Este tópico de documentação descreve as boas práticas para os dois tipos de função que você deverá atribuir às pessoas quando desejar que elas façam login no Horizon Universal Console e trabalhem no ambiente do Horizon Cloud. Um tipo de função é usado para ativar ou desativar diferentes partes da própria interface de usuário do Horizon Universal Console. O outro tipo de função é usado para determinar quais ações podem ser invocadas por pessoas que têm essa função atribuída. Você deverá garantir que a combinação final das duas funções atribuídas a um indivíduo específico reflita o resultado desejado para ele.
As seções a seguir descrevem os dois tipos de função e as combinações de boas práticas a serem usadas com base nos cenários padrão em organizações típicas.
- Se o recurso depende do código do sistema disponível apenas no manifesto de pod do Horizon Cloud de primeira geração mais recente, na versão do pod do Horizon ou na versão do Horizon Cloud Connector.
- Se o acesso ao recurso está com disponibilidade limitada, conforme declarado nas Notas da versão no lançamento do recurso.
- Se o recurso exige licenciamento ou SKUs específicos.
Quando você vir a menção de um recurso nesta documentação, mas não vir esse recurso no console de primeira geração, primeiro consulte as Notas da versão para saber se o acesso ao recurso é limitado e de que maneira você pode solicitar sua ativação no seu tenant. Como alternativa, quando você acreditar que tem o direito de usar um recurso descrito nessa documentação e não o encontrar no console, poderá pedir ao seu representante do VMware Horizon Cloud Service ou, se não tiver um representante, poderá registrar uma solicitação de serviço (SR) para a equipe do Horizon Cloud Service, conforme descrito em Como registrar uma solicitação de suporte no Customer Connect (VMware KB 2006985).
Funções que ativam ou desativam partes diferentes da interface do usuário do console para pessoas no grupo do Active Directory que têm essa função atribuída
Essas funções são predefinidas no sistema e estão relacionadas aos seus grupos do Active Directory. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud, o console detecta em qual grupo do Active Directory (AD) a conta do indivíduo está localizada. O console também identifica quais dessas funções estão atribuídas a esse grupo do AD na página Funções e Permissões do console. Em seguida, à medida que a pessoa navega pelas páginas de interface do usuário, guias e janelas do console, esses itens são exibidos como ativados ou desativados de acordo com a função atribuída do grupo do AD da pessoa.
Você aplica cada uma dessas funções no nível de um grupo do AD. Como elas são aplicadas no grupo e não no nível individual, todas as pessoas no mesmo grupo do AD receberão a função que você atribuir a esse grupo do Active Directory usando a página Funções e Permissões do console. Você controla quais indivíduos estão nos seus grupos do AD no seu ambiente do AD. Portanto, ao mover indivíduos no ambiente do AD de um grupo do AD para outro, você deve garantir que eles sejam movidos para um grupo que tenha uma das funções que continua a ser alinhada com a outra função atribuída, ou seja, aquela atribuída à conta deles no My VMware. Ao mover uma pessoa de um grupo do AD para outro, você deve verificar se o outro tipo de função, aquela atribuída à conta do My VMware do indivíduo, precisa ser ajustada para permanecer alinhada com a função desse tipo de função atribuída ao novo grupo do AD do indivíduo.
Um exemplo de uma dessas funções é Help Desk Read Only Administrator
. Quando um grupo do AD é atribuído a essa função na página Funções e Permissões, o console permite que indivíduos nesse grupo naveguem até os cartões de usuário dos usuários finais e visualizem as informações, mas não realizem operações nas áreas de trabalho.
Funções que determinam quais ações podem ser invocadas por pessoas que têm essa função atribuída à sua conta do My VMware
Como o outro tipo de função, essas funções são predefinidas no sistema. Essas funções referem-se às contas do My VMware configuradas na área Contas do My VMware da página Configurações gerais. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud , o console detecta qual função está atribuída à conta do My VMware usada para autenticar a sessão conectada. Em seguida, quando a pessoa tenta invocar uma ação no console, o sistema permite que a chamada da interface de programação de aplicativos seja realizada ou a impede, dependendo da função que está atribuída à conta do My VMware da pessoa que fez login na página Configurações Gerais.
Como resultado, após a autenticação inicial para o console, essa função atribuída frequentemente funciona em conjunto com o outro tipo de função atribuída:
- A pessoa navega pelas páginas de interface do usuário, guias e janelas do console e vê elementos da interface do usuário exibidos como ativados ou desativados de acordo com a função atribuída do grupo do AD da pessoa.
- Quando essa pessoa clica em um botão que invocaria uma chamada da interface de programação de aplicativos para executar uma ação, se a função atribuída à sua conta do My VMware não permitir que essa ação seja executada, essa chamada não será realizada e a ação não será concluída.
As cinco combinações de funções padrão de boas práticas
Como pode ocorrer comportamento contraditório quando as duas funções de uma pessoa não estão alinhadas com a tabela abaixo, é recomendável que você alinhe as funções concedidas aos indivíduos da sua organização de acordo com a tabela a seguir. O sistema não impede que você atribua uma função a um grupo do AD que seja mais permissivo do que a função atribuída às contas do My VMware dos indivíduos nesse grupo. Se um indivíduo pertencer a vários grupos do AD, certifique-se de que as funções atribuídas a esses grupos na página Funções e Permissões também estejam alinhadas entre si e com a função na conta do My VMware do indivíduo.
Função na conta do My VMware da pessoa na página Configurações Gerais | Função no grupo do Active Directory da pessoa na página Funções e Permissões | Descrição |
---|---|---|
Administrador do Cliente | Super administrador | Acesso completo para visualizar todas as áreas do console e realizar todas as ações nele. |
Administrador de Atribuição de Cliente | Administrador de Atribuição | Capacidade de visualizar todas as áreas do console e executar ações relacionadas à modificação e ao gerenciamento de atribuições de usuário final e farms. |
Administrador do Cliente somente Leitura | Administrador de demonstração | Capacidade de visualizar todas as áreas do console, exibir configurações e selecionar opções para ver opções adicionais e sem a capacidade de invocar ações que alteram o ambiente, como a exclusão de itens. Um exemplo de uso dessa combinação é permitir que as pessoas na sua organização façam login e demonstrem os recursos do sistema para outros, ao mesmo tempo em que evitam que alterações sejam feitas no sistema. |
Assistência Técnica do Cliente | Administrador do Suporte Técnico | Acesso para visualizar as áreas relacionadas ao suporte técnico do console e realizar todas as ações relacionadas ao suporte técnico que o console fornece. O objetivo dessa combinação é que as pessoas trabalhem com os recursos do cartão de usuário para ver o status das sessões de usuário final e realizar operações de solução de problemas nas sessões. |
Assistência Técnica do Cliente - Somente Leitura | Administrador Somente Leitura do Suporte Técnico | Acesso para visualizar as áreas relacionadas ao suporte técnico do console e ver o status das sessões de usuário final no cartão de usuário, impedindo a capacidade de invocar as ações relacionadas ao suporte técnico. |
Quando você deseja conceder a uma pessoa acesso somente leitura e a visualização do acesso a todas as áreas do console
Se quiser que um indivíduo possa navegar em todas as páginas da interface do usuário do console, abrir caixas de diálogo e exibir relatórios, mas impedir que ele invoque ações que alterem itens no ambiente do tenant, você deverá garantir que ambas as condições a seguir sejam atendidas:
- Na área Contas do My VMware da página Configurações Gerais, atribua a função de
Customer Administrator Read-Only
à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a funçãoCustomer Administrator Read-Only
. - Na página Funções e Permissões, atribua a função de
Demo Administrator
ao grupo do Active Directory desse indivíduo.
Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar até todas as páginas do console, navegar pelas páginas, abrir caixas de diálogo e visualizar relatórios, mas também será impedido de invocar ações que alterem itens no ambiente.
Quando você deseja restringir o acesso de uma pessoa aos recursos de suporte técnico do console e que ela também tenha capacidade de executar ações no cartão do usuário
Se quiser que um indivíduo possa fazer login no console e fique restrito a acessar apenas os recursos relacionados ao suporte técnico, e não todas as áreas do console, permitindo também que ele realize ações relacionadas ao suporte técnico, você deve garantir que ambas as condições a seguir sejam atendidas:
- Na área Contas do My VMware da página Configurações Gerais, atribua a função de
Customer Helpdesk
à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a funçãoCustomer Helpdesk
. - Na página Funções e Permissões, atribua a função de
Help Desk Administrator
ao grupo do Active Directory desse indivíduo.
Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, além de ver recursos e realizar ações relacionadas ao suporte técnico.
Quando você deseja conceder a uma pessoa o acesso somente leitura aos recursos de suporte técnico do console
Se quiser que um indivíduo possa fazer login no console, tenha acesso somente leitura aos recursos relacionados ao suporte técnico e seja impedido de realizar ações relacionadas ao suporte técnico, você deverá garantir que ambas as condições a seguir sejam atendidas:
- Na área Contas do My VMware da página Configurações Gerais, atribua a função de
Customer Helpdesk Read-Only
à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a funçãoCustomer Helpdesk Read-Only
. - Na página Funções e Permissões, atribua a função de
Help Desk Read Only Administrator
ao grupo do Active Directory desse indivíduo.
Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console e usar os recursos relacionados ao suporte técnico no modo somente leitura.
Quando você deseja restringir o acesso de uma pessoa apenas aos recursos de atribuição e relacionados ao farm do console
Se quiser que um indivíduo tenha acesso ao console para realizar operações relacionadas ao gerenciamento de atribuições e farms de usuários finais e ao acesso somente leitura a todas as outras áreas do console, certifique-se de que ambas as condições a seguir sejam atendidas:
- Na área Contas do My VMware da página Configurações Gerais, atribua a função de
Customer Assignment Administrator
à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a funçãoCustomer Assignment Administrator
. - Na página Funções e Permissões, atribua a função de
Assignment Administrator
ao grupo do Active Directory desse indivíduo.
Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar até e visualizar todas as páginas do console e invocar ações que criam, modificam ou excluem atribuições e farms de usuários finais. O indivíduo também poderá realizar operações relacionadas ao gerenciamento de atribuições e farms, como a configuração da VM, o gerenciamento de energia e a configuração de aplicativos remotos.
Quando você deseja que uma pessoa tenha acesso completo ao console, a todas as áreas e ações do console
Se você quiser que um indivíduo tenha acesso total ao console para exibir todas as áreas e invocar ações que alterem itens no seu ambiente de tenant, certifique-se de que ambas as condições a seguir sejam atendidas:
- Na área Contas do My VMware da página Configurações Gerais, atribua a função de
Customer Administrator
à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a funçãoCustomer Administrator
. - Na página Funções e Permissões, atribua a função de
Super Administrator
ao grupo do Active Directory desse indivíduo.
Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar por todas as páginas do console e invocar ações que alterem itens no ambiente.