vSphere は、ユーザーにタスクの実行を許可するかどうかを詳細に制御できるさまざまなモデルに対応しています。vCenter Single Sign-On では、vCenter Single Sign-On グループのメンバーシップを使用して、ユーザーにタスクの実行を許可するかどうかを指定できます。オブジェクトに対するロールまたはグローバル権限によって、vSphere で他のタスクの実行を許可するかどうかを指定します。

権限の概要

vSphere 6.0 以降では、権限を持つユーザーが他のユーザーにタスクを実行する権限を付与できます。グローバル権限またはローカルの vCenter Server 権限を使用して、それぞれの vCenter Server インスタンスに対して他のユーザーを認証できます。
vCenter Server のアクセス許可

vCenter Server システムの権限モデルは、オブジェクト階層内のオブジェクトに権限を割り当てることによって成立しています。各権限によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。たとえば、仮想マシンを選択して [権限の追加] を選択し、選択したドメインのユーザーのグループにロールを割り当てることができます。このロールでは、その仮想マシン上で対応する権限をユーザーに付与します。

グローバル権限
グローバル権限は、複数のソリューションに対応するグローバル ルート オブジェクトに適用されます。たとえば、 vCenter Server と vRealize Orchestrator の両方がインストールされている場合は、グローバル権限を使用できます。または、両方のオブジェクト階層内のすべてのオブジェクトに対する読み取り権限を、ユーザーのグループに付与できます。
環境にオンプレミスの vCenter Server およびクラウドの vCenter Server が含まれる場合は、グローバル権限は複製されません。
vCenter Single Sign-On グループのグループ メンバーシップ
VMware Cloud on AWS の場合、クラウド管理者グループが vCenter Single Sign-On で事前に定義されています。ハイブリッド リンク モードを使用する場合は、リンクされたドメインにこのグループを追加します。

オブジェクト レベルの権限モデルについて

ユーザーまたはグループが vCenter Server オブジェクトに対してタスクを実行することを許可するには、オブジェクトに対する権限を使用します。vSphere のアクセス許可モデルは、vSphere オブジェクト階層内のオブジェクトにアクセス許可を割り当てることによって成立しています。各アクセス許可によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。たとえば、ユーザーのグループが、1 台の仮想マシンでは読み取り専用ロールを、もう 1 台の仮想マシンでは管理者ロールを付与されているような場合です。

以下の概念が重要です。

権限
vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を持ちます。各権限は、そのオブジェクトに対する権限をグループまたはユーザーごとに指定します。
ユーザーとグループ
vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループは、 vCenter Single Sign-On での認証に使用する ID ソースで定義されている必要があります。ID ソースで Active Directory などののツールを使用して、ユーザーとグループを定義します。
権限
権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグループ化し、ユーザーやグループにマッピングできます。
ロール
ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのデフォルト ロールは vCenter Server で事前に定義されており、変更できません。リソース プール管理者などのその他のロールは、事前定義されたサンプル ロールです。カスタム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更することで作成できます。 カスタム ロールの作成を参照してください。
図 1. vSphere の権限
複数の権限を組み合わせることでロールが形成されます。ロールは、ユーザーまたはグループに割り当てられます。
アクセス許可をオブジェクトに割り当てるには、次の手順に従います。
  1. 権限を適用するオブジェクトを、vCenter オブジェクト階層の中で選択します。

    VMware Cloud on AWS では、たとえば vCenter Server インスタンスや ESXi ホストなど、VMware が管理するオブジェクトに対するアクセス許可は変更できません。

  2. そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
  3. グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロールを選択します。

    デフォルトでは、アクセス許可は伝播されます。つまり、グループまたはユーザーには、選択したオブジェクトおよびその子オブジェクトに対して、選択したロールが割り当てられます。

vCenter Server では、よく使用される権限セットを組み合わせた定義済みのロールが提供されます。また、一連のロールを組み合わせて、カスタム ロールを作成することもできます。

アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。

次の情報を参照してください。
目的の情報 参照先
カスタム ロールの作成 カスタム ロールの作成
すべての権限と、各権限を適用できるオブジェクト 事前定義された権限
さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット 一般的なタスクに必要な権限

vCenter Server のユーザー検証

ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権限は次回の検証時に vSphere オブジェクトから削除されます。

同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。