VMware Cloud Director の各事前定義ロールには、共通ワークフロー内の操作の実行に必要な一連のデフォルト権限が含まれています。デフォルトで、事前定義済みのすべてのグローバル テナント ロールは、システムのすべての組織に公開されます。

事前定義済みのプロバイダ ロール

デフォルトでは、プロバイダ組織のみにローカルなプロバイダ ロールは、システム管理者ロールとマルチサイト システムロールです。システム管理者は、追加のカスタム プロバイダ ロールを作成できます。

システム管理者

システム管理者ロールは、プロバイダ組織にのみ設定されています。システム管理者ロールには、システムのすべての権限が含まれています。システム管理者ロールでのみ使用可能な権限のリストについては、VMware Cloud Director でのシステム管理者の権限を参照してください。システム管理者の認証情報は、インストールおよび構成時に確立されます。システム管理者は、プロバイダ組織に追加のシステム管理者およびユーザー アカウントを作成できます。

マルチサイト システム
マルチサイト展開のためのハートビート プロセスを実行する場合に使用します。このロールには、 マルチサイト システムの操作 という権限のみが付与されています。これにより、サイト関連付けのリモート メンバーのステータスを取得する Cloud Director OpenAPI 要求を行うことができます。

事前定義済みのグローバル テナント ロール

デフォルトでは、事前定義済みのグローバル テナント ロールと、サブプロバイダ管理者を除き、そこに含まれている権限がすべての組織に公開されます。システム管理者は、個別の組織で権限およびグローバル テナント ロールの公開を解除することができます。システム管理者は、事前定義済みのグローバル テナント ロールを編集または削除できます。システム管理者は、追加のグローバル テナント ロールを作成および公開できます。グローバル テナント ロールは直接テナントにのみ公開できます。つまり、グローバル テナント ロールは、直接管理する組織にのみ公開できます。グローバル テナント ロールをサブプロバイダのテナントに公開することはできません。

サービス プロバイダが組織に公開するすべてのデフォルトのグローバル ロール

サブプロバイダ管理者
組織の作成後、 システム管理者は、 サブプロバイダ管理者ロールを組織内のどのユーザーにでも割り当てることができます。事前定義された サブプロバイダ管理者ロールを持つユーザーは、組織および組織 VDC の作成と管理、サブプロバイダの組織内のユーザーとグループの管理、および事前定義された サブプロバイダ管理者ロールを含むロールの割り当てを行うことができます。サブプロバイダ組織で作成されたロールは、サブプロバイダが管理するテナントには表示されません。サブプロバイダ組織で作成され、その後公開されたグローバル ロールは、グローバル ロールが公開されている管理対象組織に表示されます。

サブプロバイダ ロールの詳細については、「VMware Cloud Director 管理の概要」を参照してください。サブプロバイダ権限の完全なリストについては、「事前定義グローバル テナント ロールの VMware Cloud Director 権限」を参照してください。

組織管理者
組織の作成後、 システム管理者または サブプロバイダ管理者は、 組織管理者ロールを組織内のどのユーザーにでも割り当てることができます。事前定義の 組織管理者ロールを持つユーザーは、組織内のユーザーとグループを管理し、(事前定義の 組織管理者ロールを含む)ロールを割り当てることができます。 組織管理者によって作成または変更されたロールは、他の組織には表示されません。
カタログ作成者
事前定義済みの カタログ作成者ロールに関連付けられた権限を持つユーザーは、カタログを作成および公開できます。
vApp 作成者
事前定義の vApp 作成者ロールに関連付けられた権限を持つユーザーは、カタログを使用し、vApp を作成できます。
vApp ユーザー
事前定義の vApp ユーザーロールに関連付けられた権限を持つユーザーは、既存の vApp を使用できます。
コンソールのアクセスのみ
事前定義の コンソールのアクセスのみロールに関連付けられた権限を持つユーザーは、仮想マシンの状態およびプロパティを表示し、ゲスト OS を使用できます。
ID プロバイダに従う
事前定義の ID プロバイダに従うロールに関連付けられた権限は、ユーザーの OAuth または SAML ID プロバイダから受信した情報に基づいて決定されます。ユーザーまたはグループに ID プロバイダに従うロールが割り当てられているときに包含の資格を得るには、ID プロバイダによって提供されたロールまたはグループ名が、組織内で定義されたロールまたはグループ名と大文字小文字も含めて完全に一致する必要があります。
  • ユーザーが OAuth ID プロバイダによって定義される場合、ユーザーには、そのユーザーの OAuth トークンの roles アレイで指定されるロールが割り当てられます。
  • ユーザーが SAML ID プロバイダによって定義される場合、ユーザーには、組織の OrgFederationSettings にある SamlAttributeMapping 要素内の RoleAttributeName 要素に名前が表示される SAML 属性で指定されたロールが割り当てられます。
ユーザーに ID プロバイダに従うロールが割り当てられているが、一致するロールまたはグループ名が組織内で利用できない場合、ユーザーは組織にログインすることができますが、権限はありません。ID プロバイダがユーザーを システム管理者などのシステムレベルのロールに関連付けている場合、ユーザーは組織にログインすることができますが、権限はありません。このようなユーザーにはロールを手動で割り当てる必要があります。

ID プロバイダに従うロールは例外として、事前定義ロールにはすべてデフォルトの権限セットが含まれています。システム管理者のみが、事前定義ロールの権限を変更できます。システム管理者が事前定義ロールを変更すると、変更内容がシステム内のロールのすべてのインスタンスに反映されます。

事前定義グローバル テナント ロールの権限

システム管理者は、 Service Provider Admin Portal を使用して、ロールに含まれる権限のリストを表示できます。
  1. プライマリの左側ナビゲーション パネルで [管理] をクリックします。
  2. セカンダリの左側パネルの [プロバイダ アクセス コントロール] で、[ロール] を選択します。
  3. 表示するロールの名前をクリックします。
組織管理者は、 Tenant Portalまたは VMware Cloud Director OpenAPI を使用して、ロールの権限を表示できます。また、組織にローカルなロールを作成することもできます。

複数の事前定義済みグローバル ロールには、さまざまな共通の権限があります。これらの権限はデフォルトですべての新しい組織に付与されるほか、サブプロバイダ管理者または組織管理者が作成するその他のロールで使用できます。事前定義されたテナント ロールの権限のリストについては、事前定義グローバル テナント ロールの VMware Cloud Director 権限を参照してください。