En vCenter Server, los permisos globales se aplican a un objeto raíz global que expande soluciones de VMware. En un SDDC local, los permisos globales pueden abarcar tanto vCenter Server como vRealize Orchestrator. Sin embargo, para vSphere SDDC, los permisos globales se aplican a objetos globales, como etiquetas y bibliotecas de contenido.

Puede asignar permisos globales a usuarios o grupos, y decidir qué función asignar a cada usuario o grupo. La función determina el conjunto de privilegios que el usuario o el grupo tienen para todos los objetos de la jerarquía. Puede asignar una función predefinida o crear funciones personalizadas. Consulte Usar funciones de vCenter Server para asignar privilegios.

Es importante distinguir entre los permisos de vCenter Server y los permisos globales.

Tabla 1. Diferencias entre permisos de vCenter Server y permisos globales
Tipo de permiso Descripción
vCenter Server Los permisos de vCenter Server se aplican a objetos específicos de la jerarquía de inventario, como hosts, máquinas virtuales, almacenes de datos, etc. Cuando se asignan permisos de vCenter Server, se especifica que el usuario o grupo tenga una función (conjunto de privilegios) sobre el objeto.
Global Los permisos globales conceden a un usuario o grupo privilegios para ver o administrar todos los objetos en cada una de las jerarquías de inventario de la implementación. Los permisos globales también se aplican a objetos globales, como etiquetas y bibliotecas de contenido. Consulte Permisos de vCenter Server en objetos de etiqueta.

Si asigna un permiso global y no selecciona Propagar, los usuarios o grupos asociados con este permiso no tendrán acceso a los objetos de la jerarquía. Solo podrán acceder a algunas funcionalidades globales, como la creación de funciones.

Agregar permisos globales

Se pueden utilizar permisos globales para otorgar a un usuario o un grupo privilegios sobre todos los objetos de todas las jerarquías del inventario de la implementación.

Importante: Utilice los permisos globales con atención. Compruebe si realmente desea asignar permisos para todos los objetos en todas las jerarquías del inventario.

Requisitos previos

Para realizar esta tarea, se deben tener los privilegios Permisos.Modificar permisos en el objeto raíz de todas las jerarquías del inventario.

Procedimiento

  1. Inicie sesión en vCenter Server mediante vSphere Client.
  2. Seleccione Administración y haga clic en Permisos globales en el área de control de acceso.
  3. Seleccione el dominio en el menú desplegable Proveedor de permisos.
  4. (opcional) Si configuró un proveedor de identidad externo para autenticación federada, el dominio de dicho proveedor de identidad estará disponible para seleccionarlo en el menú desplegable Dominio.
  5. Haga clic en Agregar.
  6. Seleccione el usuario o el grupo que tendrá los privilegios definidos según la función seleccionada.
    1. En el menú desplegable Dominio, seleccione el dominio para el usuario o el grupo.
    2. Escriba un nombre en el cuadro de búsqueda.
      El sistema buscará nombres de usuarios y nombres de grupos.
    3. Seleccione el usuario o grupo.
  7. Seleccione una función en el menú desplegable Función.
  8. Decida si desea propagar los permisos mediante la selección de la casilla Propagar a objetos secundarios.
    Si asigna un permiso global y no selecciona Propagar a objetos secundarios, los usuarios o grupos asociados con este permiso no tendrán acceso a los objetos de la jerarquía. Solo podrán acceder a algunas funcionalidades globales, como la creación de funciones.
  9. Haga clic en Aceptar.

Permisos de vCenter Server en objetos de etiqueta

En la jerarquía de objetos de vCenter Server, los objetos de etiqueta no son objetos secundarios de vCenter Server, sino que se crean al nivel superior de vCenter Server. En los entornos que tienen varias instancias de vCenter Server, los objetos de etiqueta se comparten en las instancias de vCenter Server. El funcionamiento de los permisos para los objetos de etiqueta es distinto al de los permisos para otros objetos de la jerarquía de objetos de vCenter Server.

Solo se aplican los permisos globales o los permisos asignados al objeto de etiqueta

Si otorga permisos a un usuario en un objeto de inventario de vCenter Server, como una máquina virtual, ese usuario puede realizar las tareas asociadas con el permiso. Sin embargo, el usuario no puede realizar operaciones de etiquetado en el objeto.

Por ejemplo, si otorga el privilegio Asignar etiqueta de vSphere al usuario Dana en el host TPA, ese permiso no afecta la posibilidad de Dana de asignar etiquetas en el host TPA. Dana debe tener el privilegio Asignar etiqueta de vSphere en el nivel superior, es decir, un permiso global, o debe tener el privilegio para el objeto de etiqueta.
Tabla 2. Cómo influyen los permisos globales y los permisos de objeto de etiqueta en lo que pueden hacer los usuarios
Permiso global Permiso de nivel de etiqueta Permiso de nivel de objeto de vCenter Server Permiso efectivo
No hay privilegios de etiquetado asignados. Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta. Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA. Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta.
Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere. No hay privilegios asignados para la etiqueta. Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA. Dana tiene los privilegios globales Asignar o desasignar etiqueta de vSphere. Eso incluye privilegios en el nivel de etiqueta.
No hay privilegios de etiquetado asignados. No hay privilegios asignados para la etiqueta. Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere en el host ESXi TPA. Dana no tiene privilegios de etiquetado en ningún objeto, incluido el host TPA.

Los permisos globales complementan los permisos de objeto de etiqueta

Los permisos globales, es decir, los permisos que están asignados en el objeto de nivel superior, complementan los permisos en los objetos de etiqueta cuando los permisos de los objetos de etiqueta tienen más restricciones. Los permisos de vCenter Server no influyen en los objetos de etiqueta.

Por ejemplo, suponga que asigna el privilegio Eliminar etiqueta de vSphere al usuario Robin en el nivel superior mediante el uso de permisos globales. Para la producción de la etiqueta, no asigna el privilegio Eliminar etiqueta de vSphere a Robin. En ese caso, Robin tiene el privilegio para la producción de etiqueta porque tiene el permiso global, que se propaga desde el nivel superior. No se pueden restringir los privilegios a menos que se modifique el permiso global.

Tabla 3. Los permisos globales complementan los permisos de nivel de etiqueta
Permiso global Permiso de nivel de etiqueta Permiso efectivo
Robin tiene los privilegios Eliminar etiqueta de vSphere. Robin no tiene los privilegios Eliminar etiqueta de vSphere para la etiqueta. Robin tiene los privilegios Eliminar etiqueta de vSphere.
No hay privilegios de etiquetado asignados. Robin no tiene los privilegios Eliminar etiqueta de vSphere asignados para la etiqueta. Robin no tiene los privilegios Eliminar etiqueta de vSphere.

Los permisos de nivel de etiqueta pueden extender los permisos globales

Se pueden utilizar permisos de nivel de etiqueta para extender los permisos globales. Eso significa que los usuarios pueden tener un permiso global y un permiso de nivel de etiqueta en una etiqueta.

Nota: Este comportamiento es diferente de la forma vCenter Server se heredan los privilegios. En vCenter Server, los permisos definidos para un objeto secundario siempre anulan los permisos propagados desde los objetos primarios.
Tabla 4. Los permisos globales extienden los permisos de nivel de etiqueta
Permiso global Permiso de nivel de etiqueta Permiso efectivo
Lee tiene el privilegio Asignar o desasignar etiqueta de vSphere. Lee tiene el privilegio Eliminar etiqueta de vSphere. Lee tiene los privilegios Asignar etiqueta de vSphere y Eliminar etiqueta de vSphere para la etiqueta.
No hay privilegios de etiquetado asignados. Lee tiene el privilegio Eliminar etiqueta de vSphere asignado para la etiqueta. Lee tiene el privilegio Eliminar etiqueta de vSphere para la etiqueta.