Dans vSphere, les privilèges sont des contrôles d'accès rigoureux qui peuvent être regroupés en rôles et mappés à des utilisateurs ou des groupes. L'enregistreur de privilèges vous aide à identifier l'ensemble minimal de privilèges requis pour exécuter un workflow vCenter Server.
Pour exécuter un ensemble spécifique d'opérations, il est très difficile de déterminer l'ensemble minimal de privilèges requis par l'utilisateur. Les privilèges ne disposent pas d'un mappage un-un avec le workflow spécifique qui se compose généralement de plusieurs appels à différentes API fonctionnant sur l'objet respectif. Par conséquent, l'utilisateur dispose d'un accès plus important ou d'un accès trop faible à l'environnement. Dans le but de préserver la sécurité de l'environnement, la fonctionnalité d'enregistreur de privilèges vous permet d'identifier l'ensemble minimal de privilèges requis pour exécuter un workflow vCenter Server. Il vous permet de surveiller et d'interroger les privilèges qui ont été vérifiés lors de l'exécution d'une opération. L'enregistreur de privilèges est implémenté à l'aide d'un dispositif REST API.
Note : Cette fonctionnalité est disponible en tant qu'API et prend uniquement en charge les workflows exécutés par un script. Il n'existe aucune prise en charge de l'interface utilisateur pour l'enregistreur de privilèges.
L'interrogation de ListAPI vous permet de récupérer des listes de vérifications de privilèges ainsi que les sessions, les utilisateurs, les objets gérés et les ID d'opération (opID) correspondants. Vous pouvez utiliser les filtres appropriés pour obtenir des privilèges pour un workflow particulier.
Par exemple, supposons que l'utilisateur A doit créer une machine virtuelle. La création d'une machine virtuelle nécessite un certain ensemble de privilèges. L'utilisateur A doit demander des privilèges à l'administrateur système. L'administrateur système peut activer l'enregistreur de privilèges et exécuter l'opération de création de machine virtuelle. Lorsque la vérification des privilèges est effectuée, les données des privilèges qui ont été vérifiés lors de l'opération Créer une VM sont stockées. Les données contiennent PrivilegeID, sessionID, OpID, etc. Dans cet exemple, cet administrateur système utilise les filtres pour obtenir des privilèges pour le workflow Créer une machine virtuelle. L'administrateur système peut désormais créer un rôle avec le minimum de privilèges requis et l'attribuer à l'utilisateur.