Gérer les rôles, les utilisateurs et les autorisations sous VMware vSphere 6.7

3. Gérer les autorisations sur les différents objets

Comme expliqué au début de ce tutoriel, la gestion des droits est basée sur : des rôles, des utilisateurs et l'objet à partir duquel l'autorisation souhaitée sera appliquée.
Comme vous allez le voir ci-dessous, les autorisations peuvent être ajoutées sur tous les types d'objets existants (tels que des centres de données, des hôtes ESXi, des VMs, ...) dans VMware vCenter Server, mais aussi de façon globale.

Pour ajouter des autorisations sur un objet en particulier (quel qu'il soit), il suffit de le sélectionner dans la colonne de gauche, puis d'aller dans son onglet "Autorisations".
Ensuite, cliquez sur l'icône "+" située à chaque fois au-dessus de la liste des autorisations définies sur l'objet souhaité.

3.1. Gérer les autorisations globales

La 1ère possibilité pour gérer les autorisations pour vos différents utilisateurs consiste à ajouter des autorisations globales.
Pour cela, allez dans le menu de vSphere Client et cliquez sur : Administration.
Ensuite, allez dans la section : Contrôle d'accès -> Autorisations globales.

Comme vous pouvez le voir, par défaut, des autorisations sont déjà définies pour les utilisateurs Administrator, AutoUpdate, vpxd-xxxxx, ... du domaine SSO "vsphere.local" (qui est l'exemple proposé par défaut par VMware lors de l'installation de VMware vCenter Server ou VCSA).
Vous pouvez d'ailleurs voir que le rôle Administrateur (= droits complets) est accordé par défaut à l'utilisateur "VSPHERE.LOCAL\Administrator" (= Administrator@vsphere.local), ainsi qu'au groupe "Administrators" du même domaine SSO.

Pour ajouter une nouvelle autorisation globale, cliquez sur l'icône "+" située juste au-dessus du tableau.

Grâce au formulaire "Ajouter une autorisation" qui s'affiche pour la racine d'autorisation globale (dans ce cas-ci), vous pourrez :

• Utilisateur - vsphere.local : sélectionner le domaine de l'utilisateur. Par défaut : vsphere.local.
  Mais si votre serveur VMware vCenter Server est lié à un domaine Active Directory ou qu'une source d'identité supplémentaire y a été ajoutée, vous trouverez notamment votre domaine Active Directory (ou LDAP) dans cette liste.
• Utilisateur - recherche : rechercher l'utilisateur souhaité dans le domaine sélectionné juste au-dessus.
• Rôle : sélectionner le rôle à assigner à cet utilisateur pour cette autorisation globale.
• Propager vers les enfants : permet d'appliquer cette autorisation globale également sur tous les enfants (dans ce cas-ci : tous les objets de l'inventaire de votre serveur vCenter Server).
  Si cette case est décochée, l'utilisateur ou groupe concerné n'aura accès qu'à certaines fonctionnalités globales et il ne pourra pas accéder à l'inventaire de votre serveur vCenter Server.

Source : Ajouter une autorisation globale.

3.2. Gérer les autorisations sur un serveur VMware vCenter Server (ou VCSA)

Pour ajouter des autorisations sur un serveur VMware vCenter Server (ou VCSA), allez dans le menu, puis cliquez sur : Hôtes et clusters.
Sélectionnez votre serveur VMware vCenter Server (ou VCSA) et allez dans l'onglet "Autorisations" de celui-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations actuellement définies sur cet objet ou de façon globale.

Comme vous pouvez le voir, le formulaire est exactement le même que pour les autorisations globales, mais cette fois-ci, VMware vCenter Server vous indique à droite que cette autorisation sera appliquée sur l'objet "[nom du serveur vCenter Server]" souhaité.
Si vous cochez la case "Propager vers les enfants", cette autorisation s'appliquera à l'objet actuel (dans ce cas-ci : le serveur vCenter Server souhaité), ainsi qu'à ses objets enfants : les centres de données, les dossiers (si applicable), les hôtes qui s'y trouvent, ...

Si vous devez appliquer cette autorisation sur cet objet et ses enfants, excepté certains enfants, rappelez-vous qu'un rôle "Aucun accès" existe.
Pour ce cas particulier, il suffit d'ajouter une autorisation avec le rôle "Aucun accès" pour le même utilisateur sur les objets enfants auquel vous ne souhaitez pas que l'autorisation définie sur le serveur vCenter Server ne s'applique.

3.3. Gérer les autorisations sur un centre de données

Pour ajouter des autorisations sur un centre de données (ou "Datacenter" en anglais), allez dans le menu, puis cliquez sur "Hôtes et clusters" ou "VM et modèles".
Sélectionnez le centre de données souhaité et allez dans l'onglet "Autorisations" de celui-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

3.4. Gérer les autorisations sur un dossier d'hôtes VMware ESXi

Pour ajouter des autorisations sur un dossier d'hôtes VMware ESXi, allez dans le menu, puis cliquez sur : Hôtes et clusters.
Sélectionnez le dossier souhaité et allez dans l'onglet "Autorisations" de celui-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

Cela vous permettra d'appliquer des privilèges (via un rôle préalablement créé et configuré) sur plusieurs hôtes VMware ESXi, ses machines virtuelles, ... si vous cochez la case "Propager vers les enfants" et que les privilèges définis dans le rôle sélectionné le permettent.

3.5. Gérer les autorisations sur un hôte VMware ESXi (hyperviseur)

Pour ajouter des autorisations sur un hôte VMware ESXi (hyperviseur), allez dans le menu, puis cliquez sur : Hôtes et clusters.
Sélectionnez l'hôte VMware ESXi souhaité et allez dans l'onglet "Autorisations" de celui-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

3.6. Gérer les autorisations sur une machine virtuelle (VM)

Pour ajouter des autorisations sur une machine virtuelle (VM), allez dans le menu, puis cliquez sur "Hôtes et clusters" ou "VM et modèles".
Sélectionnez la machine virtuelle souhaitée et allez dans l'onglet "Autorisations" de celle-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

3.7. Gérer les autorisations sur un dossier de machines virtuelles (VM)

La création de dossiers dans le 2ème onglet (VM et modèles) vous permettra notamment d'appliquer des autorisations sur plusieurs machines virtuelles (VMs) en une fois.
Pour accéder à cette section "VM et modèles", allez dans le menu, puis cliquez sur : VM et modèles.
Sélectionnez le dossier souhaité et allez dans l'onglet "Autorisations" de celui-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

Notez que la case "Propager vers les enfants" de l'autorisation ajoutée devra être cochée pour que cela concerne aussi les machines virtuelles qui se trouvent dans le dossier souhaité.

3.8. Gérer les autorisations sur une banque de données

Pour ajouter des autorisations sur une banque de données, allez dans le menu, puis cliquez sur : Stockage.
Sélectionnez la banque de données souhaitée et allez dans l'onglet "Autorisations" de celle-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.

3.9. Gérer les autorisations sur un réseau virtuel

Pour ajouter des autorisations sur un réseau virtuel, allez dans le menu, puis cliquez sur : Mise en réseau.
Sélectionnez le réseau virtuel souhaité et allez dans l'onglet "Autorisations" de celle-ci.
Ensuite, cliquez sur l'icône "+" située en haut de la liste des autorisations affichées.