基于作用域的访问控制事实

  • 您可以继续使用基于角色的访问控制,而不按作用域限制用户的权限。HPE OneView 使用所有资源表示法指示权限不受作用域限制。所有资源不是作用域。

  • 通过使用全局设置下面的按作用域限制用户界面读取访问选项,没有作用域限制的基础架构管理员可以禁止受作用域限制的用户查看没有位于作用域内的资源。将为受作用域限制的用户定义一个角色并受作用域限制。

  • 仅对用户明确请求的更改执行授权检查。例如,如果用户将服务器分配给服务器配置文件,HPE OneView 将对服务器配置文件执行更新检查,并对服务器执行使用检查。不会执行任何其他使用检查。SBAC 授权语义提供了详细信息。
  • 并非所有资源类别都支持作用域。对于不支持作用域的资源类别不执行作用域检查。支持作用域的资源类别列出支持作用域的资源类别。

  • 只有其权限不受作用域限制的用户可管理未分配给作用域但支持作用域的资源。例如,权限不受作用域限制的“基础架构管理员”可管理任何资源。但是,在“测试”作用域中获得“服务器管理员”权限的用户只能管理分配给“测试”作用域的资源。
  • “作用域操作员”和“作用域管理员”授予用户管理作用域的权限。可以按作用域限制这些角色授予的权限。用户只能管理分配给权限作用域的作用域。例如,如果基础架构管理员要授予用户将“生产”资源分配给“财务”或“市场营销”作用域的权限,则基础架构管理员必须:
    • 将(“作用域操作员”、“生产”)权限分配给该用户。

    • 将“财务”和“市场营销”作用域分配给“生产”作用域。

    注意:

    将“财务”作用域分配给“生产”作用域并不会将“财务”资源分配给“生产”作用域。而是只会将“财务”作用域实例分配给“生产”作用域。由于已将“财务”作用域分配给“生产”作用域,因此允许该用户更新“财务”作用域。由于没有将该用户分配给“生产”作用域,因此不允许该用户更新“生产”作用域。权限可授予对该权限作用域的资源的权限。它不会为权限作用域授予权限。

  • 由于用户启动的创建请求而找到或创建的资源将分配给用户在请求中指定的作用域。例如,在“创建逻辑机箱”请求期间创建的逻辑互连模块将分配给与逻辑机箱相同的作用域。
  • HPE OneView 自动发现的资源不会被分配给作用域。如果需要,必须显式地将这些资源分配给作用域。
    注意:

    分配给“硬件设置”用户的权限不受作用域限制。因此,“硬件设置”用户显式添加的资源不会被分配给作用域。