El modelo de permisos de los sistemas vCenter Server se basa en la asignación de permisos a los objetos de la jerarquía de objetos de vSphere. Cada permiso otorga un conjunto de privilegios a un usuario o grupo; es decir, asigna una función para el objeto seleccionado.

Los siguientes conceptos son importantes.

Permisos

Cada objeto en la jerarquía de objetos de vCenter Server tiene permisos asociados. Cada permiso especifica en un solo grupo o usuario qué privilegios tiene ese grupo o usuario sobre el objeto.

Usuarios y grupos

En los sistemas vCenter Server se pueden asignar privilegios solo a usuarios autenticados o a grupos de usuarios autenticados. Los usuarios se autentican mediante vCenter Single Sign-On. Los usuarios y los grupos deben definirse en el origen de identidad que vCenter Single Sign-On utiliza para autenticar. Defina usuarios y grupos utilizando las herramientas en su origen de identidad, por ejemplo, Active Directory.

Privilegios

Los privilegios son controles de acceso detallados. Esos privilegios se pueden agrupar en funciones que, a continuación, se pueden asignar a los usuarios o a los grupos.

Funciones

Las funciones son conjuntos de privilegios. Las funciones permiten asignar permisos en un objeto en función de un conjunto típico de tareas que realizan los usuarios. En vCenter Server, las funciones predeterminados —tales como Administrador— están predefinidos y no se pueden cambiar. Otras funciones, como Administrador de grupo de recursos, son funciones de muestra predefinidos. Se pueden crear funciones personalizadas, ya sea desde cero o mediante la clonación y la modificación de las funciones de muestra. Consulte Crear una función personalizada y Clonar una función.

Figura 1. Permisos de vSphere
Se combinan varios privilegios en una función. Se asigna la función a usuarios o grupos.

Para asignar permisos sobre un objeto, siga estos pasos:

  1. Seleccione el objeto en el que desea aplicar el permiso en la jerarquía de objetos de vCenter.

  2. Seleccione el grupo o el usuario que tendrá los privilegios sobre el objeto.

  3. Seleccione privilegios individuales o una función, es decir, un conjunto de privilegios que el grupo o el usuario tendrán sobre el objeto.

    De forma predeterminada, los permisos se propagan; esto significa que el grupo o el usuario cumple la función determinada sobre el objeto seleccionado y sus objetos secundarios.

vCenter Server ofrece funciones predefinidas, que combinan conjuntos de privilegios usados con frecuencia. También puede crear funciones personalizadas mediante la combinación de un conjunto de funciones.

En muchos casos, los permisos deben definirse tanto en un objeto de origen como en un objeto de destino. Por ejemplo, al mover una máquina virtual, se necesitan privilegios en esa máquina virtual, pero también privilegios en el centro de datos de destino.

Consulte la siguiente información.

Para averiguar sobre...

Consulte...

Crear funciones personalizadas.

Crear una función personalizada

Todos los privilegios y los objetos a los que puede aplicar los privilegios

Privilegios definidos

Conjuntos de privilegios que se requieren en diferentes objetos para diferentes tareas.

Privilegios necesarios para la realización de tareas comunes

El modelo de permisos de los hosts ESXi independientes es más simple. Consulte Asignar privilegios para hosts ESXi.

Validar usuarios de vCenter Server

Los sistemas vCenter Server que usan un servicio de directorio suelen validar usuarios y grupos en función del dominio del directorio de usuarios. La validación se produce en intervalos regulares especificados en la configuración de vCenter Server. Por ejemplo, supongamos que al usuario Smith se le asigna una función sobre varios objetos. El administrador de dominios cambia el nombre por Smith2. El host concluye que Smith ya no existe y elimina los permisos asociados con ese usuario de los objetos de vSphere en la siguiente validación.

De modo similar, si se elimina el usuario Smith del dominio, todos los permisos asociados con ese usuario se eliminan en la siguiente validación. Si se agrega un nuevo usuario Smith al dominio antes de la siguiente validación, el nuevo usuario Smith reemplaza al antiguo usuario Smith en los permisos sobre cualquier objeto.