vSphere prend en charge plusieurs modèles avec un contrôle précis pour déterminer si un utilisateur est autorisé à effectuer une tâche. vCenter Single Sign-On utilise l'appartenance au groupe dans un groupe vCenter Single Sign-On afin de décider de ce que vous êtes autorisé à faire. Votre rôle sur un objet ou votre autorisation globale détermine si vous êtes autorisé à effectuer d'autres tâches dans vSphere.

Présentation des autorisations

Dans vSphere 6.0 et versions ultérieures, des utilisateurs privilégiés peuvent accorder à d'autres utilisateurs des autorisations leur permettant d'effectuer des tâches. Vous pouvez exploiter les autorisations globales ou les autorisations vCenter Server locales pour permettre à d'autres utilisateurs d'utiliser des instances vCenter Server individuelles.
Autorisations vCenter Server

Le modèle d'autorisation des systèmes vCenter Server repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets. Chaque autorisation accorde à un utilisateur ou à un groupe un ensemble de privilèges, c'est-à-dire un rôle sur l'objet sélectionné. Par exemple, vous pouvez sélectionner une machine virtuelle et sélectionner Ajouter une autorisation pour attribuer un rôle à un groupe d'utilisateurs dans un domaine que vous sélectionnez. Ce rôle accorde à ces utilisateurs les privilèges correspondants sur cette VM.

Autorisations globales
Les autorisations globales sont appliquées à un objet racine global qui peut couvrir plusieurs solutions à la fois. Par exemple, si vCenter Server et vRealize Orchestrator sont installés, vous pouvez utiliser les autorisations globales. Par exemple, vous pouvez accorder à un groupe d'utilisateurs des autorisations de lecture sur tous les objets dans les deux hiérarchies d'objets.
Les autorisations globales ne sont pas répliquées si votre environnement inclut une instance de vCenter Server sur site et une instance de vCenter Server dans le cloud.
Appartenance au groupe dans les groupes vCenter Single Sign-On
Pour VMware Cloud on AWS, un groupe d'administrateurs cloud est prédéfini dans vCenter Single Sign-On. Lorsque vous utilisez Hybrid Linked Mode, vous ajoutez ce groupe au domaine lié.

Présentation du modèle d'autorisation de niveau objet

Vous autorisez un utilisateur ou un groupe d'utilisateurs à effectuer des tâches sur les objets vCenter en utilisant des autorisations sur l'objet. Le modèle d'autorisation vSphere repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets vSphere. Chaque autorisation accorde un ensemble de privilèges à un utilisateur ou à un groupe, c'est-à-dire un rôle pour l'objet sélectionné. Par exemple, un groupe d'utilisateurs peut avoir le rôle lecture seule sur une machine virtuelle et le rôle d'administrateur sur une autre machine virtuelle.

Les concepts suivants sont importants.

Autorisations
Chaque objet de la hiérarchie des objets vCenter Server a des autorisations associées. Chaque autorisation spécifie pour un groupe ou un utilisateur les privilèges dont dispose ce groupe ou cet utilisateur sur l'objet.
Utilisateurs et groupes
Sur les systèmes vCenter Server, vous ne pouvez attribuer des privilèges qu'aux utilisateurs ou aux groupes d'utilisateurs authentifiés. Les utilisateurs sont authentifiés via vCenter Single Sign-On. Les utilisateurs et les groupes doivent être définis dans la source d'identité utilisée par vCenter Single Sign-On pour l'authentification. Définissez les utilisateurs et les groupes à l'aide des outils de votre source d'identité, par exemple Active Directory.
Privilèges
Les privilèges sont des contrôles d'accès précis. Vous pouvez regrouper ces privilèges dans des rôles, que vous pouvez ensuite mapper à des utilisateurs ou à des groupes.
Rôles
Les rôles sont des ensembles de privilèges. Les rôles vous permettent d'attribuer des autorisations sur un objet en fonction d'un ensemble de tâches par défaut exécutées par les utilisateurs. Les rôles par défaut, par exemple Administrateur, sont prédéfinis sur vCenter Server et ne peuvent pas être modifiés. D'autres rôles, par exemple Administrateur de pool de ressources, sont des exemples de rôles prédéfinis. Vous pouvez créer des rôles personnalisés totalement nouveaux, ou cloner et modifier des exemples de rôles. Reportez-vous à Créer un rôle personnalisé.
Figure 1. Autorisations de vSphere
Un rôle combine plusieurs privilèges. Le rôle est attribué aux utilisateurs ou aux groupes.
Pour attribuer des autorisations à un objet, suivez les étapes suivantes :
  1. Sélectionnez l'objet auquel vous souhaitez appliquer l'autorisation dans la hiérarchie des objets vCenter.

    Dans VMware Cloud on AWS vous ne pouvez pas modifier les autorisations sur les objets gérés par VMware pour vous, par exemple, l'instance vCenter Server ou les hôtes ESXi.

  2. Sélectionnez le groupe ou l'utilisateur qui doit avoir des privilèges sur l'objet.
  3. Sélectionnez des privilèges individuels ou un rôle, c'est-à-dire un ensemble de privilèges, que le groupe ou l'utilisateur doit avoir sur l'objet.

    Par défaut, les autorisations se propagent, c'est-à-dire que le groupe ou l'utilisateur a le rôle sélectionné sur l'objet sélectionné et ses objets enfants.

vCenter Server offre des rôles prédéfinis qui combinent les ensembles de privilèges fréquemment utilisés. Vous pouvez également créer des rôles personnalisés en combinant un ensemble de rôles.

Les autorisations doivent souvent être définies à la fois sur un objet source et un objet de destination. Par exemple, si vous déplacez une machine virtuelle, vous devez disposer de privilèges sur cette machine virtuelle ainsi que sur le centre de données de destination.

Consultez les informations suivantes.
Pour savoir comment... Reportez-vous à...
Création de rôles personnalisés. Créer un rôle personnalisé
Tous les privilèges et objets auxquels vous pouvez appliquer les privilèges Privilèges définis
Ensembles de privilèges requis sur des objets différents pour des tâches différentes. Privilèges requis pour les tâches courantes

Validation des utilisateurs de vCenter Server

Les systèmes vCenter Server qui utilisent régulièrement un service d'annuaire valident les utilisateurs et les groupes selon le domaine de l'annuaire utilisateur. La validation est effectuée à intervalles réguliers, comme spécifié dans les paramètres de vCenter Server. Par exemple, supposez qu'un rôle soit attribué à l'utilisateur Smith sur plusieurs objets. L'administrateur de domaine modifie le nom en Smith2. L'hôte conclut que Smith n'existe plus et supprime les autorisations associées à cet utilisateur à partir des objets vSphere lors de la prochaine validation.

De même, si l'utilisateur Smith est supprimé du domaine, toutes les autorisations associées à cet utilisateur sont supprimées lors de la validation suivante. Si un nouvel utilisateur Smith est ajouté au domaine avant la validation suivante, les autorisations des objets de l'ancien utilisateur Smith sont remplacées par celles du nouvel utilisateur Smith.