vCenter Server システムのアクセス許可モデルは、vSphere オブジェクト階層内のオブジェクトにアクセス許可を割り当てることによって成立しています。各アクセス許可によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。

次の概念を理解する必要があります。

権限

vCenter Server オブジェクト階層内の各オブジェクトには、関連付けられた権限があります。各権限には、そのオブジェクトに対してグループまたはユーザーに設定される権限が、グループまたはユーザーごとに指定されます。

ユーザーおよびグループ

vCenter Server システムでは、認証されたユーザーまたは認証されたユーザーのグループに対してのみ権限を割り当てることができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループは、vCenter Single Sign-On が認証するのに使用するアイデンティティ ソースで定義されている必要があります。Active Directory などのアイデンティティ ソース内のツールを使用して、ユーザーとグループを定義します。

ロール

ロールにより、ユーザーが実行する標準的なタスクのセットに基づいて、オブジェクトでのアクセス許可を割り当てることができます。管理者などのデフォルト ロールは vCenter Server で事前定義済みであり、変更できません。リソース プール管理者などのその他のロールは、事前定義されたサンプル ロールです。一から、またはサンプル ロールをクローン作成して変更することで、カスタム ロールを作成できます。

権限

権限は、きめ細かなアクセス制御です。このような権限をロールにグループ化することができ、これにより、ユーザーやグループにマップすることができます。

図 1. vSphere のアクセス許可
複数の権限を組み合わせることでロールが形成されます。ロールは、ユーザーまたはグループに割り当てられます。

アクセス許可をオブジェクトに割り当てるには、次の手順に従います。

  1. vCenter オブジェクト階層内でアクセス許可を適用するオブジェクトを選択します。

  2. そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。

  3. グループまたはユーザーがオブジェクトに対して持つ必要があるロール、つまり権限のセットを選択します。デフォルトでは、アクセス許可は伝播されます。つまり、グループまたはユーザーには、選択したオブジェクトおよびその子オブジェクトに対して、選択したロールが割り当てられます。

アクセス許可モデルでは、事前定義のロールが提供されており、作業を迅速に行うことができます。権限を組み合わせてカスタムのロールを作成することもできます。すべての権限、および権限を適用できるオブジェクトのリファレンスについては、事前定義された権限を参照してください。これらのタスクを実行するために必要な権限のセットの例については、一般的なタスクに必要な権限を参照してください。

多くの場合、アクセス許可はソース オブジェクトとターゲット オブジェクトの両方で定義する必要があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。

スタンドアロンの ESXi ホストのアクセス許可モデルは、これより簡単です。を参照してください。ESXi への権限の割り当て

vCenter Server のユーザー検証

ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、Smith というユーザーがいくつかのオブジェクトに対するロールを割り当てられており、ドメインでそのユーザー名が Smith2 に変更された場合、ホストは Smith が存在しなくなったと見なし、次回の検証時に、Smith に関連付けられたアクセス許可を vSphere オブジェクトから削除します。

同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。