No processo de autenticação no console administrativo com base na nuvem, após a autenticação na tela de login inicial, o indivíduo da sua organização insere suas credenciais de conta de usuário do Active Directory na segunda tela de login, de acordo com o domínio do Active Directory que você registrou no ambiente. O sistema fornece as funções predefinidas que podem ser atribuídas aos seus vários grupos do Active Directory. Essas funções relacionadas ao domínio do Active Directory controlam quais áreas do console podem ser visualizadas e ativadas ou visualizadas e desativadas enquanto a pessoa conectada navega pelo console. Você deve atribuir uma função aos grupos apropriados do Active Directory da sua organização para que os usuários nesse grupo possam usar o console para fazer as atividades de trabalho que deseja que eles façam.

Lembrete: Conforme descrito em Tour pelo Horizon Universal Console com base na nuvem, o console de primeira geração é dinâmico e reflete os recursos apropriados para a configuração atualizada do seu ambiente de tenant de primeira geração. O acesso aos recursos descritos nessa documentação pode depender de fatores incluindo, e não se limitando a:
  • Se o recurso depende do código do sistema disponível apenas no manifesto de pod do Horizon Cloud de primeira geração mais recente, na versão do pod do Horizon ou na versão do Horizon Cloud Connector.
  • Se o acesso ao recurso está com disponibilidade limitada, conforme declarado nas Notas da versão no lançamento do recurso.
  • Se o recurso exige licenciamento ou SKUs específicos.

Quando você vir a menção de um recurso nesta documentação, mas não vir esse recurso no console de primeira geração, primeiro consulte as Notas da versão para saber se o acesso ao recurso é limitado e de que maneira você pode solicitar sua ativação no seu tenant. Como alternativa, quando você acreditar que tem o direito de usar um recurso descrito nessa documentação e não o encontrar no console, poderá pedir ao seu representante do VMware Horizon Cloud Service ou, se não tiver um representante, poderá registrar uma solicitação de serviço (SR) para a equipe do Horizon Cloud Service, conforme descrito em Como registrar uma solicitação de suporte no Customer Connect (VMware KB 2006985).

A função que você atribui usando as etapas aqui é de um dos dois tipos de funções que o console usa para determinar o que a sessão autenticada de uma pessoa permite que ela visualize no console e quais ações ela pode executar no console.

No fluxo de trabalho de login padrão, a primeira tela de login do console usa contas do VMware Customer Connect, que são associadas às funções usando a página Configurações Gerais. Essas contas eram chamadas de contas My VMware no passado.

A segunda tela de login usa as credenciais do Active Directory (AD), que são associadas às funções usando esta página Funções e Permissões. Essas funções relacionadas ao domínio do AD determinam a visibilidade dos recursos e elementos do console. Essa função também determina quais elementos da interface do usuário podem aparecer desativados à medida que a pessoa navega pelo console.

Por exemplo, uma pessoa em um grupo do AD que é atribuída à função Administrador de Atribuição pode realizar operações relacionadas ao gerenciamento de atribuições e farms de usuários finais, mas não pode realizar outros tipos de operações. Uma pessoa em um grupo do AD com a função de Administrador Somente Leitura do Suporte Técnico pode navegar até os cartões de usuário dos usuários finais e visualizar as informações, mas não realizar operações de solução de problemas nas sessões de usuários. Por outro lado, uma pessoa em um grupo do AD com a função Administrador do Suporte Técnico pode navegar até informações sobre cartões de usuário e exibi-las, bem como realizar operações de solução de problemas nas sessões de usuários. Para a função Administrador do Suporte Técnico, você também pode limitar o escopo de operações de solução de problemas que um grupo do AD pode realizar.

Essas funções relacionadas ao domínio do AD atuam em conjunto com as funções das contas VMware Customer Connect do que as pessoas da sua organização usam para fazer login usando o fluxo de trabalho de login padrão. Portanto, você deve garantir que a combinação geral das duas funções continue a refletir os resultados desejados para um determinado indivíduo, mesmo quando a pessoa muda de cargo e grupos do AD dentro da sua organização. Para obter detalhes sobre os dois tipos de funções e as boas práticas de emparelhamento das atribuições de função, consulte Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Horizon Universal Console para trabalhar no ambiente do Horizon Cloud.

Observação: As alterações de função que você faz usando a plataforma Horizon Cloud Service, por meio de VMware Cloud Services em cloud.vmware.com, não aparecem no Horizon Universal Console. Você deve fazer as alterações de função diretamente no Horizon Universal Console, conforme descrito a seguir.
Cuidado: Tenha em mente que a função de Superadministrador rege quais das suas contas de usuário do AD podem fazer login em sua conta de tenant do Horizon Cloud e realizar operações administrativas no console, incluindo as etapas aqui para atribuir funções aos seus grupos do AD. Se você tiver apenas um único grupo do AD único atribuído à função de Superadministrador, não remova esse grupo de administradores do sistema do Active Directory ou altere seu GUID como ele aparece no sistema do Active Directory até que você tenha adicionado outro grupo de administradores a esta função de Superadministrador. Se você remover o grupo do seu sistema do Active Directory ou alterá-lo de forma que seu GUID no sistema do Active Directory mudará, essa alteração não será comunicada com o plano de controle do Horizon Cloud e o conhecimento do Horizon Cloud desse grupo do AD que possui a função de Superadministrador será quebrado. Se esse grupo for o único grupo que você atribuiu à função de Superadministrador, pode ser que nenhuma das suas contas do AD que eram usadas para fazer login com o nível de acesso de Superadministrador consiga fazer login e executar operações administrativas, incluindo a operação de atribuir a função a um grupo do AD para restabelecer um conjunto de contas do AD com acesso de Superadministrador. A conta de BIND de domínio sempre é atribuída à função de superadministrador. Se você tiver removido o único grupo do AD atribuído à função de superadministrador, e a conta de BIND de domínio não estiver nesse grupo, poderá tentar fazer logon no console usando as credenciais da conta de BIND de domínio e executando as etapas para atribuir a função de superadministrador a um novo grupo do AD. No entanto, se você não puder fazer login com êxito usando a conta de BIND de domínio, precisará entrar em contato com o suporte da VMware para recuperar o acesso administrativo à sua conta de tenant.
Importante: Essas funções do Horizon Cloud podem ser atribuídas a somente grupos. O sistema não fornece uma maneira de você escolher contas de usuário individuais do Active Directory para cada função.

Esse ponto que as funções podem ser atribuídas somente a grupos e não a contas individuais também significa que você deve evitar atribuir duas funções ao mesmo grupo de domínios do AD. A função de Superadministrador destina-se a conceder todas as permissões para executar todas as ações de gerenciamento no console, ao passo que a função de Administrador de Demonstração é uma função somente leitura. Se você fornecer ambas as funções ao mesmo grupo do AD, todos os usuários nesse grupo não receberão as permissões da função de Superadministrador. Suas ações serão restritas no console, o que poderá impedir a disponibilidade de gerenciamento completo do seu ambiente.

As seguintes funções predefinidas são fornecidas por padrão. As funções predefinidas não podem ser modificadas.

Tabela 1. Grupos de controle de acesso com base em função no Horizon Cloud
Função Descrição
Super administrador

Uma função obrigatória que você deve atribuir a pelo menos um grupo em seu domínio do AD e opcionalmente a outros. Essa função concede todas as permissões para acessar todas as áreas do console e executar ações de gerenciamento no console.

As contas de BIND de domínio principais e auxiliares sempre recebem a função de Superadministrador, que concede todas as permissões para executar ações de gerenciamento no console. Certifique-se de que suas contas de BIND de domínio especificadas não estejam acessíveis para os usuários que você não deseja que tenham permissões de superadministrador.

Observação: Se a sua frota de pods tiver algum pod executando manifestos anteriores ao 1600.0, você deverá garantir que a conta de ingresso no domínio está em um dos grupos aos quais você concede a função de superadministrador. Consulte Contas de serviço que o Horizon Cloud exige para suas operações para obter detalhes.
Administrador de Atribuição

Se o seu ambiente de tenant estiver ativado para esse recurso, você poderá, opcionalmente, atribuir essa função a um ou mais grupos. Os grupos do AD com essa função têm acesso ao console para criar, modificar e excluir atribuições e farms de usuários finais. Grupos com essa função também podem realizar operações relacionadas ao gerenciamento de atribuições e farms, como a configuração da VM, o gerenciamento de energia e a configuração de aplicativos remotos.
Administrador do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao console para que seus grupos do AD com essa função possam trabalhar com os recursos do cartão de usuário para:
  • Consulte o status das sessões de usuário final.
  • Realizar operações de solução de problemas nas sessões.

Por padrão, os grupos do AD com essa função têm permissões para realizar operações de solução de problemas em sessões associadas a qualquer atribuição ou farm listada no console. Se o seu ambiente de tenant estiver ativado para esse recurso, você também poderá, opcionalmente, modificar as permissões de um grupo para limitar o escopo das operações de solução de problemas desse grupo apenas para as sessões associadas a determinadas atribuições e farms. Para modificar o escopo de permissões de um grupo, clique no ícone editar desse grupo.

Observação: Se você incluir uma atribuição ou farm no escopo de permissões de um grupo de AD e tentar excluir essa atribuição ou farm, ela será removida imediatamente do escopo de permissões do grupo. Se o processo de exclusão falhar e a atribuição ou o farm ainda estiver presente, você deverá adicioná-lo manualmente de volta ao escopo de permissões para preservar o acesso do grupo a ele.
Administrador Somente Leitura do Suporte Técnico Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao console para que seus grupos do AD com essa função possam trabalhar com os recursos do cartão de usuário para ver o status das sessões de usuário final.
Administrador de demonstração Uma função que você pode atribuir opcionalmente a um ou mais grupos. Quando emparelhado com a Função Somente Leitura do Administrador do Cliente na conta do VMware Customer Connect, os usuários desse grupo podem visualizar as configurações e selecionar opções para ver opções adicionais no console, mas as seleções não alteram as definições de configuração.

Pré-requisitos

  • Antes de atribuir funções aos seus grupos existentes do Active Directory, revise a associação da conta de usuário nos grupos do Active Directory para garantir que uma conta de usuário receba apenas uma destas funções do Horizon Cloud. Crie grupos específicos do Active Directory, se necessário. Como essas funções são atribuídas no nível do grupo do Active Directory, poderão ocorrer alguns resultados inesperados se uma conta do Active Directory do usuário pertencer a dois grupos do Active Directory e cada grupo estiver atribuído a uma função diferente. Os recursos do console são visíveis, de acordo com esta ordem de precedência:
    1. Superadministrador
    2. Administrador de Atribuição
    3. Administrador do Suporte Técnico
    4. Administrador de Demonstração
    5. Administrador Somente Leitura do Suporte Técnico

    Como resultado dessa ordem de precedência, se uma conta de usuário do Active Directory pertencer aos grupos do Active Directory ADGroup1 e ADGroup2, e você atribuir a função de Superadministrador ao ADGroup1 e atribuir a função de Administrador Somente Leitura de Suporte Técnico ao ADGroup2, o console exibirá todos os recursos de acordo com a função de Superadministrador, em vez do subconjunto de recursos para a outra função, pois a função de Superadministrador tem precedência.

  • Além disso, revise as funções atribuídas às contas de VMware Customer Connect dos membros do grupo para garantir que essas funções estejam alinhadas com a função que você está atribuindo ao seu grupo do Active Directory. Siga as boas práticas de emparelhamento descritas em Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Horizon Universal Console para trabalhar no ambiente do Horizon Cloud.
Importante: O sistema dá suporte à atribuição de um total máximo de 64 grupos exclusivos do Active Directory em todas as funções predefinidas do Horizon Cloud.

Procedimento

  1. No console, navegue até Configurações > Funções e Permissões.
  2. Selecione uma das funções predefinidas e clique em Editar.
  3. Utilize a caixa de pesquisa para buscar e selecionar um grupo do Active Directory.
    Você deve digitar pelo menos três caracteres na caixa de pesquisa para que os resultados apareçam.
    O grupo é adicionado ao conjunto de grupos selecionados.
  4. Clique em Salvar.
    Importante: O sistema evitará salvar os grupos selecionados na função se a ação de salvar resultar em exceder o número máximo com suporte do sistema de grupos do Active Directory que podem ser atribuídos em todas as funções. O máximo com suporte está indicado na seção Pré-requisitos deste tópico de documentação.

O que Fazer Depois

Certifique-se de que os usuários no grupo de domínio tenham as funções apropriadas em suas contas do VMware Customer Connect. Consulte Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Horizon Universal Console para trabalhar no ambiente do Horizon Cloud e Atribua funções administrativas aos indivíduos da sua organização para que façam login e executem ações em seu ambiente de tenant do Horizon Cloud usando o Horizon Universal Console.