背景介绍
VeloCloud的Orchestrator提供多租户、多权限分级账户管理系统,方便给不同权限的用户登录,控制最小访问权限。
当前VCO自带12种角色,主要分为3大层级,Operator/Partner/Customer(aka:Enterprise)每个层级都有4个角色(Role)
| Operator SuperUser | Operator Standard Admin | Operator Business | Operator Support |
| Partner SuperUser | Partner Standard Admin | Partner Business Specialist | Partner Customer Support |
| Customer SuperUser | Customer Standard Admin | Customer Support | Enterprise Read Only User |
需求
上述的角色都是固定的权限,例如Enterprise Read Only User就只能Monitor部分的信息
很多客户提出需要对权限进行定制化管理,例如有的账户需要可以看到配置,但是不能修改配置等需求,从3.4开始,在VCO上引入了Role Customization功能,可以对现有Role进行权限的修改。
Tips:当前还不能创建新的Role,只能修改现有的12个Role的权限
配置方法
测试环境:
VeloCloud Orchestrator: R410-20201028-2255-GA-864d040d2f
测试步骤:
用Operator SuperUser创建一个新的Customer "Role Customization",在这个Customer下,有3个账户
| Customer SuperUser | rolecustomization@vmware.com |
| Customer Standard Admin | SA@vmware.com |
| Enterprise Read Only User | RO@vmware.com |
以及Operator SuperUser账户raynorl@vmware.com
登陆Operator SuperUser账户
在Operator界面有一个Role Customization
进入到Customer | Administration中也有Role Customization
其实在Partner中也会有一个Role Customization,如果同时配置的话,生效的顺序为Customer Level | Partner Level | Operator Level
Tips:此处官网说使用Customer SuperUser也可以在Administration中看到Role Customization,但实际我并没有看到,这里可能有一些特殊配置
新建一个权限配置模板New Package
打开Customer中的Role Customization Package进行编辑,选择Customer Standard Admin
删除所有"Delete"的权限,过滤出delete关键字,并点击">>"全部移到右边的Deny Privileges当中,意味着Customer Standard Admin没有Delete权限
提交,并保存,刚变更的部分会用黄色底色进行标记
编辑完Package之后需要进行调用,Inuse需要打上勾
确认提交
登陆Customer Standard Admin账户
右上角账户为SA@vmware.com,对Profile进行操作的时候没有Delete选项
登陆Operator SuperUser账户
右上角账户为raynorl@vmware.com,对Profile操作有Delete选项
一个常见的需求,可以看到Business Policy,但是不能修改,留给同学们做课后作业
登陆Customer SuperUser账户
登陆Customer Standard Admin账户
