Este tópico de documentação descreve as boas práticas para os dois tipos de função que você deverá atribuir às pessoas quando desejar que elas façam login no Console administrativo do Horizon Cloud e trabalhem no ambiente do Horizon Cloud. Um tipo de função é usado para ativar ou desativar diferentes partes da própria interface de usuário do Console administrativo do Horizon Cloud. O outro tipo de função é usado para determinar quais ações podem ser invocadas por pessoas que têm essa função atribuída. Você deverá garantir que a combinação final das duas funções atribuídas a um indivíduo específico reflita o resultado desejado para ele.

Importante: Como um tipo de função rege o que o usuário pode ver no console e o outro tipo de função rege a invocação de ações, você deve garantir que a combinação geral das duas funções de um indivíduo específico reflita os resultados desejados para ele. As combinações das boas práticas são descritas nas seções a seguir. Se você não seguir essas boas práticas, podem ocorrer contradição. Por exemplo, se as funções atribuídas não corresponderem às diretrizes descritas aqui, um indivíduo poderá fazer login no console e não poder executar as ações que você deseja que ele realize, ou a pessoa poderá fazer login e executar ações que você não deseja que ela faça. Portanto, é importante que você tenha certeza de que deseja alinhar a função do indivíduo na área Contas do My VMware da página Configurações Gerais com a função atribuída ao grupo do Active Directory do indivíduo na página Funções e Permissões.

As seções a seguir descrevem os dois tipos de função e as combinações de boas práticas a serem usadas com base nos cenários padrão em organizações típicas.

Funções que ativam ou desativam partes diferentes da interface do usuário do console para pessoas no grupo do Active Directory que têm essa função atribuída

Essas funções são predefinidas no sistema e estão relacionadas aos seus grupos do Active Directory. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud, o console detecta em qual grupo do Active Directory a conta do indivíduo está localizada. O console também identifica quais dessas funções estão atribuídas a esse grupo do Active Directory na página Funções e Permissões do console. Em seguida, à medida que a pessoa navega pelas páginas de interface do usuário, guias e janelas do console, esses itens são exibidos como ativados ou desativados de acordo com a função atribuída do grupo do Active Directory da pessoa.

Importante: Isso indica que as funções podem ser atribuídas somente a grupos, e não a contas individuais de usuários do Active Directory. Além disso, significa que você deve evitar atribuir duas funções ao mesmo grupo de domínios do Active Directory. Se você fornecer duas dessas funções para o mesmo grupo do Active Directory e um indivíduo desse grupo fizer login, quando o console identificar que ambas as funções estão atribuídas ao grupo dessa pessoa, à medida que navegarem pelas páginas da interface do usuário, eles poderão ver os itens desativados, pois uma das duas funções impede o acesso a esses itens.

Você aplica cada uma dessas funções em um nível de grupo do Active Directory. Como elas são aplicadas em um nível de grupo em vez de em um nível individual, todas as pessoas no mesmo grupo do Active Directory terão a função que você atribuir a esse grupo do Active Directory usando a página Funções e Permissões do console. Você controla quais indivíduos estão nos seus grupos do Active Directory no seu ambiente do Active Directory. Portanto, ao mover indivíduos no ambiente do Active Directory de um grupo do Active Directory para outro, você deve garantir que eles sejam movidos para um grupo que tenha uma das funções que continua a ser alinhada com a outra função atribuída, ou seja, aquela atribuída à conta deles no My VMware. Ao mover uma pessoa de um grupo do Active Directory para outro, você deve verificar se o outro tipo de função, aquela atribuída à conta do My VMware do indivíduo, precisa ser ajustada para permanecer alinhada com a função desse tipo de função atribuída ao novo grupo do Active Directory do indivíduo.

Um exemplo de uma dessas funções é Help Desk Read Only Administrator. Quando um grupo do Active Directory é atribuído a essa função na página Funções e Permissões, o console permite que indivíduos nesse grupo naveguem até os cartões de usuário dos usuários finais e visualizem as informações, mas não realizem operações nas áreas de trabalho.

Funções que determinam quais ações podem ser invocadas por pessoas que têm essa função atribuída à sua conta do My VMware

Como o outro tipo de função, essas funções são predefinidas no sistema. Essas funções referem-se às contas do My VMware configuradas na área Contas do My VMware da página Configurações gerais. Quando um indivíduo é autenticado no seu ambiente do Horizon Cloud , o console detecta qual função está atribuída à conta do My VMware usada para autenticar a sessão conectada. Em seguida, quando a pessoa tenta invocar uma ação no console, o sistema permite que a chamada da interface de programação de aplicativos seja realizada ou a impede, dependendo da função que está atribuída à conta do My VMware da pessoa que fez login na página Configurações Gerais.

Como resultado, após a autenticação inicial para o console, essa função atribuída frequentemente funciona em conjunto com o outro tipo de função atribuída:

  1. A pessoa navega pelas páginas de interface do usuário, guias e janelas do console e vê elementos da interface do usuário exibidos como ativados ou desativados de acordo com a função atribuída do grupo do Active Directory da pessoa.
  2. Quando essa pessoa clica em um botão que invocaria uma chamada da interface de programação de aplicativos para executar uma ação, se a função atribuída à sua conta do My VMware não permitir que essa ação seja executada, essa chamada não será realizada e a ação não será concluída.
Importante: Considerando que, no console, essa função funciona em conjunto com a função atribuída ao grupo do Active Directory de uma pessoa — a última determina quais elementos do console estão ativos e a primeira determina quais ações podem ser concluídas quando um elemento é clicado —, você deve garantir que a combinação geral das duas funções de um indivíduo específico reflita os resultados desejados para esse indivíduo específico. Caso contrário, poderão ocorrer resultados contraditórios. Quando você mover um indivíduo de um grupo do Active Directory para outro, confirme se a função na conta dele do My VMware está alinhada com a função no novo grupo do Active Directory e ajuste-a conforme necessário. As combinações de boas práticas padrão são descritas nas seções a seguir.

As quatro combinações de funções padrão de boas práticas

Como pode ocorrer comportamento contraditório quando as duas funções de uma pessoa não estão alinhadas com a tabela abaixo, é recomendável que você alinhe as funções concedidas aos indivíduos da sua organização de acordo com a tabela a seguir. O sistema não impede que você atribua uma função a um grupo do Active Directory que seja mais permissivo do que a função atribuída às contas do My VMware dos indivíduos nesse grupo. Se um indivíduo pertencer a vários grupos do Active Directory, certifique-se de que as funções atribuídas a esses grupos na página Funções e Permissões também estejam alinhadas entre si e com a função na conta do My VMware do indivíduo.

Função na conta do My VMware da pessoa na página Configurações Gerais Função no grupo do Active Directory da pessoa na página Funções e Permissões Descrição
Administrador do Cliente Super administrador Acesso completo para visualizar todas as áreas do console e realizar todas as ações nele.
Administrador do Cliente somente Leitura Administrador de demonstração Capacidade de visualizar todas as áreas do console, exibir configurações e selecionar opções para ver opções adicionais e sem a capacidade de invocar ações que alteram o ambiente, como a exclusão de itens. Um exemplo de uso dessa combinação é permitir que as pessoas na sua organização façam login e demonstrem os recursos do sistema para outros, ao mesmo tempo em que evitam que alterações sejam feitas no sistema.
Assistência Técnica do Cliente Administrador do Suporte Técnico Acesso para visualizar as áreas relacionadas ao suporte técnico do console e realizar todas as ações relacionadas ao suporte técnico que o console fornece. O objetivo dessa combinação é que as pessoas trabalhem com os recursos do cartão de usuário para ver o status das sessões de usuário final e realizar operações de solução de problemas nas sessões.
Assistência Técnica do Cliente - Somente Leitura Administrador Somente Leitura do Suporte Técnico Acesso para visualizar as áreas relacionadas ao suporte técnico do console e ver o status das sessões de usuário final no cartão de usuário, impedindo a capacidade de invocar as ações relacionadas ao suporte técnico.

Quando você deseja conceder a uma pessoa acesso somente leitura e a visualização do acesso a todas as áreas do console

Se quiser que um indivíduo possa navegar em todas as páginas da interface do usuário do console, abrir caixas de diálogo e exibir relatórios, mas impedir que ele invoque ações que alterem itens no ambiente do tenant, você deverá garantir que ambas as condições a seguir sejam atendidas:

  • Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Administrator Read-Only à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Administrator Read-Only.
  • Na página Funções e Permissões, atribua a função de Demo Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar até todas as páginas do console, navegar pelas páginas, abrir caixas de diálogo e visualizar relatórios, mas também será impedido de invocar ações que alterem itens no ambiente.

Observação: Como a página Funções e Permissões funciona no nível de grupo do Active Directory, e não em um nível de conta individual, você deve garantir que o grupo do Active Directory tenha as contas individuais apropriadas, de acordo com seus requisitos organizacionais.

Quando você deseja restringir o acesso de uma pessoa aos recursos de suporte técnico do console e que ela também tenha capacidade de executar ações no cartão do usuário

Se quiser que um indivíduo possa fazer login no console e fique restrito a acessar apenas os recursos relacionados ao suporte técnico, e não todas as áreas do console, permitindo também que ele realize ações relacionadas ao suporte técnico, você deve garantir que ambas as condições a seguir sejam atendidas:

  • Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Helpdesk à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Helpdesk.
  • Na página Funções e Permissões, atribua a função de Help Desk Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, além de ver recursos e realizar ações relacionadas ao suporte técnico.

Observação: Como a página Funções e Permissões funciona no nível de grupo do Active Directory, e não em um nível de conta individual, você deve garantir que o grupo do Active Directory tenha as contas individuais apropriadas, de acordo com seus requisitos organizacionais.

Quando você deseja conceder a uma pessoa o acesso somente leitura aos recursos de suporte técnico do console

Se quiser que um indivíduo possa fazer login no console, tenha acesso somente leitura aos recursos relacionados ao suporte técnico e seja impedido de realizar ações relacionadas ao suporte técnico, você deverá garantir que ambas as condições a seguir sejam atendidas:

  • Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Helpdesk Read-Only à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Helpdesk Read-Only.
  • Na página Funções e Permissões, atribua a função de Help Desk Read Only Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console e usar os recursos relacionados ao suporte técnico no modo somente leitura.

Observação: Como a página Funções e Permissões funciona no nível de grupo do Active Directory, e não em um nível de conta individual, você deve garantir que o grupo do Active Directory tenha as contas individuais apropriadas, de acordo com seus requisitos organizacionais.

Quando você deseja que uma pessoa tenha acesso completo ao console, a todas as áreas e ações do console

Se você quiser que um indivíduo tenha acesso total ao console para exibir todas as áreas e invocar ações que alterem itens no seu ambiente de tenant, certifique-se de que ambas as condições a seguir sejam atendidas:

  • Na área Contas do My VMware da página Configurações Gerais, atribua a função de Customer Administrator à conta dele do My VMware. Se a conta dessa pessoa listar uma função diferente, você poderá remover a linha da seção Contas do My VMware e adicioná-la novamente, desta vez especificando a função Customer Administrator.
  • Na página Funções e Permissões, atribua a função de Super Administrator ao grupo do Active Directory desse indivíduo.

Quando ambas as condições forem atendidas, o indivíduo poderá fazer login no console, navegar por todas as páginas do console e invocar ações que alterem itens no ambiente.

Observação: Como a página Funções e Permissões funciona no nível de grupo do Active Directory, e não em um nível de conta individual, você deve garantir que o grupo do Active Directory tenha as contas individuais apropriadas, de acordo com seus requisitos organizacionais.