vSphere では、複数のモデルがサポートされており、ユーザーがタスクを実行できるかどうかを決定できます。vCenter Single Sign-On グループのメンバーシップを使用して、ユーザーが実行できる機能を決定します。オブジェクトでのロールまたはグローバル権限によって、他のタスクを実行てきるかどうかが決定されます。

認可の概要

vSphere では、権限を持つユーザーが他のユーザーにタスクを実行する権限を付与できます。グローバル権限またはローカルの vCenter Server 権限を使用して、それぞれの vCenter Server インスタンスに対して他のユーザーを認証できます。

次の図は、グローバル権限とローカル権限の動作を示しています。

図 1. グローバル権限とローカル権限
この図は、グローバル権限とローカル権限の動作を示しています。

図の中の要素

  1. ルート オブジェクト レベルでグローバル権限を割り当て、[子へ伝達] を選択します。
  2. vCenter Server は、環境内の vCenter Server 1 および vCenter Server 2 のオブジェクト階層に権限を伝達します。
  3. vCenter Server 2 のルート フォルダに対するローカル権限は、グローバル権限をオーバーライドします。
vCenter Server のアクセス許可

vCenter Server システムの権限モデルは、オブジェクト階層内のオブジェクトに権限を割り当てることによって成立しています。ユーザーは次の方法で権限を取得します。

  • ユーザーの特定の権限、またはユーザーがメンバーであるグループから
  • オブジェクトに対する権限または親オブジェクトからの権限の継承

各権限によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。権限を追加するには、vSphere Client を使用します。たとえば、仮想マシンを右クリックし、[権限の追加] を選択し、ダイアログ ボックスに入力してユーザーのグループにロールを割り当てできます。そのロールによって、仮想マシン上の対応する権限がユーザーに付与されます。

図 2. vSphere Client を使用した仮想マシンへのアクセス許可の追加
仮想マシンを右クリックし、[権限の追加] を選択して、[権限の追加] ダイアログ ボックスを表示します。
グローバル権限
グローバル権限では、ユーザーまたはグループに、デプロイ内ソリューションの各インベントリ階層にあるすべてのオブジェクトを表示または管理する権限が与えられます。つまり、グローバル権限は、ソリューション インベントリ階層にまたがるグローバル ルート オブジェクトに適用されます。(ソリューションには vCenter Server、vRealize Orchestrator などが含まれます)グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用されます。たとえば、2 つのソリューションで構成される vCenter Server デプロイと vRealize Orchestrator を検討します。グローバル権限を使用して、読み取り専用権限を持つユーザーのグループにロールを割り当て、 vCenter Server オブジェクト階層と vRealize Orchestrator オブジェクト階層の両方のすべてのオブジェクトに割り当てできます。
グローバル権限は、vCenter Single Sign-On ドメイン全体にレプリケートされます(デフォルトでは vsphere.local)。グローバル権限は、vCenter Single Sign-On ドメイン グループを介して管理されるサービスの認可を提供しません。 グローバル権限を参照してください。
vCenter Single Sign-On グループにおけるグループ メンバーシップ
vCenter Single Sign-On ドメイン グループのメンバーは、特定のタスクを実行できます。たとえば、LicenseService.Administrators グループのメンバーであれば、ライセンス管理を実行できます。『 vSphere の認証』ドキュメントを参照してください。
ESXi ローカル ホストのアクセス許可
vCenter Server システムに管理されないスタンドアロンの ESXi ホストを管理している場合は、事前定義されたロールの 1 つをユーザーに割り当てることができます。『 vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。
管理対象ホストの場合、 vCenter Server インベントリ内の ESXi ホスト オブジェクトにロールを割り当てます。

オブジェクトレベルの権限モデルについて理解する

ユーザーまたはグループが vCenter Server オブジェクトに対してタスクを実行することを許可するには、オブジェクトに対する権限を使用します。プログラムの観点から、ユーザーが操作を実行しようとすると、API メソッドが実行されます。vCenter Server は、そのメソッドのアクセス許可をチェックして、ユーザーが操作の実行を許可されているかどうかを確認します。たとえば、ユーザーがホストを追加しようとすると、AddStandaloneHost_Task メソッドが呼び出されます。このメソッドでは、ユーザーのロールに Host.Inventory.Add standalone host 権限が必要です。この権限がチェックで見つからない場合、ユーザーはホストを追加する権限を拒否されます。

以下の概念が重要です。

権限
vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を持ちます。各権限には、そのオブジェクトに対してグループまたはユーザーに設定される権限が、グループまたはユーザーごとに指定されます。権限は子オブジェクトへ伝達できます。
ユーザーおよびグループ
vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループには、 vCenter Single Sign-On の認証に使用する ID ソースが定義されている必要があります。Active Directory などのアイデンティティ ソース内のツールを使用して、ユーザーとグループを定義します。
権限
権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグループ化することで、ユーザーやグループにマッピングできるようになります。
ロール
ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのシステム ロールは vCenter Server で事前に定義されており、変更できません。 vCenter Server には、リソース プール管理者など、変更可能なデフォルトのサンプル ロールもいくつか提供されています。カスタム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更することで作成できます。 vCenter Server カスタム ロールの作成を参照してください。

次の図は、権限とロールから権限が構築され、vSphere オブジェクトのユーザーまたはグループに割り当てられる方法を示しています。

図 3. vSphere の権限
複数の権限を組み合わせることでロールが形成されます。ロールは、ユーザーまたはグループに割り当てられます。
アクセス許可をオブジェクトに割り当てるには、次の手順に従います。
  1. 権限を適用するオブジェクトを、vCenter Server オブジェクト階層の中で選択します。
  2. そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
  3. グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロールを選択します。

    デフォルトでは、[子へ伝達] は選択されていません。選択したオブジェクトとその子オブジェクトで選択したロールを使用するには、グループまたはユーザーのチェックボックスを選択する必要があります。

vCenter Server は、頻繁に使用される権限セットを組み合わせたサンプル ロールを提供します。また、一連のロールを組み合わせて、カスタム ロールを作成することもできます。

アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。

次の情報を参照してください。
目的の情報 参照先
カスタム ロールの作成 vCenter Server カスタム ロールの作成
すべての権限と、各権限を適用できるオブジェクト 事前定義された権限
さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット 一般的なタスクに必要な権限
スタンドアロンの ESXi ホストのアクセス許可モデルは、これより簡単です。 ESXi ホストの権限の割り当てを参照してください。

vCenter Server のユーザー検証

ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権限は次回の検証時に vSphere オブジェクトから削除されます。

同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。