Chaque rôle VMware Cloud Director prédéfini contient un ensemble de droits par défaut requis pour effectuer des opérations incluses dans les workflows communs. Par défaut, tous les rôles prédéfinis de locataire globaux sont publiés dans chaque organisation du système.

Rôles de fournisseur prédéfinis

Par défaut, les rôles de fournisseur qui sont uniquement locaux pour l'organisation de fournisseur sont les rôles Administrateur système et Système multisite. Les administrateurs système peuvent créer des rôles de fournisseur personnalisés supplémentaires.

Administrateur système
Le rôle Administrateur système existe uniquement dans l'organisation de fournisseur. Le rôle Administrateur système inclut tous les droits sur le système. Pour obtenir la liste des droits disponibles uniquement pour le rôle Administrateur système, reportez-vous à la section Droits d'administrateur système. Les informations d'identification du rôle Administrateur système sont établies pendant l'installation et la configuration. Un administrateur système peut créer des administrateurs système et des comptes d'utilisateurs supplémentaires dans l'organisation de fournisseur.
Système multisite
Utilisé pour exécuter le processus de pulsation pour les déploiements multisites. Ce rôle n'a qu'un seul droit, à savoir Multisite : opérations système, qui donne l'autorisation d'effectuer une demande à Cloud Director OpenAPI qui récupère l'état du membre distant d'une association de sites.

Rôles de locataire globaux prédéfinis

Par défaut, les rôles de locataire globaux prédéfinis et les droits qu'ils contiennent sont publiés dans toutes les organisations. Les administrateurs système peuvent annuler la publication des droits et des rôles de locataire globaux dans des organisations individuelles. Les administrateurs système peuvent modifier ou supprimer des rôles de locataires globaux prédéfinis. Les administrateurs système peuvent créer et publier des rôles de locataire globaux supplémentaires.

Administrateur d'organisation
Après avoir créé une organisation, un administrateur système peut attribuer le rôle Administrateur d'organisation à n'importe quel utilisateur de l'organisation. Un utilisateur disposant du rôle Administrateur de l'organisation prédéfini peut gérer les utilisateurs et les groupes de son organisation et leur attribuer des rôles, y compris le rôle Administrateur de l'organisation prédéfini. Les rôles créés ou modifiés par un administrateur d'organisation ne sont pas visibles par les autres organisations.
Auteur de catalogue
Les droits associés au rôle prédéfini Auteur de catalogue permettent à un utilisateur de créer et de publier des catalogues.
Auteur de vApp
Les droits associés au rôle prédéfini Auteur de vApp permettent à un utilisateur d'utiliser les catalogues et de créer des vApp.
Utilisateur de vApp
Les droits associés au rôle prédéfini Utilisateur de vApp permettent à un utilisateur d'utiliser des vApp existants.
Accès via la console uniquement
Les droits associés au rôle prédéfini Accès via la console uniquement permettent à un utilisateur d'afficher les propriétés et l'état de la machine virtuelle, et d'utiliser le SE invité.
Différer vers le fournisseur d'identité
Les droits associés au rôle prédéfini Différer vers le fournisseur d'identité sont déterminés en fonction des informations reçues par le fournisseur d'identité OAuth ou SAML de l'utilisateur. Pour répondre aux critères d'inclusion lorsque le rôle Différer vers le fournisseur d'identité est attribué à un utilisateur ou à un groupe, le nom du rôle ou du groupe indiqué par le fournisseur d'identité doit correspondre exactement, casse comprise, à un nom de rôle ou de groupe défini dans votre organisation.
  • Si un fournisseur d'identité OAuth définit l'utilisateur, ce dernier se voit attribuer les rôles indiqués dans le tableau roles de son jeton OAuth.
  • Si le fournisseur d'identité SAML définit l'utilisateur, ce dernier se voit attribuer les rôles indiqués dans l'attribut SAML dont le nom est affiché dans l'élément RoleAttributeName situé dans l'élément SamlAttributeMapping de l'API OrgFederationSettings de l'organisation.
Si le rôle Différer vers le fournisseur d'identité est attribué à un utilisateur, mais qu'aucun nom de rôle ou de groupe correspondant n'est disponible dans votre organisation, l'utilisateur peut se connecter à l'organisation, mais sans droits. Si un fournisseur d'identité associe un utilisateur à un rôle correspondant à un niveau du système, par exemple Administrateur système, l'utilisateur peut se connecter, mais ne dispose d'aucun droit. Il vous faut attribuer manuellement un rôle à de tels utilisateurs.

À l'exception du rôle Différer vers le fournisseur d'identité, chaque rôle prédéfini inclut un ensemble de droits par défaut. Seul un administrateur système peut modifier les droits d'un rôle prédéfini. Si un administrateur système modifie un rôle prédéfini, les modifications sont appliquées à toutes les instances du rôle dans le système.

Droits des rôles de locataire globaux prédéfinis

Un administrateur système peut utiliser le Service Provider Admin Portal pour afficher la liste des droits inclus dans un rôle.
  1. Dans la barre de navigation supérieure, cliquez sur Administration.
  2. Dans le panneau de gauche, sous Contrôle d'accès au fournisseur, sélectionnez Rôles.
  3. Cliquez sur le nom du rôle que vous souhaitez voir.
Un administrateur d'organisation peut utiliser le Service Provider Admin Portal ou Cloud Director OpenAPI pour afficher les droits d'un rôle ou créer des rôles locaux pour l'organisation.

Divers droits sont communs à plusieurs rôles globaux prédéfinis. Ces droits sont accordés par défaut à toutes les nouvelles organisations et peuvent être utilisés dans les autres rôles créés par l'administrateur d'organisation. Pour obtenir la liste des droits des rôles de locataire prédéfinis, reportez-vous à la section Droits des rôles de locataire globaux prédéfinis.