Le modèle d'autorisation des systèmes vCenter Server repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets vSphere. Chaque autorisation accorde un ensemble de privilèges à un utilisateur ou à un groupe, c'est-à-dire un rôle pour l'objet sélectionné.

Vous devez comprendre les concepts suivants :

Autorisations

Chaque objet de la hiérarchie des objets vCenter Server a des autorisations associées. Chaque autorisation spécifie pour un groupe ou un utilisateur les privilèges dont dispose ce groupe ou cet utilisateur sur l'objet.

Utilisateurs et groupes

Sur les systèmes vCenter Server, vous ne pouvez attribuer des privilèges qu'aux utilisateurs ou aux groupes d'utilisateurs authentifiés. Les utilisateurs sont authentifiés via vCenter Single Sign-On. Les utilisateurs et les groupes doivent être définis dans la source d'identité utilisée par vCenter Single Sign-On pour l'authentification. Définissez les utilisateurs et les groupes à l'aide des outils de votre source d'identité, par exemple Active Directory.

Rôles

Les rôles vous permettent d'attribuer des autorisations sur un objet en fonction d'un ensemble de tâches par défaut exécutées par les utilisateurs. Les rôles par défaut, par exemple Administrateur, sont prédéfinis sur vCenter Server et ne peuvent pas être modifiés. D'autres rôles, par exemple Administrateur de pool de ressources, sont des exemples de rôles prédéfinis. Vous pouvez créer des rôles personnalisés totalement nouveaux, ou cloner et modifier des exemples de rôles.

Privilèges

Les privilèges sont des contrôles d'accès précis. Vous pouvez regrouper ces privilèges dans des rôles, que vous pouvez ensuite mapper à des utilisateurs ou à des groupes.

Figure 1. Autorisations de vSphere
Un rôle combine plusieurs privilèges. Le rôle est attribué aux utilisateurs ou aux groupes.

Pour attribuer des autorisations à un objet, suivez les étapes suivantes :

  1. Dans la hiérarchie d'objets vCenter, sélectionnez l'objet auquel vous souhaitez appliquer l'autorisation.

  2. Sélectionnez le groupe ou l'utilisateur qui doit avoir des privilèges sur l'objet.

  3. Sélectionnez le rôle, c'est-à-dire l'ensemble de privilèges, que le groupe ou l'utilisateur doit avoir sur l'objet. Par défaut, les autorisations se propagent, c'est-à-dire que le groupe ou l'utilisateur a le rôle sélectionné sur l'objet sélectionné et ses objets enfants.

Le modèle d'autorisations permet d'accélérer la réalisation des tâches en offrant des rôles prédéfinis. Vous pouvez également combiner des privilèges pour créer des rôles personnalisés. Voir Privilèges définis pour obtenir une référence à l'ensemble des privilèges et aux objets auxquels vous pouvez appliquer les privilèges. Voir Privilèges requis pour les tâches courantes pour consulter des exemples d'ensembles de privilèges dont vous avez besoin pour effectuer ces tâches.

Dans de nombreux cas, les autorisations doivent être définies à la fois sur un objet source et un objet de destination. Par exemple, si vous déplacez une machine virtuelle, vous devez disposer de certains privilèges sur cette machine virtuelle ainsi que sur le centre de données de destination.

Le modèle d'autorisations des hôtes ESXi autonomes est plus simple. Reportez-vous à Affectation d'autorisations pour ESXi

Validation des utilisateurs de vCenter Server

Les systèmes vCenter Server qui utilisent régulièrement un service d'annuaire valident les utilisateurs et les groupes selon le domaine de l'annuaire utilisateur. La validation est effectuée à intervalles réguliers, comme spécifié dans les paramètres de vCenter Server. Par exemple, si un rôle sur plusieurs objets est attribué à l'utilisateur Smith et que le nom d'utilisateur est remplacé par Smith2 dans le domaine, l'hôte conclut que Smith n'existe plus et supprime des objets vSphere les autorisations associées à cet utilisateur lors de la validation suivante.

De même, si l'utilisateur Smith est supprimé du domaine, toutes les autorisations associées à cet utilisateur sont supprimées lors de la validation suivante. Si un nouvel utilisateur Smith est ajouté au domaine avant la validation suivante, les autorisations des objets de l'ancien utilisateur Smith sont remplacées par celles du nouvel utilisateur Smith.