organizaciones. Los administradores del sistema y los administradores de subproveedores pueden publicar funciones de tenant globales solo en las organizaciones que administran directamente; por ejemplo, un proveedor no puede publicar una función de tenant global en una organización de tenant que administra un subproveedor. Los administradores pueden asignar las funciones globales de tenant a los usuarios tenant de las organizaciones en las que están publicadas. Los administradores de organización no pueden editar las funciones globales de tenant.

Nota: Los usuarios tenant solo pueden utilizar los derechos de sus funciones que se publican para sus organizaciones.
Funciones específicas para tenants
Los administradores de organización pueden crear y editar las funciones específicas para tenants que sean locales para sus organizaciones. Las funciones específicas para tenants pueden asignarse solo los usuarios tenant de la organización a la que pertenecen. Las funciones específicas para tenants pueden contener un subconjunto de solo los derechos de la organización.

Para obtener información acerca de las funciones de administración específicas para tenants, consulte la Guía para subproveedores y tenants de VMware Cloud Director.