vSphere 透過更為精細的控制支援數種模型,以決定是否允許使用者執行某項工作。vCenter Single Sign-On 使用 vCenter Single Sign-On 群組中的群組成員資格,決定允許您執行什麼操作。您對物件的角色或全域權限會決定是否允許您在 vSphere 中執行其他工作。

授權概觀

vSphere 6.0 及更新版本允許有權限的使用者授與其他使用者權限,以執行工作。您可以使用全域權限,或者您可以針對個別 vCenter Server 執行個體,使用本機 vCenter Server 權限授權其他使用者。
vCenter Server權限

vCenter Server系統的權限模型依賴於將權限指派到物件階層中的物件。每個權限會授予某個使用者或群組一組權限,即所選物件的角色。例如,您可以選取某個虛擬機器,然後選取新增權限以指派角色給您所選網域中的一組使用者。該角色可授與這些使用者在該虛擬機器上的對應權限。

全域權限
全域權限會套用到跨解決方案的全域根物件。例如,如果同時安裝了 vCenter Server 和 vRealize Orchestrator,則可以使用全域權限。例如,您可以授與使用者群組對兩個物件階層中所有物件的讀取權限。
如果您的環境包含內部部署 vCenter Server 和雲端 vCenter Server,則不會複寫全域權限。
vCenter Single Sign-On 群組中的群組成員資格
對於 VMware Cloud on AWS,會在 vCenter Single Sign-On 中預先定義雲端管理員群組。當您使用混合連結模式時,可將此群組新增到已連結網域中。

瞭解物件層級權限模型

您可以透過使用物件上的權限,來授權使用者或群組在 vCenter 物件上執行工作。vSphere 權限模型端賴對 vSphere 物件階層中的物件所指派的權限。每個權限會針對某個使用者或群組指定一組權限,即所選物件的角色。例如,一組使用者可能在一個虛擬機器上具有唯讀角色,而在另一個虛擬機器上具有管理員角色。

下列概念很重要。

權限
vCenter Server物件階層中的每個物件都擁有相關聯的權限。每個權限指定一個群組或使用者對物件擁有哪些權限。
使用者和群組
vCenter Server 系統中,您只能將權限指派給已驗證使用者或已驗證使用者的群組。使用者將透過 vCenter Single Sign-On 進行驗證。必須在 vCenter Single Sign-On 用於驗證的身分識別來源中定義使用者和群組。使用身分識別來源中的工具 (例如 Active Directory) 定義使用者和群組。
權限
權限為細密的存取控制。您可以將這些權限群組到角色,然後將角色對應到使用者或群組。
角色
角色為權限集。角色讓您能夠根據使用者一般會執行的一組工作來指派物件的權限。 vCenter Server中已預先定義預設角色 (例如管理員) 且無法變更。其他角色 (例如資源集區管理員) 為預先定義的範例角色。您可以從頭開始建立自訂角色,也可以透過複製和修改範例角色來建立自訂角色。 請參閱〈建立自訂角色〉
圖 1. vSphere 權限
數個權限合併為一個角色。會將該角色指派給使用者或群組。
若要將權限指派給物件,請遵循以下步驟執行:
  1. 選取要將 vCenter 物件階層中的權限套用至的物件。

    VMware Cloud on AWS 中,無法變更 VMware 為您管理的物件上的權限,例如 vCenter Server 執行個體或 ESXi 主機。

  2. 選取應擁有該物件權限的群組或使用者。
  3. 選取個別權限或角色,即群組或使用者應擁有的一組物件權限。

    依預設,會散佈權限,即使用者或群組在所選物件及其子系物件上擁有所選角色。

vCenter Server提供預先定義的角色,這些角色將合併常用權限集。您也可以透過合併一組角色來建立自訂角色。

通常必須在來源物件和目的地物件上同時定義權限。例如,如果您移動虛擬機器,則不僅需要該虛擬機器的權限,還需要目的地資料中心的權限。

請參閱下列資訊。
若要瞭解... 請參閱...
建立自訂角色。 建立自訂角色
所有權限和可套用權限的物件 定義的權限
不同工作的不同物件上所需的權限集。 一般工作所需的權限

vCenter Server使用者驗證

使用目錄服務的 vCenter Server 系統將根據使用者目錄網域定期驗證使用者和群組。系統將根據 vCenter Server 設定中指定的固定間隔執行驗證。例如,假設在數個物件上為使用者 Smith 指派了某個角色。網域管理員將名稱變更為 Smith2。下次進行驗證時,主機會認為 Smith 已不存在,並從 vSphere 物件中移除與該使用者相關聯的權限。

同樣地,如果將使用者 Smith 從網域中移除,則下次進行驗證時與該使用者關聯的所有權限都會遭到移除。如果在下次進行驗證之前將新使用者 Smith 新增至網域,則新使用者 Smith 會取代舊使用者 Smith 對任何物件具有的權限。