vSphere prend en charge plusieurs modèles pour déterminer si un utilisateur est autorisé à effectuer une tâche. L'appartenance à un groupe vCenter Single Sign-On détermine ce que vous êtes autorisé à faire. Votre rôle sur un objet ou votre autorisation globale détermine si vous êtes autorisé à effectuer d'autres tâches.

Comment fonctionnent les autorisations dans vSphere ?

vSphere permet aux utilisateurs privilégiés d'accorder à d'autres utilisateurs des autorisations d'exécution de tâches. Vous pouvez exploiter les autorisations globales ou les autorisations vCenter Server locales pour permettre à d'autres utilisateurs d'utiliser des instances vCenter Server individuelles.

La figure suivante illustre le fonctionnement des autorisations globales et locales.

Figure 1. Autorisations globales et autorisations locales
Cette figure illustre le fonctionnement des autorisations globales et locales.

Dans cette figure :

  1. Vous attribuez une autorisation globale au niveau de l'objet racine en sélectionnant l'option « Propager vers les enfants ».
  2. vCenter Server propage les autorisations aux hiérarchies d'objets vCenter Server 1 et vCenter Server 2 dans l'environnement.
  3. Une autorisation locale sur le dossier racine sur vCenter Server 2 remplace l'autorisation globale.
Autorisations vCenter Server

Le modèle d'autorisation des systèmes vCenter Server repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets. Les utilisateurs obtiennent des autorisations de l'une des manières suivantes.

  • À partir d'une autorisation spécifique pour l'utilisateur ou à partir des groupes dont l'utilisateur est membre.
  • À partir d'une autorisation sur l'objet ou via l'héritage d'autorisations depuis un objet parent.

Chaque autorisation accorde à un utilisateur ou à un groupe un ensemble de privilèges, c'est-à-dire un rôle sur l'objet sélectionné. Vous pouvez utiliser vSphere Client pour ajouter des autorisations. Par exemple, vous pouvez cliquer avec le bouton droit sur une machine virtuelle, sélectionner Ajouter une autorisation et remplir la boîte de dialogue pour attribuer un rôle à un groupe d'utilisateurs. Ce rôle accorde à ces utilisateurs les privilèges correspondants sur la machine virtuelle.

Figure 2. Ajout d'autorisations à une machine virtuelle à l'aide de vSphere Client
Cliquez avec le bouton droit sur une machine virtuelle et sélectionnez Ajouter des autorisations pour afficher la boîte de dialogue Ajouter des autorisations.
Autorisations globales
Les autorisations globales donnent à un utilisateur ou à un groupe des privilèges pour afficher ou gérer tous les objets dans chacune des hiérarchies d’inventaire des solutions du déploiement. Autrement dit, les autorisations globales sont appliquées à un objet racine global qui couvre les hiérarchies d’inventaire de solutions. (Les solutions incluent vCenter Server, VMware Aria Automation Orchestrator, etc.) Les autorisations globales s'appliquent également aux objets globaux tels que les balises et les bibliothèques de contenu. Par exemple, envisagez un déploiement qui se compose de deux solutions : vCenter Server et VMware Aria Automation Orchestrator. Vous pouvez utiliser des autorisations globales pour attribuer un rôle à un groupe d'utilisateurs qui dispose de privilèges en lecture seule sur tous les objets dans les hiérarchies d'objets vCenter Server et VMware Aria Automation Orchestrator.
Les autorisations globales sont répliquées dans le domaine vCenter Single Sign-On (par défaut, vsphere.local). Les autorisations globales ne fournissent pas d'autorisations pour les services gérés via des groupes du domaine vCenter Single Sign-On. Reportez-vous à la section Utilisation des autorisations globales de vCenter Server.
Appartenance à un groupe dans des groupes vCenter Single Sign-On
Les membres d'un groupe du domaine vCenter Single Sign-On peuvent effectuer certaines tâches. Par exemple, vous pouvez effectuer la gestion de licences si vous êtes membre du groupe LicenseService.Administrators. Consultez la documentation de Authentification vSphere.
Autorisations d'hôte ESXi local
Si vous gérez un système ESXi autonome qui n'est pas géré par un système vCenter Server, vous pouvez attribuer l'un des rôles prédéfinis aux utilisateurs. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
Pour les hôtes gérés, attribuez des rôles à l'objet hôte ESXi dans l'inventaire vCenter Server.

Présentation du modèle d'autorisation de niveau objet

Vous autorisez un utilisateur ou un groupe d'utilisateurs à effectuer des tâches sur les objets vCenter Server en utilisant des autorisations sur l'objet. D'un point de vue programmatique, lorsqu'un utilisateur tente d'effectuer une opération, une méthode API est exécutée. vCenter Server vérifie les autorisations de cette méthode pour voir si l'utilisateur est autorisé à effectuer l'opération. Par exemple, lorsqu'un utilisateur tente d'ajouter un hôte, la méthode AddStandaloneHost_Task est invoquée. Cette méthode nécessite que le rôle de l'utilisateur dispose du privilège Host.Inventory.AddStandaloneHost privilege. Si la vérification ne trouve pas ce privilège, l'autorisation d'ajout de l'hôte est refusée à l'utilisateur.

Les concepts suivants sont importants.

Autorisations
Chaque objet de la hiérarchie des objets vCenter Server a des autorisations associées. Chaque autorisation spécifie pour un groupe ou un utilisateur les privilèges dont dispose ce groupe ou cet utilisateur sur l'objet. Les autorisations peuvent se propager aux objets enfants.
Utilisateurs et groupes
Sur les systèmes vCenter Server, vous ne pouvez attribuer des privilèges qu'aux utilisateurs ou aux groupes d'utilisateurs authentifiés. Les utilisateurs sont authentifiés via vCenter Single Sign-On. Les utilisateurs et les groupes doivent être définis dans la source d'identité utilisée par vCenter Single Sign-On pour l'authentification. Définissez les utilisateurs et les groupes à l'aide des outils de votre source d'identité, par exemple Active Directory.
Privilèges
Les privilèges sont des contrôles d'accès précis. Vous pouvez regrouper ces privilèges dans des rôles, que vous pouvez ensuite mapper à des utilisateurs ou à des groupes.
Rôles
Les rôles sont des ensembles de privilèges. Les rôles vous permettent d'attribuer des autorisations sur un objet en fonction d'un ensemble de tâches par défaut exécutées par les utilisateurs. Les rôles système, par exemple Administrateur, sont prédéfinis sur vCenter Server et ne peuvent pas être modifiés. vCenter Server fournit également des exemples de rôles par défaut, tels que l'administrateur de pool de ressources, que vous pouvez modifier. Vous pouvez créer des rôles personnalisés totalement nouveaux, ou cloner et modifier des exemples de rôles. Reportez-vous à la section Créer un rôle personnalisé vCenter Server.

La figure suivante illustre comment une autorisation est construite à partir de privilèges et de rôles, puis attribuée à un utilisateur ou à un groupe pour un objet vSphere.

Figure 3. Autorisations de vSphere
Un rôle combine plusieurs privilèges. Le rôle est attribué aux utilisateurs ou aux groupes.
Pour attribuer des autorisations à un objet, suivez les étapes suivantes :
  1. Sélectionnez l'objet auquel vous souhaitez appliquer l'autorisation dans la hiérarchie d'objets vCenter Server.
  2. Sélectionnez le groupe ou l'utilisateur qui doit avoir des privilèges sur l'objet.
  3. Sélectionnez des privilèges individuels ou un rôle, c'est-à-dire un ensemble de privilèges, que le groupe ou l'utilisateur doit avoir sur l'objet.

    Par défaut, l'option Propager vers les enfants n'est pas sélectionnée. Vous devez cocher la case pour le groupe ou l'utilisateur afin d'obtenir le rôle sélectionné sur l'objet sélectionné et ses objets enfants.

vCenter Server offre des exemples de rôles qui combinent les ensembles de privilèges fréquemment utilisés. Vous pouvez également créer des rôles personnalisés en combinant un ensemble de rôles.

Les autorisations doivent souvent être définies à la fois sur un objet source et un objet de destination. Par exemple, si vous déplacez une machine virtuelle, vous devez disposer de privilèges sur cette machine virtuelle ainsi que sur le centre de données de destination.

Consultez les informations suivantes.
Pour savoir comment... Reportez-vous à...
Création de rôles personnalisés. Créer un rôle personnalisé vCenter Server
Tous les privilèges et objets auxquels vous pouvez appliquer les privilèges Privilèges définis
Ensembles de privilèges requis sur des objets différents pour des tâches différentes. Privilèges vCenter Server requis pour les tâches courantes
Le modèle d'autorisations des hôtes ESXi autonomes est plus simple. Reportez-vous à la section Attribution de privilèges pour les hôtes ESXi.

Qu'est-ce que la validation de l'utilisateur vCenter Server ?

Les systèmes vCenter Server qui utilisent régulièrement un service d'annuaire valident les utilisateurs et les groupes selon le domaine de l'annuaire utilisateur. La validation est effectuée à intervalles réguliers, comme spécifié dans les paramètres de vCenter Server. Par exemple, supposez qu'un rôle soit attribué à l'utilisateur Smith sur plusieurs objets. L'administrateur de domaine modifie le nom en Smith2. L'hôte conclut que Smith n'existe plus et supprime les autorisations associées à cet utilisateur à partir des objets vSphere lors de la prochaine validation.

De même, si l'utilisateur Smith est supprimé du domaine, toutes les autorisations associées à cet utilisateur sont supprimées lors de la validation suivante. Si un nouvel utilisateur Smith est ajouté au domaine avant la validation suivante, les autorisations des objets de l'ancien utilisateur Smith sont remplacées par celles du nouvel utilisateur Smith.

Héritage hiérarchique des autorisations dans vSphere

Lorsque vous attribuez une autorisation à un objet, vous pouvez choisir si l'autorisation propage la hiérarchie d'objets. Vous définissez la propagation pour chaque autorisation. La propagation n'est pas appliquée universellement. Les autorisations définies pour un objet enfant ignorent toujours les autorisations qui sont propagées à partir des objets parent.

La figure suivante illustre la hiérarchie d'inventaire et les chemins par lesquels les autorisations peuvent se propager.
Note : Les autorisations globales prennent en charge l'attribution de privilèges entre les solutions à partir d'un objet racine global. Reportez-vous à la section Utilisation des autorisations globales de vCenter Server.
Figure 4. Hiérarchie d'inventaire de vSphere
Cette figure illustre l'héritage des autorisations dans la hiérarchie d'inventaire de vSphere, des objets parents aux objets enfants.

À propos de cette figure :

  • Vous ne pouvez pas définir d'autorisations directes sur les dossiers de VM, d'hôte, de réseau et de stockage. Autrement dit, ces dossiers agissent comme des conteneurs et ne sont donc pas visibles par les utilisateurs.
  • Vous ne pouvez pas définir d'autorisations sur des commutateurs standard.
Note : Pour définir et propager les autorisations vers les enfants sur un vSphere Distributed Switch (VDS), l'objet de commutateur doit résider dans un dossier réseau créé sur le centre de données.

La plupart des objets d'inventaire héritent des autorisations d'un objet parent unique dans la hiérarchie. Par exemple, une banque de données hérite des autorisations de son dossier de la banque de données parente ou du centre de données parent. Les machines virtuelles héritent des autorisations du dossier parent de machine virtuelle et simultanément l'hôte, le cluster ou le pool de ressources parent.

Par exemple, vous pouvez définir des autorisations pour un commutateur distribué et ses groupes de ports distribués associés, en réglant des autorisations sur un objet parent, tel qu'un dossier ou un centre de données. Vous devez également sélectionner l'option pour propager ces autorisations aux objets enfant.

Les autorisations prennent plusieurs formes dans la hiérarchie.

Entités gérées

Les entités gérées font référence aux objets vSphere suivants. Les entités gérées offrent des opérations spécifiques qui varient selon le type d'entité. Les utilisateurs privilégiés peuvent définir des autorisations sur des entités gérées. Consultez la documentation de vSphere API pour plus d'informations sur les objets, les propriétés et les méthodes de vSphere.

  • Clusters
  • Centres de données
  • Banques de données
  • Clusters de banques de données
  • Dossiers
  • Hôtes
  • Réseaux (excepté vSphere Distributed Switches)
  • Groupes de ports distribués
  • Pools de ressources
  • Modèles
  • Machines virtuelles
  • vSphere vApps

Entités globales

Vous ne pouvez pas modifier les autorisations sur des entités qui dérivent les autorisations du système vCenter Server racine.

  • Champs personnalisés
  • Licences
  • Rôles
  • Intervalles de statistiques
  • Sessions