Gestione di diritti e ruoli di VMware Cloud Director

Un diritto è l'unità fondamentale per il controllo degli accessi in VMware Cloud Director. Un ruolo associa un nome di ruolo a un set di diritti. Ogni organizzazione può avere ruoli e diritti diversi.

VMware Cloud Director utilizza i ruoli e i rispettivi diritti associati per determinare se un utente o un gruppo è autorizzato a eseguire un'operazione. Molte delle procedure documentate nelle guide di VMware Cloud Director hanno come prerequisito un ruolo. Questi prerequisiti si basano sull'assunto che il ruolo denominato corrisponda al ruolo predefinito non modificato o a un ruolo che include un set di diritti equivalente.

Gli amministratori di sistema e gli amministratori dei provider secondari possono utilizzare bundle diritti e ruoli tenant globali per gestire i diritti e i ruoli disponibili per ogni organizzazione.

Dopo aver installato VMware Cloud Director, il sistema contiene solo il System Rights Bundle che include tutti i diritti disponibili nel sistema. Il System Rights Bundle non è pubblicato in alcuna organizzazione. Il sistema contiene inoltre i ruoli tenant globali integrati pubblicati in tutte le organizzazioni gestite dall'organizzazione system, ad eccezione del ruolo amministratore del provider secondario, che non è pubblicato per impostazione predefinita. Per informazioni sui ruoli predefiniti, vedere Ruoli predefiniti e relativi diritti di VMware Cloud Director.

Oltre al System Rights Bundle, il sistema potrebbe contenere un Legacy Rights Bundle per ogni organizzazione esistente. Ogni Legacy Rights Bundle include i diritti che sono disponibili nell'organizzazione associata al momento dell'aggiornamento e viene pubblicato solo in questa organizzazione.

Nota: Per iniziare a utilizzare il modello di bundle diritti per un'organizzazione esistente, è necessario eliminare il Legacy Rights Bundle corrispondente.

Nota:

VMware Cloud Director fornisce OpenAPI per la gestione di diritti e ruoli. Per informazioni su VMware Cloud Director OpenAPI, vedere Guida introduttiva a VMware Cloud Director OpenAPI in https://developer.broadcom.com/.

Terminologia dei diritti

Diritto

Ogni diritto fornisce l'accesso in visualizzazione o gestione a un determinato tipo di oggetto in VMware Cloud Director. I diritti appartengono a categorie diverse in base agli oggetti a cui si riferiscono, ad esempio vApp, Catalog, Organization e così via. L'organizzazione del provider contiene tutti i diritti disponibili nel sistema. L' amministratore di sistema definisce quali sono i diritti disponibili per ogni organizzazione. I provider secondari possono definire i diritti disponibili per le organizzazioni che gestiscono. È possibile creare o modificare i diritti inclusi in VMware Cloud Director.

Bundle diritti

Gli amministratori di sistema possono utilizzare i bundle diritti per gestire i diritti disponibili per ogni organizzazione. Un bundle diritti è un insieme di diritti che l' amministratore di sistema può pubblicare in una o più organizzazioni. L' amministratore di sistema o l' amministratore del provider secondario può creare e pubblicare bundle diritti corrispondenti a livelli di servizio, funzionalità monetizzabili separatamente o qualsiasi altro raggruppamento di diritti arbitrario. Gli amministratori di sistema e gli amministratori dei provider secondari possono pubblicare bundle diritti solo nelle organizzazioni che gestiscono direttamente. Ad esempio, un provider non può pubblicare un bundle diritti in un'organizzazione tenant gestita da un provider secondario. Solo gli amministratori di sistema e gli amministratori dei provider secondari possono visualizzare e gestire i bundle diritti. Gli amministratori possono pubblicare più bundle nella stessa organizzazione.

Classificazione dei diritti

A partire dalla versione 10.6, VMware Cloud Director classifica i diritti in tre gruppi: diritti Provider, Sub-provider e Tenant. I diritti provider sono applicabili solo ai provider e non possono essere assegnati o visibili ad altri. I provider possono pubblicare i diritti sub-provider nei tenant diretti, fornendo loro funzionalità di provider secondari, ma gli amministratori dei provider secondari non possono pubblicare i diritti sub-provider nelle organizzazioni tenant che gestiscono. I diritti tenant sono diritti regolari che possono essere assegnati a chiunque.

Se si desidera visualizzare un elenco di tutti i diritti di VMware Cloud Director con i nomi dei diritti dell'API, i nomi dei diritti dell'interfaccia utente, le classificazioni dei diritti, le categorie di diritti dell'interfaccia utente e così via, vedere il file Diritti di VMware Cloud Director 10.6 in formato CSV.

In alternativa, è possibile individuare le classificazioni dei diritti quando si utilizza l'API VMware Cloud Director. VMware Cloud Director restituisce il campo isPublishable con ciascun diritto. Il campo è true o false in base alla classificazione e al contesto da cui si effettua la chiamata. Ad esempio, un diritto classificato come sub-provider è true nel contesto del provider, ma false nel contesto del provider secondario.

Diritti organizzazione: Si tratta dell'insieme completo dei diritti disponibili per un'organizzazione. I diritti dell'organizzazione possono includere più bundle diritti, ma gli amministratori dell'organizzazione e gli utenti dell'organizzazione vedono solo l'insieme dei diritti che possono utilizzare per creare e modificare ruoli specifici del tenant.

Terminologia dei ruoli

Ruolo

Un ruolo è un insieme di diritti che può essere assegnato a uno o più utenti e gruppi. Quando si crea o importa un utente o un gruppo, è necessario assegnare a esso un ruolo.

Ruoli di Provider

I ruoli del provider sono l'insieme di ruoli disponibili solo per l'organizzazione del provider. Gli amministratori di sistema possono assegnare i ruoli del provider solo agli utenti del provider. Gli amministratori di sistema possono creare ruoli del provider personalizzati.

Ruolo del provider secondario

A partire da VMware Cloud Director 10.6, gli amministratori di sistema possono pubblicare i diritti necessari in un'organizzazione in modo che diventi un'organizzazione di provider secondario. Un utente con il ruolo amministratore del provider secondario predefinito può creare e gestire organizzazioni e VDC dell'organizzazione, gestire utenti e gruppi nelle organizzazioni del provider secondario e assegnare loro ruoli, incluso il ruolo amministratore del provider secondario predefinito. L' amministratore del provider secondario opera all'interno dell'organizzazione del provider secondario. Il ruolo amministratore del provider secondario può creare e pubblicare sia i ruoli globali sia i bundle diritti.

Per ulteriori informazioni sul ruolo provider secondario, vedere Panoramica dell'amministrazione di VMware Cloud Director. Per l'elenco completo dei diritti dei provider secondari, vedere Diritti di VMware Cloud Director nei ruoli tenant globali predefiniti.

Ruoli tenant

I ruoli tenant sono l'insieme dei ruoli disponibili per un'organizzazione.

Gli amministratori di sistema e gli amministratori dei provider secondari possono creare e modificare ruoli tenant globali e pubblicarli in una o più organizzazioni. Gli amministratori di sistema e gli amministratori dei provider secondari possono pubblicare ruoli tenant globali solo nelle organizzazioni che gestiscono direttamente. Ad esempio, un provider non può pubblicare un ruolo tenant globale in un'organizzazione tenant gestita da un provider secondario. Gli amministratori possono assegnare ruoli tenant globali agli utenti tenant nell'organizzazione in cui sono pubblicati. Gli amministratori delle organizzazioni non possono modificare i ruoli tenant globali.

Nota: Gli utenti tenant possono utilizzare solo i diritti dei loro ruoli che sono stati pubblicati nelle organizzazioni.

Ruoli specifici del tenant

Gli amministratori delle organizzazioni possono creare e modificare ruoli specifici del tenant, che sono locali per le loro organizzazioni. I ruoli specifici del tenant possono essere assegnati solo a utenti tenant nell'organizzazione a cui appartengono. I ruoli specifici del tenant possono contenere un sottoinsieme dei soli diritti dell'organizzazione.

Per informazioni sulla gestione dei ruoli specifici del tenant, vedere Guida ai tenant e ai provider secondari di VMware Cloud Director.