Utilisation des autorisations globales de vCenter Server

Dans vCenter Server, les autorisations globales sont appliquées à un objet racine global qui peut couvrir plusieurs solutions VMware. Dans un SDDC sur site, les autorisations globales peuvent s'étendre à la fois à vCenter Server et à VMware Aria Automation Orchestrator. Toutefois, pour un SDDC vSphere, les autorisations globales s'appliquent aux objets globaux tels que les balises et les bibliothèques de contenu.

Vous pouvez attribuer des autorisations globales à des utilisateurs ou des groupes et choisir le rôle de chaque utilisateur ou de chaque groupe. Le rôle détermine l'ensemble de privilèges attribués à l'utilisateur ou au groupe pour tous les objets de la hiérarchie. Vous pouvez attribuer un rôle prédéfini ou créer des rôles personnalisés. Reportez-vous à la section Utilisation des rôles vCenter Server pour attribuer des privilèges.

Il est important de faire la distinction entre les autorisations vCenter Server et les autorisations globales.

Tableau 1. Différences entre les autorisations vCenter Server et les autorisations globales
Type d'autorisation	Description
vCenter Server	Les autorisations vCenter Server s'appliquent à des objets spécifiques dans la hiérarchie d'inventaire, tels que les hôtes, les machines virtuelles, les banques de données, etc. Lorsque vous attribuez des autorisations vCenter Server, vous spécifiez qu'un utilisateur ou un groupe dispose d'un rôle (ensemble de privilèges) sur l'objet.
Global	Les autorisations globales donnent à un utilisateur ou à un groupe des privilèges pour afficher ou gérer tous les objets dans chacune des hiérarchies d'inventaire de votre déploiement. Les autorisations globales s'appliquent également aux objets globaux tels que les balises et les bibliothèques de contenu. Reportez-vous à la section Autorisations vCenter Server sur les objets de balise. Si vous attribuez une autorisation globale sans sélectionner l'option Propager, les utilisateurs ou les groupes associés à cette autorisation n'ont pas accès aux objets de la hiérarchie. Ils n'ont accès qu'à certaines fonctions globales telles que la création de rôles.

Ajouter une autorisation globale

Vous pouvez utiliser les autorisations globales pour accorder à un utilisateur ou à un groupe des privilèges pour tous les objets dans l'ensemble des hiérarchies d'inventaire de votre déploiement.

Important : Les autorisations globales doivent être utilisées avec précaution. Vérifiez que vous voulez vraiment attribuer des autorisations à tous les objets dans l'ensemble des hiérarchies d'inventaire.

Conditions préalables

Pour effectuer cette tâche, vous devez disposer des privilèges Autorisations.Modifier autorisation sur l'objet racine de l'ensemble des hiérarchies d'inventaire.

Procédure

Connectez-vous à vCenter Server en utilisant vSphere Client.
Sélectionnez Administration et cliquez sur Autorisations globales dans la zone Contrôle d'accès.
Cliquez sur Ajouter.
(Facultatif) Si vous avez configuré un fournisseur d'identité externe pour l'authentification fédérée, le domaine de ce fournisseur d'identité peut être sélectionné dans le menu déroulant Domaine.
Pour les environnements vSphere+, si vous sélectionnez ID VMware dans le menu déroulant Domaine, entrez le nom du compte CSP dans le champ Nom d'utilisateur.

Note :
Entrez l'adresse e-mail du compte CSP dans le champ Nom d'utilisateur. Les comptes CSP ne peuvent pas être recherchés dans le domaine VMwareID.
Sélectionnez l'utilisateur ou le groupe qui disposera des privilèges définis par le rôle sélectionné.
1. Dans le menu déroulant Domaine, sélectionnez le domaine où se trouve l'utilisateur ou le groupe.
2. Entrez un nom dans la zone de recherche.
  Le système recherche des noms d'utilisateur et des noms de groupe.
3. Sélectionnez l'utilisateur ou le groupe.
Sélectionnez un rôle dans le menu déroulant Rôle.
Décidez si vous souhaitez répercuter les autorisations en sélectionnant la case à cocher Propager vers les enfants.
Si vous attribuez une autorisation globale sans sélectionner l'option Propager vers les enfants, les utilisateurs ou les groupes associés à cette autorisation n'ont pas accès aux objets de la hiérarchie. Ils n'ont accès qu'à certaines fonctions globales telles que la création de rôles.
Cliquez sur OK.

Autorisations vCenter Server sur les objets de balise

Dans la hiérarchie d'objets de vCenter Server, les objets de balise ne sont pas des enfants de vCenter Server mais sont créés au niveau supérieur de vCenter Server. Dans les environnements avec plusieurs instances de vCenter Server, les objets de balise sont partagés entre les instances de vCenter Server. Dans la hiérarchie d'objets de vCenter Server, les autorisations pour les objets de balise fonctionnent différemment des autorisations pour les autres objets.

Seules les autorisations globales ou attribuées à l'objet de balise s'appliquent

Si vous accordez des autorisations à un utilisateur sur un objet d'inventaire de vCenter Server, tel qu'une machine virtuelle, cet utilisateur peut effectuer les tâches associées à l'autorisation. Toutefois, l'utilisateur ne peut pas effectuer d'opérations liées aux balises sur l'objet.

Par exemple, si vous accordez le privilège Attribuer une balise vSphere à l'utilisateur Dana sur le TPA de l'hôte, cette autorisation ne modifie pas le droit accordé ou non à Dana de lui attribuer des balises. Dana doit disposer du privilège Attribuer une balise vSphere au niveau supérieur (c'est-à-dire une autorisation globale) ou du privilège pour l'objet de balise.

Tableau 2. Conséquences des autorisations globales et des autorisations sur les objets sur ce que peuvent faire les utilisateurs
Autorisation globale	Autorisation au niveau des balises	vCenter Server Autorisation au niveau des objets	Autorisation valable
Aucun privilège de balisage n'est accordé.	Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise.	Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi.	Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise.
Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution.	Aucun privilège n'est attribué pour la balise.	Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi.	Dana dispose des privilèges globaux Attribuer une balise vSphere ou en annuler l'attribution. Ceci inclut des privilèges au niveau des balises.
Aucun privilège de balisage n'est accordé.	Aucun privilège n'est attribué pour la balise.	Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution sur le TPA de l'hôte ESXi.	Dana ne dispose des privilèges de balisage sur aucun objet, y compris le TPA de l'hôte.

Les autorisations globales étendent les autorisations sur les objets de balise

Les autorisations globales, c'est-à-dire des autorisations qui sont attribuées sur l'objet de niveau supérieur, complètent les autorisations sur les objets de balise lorsque celles-ci sont trop restrictives. Les autorisations vCenter Server n'affectent pas les objets de balise.

Par exemple, supposons que vous attribuez le privilège Supprimer une balise vSphere à l'utilisateur Robin au niveau supérieur, en utilisant les autorisations globales. Pour la production de balises, vous n'attribuez pas le privilège Supprimer une balise vSphere à Robin. Dans ce cas, Robin dispose du privilège pour la production de balises, car il a l'autorisation globale, qui se propage depuis le niveau supérieur. Si vous ne modifiez pas l'autorisation globale, vous ne pouvez pas restreindre les privilèges.

Tableau 3. Les autorisations globales complètent les autorisations au niveau des balises
Autorisation globale	Autorisation au niveau des balises	Autorisation valable
Robin dispose des privilèges Supprimer une balise vSphere	Robin ne dispose pas des privilèges Supprimer une balise vSphere pour la balise.	Robin dispose des privilèges Supprimer une balise vSphere.
Aucun privilège de balisage accordé	Les privilèges Supprimer une balise vSphere ne sont pas attribués à Robin pour la balise.	Robin ne dispose pas des privilèges Supprimer une balise vSphere

Les autorisations au niveau des balises peuvent étendre les autorisations globales

Vous pouvez utiliser des autorisations au niveau des balises pour étendre les autorisations globales. Cela signifie que les utilisateurs peuvent avoir l'autorisation globale et l'autorisation au niveau des balises sur une balise.

Note : Ce comportement est différent de la manière dont les privilèges vCenter Server sont hérités. Dans vCenter Server, les autorisations définies pour un objet enfant ignorent toujours les autorisations qui sont propagées à partir des objets parent.

Tableau 4. Les autorisations globales étendent les autorisations au niveau des balises
Autorisation globale	Autorisation au niveau des balises	Autorisation valable
Lee dispose du privilège Attribuer une balise vSphere ou en annuler l'attribution.	Lee dispose du privilège Supprimer une balise vSphere.	Lee dispose des privilèges Attribuer une balise vSphere et Supprimer une balise vSphere pour la balise.
Aucun privilège de balisage n'est accordé.	Le privilège Supprimer une balise vSphere est attribué à Lee pour la balise.	Lee dispose du privilège Supprimer une balise vSphere pour la balise.