vSphere supporta diversi modelli per determinare se all'utente è consentito eseguire un'attività. L'appartenenza a un gruppo di vCenter Single Sign-On stabilisce le operazioni che è possibile eseguire. Il ruolo dell'utente in un oggetto o la sua autorizzazione globale determina se può eseguire altre attività.

Come funzionano le autorizzazioni in vSphere

vSphere consente agli utenti con privilegi di concedere ad altri utenti le autorizzazioni necessarie per eseguire le attività. È possibile utilizzare autorizzazioni globali oppure autorizzazioni di vCenter Server locali per autorizzare altri utenti per singole istanze di vCenter Server.

La figura seguente illustra come funzionano le autorizzazioni globali e locali.

Figura 1. Autorizzazioni globali e locali
Questa figura illustra come funzionano le autorizzazioni globali e locali.

Nella figura seguente:

  1. È possibile assegnare un'autorizzazione globale a livello di oggetto root con l'opzione "Propaga agli elementi secondari" selezionata.
  2. vCenter Server propaga le autorizzazioni alle gerarchie di oggetti di vCenter Server 1 e vCenter Server 2 nell'ambiente.
  3. Un'autorizzazione locale nella cartella root di vCenter Server 2 sostituisce l'autorizzazione globale.
Autorizzazioni di vCenter Server

Il modello di autorizzazione per i sistemi vCenter Server si basa sull'assegnazione delle autorizzazioni agli oggetti nella gerarchia di oggetti. Gli utenti ottengono le autorizzazioni nei modi seguenti.

  • Da un'autorizzazione specifica per l'utente o dai gruppi di cui l'utente è membro
  • Da un'autorizzazione per l'oggetto o tramite l'eredità delle autorizzazioni da un oggetto principale

Ogni autorizzazione concede a un utente o gruppo un set di privilegi, ovvero un ruolo per un oggetto selezionato. È possibile utilizzare vSphere Client per aggiungere autorizzazioni. Ad esempio, è possibile fare clic con il pulsante destro del mouse su una macchina virtuale, scegliere Aggiungi autorizzazione e compilare la finestra di dialogo per assegnare un ruolo a un gruppo di utenti. Tale ruolo assegna agli utenti i privilegi corrispondenti nella macchina virtuale.

Figura 2. Aggiunta di autorizzazioni a una macchina virtuale tramite vSphere Client
Fare clic con il pulsante destro del mouse su una macchina virtuale e scegliere Aggiungi autorizzazione per visualizzare la finestra di dialogo Aggiungi autorizzazione.
Autorizzazioni globali
Le autorizzazioni globali forniscono a un utente o un gruppo i privilegi per visualizzare o gestire tutti gli oggetti in ciascuna gerarchia di inventario delle soluzioni nella distribuzione. Ciò significa che le autorizzazioni globali vengono applicate a un oggetto root globale che si estende alle gerarchie di inventario delle soluzioni. (Le soluzioni includono vCenter Server, vRealize Orchestrator e così via). Le autorizzazioni globali si applicano anche a oggetti globali come tag e librerie di contenuti. Si consideri ad esempio una distribuzione composta da due soluzioni, vCenter Server e vRealize Orchestrator. È possibile utilizzare le autorizzazioni globali per assegnare un ruolo a un gruppo di utenti con privilegi di sola lettura per tutti gli oggetti in entrambe le gerarchie di oggetti di vCenter Server e vRealize Orchestrator.
Le autorizzazioni globali vengono replicate nel dominio di vCenter Single Sign-On (per impostazione predefinita vsphere.local). Le autorizzazioni globali non forniscono l'autorizzazione per i servizi gestiti tramite i gruppi del dominio di vCenter Single Sign-On. Vedere Utilizzo delle autorizzazioni globali di vCenter Server.
Appartenenza a gruppi nei gruppi di vCenter Single Sign-On
I membri di un gruppo del dominio di vCenter Single Sign-On possono eseguire determinate attività. Ad esempio, è possibile gestire le licenze se si è membri del gruppo LicenseService.Administrators. Vedere la documentazione di Autenticazione di vSphere.
Autorizzazioni dell'host locale ESXi
Se si gestisce un host ESXi autonomo non gestito da un sistema vCenter Server, è possibile assegnare agli utenti uno dei ruoli predefiniti. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.
Per gli host gestiti, assegnare ruoli all'oggetto host ESXi nell'inventario di vCenter Server.

Informazioni sul modello di autorizzazione a livello di oggetto

È possibile autorizzare un utente o un gruppo a eseguire attività su un oggetto di vCenter Server utilizzando le autorizzazioni relative all'oggetto. Dal punto di vista della programmazione, quando un utente tenta di eseguire un'operazione, viene eseguito un metodo API. vCenter Server verifica le autorizzazioni per tale metodo per verificare se l'utente è autorizzato a eseguire l'operazione. Ad esempio, quando un utente tenta di aggiungere un host, viene richiamato il metodo AddStandaloneHost_Task. Questo metodo richiede che il ruolo per l'utente disponga del privilegio Host.Inventory.AddStandaloneHost. Se il controllo non trova tale privilegio, all'utente viene negata l'autorizzazione per aggiungere l'host.

I concetti seguenti sono importanti.

Autorizzazioni
A ogni oggetto nella gerarchia di oggetti di vCenter Server sono associate autorizzazioni. Ciascuna autorizzazione specifica per un gruppo o utente quali sono i privilegi di tale gruppo o utente in merito all'oggetto. Le autorizzazioni possono propagarsi agli oggetti secondari.
Utenti e gruppi
Nei sistemi vCenter Server, è possibile assegnare privilegi solo agli utenti o ai gruppi di utenti autenticati. Gli utenti vengono autenticati tramite vCenter Single Sign-On. Gli utenti e i gruppi devono essere definiti nella fonte di identità che vCenter Single Sign-On utilizza per eseguire l'autenticazione. Definire utenti e gruppi utilizzando gli strumenti disponibili nella fonte di identità, ad esempio Active Directory.
Privilegi
I privilegi sono controlli degli accessi granulari. È possibile raggruppare tali privilegi in ruoli, che possono essere successivamente mappati a utenti o gruppi.
Ruoli
I ruoli sono insiemi di privilegi. I ruoli consentono di assegnare autorizzazioni su un oggetto in base a un tipico set di attività eseguite dall'utente. I ruoli di sistema, come Amministratore, sono predefiniti in vCenter Server e non possono essere modificati. vCenter Server fornisce inoltre alcuni ruoli di esempio predefiniti, come Amministratore del pool di risorse, che è possibile modificare. È possibile creare ruoli personalizzati da zero, oppure clonando e modificando i ruoli di esempio. Vedere Creazione di un ruolo personalizzato di vCenter Server.

La figura seguente illustra come viene creata un'autorizzazione sulla base di privilegi e ruoli, e come viene assegnata a un utente o un gruppo per un oggetto di vSphere.

Figura 3. Autorizzazioni di vSphere
Diversi privilegi vengono combinati in un ruolo. Il ruolo viene assegnato a utenti o gruppi.
Per assegnare autorizzazioni a un oggetto, procedere come segue:
  1. Selezionare l'oggetto a cui si desidera applicare l'autorizzazione nella gerarchia di oggetti vCenter Server.
  2. Selezionare il gruppo o l'utente che deve disporre dei privilegi per l'oggetto.
  3. Selezionare singoli privilegi o un ruolo, ovvero un set di privilegi, di cui il gruppo o l'utente deve disporre per l'oggetto.

    Per impostazione predefinita, l'opzione Propaga agli elementi secondari non è selezionata. È necessario selezionare la casella di controllo affinché il gruppo o l'utente disponga del ruolo selezionato per l'oggetto selezionato e i relativi oggetti secondari.

vCenter Server offre ruoli di esempio, che combinano i set di privilegi utilizzati di frequente. È inoltre possibile creare ruoli personalizzati combinando un set di ruoli.

Spesso è necessario definire le autorizzazioni sia in un oggetto di origine sia in un oggetto di destinazione. Ad esempio, se si sposta una macchina virtuale, è necessario disporre dei privilegi per tale macchina virtuale, ma anche dei privilegi per il data center di destinazione.

Vedere le seguenti informazioni.
Per ulteriori informazioni su... Vedere...
Creazione di ruoli personalizzati. Creazione di un ruolo personalizzato di vCenter Server
Tutti i privilegi e gli oggetti a cui è possibile applicare i privilegi Privilegi definiti
Set di privilegi necessari per oggetti diversi per attività diverse. Privilegi vCenter Server necessari per le attività comuni
Il modello di autorizzazioni per gli host ESXi autonomi è più semplice. Vedere Assegnazione di privilegi per gli host ESXi.

Che cos'è la convalida utente vCenter Server?

I sistemi vCenter Server che utilizzano un servizio di directory convalidano regolarmente utenti e gruppi rispetto al dominio della directory di utenti. La convalida avviene a intervalli regolari specificati nelle impostazioni di vCenter Server. Si supponga ad esempio che all'utente Smith sia assegnato un ruolo per diversi oggetti. L'amministratore del dominio modifica il nome sostituendolo con Smith2. L'host ritiene che Smith non esista più e rimuove le autorizzazioni associate a tale utente dagli oggetti di vSphere al momento della convalida successiva.

Allo stesso modo, se l'utente Smith viene rimosso dal dominio, tutte le autorizzazioni associate a tale utente vengono rimosse al momento della convalida successiva. Se un nuovo utente Smith viene aggiunto al dominio prima che venga eseguita la convalida successiva, il nuovo utente Smith sostituisce quello vecchio nelle autorizzazioni per qualsiasi oggetto.

Ereditarietà gerarchica delle autorizzazioni in vSphere

Quando si assegna un'autorizzazione a un oggetto, è possibile scegliere se propagare l'autorizzazione verso il basso nella gerarchia di oggetti. È possibile impostare la propagazione per ogni autorizzazione. La propagazione non viene applicata universalmente. Le autorizzazioni definite per un oggetto secondario sostituiscono sempre le autorizzazioni propagate dagli oggetti principali.

La figura seguente illustra la gerarchia dell'inventario e i percorsi attraverso i quali le autorizzazioni possono propagarsi.
Nota: Le autorizzazioni globali supportano l'assegnazione di privilegi a tutte le soluzioni da un oggetto root globale. Vedere Utilizzo delle autorizzazioni globali di vCenter Server.
Figura 4. Gerarchia dell'inventario di vSphere
Questa figura mostra l'ereditarietà delle autorizzazioni nella gerarchia di inventario di vSphere dagli oggetti principali agli oggetti secondari.

Informazioni sulla figura:

  • Non è possibile impostare autorizzazioni dirette sulle cartelle della macchina virtuale, dell'host, della rete e dell'archivio. Ossia, queste cartelle fungono da contenitori e, di conseguenza, non sono visibili agli utenti.
  • Non è possibile impostare autorizzazioni su commutatori standard.
Nota: Per poter impostare e propagare le autorizzazioni agli elementi secondari in un vSphere Distributed Switch (VDS), è necessario che l'oggetto commutatore si trovi in una cartella di rete creata nel data center.

La maggior parte degli oggetti di inventario eredita le autorizzazioni da un singolo oggetto principale della gerarchia. Ad esempio, un datastore eredita le autorizzazioni dalla relativa cartella datastore principale o dal data center principale. Le macchine virtuali ereditano contemporaneamente le autorizzazioni dalla cartella della macchina virtuale principale e dal pool di risorse, cluster o host principale.

Ad esempio, è possibile impostare le autorizzazioni per un commutatore distribuito e i relativi gruppi di porte distribuiti impostando le autorizzazioni su un oggetto principale, ad esempio una cartella o un data center. È inoltre necessario selezionare l'opzione per propagare queste autorizzazioni agli oggetti secondari.

Le autorizzazioni assumono forme diverse nella gerarchia.

Entità gestite

Le entità gestite fanno riferimento ai seguenti oggetti vSphere. Le entità gestite offrono operazioni specifiche che variano in base al tipo di entità. Gli utenti con privilegi possono definire autorizzazioni per le entità gestite. Per ulteriori informazioni su oggetti, proprietà e metodi vSphere, vedere la documentazione di vSphere API.

  • Cluster
  • Data center
  • Datastore
  • Cluster di datastore
  • Cartelle
  • Host
  • Reti (ad eccezione dei commutatori distribuiti vSphere)
  • Gruppi di porte distribuiti
  • Pool di risorse
  • Modelli
  • Macchine virtuali
  • vApp di vSphere

Entità globali

Non è possibile modificare le autorizzazioni sulle entità che derivano autorizzazioni dal sistema vCenter Server root.

  • Campi personalizzati
  • Licenze
  • Ruoli
  • Intervalli statistici
  • Sessioni