Chaque rôle VMware Cloud Director prédéfini contient un ensemble de droits par défaut requis pour effectuer des opérations incluses dans les workflows communs. Par défaut, tous les rôles prédéfinis de locataire globaux sont publiés dans chaque organisation du système.

Rôles de fournisseur prédéfinis

Par défaut, les rôles de fournisseur qui sont uniquement locaux pour l'organisation de fournisseur sont les rôles Administrateur système et Système multisite. Les administrateurs système peuvent créer des rôles de fournisseur personnalisés supplémentaires.

Administrateur système

Le rôle Administrateur système existe uniquement dans l'organisation de fournisseur. Le rôle Administrateur système inclut tous les droits sur le système. Pour obtenir la liste des droits uniquement disponibles pour le rôle Administrateur système, consultez Droits d'administrateur système dans VMware Cloud Director. Les informations d'identification du rôle Administrateur système sont établies pendant l'installation et la configuration. Un administrateur système peut créer des administrateurs système et des comptes d'utilisateurs supplémentaires dans l'organisation de fournisseur.

Système multisite
Utilisé pour exécuter le processus de pulsation pour les déploiements multisites. Ce rôle n'a qu'un seul droit, à savoir Multisite : opérations système, qui donne l'autorisation d'effectuer une demande à Cloud Director OpenAPI qui récupère l'état du membre distant d'une association de sites.

Rôles de locataire globaux prédéfinis

Par défaut, les rôles de locataire globaux prédéfinis et les droits qu'ils contiennent, à l'exception de l'administrateur de sous-fournisseur, sont publiés dans toutes les organisations. Les administrateurs système peuvent annuler la publication des droits et des rôles de locataire globaux dans des organisations individuelles. Les administrateurs système peuvent modifier ou supprimer des rôles de locataires globaux prédéfinis. Les administrateurs système peuvent créer et publier des rôles de locataire globaux supplémentaires. Vous pouvez publier des rôles de locataire globaux uniquement pour vos locataires directs. En d'autres termes, vous pouvez publier des rôles de locataire globaux uniquement pour les organisations que vous gérez directement. Vous ne pouvez pas publier un rôle de locataire global pour le locataire d'un sous-fournisseur.

Tous les rôles globaux par défaut que le fournisseur de services publie dans votre organisation

Administrateur de sous-fournisseur
Après avoir créé une organisation, un administrateur système peut attribuer le rôle Administrateur de sous-fournisseur à n'importe quel utilisateur de l'organisation. Un utilisateur disposant du rôle prédéfini Administrateur de sous-fournisseur peut créer et gérer des organisations et des VDC d'organisation, gérer des utilisateurs et des groupes dans les organisations du sous-fournisseur et leur attribuer des rôles, y compris le rôle prédéfini Administrateur de sous-fournisseur. Les rôles créés dans l'organisation de sous-fournisseur ne sont pas visibles par les locataires gérés par le sous-fournisseur. Les rôles globaux créés dans l'organisation de sous-fournisseur, puis publiés, sont visibles pour les organisations gérées sur lesquelles le rôle global est publié.

Pour plus d'informations sur le rôle de sous-fournisseurs, reportez-vous à la section Présentation de l'administration de VMware Cloud Director. Pour obtenir la liste complète des droits de sous-fournisseur, reportez-vous à la section Droits VMware Cloud Director des rôles de locataire globaux prédéfinis.

Administrateur d'organisation
Après avoir créé une organisation, un administrateur système ou un administrateur de sous-fournisseur peut attribuer le rôle Administrateur d'organisation à n'importe quel utilisateur de l'organisation. Un utilisateur disposant du rôle Administrateur de l'organisation prédéfini peut gérer les utilisateurs et les groupes de son organisation et leur attribuer des rôles, y compris le rôle Administrateur de l'organisation prédéfini. Les rôles créés ou modifiés par un administrateur d'organisation ne sont pas visibles par les autres organisations.
Auteur de catalogue
Les droits associés au rôle prédéfini Auteur de catalogue permettent à un utilisateur de créer et de publier des catalogues.
Auteur de vApp
Les droits associés au rôle prédéfini Auteur de vApp permettent à un utilisateur d'utiliser les catalogues et de créer des vApp.
Utilisateur de vApp
Les droits associés au rôle prédéfini Utilisateur de vApp permettent à un utilisateur d'utiliser des vApp existants.
Accès via la console uniquement
Les droits associés au rôle prédéfini Accès via la console uniquement permettent à un utilisateur d'afficher les propriétés et l'état de la machine virtuelle, et d'utiliser le SE invité.
Différer vers le fournisseur d'identité
Les droits associés au rôle prédéfini Différer vers le fournisseur d'identité sont déterminés en fonction des informations reçues par le fournisseur d'identité OAuth ou SAML de l'utilisateur. Pour répondre aux critères d'inclusion lorsque le rôle Différer vers le fournisseur d'identité est attribué à un utilisateur ou à un groupe, le nom du rôle ou du groupe indiqué par le fournisseur d'identité doit correspondre exactement, casse comprise, à un nom de rôle ou de groupe défini dans votre organisation.
  • Si un fournisseur d'identité OAuth définit l'utilisateur, ce dernier se voit attribuer les rôles indiqués dans le tableau roles de son jeton OAuth.
  • Si le fournisseur d'identité SAML définit l'utilisateur, ce dernier se voit attribuer les rôles indiqués dans l'attribut SAML dont le nom est affiché dans l'élément RoleAttributeName situé dans l'élément SamlAttributeMapping de l'API OrgFederationSettings de l'organisation.
Si le rôle Différer vers le fournisseur d'identité est attribué à un utilisateur, mais qu'aucun nom de rôle ou de groupe correspondant n'est disponible dans votre organisation, l'utilisateur peut se connecter à l'organisation, mais sans droits. Si un fournisseur d'identité associe un utilisateur à un rôle correspondant à un niveau du système, par exemple Administrateur système, l'utilisateur peut se connecter, mais ne dispose d'aucun droit. Il vous faut attribuer manuellement un rôle à de tels utilisateurs.

À l'exception du rôle Différer vers le fournisseur d'identité, chaque rôle prédéfini inclut un ensemble de droits par défaut. Seul un administrateur système peut modifier les droits d'un rôle prédéfini. Si un administrateur système modifie un rôle prédéfini, les modifications sont appliquées à toutes les instances du rôle dans le système.

Droits des rôles de locataire globaux prédéfinis

Un administrateur système peut utiliser le Service Provider Admin Portal pour afficher la liste des droits inclus dans un rôle.
  1. Dans le panneau de navigation de gauche principal, cliquez sur Administration.
  2. Dans le panneau de gauche secondaire, sous Contrôle d'accès au fournisseur, sélectionnez Rôles.
  3. Cliquez sur le nom du rôle que vous souhaitez voir.
Un administrateur d'organisation peut utiliser le Tenant Portal ou VMware Cloud Director OpenAPI pour afficher les droits d'un rôle ou créer des rôles locaux pour l'organisation.

Divers droits sont communs à plusieurs rôles globaux prédéfinis. Ces droits sont octroyés par défaut à toutes les nouvelles organisations et peuvent être utilisés dans les autres rôles créés par l'administrateur de sous-fournisseur ou l'administrateur d'organisation. Pour obtenir la liste des droits des rôles de locataire prédéfinis, consultez Droits VMware Cloud Director des rôles de locataire globaux prédéfinis.