Utilizzo delle autorizzazioni globali di vCenter Server

In vCenter Server, le autorizzazioni globali vengono applicate a un oggetto root globale che viene utilizzato per diverse soluzioni VMware. In un SDDC locale, le autorizzazioni globali possono estendersi a vCenter Server e a VMware Aria Automation Orchestrator. Tuttavia, per qualsiasi vSphere SDDC, le autorizzazioni globali si applicano agli oggetti globali come tag e librerie di contenuti.

È possibile assegnare autorizzazioni globali a utenti o gruppi e decidere il ruolo di ciascun utente o gruppo. Il ruolo determina il set di privilegi di cui l'utente o il gruppo dispone per tutti gli oggetti nella gerarchia. È possibile assegnare un ruolo predefinito o creare ruoli personalizzati. Vedere Utilizzo dei ruoli vCenter Server per assegnare privilegi.

È importante distinguere tra autorizzazioni vCenter Server e autorizzazioni globali.

Tabella 1. Differenze tra le autorizzazioni vCenter Server e le autorizzazioni globali
Tipo di autorizzazione	Descrizione
vCenter Server	Le autorizzazioni vCenter Server si applicano a oggetti specifici della gerarchia dell'inventario, ad esempio host, macchine virtuali, datastore e così via. Quando si assegnano autorizzazioni vCenter Server, si specifica che un utente o un gruppo dispone di un ruolo (set di privilegi) sull'oggetto.
Globale	Le autorizzazioni globali assegnano a un utente o un gruppo privilegi per visualizzare o gestire tutti gli oggetti in ciascuna gerarchia di inventario nella propria distribuzione. Le autorizzazioni globali si applicano anche a oggetti globali come tag e librerie di contenuti. Vedere Autorizzazioni vCenter Server per oggetti tag. Le autorizzazioni globali Se si assegna un'autorizzazione globale e non si seleziona Propaga, gli utenti o i gruppi associati a questa autorizzazione non possono accedere agli oggetti della gerarchia. Disporranno soltanto di alcune funzionalità globali, come ad esempio la creazione di ruoli.

Aggiunta di un'autorizzazione globale

È possibile utilizzare le autorizzazioni globali per assegnare un privilegio a un utente o a un gruppo per tutti gli oggetti in tutte le gerarchie di inventario della propria distribuzione.

Importante: Utilizzare con attenzione le autorizzazioni globali. Accertarsi di voler davvero assegnare le autorizzazioni a tutti gli oggetti in tutte le gerarchie di inventario.

Prerequisiti

Per eseguire questa attività, è necessario disporre dei privilegi Autorizzazioni.Modifica autorizzazione sull'oggetto root per tutte le gerarchie di inventario.

Procedura

Accedere a vCenter Server utilizzando vSphere Client.
Selezionare Amministrazione e fare clic su Permessi globali nell'area Controllo degli accessi.
Fare clic su Aggiungi.
(Facoltativo) Se è stato configurato un provider di identità esterno per l'autenticazione federata, il dominio di tale provider è disponibile per la selezione nel menu a discesa Dominio.
Per gli ambienti vSphere+, se si seleziona VMware ID dal menu a discesa Dominio, immettere il nome dell'account CSP nel campo Nome utente.

Nota:
Immettere l'indirizzo e-mail dell'account CSP nel campo Nome utente. Impossibile cercare gli account CSP nel dominio VMwareID.
Selezionare l'utente o il gruppo che avrà i privilegi definiti dal ruolo selezionato.
1. Nel menu a discesa Dominio, selezionare il dominio per l'utente o il gruppo.
2. Immettere un nome nella casella Cerca.
  Il sistema esegue una ricerca nei nomi degli utenti e dei gruppi.
3. Selezionare l'utente o il gruppo.
Selezionare un ruolo nel menu a discesa Ruolo.
Stabilire se propagare le autorizzazioni selezionando la casella di controllo Propaga agli elementi secondari.
Se si assegna un'autorizzazione globale e non si seleziona Propaga agli elementi secondari, gli utenti o i gruppi associati a questa autorizzazione non potranno accedere agli oggetti della gerarchia. Disporranno soltanto di alcune funzionalità globali, come ad esempio la creazione di ruoli.
Fare clic su OK.

Autorizzazioni vCenter Server per oggetti tag

Nella gerarchia di oggetti di vCenter Server gli oggetti tag non sono elementi secondari di vCenter Server ma vengono creati al primo livello di vCenter Server. Negli ambienti con più istanze di vCenter Server, gli oggetti tag vengono condivisi tra le istanze di vCenter Server. Le autorizzazioni per gli oggetti tag funzionano in modo diverso dalle autorizzazioni per gli altri oggetti nella gerarchia di oggetti di vCenter Server.

Si applicano solo le autorizzazioni globali o le autorizzazioni assegnate all'oggetto tag

Se si concedono le autorizzazioni a un utente per un oggetto dell'inventario di vCenter Server, ad esempio una macchina virtuale, tale utente può eseguire le attività associate alle autorizzazioni. Tuttavia, l'utente non può eseguire operazioni relative ai tag nell'oggetto.

Ad esempio, se si concede il privilegio Assegna tag vSphere all'utente Dana nel TPA dell'host, tale autorizzazione non influisce sul fatto che Dana possa assegnare tag nel TPA dell'host. Dana deve disporre del privilegio Assegna tag vSphere al primo livello, ovvero di un'autorizzazione globale oppure deve disporre del privilegio per l'oggetto tag.

Tabella 2. In che modo le autorizzazioni globali e le autorizzazioni degli oggetti tag influiscono sulle operazioni che gli utenti possono eseguire
Autorizzazione globale	Autorizzazione a livello di tag	Autorizzazione a livello di oggetto di vCenter Server	Autorizzazione effettiva
Nessun privilegio per l'assegnazione di tag assegnato.	Dana dispone del privilegio Assegna o annulla assegnazione tag vSphere per il tag.	Dana dispone del privilegio Elimina tag di vSphere nel TPA dell'host ESXi.	Dana dispone del privilegio Assegna o annulla assegnazione tag vSphere per il tag.
Dana dispone del privilegio Assegna o annulla assegnazione tag vSphere.	Nessun privilegio assegnato per il tag.	Dana dispone del privilegio Elimina tag di vSphere nel TPA dell'host ESXi.	Dana dispone del privilegio globale Assegna o annulla assegnazione tag vSphere. Ciò include privilegi a livello di tag.
Nessun privilegio per l'assegnazione di tag assegnato.	Nessun privilegio assegnato per il tag.	Dana dispone del privilegio Assegna o annulla assegnazione tag vSphere nel TPA dell'host ESXi.	Dana non dispone di privilegi di assegnazione dei tag per alcun oggetto, incluso il TPA dell'host.

Le autorizzazioni globali integrano le autorizzazioni degli oggetti tag

Le autorizzazioni globali, ovvero le autorizzazioni assegnate per l'oggetto di primo livello, integrano le autorizzazioni per gli oggetti tag quando le autorizzazioni per gli oggetti tag sono più restrittive. Le autorizzazioni di vCenter Server non influiscono sugli oggetti tag.

Si supponga ad esempio di assegnare il privilegio Elimina tag di vSphere all'utente Robin al primo livello utilizzando le autorizzazioni globali. Per il tag Production, non si assegna il privilegio Elimina tag di vSphere a Robin. In questo caso Robin dispone del privilegio per il tag Production perché dispone dell'autorizzazione globale, che viene propagata dal primo livello. Non è possibile limitare i privilegi a meno che non si modifichi l'autorizzazione globale.

Tabella 3. Le autorizzazioni globali integrano le autorizzazioni a livello di tag
Autorizzazione globale	Autorizzazione a livello di tag	Autorizzazione effettiva
Robin dispone del privilegio Elimina tag di vSphere	Robin non dispone del privilegio Elimina tag di vSphere per il tag.	Robin dispone del privilegio Elimina tag di vSphere.
Nessun privilegio per l'assegnazione di tag assegnato	Robin non dispone del privilegio Elimina tag di vSphere assegnati per il tag.	Robin non dispone del privilegio Elimina tag di vSphere

Le autorizzazioni a livello di tag possono estendere le autorizzazioni globali

È possibile utilizzare le autorizzazioni a livello di tag per estendere le autorizzazioni globali. Questo significa che gli utenti possono disporre di un'autorizzazione globale e di un'autorizzazione a livello di tag per un tag.

Nota: Tale comportamento è diverso dal modo in cui i privilegi di vCenter Server vengono ereditati. In vCenter Server, le autorizzazioni definite per un oggetto secondario sostituiscono sempre le autorizzazioni propagate dagli oggetti principali.

Tabella 4. Le autorizzazioni globali estendono le autorizzazioni a livello di tag
Autorizzazione globale	Autorizzazione a livello di tag	Autorizzazione effettiva
Lee dispone del privilegio Assegna o annulla assegnazione tag vSphere.	Lee dispone del privilegio Elimina tag di vSphere.	Lee dispone del privilegio Assegna tag vSphere e del privilegio Elimina tag di vSphere per il tag.
Nessun privilegio per l'assegnazione di tag assegnato.	Lee dispone del privilegio Elimina tag di vSphere assegnato per il tag.	Lee dispone del privilegio Elimina tag di vSphere per il tag.