vCenter Server システムのアクセス許可モデルは、vSphere オブジェクト階層内のオブジェクトにアクセス許可を割り当てることによって成立しています。各アクセス許可によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。
以下の概念が重要です。
- 権限
- vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を持ちます。各権限は、そのオブジェクトに対する権限をグループまたはユーザーごとに指定します。
- ユーザーおよびグループ
- vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループには、 vCenter Single Sign-On の認証に使用するアイデンティティ ソースが定義されている必要があります。アイデンティティ ソースで Active Directory などののツールを使用して、ユーザーとグループを定義します。
- 権限
- 権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグループ化することで、ユーザーやグループにマッピングできるようになります。
- ロール
- ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのデフォルト ロールは vCenter Server で事前に定義されており、変更できません。リソース プール管理者などのその他のロールは、事前定義されたサンプル ロールです。カスタム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更することで作成できます。 カスタム ロールの作成および ロールのクローン作成を参照してください。
- 権限を適用するオブジェクトを、vCenter オブジェクト階層の中で選択します。
- そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
- グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロールを選択します。
デフォルトでは、アクセス許可は伝播されます。つまり、グループまたはユーザーには、選択したオブジェクトおよびその子オブジェクトに対して、選択したロールが割り当てられます。
vCenter Server では、よく使用される権限セットを組み合わせた定義済みのロールが提供されます。また、一連のロールを組み合わせて、カスタム ロールを作成することもできます。
アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。
| 目的の情報 | 参照先 |
|---|---|
| カスタム ロールの作成 | カスタム ロールの作成 |
| すべての権限と、各権限を適用できるオブジェクト | 事前定義された権限 |
| さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット | 一般的なタスクに必要な権限 |
vCenter Server のユーザー検証
ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権限は次回の検証時に vSphere オブジェクトから削除されます。
同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。
