Gestion des droits et des rôles VMware Cloud Director

Un droit est l'unité fondamentale du contrôle d'accès dans VMware Cloud Director. Un rôle associe un nom de rôle à un ensemble de droits. Chaque organisation peut avoir différents droits et rôles.

VMware Cloud Director utilise des rôles et les droits qui leur sont associés pour déterminer si un utilisateur ou un groupe est autorisé à effectuer une opération. De nombreuses procédures documentées dans les guides VMware Cloud Director incluent un rôle prérequis. Ces conditions préalables supposent que le rôle nommé est le rôle prédéfini non modifié ou un rôle incluant un ensemble de droits équivalent.

Les administrateurs système et les administrateurs de sous-fournisseur peuvent utiliser des bundles de droits et des rôles de locataire globaux pour gérer les droits et les rôles qui sont disponibles pour chaque organisation.

Une fois que vous avez installé VMware Cloud Director, le système contient uniquement le System Rights Bundle, qui inclut tous les droits qui sont disponibles dans le système. Le System Rights Bundle n'est publié pour aucune organisation. Le système contient également des rôles de locataire globaux intégrés qui sont publiés sur toutes les organisations gérées par l'organisation system, à l'exception du rôle administrateur de sous-fournisseur qui n'est pas publié par défaut. Pour plus d'informations sur les rôles prédéfinis, reportez-vous à Rôles VMware Cloud Director prédéfinis et leurs droits.

Outre le System Rights Bundle, le système peut contenir un Legacy Rights Bundle pour chaque organisation existante. Chaque Legacy Rights Bundle inclut les droits disponibles dans l'organisation associée au moment de la mise à niveau et est uniquement publié dans cette organisation.

Note : Pour commencer à utiliser le modèle de bundle de droits pour une organisation existante, vous devez supprimer le Legacy Rights Bundle correspondant.

Note :

VMware Cloud Director fournit des OpenAPI pour la gestion des droits et des rôles. Pour plus d'informations sur VMware Cloud Director OpenAPI, reportez-vous à la rubrique Démarrage de VMware Cloud Director OpenAPI sur https://developer.broadcom.com/.

Terminologie des droits

Droite

Chaque droit fournit une vue ou donne accès à un type d'objet particulier dans VMware Cloud Director. Les droits appartiennent à différentes catégories selon les objets auxquels ils sont liés, par exemple, vApp, Catalog, Organization, etc. L'organisation fournisseur contient tous les droits disponibles dans le système. L' administrateur système définit les droits qui sont disponibles pour chaque organisation. Les sous-fournisseurs peuvent définir les droits disponibles pour les organisations qu'ils gèrent. Vous ne pouvez ni créer ni modifier les droits inclus dans VMware Cloud Director.

Bundle de droits

Les administrateurs système peuvent utiliser des bundles de droits pour gérer les droits disponibles pour chaque organisation. Un bundle de droits est un ensemble de droits que l' administrateur système peut publier pour une ou plusieurs organisations. L' administrateur système ou l' administrateur de sous-fournisseur peut créer et publier des bundles de droits qui correspondent à des niveaux de service, à une fonctionnalité séparément monétisable ou à d'autres groupements de droits arbitraires. Les administrateurs système et les administrateurs de sous-fournisseur peuvent publier des bundles de droits uniquement pour les organisations qu'ils gèrent directement. Par exemple, un fournisseur ne peut pas publier un bundle de droits dans une organisation de locataires gérée par un sous-fournisseur. Seuls les administrateurs système et les administrateurs de sous-fournisseur peuvent afficher et gérer les bundles de droits. Les administrateurs peuvent publier plusieurs bundles pour la même organisation.

Classification des droits

À partir de la version 10.6, VMware Cloud Director classe les droits en trois groupes : les droits Provider, Sub-provider et Tenant. Les droits provider s'appliquent uniquement aux fournisseurs et ne peuvent être ni attribués à d'autres personnes ni être visibles par celles-ci. Les fournisseurs peuvent publier les droits sub-provider pour leurs locataires directs, ce qui leur offre des capacités de sous-fournisseur, mais les administrateurs de sous-fournisseur ne peuvent pas publier les droits sub-provider pour les organisations de locataires qu'ils gèrent. Les droits tenant sont des droits ordinaires qui peuvent être attribués à n'importe qui.

Si vous souhaitez afficher la liste de tous les droits VMware Cloud Director avec les noms des droits d'API, les noms des droits de l'interface utilisateur, les classifications des droits, les catégories de droits de l'interface utilisateur, etc., reportez-vous au fichier Droits de VMware Cloud Director 10.6 au format CSV.

Vous pouvez également déterminer les classifications des droits lors de l'utilisation de VMware Cloud Director API : VMware Cloud Director renvoie le champ isPublishable avec chaque droit. Le champ est true ou false, selon la classification et le contexte à partir duquel vous effectuez l'appel. Par exemple, un droit classé sub-provider correspond à true dans le contexte de fournisseur, mais à false dans le contexte de sous-fournisseur.

Droits de l'organisation: Les droits d'organisation constituent l'ensemble des droits disponibles pour une organisation. Les droits d'organisation peuvent comprendre plusieurs bundles de droits, mais les administrateurs de l'organisation et les utilisateurs voient l'ensemble de droits qu'ils peuvent utiliser pour créer et modifier des rôles spécifiques du locataire.

Terminologie des rôles

Rôle

Un rôle est un ensemble de droits pouvant être attribués à un ou plusieurs utilisateurs et groupes. Lorsque vous créez ou importez un utilisateur ou un groupe, vous devez lui attribuer un rôle.

Rôles de fournisseur

Les rôles de fournisseur constituent l'ensemble des rôles auxquels seule l'organisation fournisseur a accès. Les administrateurs système peuvent attribuer des rôles de fournisseur uniquement aux utilisateurs fournisseurs. Les administrateurs système peuvent créer des rôles de fournisseur personnalisés.

Rôle de sous-fournisseur

À partir de VMware Cloud Director 10.6, les administrateurs système peuvent publier les droits nécessaires pour une organisation afin qu'elle devienne une organisation de sous-fournisseur. Un utilisateur disposant du rôle prédéfini Administrateur de sous-fournisseur peut créer et gérer des organisations et des VDC d'organisation, gérer des utilisateurs et des groupes dans les organisations du sous-fournisseur et leur attribuer des rôles, y compris le rôle prédéfini Administrateur de sous-fournisseur. L' administrateur de sous-fournisseur fonctionne au sein de l'organisation de sous-fournisseur. Le rôle Administrateur de sous-fournisseur peut créer et publier des rôles globaux et des bundles de droits.

Pour plus d'informations sur le rôle de sous-fournisseurs, reportez-vous à la section Présentation de l'administration de VMware Cloud Director. Pour obtenir la liste complète des droits de sous-fournisseur, reportez-vous à la section Droits VMware Cloud Director des rôles de locataire globaux prédéfinis.

Rôles de locataire

Les rôles de locataire constituent l'ensemble des rôles disponibles pour une organisation.

Les administrateurs système et les administrateurs de sous-fournisseur peuvent créer et modifier des rôles de locataire globaux et les publier pour une ou plusieurs organisations. Les administrateurs système et les administrateurs de sous-fournisseur peuvent publier des rôles de locataire globaux uniquement pour les organisations qu'ils gèrent directement. Par exemple, un fournisseur ne peut pas publier un rôle de locataire global pour une organisation de locataires gérée par un sous-fournisseur. Les administrateurs peuvent attribuer des rôles de locataire globaux aux utilisateurs de locataire dans les organisations où ils sont publiés. Les administrateurs d'organisation ne peuvent pas modifier les rôles de locataire globaux.

Note : Les utilisateurs locataires ne peuvent utiliser ces droits qu'à partir de leurs rôles qui sont publiés pour leurs organisations.

Rôles spécifiques des locataires

Les administrateurs d'organisation peuvent créer et modifier des rôles spécifiques des locataires, qui sont locaux pour leurs organisations. Les rôles spécifiques des locataires ne peuvent être attribués qu'aux utilisateurs locataires dans l'organisation à laquelle ils appartiennent. Les rôles spécifiques des locataires ne peuvent contenir qu'un sous-ensemble des droits d'organisation.

Pour plus d'informations sur la gestion des rôles spécifiques des locataires, reportez-vous à la section Guide des sous-fournisseurs et des locataires de VMware Cloud Director.