基于作用域的访问控制事实

  • 您可以继续使用基于角色的访问控制,而不按作用域限制用户的权限。HPE OneView 使用所有资源表示法指示权限不受作用域限制。所有资源不是作用域。

  • 仅对用户显式请求的更改执行授权检查。例如,如果用户将服务器分配给服务器配置文件,则 HPE OneView 对该服务器配置文件执行更新检查,并对该服务器执行使用检查。不执行任何其他使用检查。SBAC 授权语义提供详细信息。
  • 并非所有资源类别都支持作用域。对于不支持作用域的资源类别不执行作用域检查。支持作用域的资源类别列出支持作用域的资源类别。

  • 只有其权限不受作用域限制的用户可管理未分配给作用域但支持作用域的资源。例如,权限不受作用域限制的“基础架构管理员”可管理任何资源。但是,在“测试”作用域中获得“服务器管理员”权限的用户只能管理分配给“测试”作用域的资源。
  • “作用域操作员”和“作用域管理员”授予用户管理作用域的权限。可以按作用域限制这些角色授予的权限。用户只能管理分配给权限作用域的作用域。例如,如果基础架构管理员要授予用户将“生产”资源分配给“财务”或“市场营销”作用域的权限,则基础架构管理员必须:
    • 将(“作用域操作员”、“生产”)权限分配给该用户。

    • 将“财务”和“市场营销”作用域分配给“生产”作用域。

    注意:

    将“财务”作用域分配给“生产”作用域并不会将“财务”资源分配给“生产”作用域。而是只会将“财务”作用域实例分配给“生产”作用域。由于已将“财务”作用域分配给“生产”作用域,因此允许该用户更新“财务”作用域。由于没有将该用户分配给“生产”作用域,因此不允许该用户更新“生产”作用域。权限可授予对该权限作用域的资源的权限。但不会授予对该权限作用域的权限。

  • 因用户发起的创建请求而发现或创建的资源被分配给用户在请求中指定的作用域。例如,在“创建逻辑机柜”请求期间创建的逻辑互连模块被分配给与该逻辑机柜相同的作用域。
  • HPE OneView 自动发现的资源不会被分配给作用域。如果需要,必须显式地将这些资源分配给作用域。
    注意:

    分配给“硬件设置”用户的权限不受作用域限制。因此,“硬件设置”用户显式添加的资源不会被分配给作用域。