例:パーミッションスコープの定義

の手順で、社内ITは10のパーミッションを特定しました。6つのパーミッションは、4つのスコープによって制限されます。社内ITは、VMクラウド、SRVクラウド、人事、および財務という4つのスコープを作成する必要があります。
部門 職務 パーミッションの役割 パーミッションスコープ

社内IT

シニア技術者

インフラストラクチャ管理者

すべてのリソース

社内IT

サーバー管理者

サーバー管理者

すべてのリソース

社内IT

ネットワーク管理者

ネットワーク管理者

すべてのリソース

社内IT

ストレージ管理者

ストレージ管理者

すべてのリソース

財務

OS/アプリケーション管理者

サーバープロファイルオペレーター

財務

人事

OS/アプリケーション管理者

サーバープロファイルオペレーター

人事

SRVクラウドIT

サーバークラウド管理者

サーバープロファイル設計者

SRVクラウド

SRVクラウドIT

サーバークラウド管理者

スコープオペレーター

SRVクラウド

VMクラウドIT

サーバー管理者

サーバー管理者

VMクラウド

VMクラウドIT

ネットワーク管理者

ネットワーク管理者

VMクラウド

VMクラウドITは、エンクロージャーの管理を担当します。次のテーブルは、VMクラウドスコープに割り当てる必要があるリソースを特定するために、社内ITによって実施された分析の結果をまとめたものです。
操作 分析

ネットワークの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。SANは共有リソースと見なされ、スコープによって制限されません。VMクラウドITは、ファイバーチャネル(FC)およびFibre Channel over Ethernet(FCoE)ネットワークにSANを割り当てることができます。

ネットワークセットの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドITが作成したネットワークをVMクラウドネットワークセットに割り当てることです。

論理インターコネクトグループの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドによって作成されたネットワークをアップリンクセットに割り当てることです。

エンクロージャーグループの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドITが作成した論理インターコネクトグループをエンクロージャークループに割り当てることです。

論理エンクロージャーの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。この操作中に作成された論理インターコネクトは、VMクラウドスコープに自動的に追加されます。VMクラウドITは、VMクラウドパイロットに割り当てられているエンクロージャーにアクセスする必要があります。社内ITは、VMクラウドスコープに3つのエンクロージャーを割り当てる必要があります。ファームウェアバンドルはスコープによって制限されるため、VMクラウドITは承認されているファームウェアバンドルにアクセスする必要があります。社内ITは、VMクラウドスコープに、認可されているファームウェアバンドルを割り当てる必要があります。

インターコネクトの電源オン/オフ/更新

社内ITは、VMクラウドITがVMクラウドインターコネクトを管理できるように、VMクラウドスコープにVMクラウドエンクロージャー内のインターコネクトを割り当てる必要があります。

ドライブエンクロージャーの電源オン/オフ/更新

社内ITは、VMクラウドITがVMクラウドエンクロージャー内のドライブエンクロージャーを管理できるように、VMクラウドスコープにドライブエンクロージャーを割り当てる必要があります。

コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新

社内ITは、VMクラウドスコープにVMクラウドエンクロージャー内のブレードを割り当てる必要があります。

サーバープロファイルテンプレートの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITは、サーバープロファイルテンプレートにリソースを割り当てるために、ファームウェアバンドル、ネットワーク、ネットワークセット、およびボリュームテンプレートにアクセスする必要があります。社内ITは、VMクラウドスコープに、認可されているボリュームテンプレートを割り当てる必要があります。このパイロットでは、イメージストリーマーを構成しません。そのため、OS展開プランにアクセスする必要はありません。

サーバープロファイルの作成

VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITには、上記で付与された権限に加えて、サーバーハードウェアへのアクセス権が必要です。

社内ITは、SRVクラウドスコープについても同様の分析を実施しました。SRVクラウドITユーザーは、サーバーに関連する操作だけを実行できます。次のテーブルは、その結果をまとめたものです。
操作 分析

コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新

社内ITは、SRVクラウドスコープにSRVクラウドエンクロージャー内のブレードを割り当てる必要があります。

サーバープロファイルテンプレートの作成

SRVクラウドITによって作成され、SRVクラウドスコープに自動的に追加されます。SRVクラウドITは、サーバープロファイルテンプレートにリソースを割り当てるために、ファームウェアバンドル、ネットワーク、およびネットワークセットにアクセスする必要があります。社内ITは、SRVクラウドスコープにファームウェアバンドル、ネットワーク、およびネットワークセットを割り当てる必要があります。

サーバープロファイルの作成

SRVクラウドITによって作成され、SRVクラウドスコープに自動的に追加されます。SRVクラウドITには、上記で付与された権限に加えて、サーバーハードウェアへのアクセス権が必要です。

人事スコープと財務スコープへのSRVクラウドリソースの割り当て

リソースをスコープに割り当てるときに、UpdateUse両方の権限チェックが実行されます。例えば、人事スコープにブレードを割り当てるには、SRVクラウドITは人事スコープに関するUpdate権限と、サーバーハードウェアに関するUse権限が必要です。また、SRVクラウドスコープに人事スコープとブレードの両方を割り当てる必要があります。SRVクラウドITができる唯一のことは、人事スコープと財務スコープをアップデートすることです。

スコープにリソースを割り当てる場合に、階層という概念はありません。スコープに対してスコープを割り当てると、そのスコープで実行できる操作は制限されますが、どちらのスコープに割り当てられているリソースへのアクセス権にも影響はありません。

社内ITは、SRVクラウドスコープに人事スコープと財務スコープのインスタンスを割り当てる必要があります。

最後に、社内ITは、人事スコープと財務スコープの分析を実施します。
操作 分析

コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新

SRVクラウドITは、人事スコープと財務スコープに対するSRVクラウドサーバーハードウェアの割当を担当します。

サーバープロファイルのアップデート

SRVクラウドITは、人事スコープと財務スコープに対するSRVクラウドサーバープロファイルの割当を担当します。また、人事スコープと財務スコープにSRVクラウドファームウェアバンドルを割り当てることもできます。SRVクラウドITは、人事ユーザーと財務ユーザーがサーバーファームウェアをアップデートできようにするかどうかについてまだ話し合っています。

要約すると、パイロットの認証モデルでは、4つのパーミッションスコープと、パーミッションが関連付けられた9つのディレクトリグループアカウントを定義します。
パーミッションスコープ 社内ITによってスコープに明示的に割り当てられるリソース

財務

なし

人事

なし

SRVクラウド

SRVクラウドパイロット専用の2つのエンクロージャーに格納されたブレード。

SRVクラウドITでの使用が承認されたファームウェアバンドルとネットワーク。

財務スコープと人事スコープのリソースインスタンス。これは、SRVクラウドITが財務スコープと人事スコープにSRVクラウドリソースを割り当てるうえで必要です。

VMクラウド

VMクラウドパイロット専用の3つのエンクロージャー。

3つのエンクロージャーに格納されたブレード。

3つのエンクロージャーに格納されたインターコネクト。

3つのエンクロージャーに格納されたドライブエンクロージャー。

VMクラウドITでの使用が承認されたファームウェアバンドルとボリュームテンプレート。

ディレクトリグループ パーミッション
CorpIT-FULL インフラストラクチャ管理者、すべてのリソース)
CorpIT-NA ネットワーク管理者、すべてのリソース)
CorpIT-SA サーバー管理者、すべてのリソース)
CorpIT-StA ストレージ管理者、すべてのリソース)
Finance-Admins サーバープロファイルオペレーター、財務)
HR-Admins サーバープロファイルオペレーター、人事)
SRVCloudIT-Admins サーバープロファイル設計者、SRVクラウド)。(スコープオペレーター、SRVクラウド)
VMCloudIT-SA サーバー管理者、VMクラウド)
VMCloudIT-NA ネットワーク管理者、VMクラウド)