Администратор облачных служб контролирует, какие задачи могут выполняться пользователями в vRealize Automation. В зависимости от целей управления и сфер ответственности в группе разработчиков приложений существуют различные способы настройки ролей пользователей для поддержки этих целей.

Следующие примеры для vRealize Automation Cloud Assembly и vRealize Automation Service Broker построены на трех вариантах использования. Эти примеры содержат достаточное количество инструкций для демонстрации применения ролей пользователей.

Эти примеры использования предназначены для администратора облачных служб и администраторов служб.

Каждый последующий пример использования составлен на основе предыдущего. Даже если вы сразу готовы перейти к примеру 3, возможно, вам потребуется ознакомиться с примерами 1 и 2, чтобы лучше понять, почему следует настраивать роли указанным образом.

Задача этих примеров использования — показать применение ролей пользователей, а не предоставить подробную информацию о настройке инфраструктуры, управлении проектами, создании облачных шаблонов и работе с развертываниями.

Прежде чем начать, необходимо ознакомиться с уровнями ролей пользователей, настроенными администратором облачных служб в консоли vRealize Automation.

  • Роли организации

    Роли организации определяют, кто может иметь доступ к консоли.

    Владельцу организации необходимо проследить, чтобы пользователям всех служб была назначена как минимум роль участника организации.

    Роль Описание
    Владелец организации Администратор может добавлять пользователей, изменять роли пользователей и удалять пользователей из организации. Владелец управляет доступом пользователей к службам.
    Участник организации Обычный пользователь может войти в консоль организации. Чтобы пользователь мог получить доступ к службам, владелец организации назначает ему определенную роль службы.
  • Роли служб

    Роли служб определяют, кто может иметь доступ к назначенным службам.

    Владельцу организации необходимо проследить, чтобы всем пользователям, которым требуется доступ к службам, были назначены соответствующие роли. Роли определяют, какие действия пользователь может выполнять в каждой службе.

    Табл. 1. Описание ролей службы vRealize Automation Cloud Assembly
    Роль Описание
    Администратор Cloud Assembly Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все действия, в том числе добавлять облачные учетные записи, создавать новые проекты и назначать администратора проекта.
    Пользователь Cloud Assembly Пользователь, у которого нет роли администратора Cloud Assembly.

    В проекте vRealize Automation Cloud Assembly администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.

    Наблюдатель Cloud Assembly Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения. Это роль «только для чтения» для всех проектов.

    Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.

    Табл. 2. Описание ролей службы Service Broker
    Роль Описание
    Администратор Service Broker Должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет выполнять все задачи, в том числе создавать новые проекты и назначать администраторов проектов.
    Пользователь Service Broker Любой пользователь, у которого нет роли администратора vRealize Automation Service Broker.

    В проекте vRealize Automation Service Broker администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.

    Наблюдатель Service Broker Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения.

    Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.

    Табл. 3. Описание ролей службы Code Stream
    Роль Описание
    Администратор Code Stream Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все операции, включая создание проектов, интеграцию конечных точек, добавление триггеров, создание конвейеров и настраиваемых панелей управления, маркировку конечных точек и переменных как ресурсы с ограниченным доступом, запуск конвейеров, использующих такие ресурсы, а также запрашивать публикацию конвейеров в vRealize Automation Service Broker.
    Разработчик Code Stream Пользователь, который может работать с конвейерами, но не с конечными точками или переменными с ограниченным доступом. Если конвейер содержит конечную точку или переменную с ограниченным доступом, этот пользователь должен получить утверждение задачи конвейера, которая использует эту конечную точку или переменную.
    Исполнитель Code Stream Пользователь, который может запускать конвейеры и утверждать или отклонять задачи, выполняемые пользователями. Этот пользователь может возобновить, приостановить и отменить выполнение конвейера, но не может их изменить.
    Пользователь Code Stream Пользователь, у которого есть доступ к vRealize Automation Code Stream, но нет других прав в vRealize Automation Code Stream.
    Обозреватель Code Stream Пользователь, который имеет доступ с правами чтения для просмотра конвейеров, конечных точек, циклов выполнения конвейера и панелей управления, но не может создавать, обновлять или удалять их. Пользователь, у которого есть роль «Обозреватель службы», может видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.
  • Роли участников проекта

    Членство в проекте определяет, какие ресурсы инфраструктуры и облачные шаблоны доступны пользователю.

    Членство в проекте определяется в службе пользователем с ролью администратора службы. Администратор службы должен убедиться, что пользователям, которым необходим доступ к одному проекту или нескольким, назначены соответствующие роли на уровне каждого проекта.

    Табл. 4. Роли в проекте
    Роль Описание
    Администратор проекта Администратор проекта может управлять своими проектами, создавать и развертывать облачные шаблоны, связанные с его проектами, а также управлять развертываниями проектов для всех участников проекта.
    Участник проекта Участник проекта может создавать и развертывать облачные шаблоны, связанные с соответствующими проектами, управлять собственными развертываниями, а также всеми общедоступными развертываниями.
    Наблюдатель проекта Обозреватель проекта — это участник проекта, который имеет доступ в режиме «только чтение» к ресурсам проекта, облачным шаблонам и развертываниям.
  • Настраиваемые роли

    vRealize Automation Cloud Assembly создает настраиваемые роли для уточнения ролей участников и обозревателей.

Процедуры, описанные в этих примерах использования, предназначены для демонстрации применения ролей пользователей. Они не являются подробными или исчерпывающими процедурами по настройке vRealize Automation.

При настройке ролей следует помнить, что для пользователей, выполняющих операции API, применяются роли, назначаемые здесь.

Необходимые условия

  • Убедитесь, что вам назначена роль владельца организации. При входе в консоль вам должна быть видна вкладка Управление идентификацией и доступом. Если это не так, обратитесь к владельцу организации.
  • Убедитесь, что пользователи добавлены в vRealize Automation.

    Пользователи Active Directory добавляются в ходе установки vRealize Automation.

  • Подробный список задач и ролей для различных категорий пользователей см. в разделе Роли пользователей организаций и служб в vRealize Automation.