Cada función predefinida de VMware Cloud Director contiene un conjunto predeterminado de derechos necesarios para realizar las operaciones incluidas en los flujos de trabajo más comunes. De forma predeterminada, todas las funciones de tenant globales predefinidas se publican en todas las organizaciones del sistema.

Funciones de proveedor predefinidas

De forma predeterminada, las funciones de proveedor que únicamente son locales en la organización de proveedor son las funciones Administrador del sistema y Sistema multisitio. Los administradores del sistema pueden crear funciones de proveedor personalizadas adicionales.

Administrador del sistema

La función Administrador del sistema solo existe en la organización del proveedor. La función Administrador del sistema incluye todos los derechos del sistema. Para obtener una lista de los derechos disponibles solo para la función Administrador del sistema, consulte Derechos del administrador del sistema en VMware Cloud Director. Las credenciales de Administrador del sistema se establecen durante el proceso de instalación y configuración. Un Administrador del sistema puede crear cuentas adicionales de usuario y de administrador del sistema en la organización de proveedor.

Sistema multisitio
Se utiliza para ejecutar el proceso de latido para implementaciones multisitio. Esta función solo tiene un derecho, Multisitio: Operaciones del sistema, el cual le permite realizar una solicitud de Cloud Director OpenAPI que recupera el estado del miembro remoto de una asociación de sitios.

Funciones globales de tenant predefinidas

De forma predeterminada, las funciones globales de tenant predefinidas y los derechos que contienen, a excepción del administrador de subproveedores, se publican en todas las organizaciones. Los Administradores del sistema pueden cancelar la publicación de derechos y funciones globales de tenant en organizaciones individuales. Los Administradores del sistema pueden editar o eliminar funciones globales de tenant predefinidas. Los administradores del sistema pueden crear y publicar funciones globales de tenant adicionales. Puede publicar funciones globales de tenant solo en sus tenants directos; es decir, puede publicar funciones de tenant globales solo en las organizaciones que administre directamente. No se puede publicar una función de tenant global en el tenant de un subproveedor.

Todas las funciones globales predeterminadas que el proveedor de servicios publica en su organización

Administrador de subproveedores
Una vez creada una organización, un administrador del sistema puede asignar la función administrador de subproveedores a cualquier usuario de la organización. Un usuario con la función administrador de subproveedores predefinida puede crear y administrar organizaciones y VDC de organización, administrar usuarios y grupos en las organizaciones del subproveedor y asignarles funciones, incluida la de administrador de subproveedores predefinida. Las funciones creadas en la organización de subproveedor no están visibles para los tenants que administra el subproveedor. Las funciones globales creadas en la organización de subproveedor y luego publicadas son visibles para las organizaciones administradas en las que se publica la función global.

Para obtener más información sobre la función de subproveedor, consulte Descripción general de la administración de VMware Cloud Director. Para obtener la lista completa de derechos de subproveedor, consulte Derechos de VMware Cloud Director en funciones globales de tenant predefinidas.

Administrador de organización
Una vez creada una organización, un administrador del sistema o un administrador de subproveedores puede asignar la función administrador de organización a cualquier usuario de la organización. Un usuario con la función predefinida Administrador de organización puede administrar usuarios y grupos en la organización y asignarles funciones, incluida la función predefinida Administrador de organización. Otras organizaciones no pueden ver las funciones que un administrador de organización haya creado o modificado.
Autor de catálogo
Los derechos asociados con la función predefinida Autor de catálogo permiten a los usuarios crear y publicar catálogos.
Autor de vApp
Los derechos asociados a la función predefinida Autor de vApp permiten a un usuario usar catálogos y crear vApps.
Usuario de vApp
Los derechos asociados a la función predefinida Usuario de vApp permiten a un usuario utilizar vApps existentes.
Solo acceso a la consola
Los derechos asociados a la función predefinida Solo acceso a la consola permiten a un usuario ver el estado y las propiedades de máquinas virtuales, así como utilizar el sistema operativo invitado.
Aplazar a proveedor de identidad
Los derechos asociados a la función predefinida Aplazar a proveedor de identidad se determinan en función de la información aportada por el proveedor de identidad OAuth o SAML del usuario. Para poder ser incluido cuando a un usuario o grupo se le asigna la función Aplazar a proveedor de identidad, el nombre de función o grupo suministrado por el proveedor de identidad debe coincidir exactamente, incluyendo mayúsculas y minúsculas, con un nombre de función o grupo definido en la organización.
  • Si un proveedor de identidad OAuth define al usuario, a este se le asignan las funciones indicadas en la matriz de roles de su token OAuth.
  • Si un proveedor de identidad SAML define al usuario, a este se le asignan las funciones indicadas en el atributo SAML cuyo nombre aparece en el elemento RoleAttributeName, que se encuentra en el elemento SamlAttributeMapping del elemento OrgFederationSettings de la organización.
Si al usuario se le asigna la función Aplazar a proveedor de identidad, pero en la organización no hay disponible ningún nombre de función o grupo que coincida, el usuario podrá iniciar sesión en la organización, pero no tendrá ningún derecho. Si un proveedor de identidad asocia a un usuario con una función de nivel de sistema, como Administrador del sistema, ese usuario podrá iniciar sesión en la organización, pero no tendrá ningún derecho. Deberá asignar manualmente una función a esos usuarios.

A excepción de la función Aplazar a proveedor de identidad, todas las funciones predefinidas incluyen un conjunto de derechos predeterminados. Solo un Administrador del sistema puede modificar los derechos de una función predefinida. Si un Administrador del sistema modifica una función predefinida, los cambios se propagan a todas las instancias de esa función en el sistema.

Derechos en funciones globales de tenant predefinidas

Un administrador del sistema puede utilizar Service Provider Admin Portal para ver la lista de derechos que se incluyen en una función.
  1. En el panel de navegación principal de la izquierda, haga clic en Administración.
  2. En el panel secundario de la izquierda, en Control de acceso de proveedores, seleccione Funciones.
  3. Haga clic en el nombre de la función que desea ver.
Un administrador de organización puede utilizar Tenant Portal o la OpenAPI de VMware Cloud Director para ver los derechos de una función o crear funciones que sean locales para la organización.

Diferentes derechos son comunes a varias funciones globales predefinidas. Estos derechos se conceden de forma predeterminada a todas las organizaciones nuevas y están disponibles para su uso en otras funciones que creó el administrador de subproveedores o el administrador de organización. Para obtener una lista de los derechos de las funciones de tenant predefinidas, consulte Derechos de VMware Cloud Director en funciones globales de tenant predefinidas.