在对基于云的管理控制台进行身份验证的过程中,对初始登录屏幕进行身份验证后,贵组织中的人员将根据您在环境中注册的 Active Directory 域,在第二个登录屏幕中输入其 Active Directory 用户帐户凭据。系统提供了可分配给各 Active Directory 组的预定义角色。这些与 Active Directory 域相关的角色可控制在已登录人员浏览控制台时,控制台的哪些区域处于可见且已启用状态,以及哪些区域处于可见但已停用状态。您必须将相应角色分配给组织中的相应 Active Directory 组,以便该组中的用户可以使用控制台执行所需的工作活动。

切记:基于云的 Horizon Universal Console 导览中所述,第一代控制台是动态的,反映了适合第一代租户环境的最新配置的功能。对本文档中所述功能的访问取决于以下因素,包括但不限于:
  • 该功能是否取决于仅在最新的第一代 Horizon Cloud 容器清单、Horizon 容器版本或 Horizon Cloud Connector 版本中提供的系统代码。
  • 访问的功能是否处于“有限可用性”状态,如在首次亮相时发行说明中所述。
  • 功能是否需要特定许可或 SKU。

当您看到本文档中提及一项功能,而未在第一代控制台中看到该功能时,请首先查看发行说明,了解该功能的访问权限是否受限,以及您在租户环境中可以请求启用该功能的方式。或者,如果您认为自己有权使用本文档中所述的某项功能,但未在控制台中看到该功能,则可以咨询您的 VMware Horizon Cloud Service 代表,如果您没有代表,则可按照如何在 Customer Connect 中提交支持请求 (VMware KB 2006985) 中所述,向 Horizon Cloud Service 团队提交服务请求 (SR)。

控制台将使用两种类型的角色来确定用户经过身份验证的会话允许该用户在控制台中查看哪些区域,以及用户能够对其可查看的控制台区域执行哪些操作,您使用此处所述步骤分配的角色即是这两种角色之一。

标准登录工作流中,控制台的第一个登录屏幕使用 VMware Customer Connect 帐户,这些帐户与使用“常规设置”页面的角色相关联。这些帐户过去称为 My VMware 帐户。

第二个登录屏幕使用 Active Directory (AD) 凭据,这些凭据与使用“角色和权限”页面的角色相关联。这些与 AD 域相关的角色决定了控制台中各功能和元素的可见性。此类角色还决定着在人员浏览控制台时哪些用户界面元素可能会显示为已停用。

例如,AD 组中分配了分配管理员角色的人员可以执行与管理最终用户分配和场相关的操作,但无法执行其他类型的操作。AD 组中具有技术支持部门只读管理员角色的人员可以导航到最终用户的用户卡并查看相关信息,但无法对用户会话执行故障排除操作。相比之下,AD 组中具有技术支持部门管理员角色的人员可以导航到用户卡并查看相关信息,还可以对用户会话执行故障排除操作。对于技术支持部门管理员角色,您还可以限制 AD 组可执行的故障排除操作的范围。

这些与 AD 域相关的角色将与您组织中的人员在使用标准登录工作流登录时所用的 VMware Customer Connect 帐户中的角色结合使用。因此,您必须确保两种角色的总体组合能够继续反映要向特定个人提供的所需结果,即使该人员更换了职位和移到了组织中的其他 AD 组,也要确保这一点。有关这两类角色的详细信息以及最佳的角色组合方式,请参阅关于为要使用 Horizon Universal Console在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践

注: Horizon Universal Console 中不会显示使用 Horizon Cloud Service 平台通过 VMware Cloud Services ( cloud.vmware.com) 进行的角色更改。您必须直接在 Horizon Universal Console中进行角色更改,如下所述。
小心: 请记住,超级管理员角色可控制您的哪些 AD 用户帐户可以登录到 Horizon Cloud 租户帐户并在控制台中执行管理操作,包括执行此处介绍的将角色分配给 AD 组的步骤。如果您只为一个 AD 组分配了超级管理员角色,那么在为其他管理员组添加此超级管理员角色之前,请不要从 Active Directory 系统中移除该管理员组,或更改 Active Directory 系统中显示的该组的 GUID。如果您从 Active Directory 系统中移除了该组或更改了其在 Active Directory 系统中显示的 GUID,所做更改将不会传递到 Horizon Cloud 控制平面,从而 Horizon Cloud 会错误地认为该 AD 组具有超级管理员角色。如果该组是分配给超级管理员角色的唯一组,则可能会导致之前可通过超级管理员访问级别登录的所有 AD 帐户都将无法再登录并执行管理操作,包括执行将角色分配给 AD 组以重新建立一组具有超级管理员访问权限的 AD 帐户的操作。域绑定帐户始终分配有超级管理员角色。如果您已移除分配给超级管理员角色的唯一 AD 组,并且域绑定帐户不在该组中,您可以尝试使用域绑定帐户凭据登录到控制台,然后执行这些步骤以将超级管理员角色分配给新的 AD 组。但是,如果您无法使用域绑定帐户成功登录,则必须与 VMware 技术支持团队联系,以协助您恢复对租户帐户的管理访问权限。
重要说明: 只能将这些 Horizon Cloud 角色分配给组。您无法为每个角色选择单个 Active Directory 用户帐户。

这表明了,角色只能分配给组,不能分配给个人帐户,这意味着您必须避免将两个角色分配给同一个 AD 组。超级管理员角色旨在授予在控制台中执行所有管理操作的所有权限,而演示管理员角色是一个只读角色。如果将这两个角色都分配给同一个 AD 组,则该组中的所有用户都不会获得超级管理员角色的权限。其操作在控制台中受限制,这可能导致无法全面管理您的环境。

默认情况下,将提供以下预定义角色。预定义角色无法修改。

表 1. Horizon Cloud 基于角色的访问控制组
角色 说明
超级管理员

强制角色,您必须至少将其分配给 AD 域中的一个组,也可选择分配给其他组。此角色将授予访问控制台所有区域并在控制台中执行管理操作所需的权限。

主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。

注: 如果您的容器群中有任何容器运行的清单版本低于 1600.0,则必须确保域加入帐户位于您向其授予超级管理员角色的某个组中。有关详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户
分配管理员

如果您的租户环境启用了此功能,则可以选择将此角色分配给一个或多个组。具有此角色的 AD 组有权访问控制台,以便创建、修改和删除最终用户分配和场。具有此角色的组还可以执行与管理分配和场相关的操作,例如虚拟机配置、电源管理和远程应用程序配置。

技术支持部门管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供控制台的访问权限,以便具有该角色的 AD 组可以使用用户卡功能执行以下操作:
  • 查看最终用户会话的状态。
  • 对会话执行故障排除操作。

默认情况下,具有此角色的 AD 组有权对控制台中列出的任何分配或场关联的会话执行故障排除操作。如果您的租户环境启用了此功能,也可以选择修改组的权限,以将该组的故障排除操作的对象范围限制为仅与某些分配和场关联的会话。要修改组的权限范围,请单击该组的编辑图标。

注: 如果在 AD 组的权限范围内包括分配或场,并在稍后尝试删除该分配或场,则会立即将其从该组的权限范围内移除。如果删除过程失败,并且分配或场仍然存在,则必须手动将其重新添加到权限范围内,以保留组对其的访问权限。
技术支持部门只读管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供控制台的访问权限,以便具有该角色的 AD 组可以使用用户卡功能查看最终用户会话的状态。
演示管理员 您可以选择将该角色分配给一个或多个组。当与 VMware Customer Connect 帐户上的客户管理员只读角色配对后,该组中的用户可以在控制台中查看设置和选择各个选项以查看更多选项,但所做的选择不会更改配置设置。

前提条件

  • 在将角色分配给现有 Active Directory 组之前,请查看 Active Directory 组中的用户帐户成员身份以确保用户帐户仅收到其中的一个 Horizon Cloud 角色。如果需要,请创建特定的 Active Directory 组。由于这些角色是在 Active Directory 组级别分配的,因此,如果用户的 Active Directory 帐户属于两个 Active Directory 组,并且为每个组分配了不同的角色,则可能会出现一些意外的结果。控制台功能是按照以下优先顺序显示的:
    1. 超级管理员
    2. 分配管理员
    3. 技术支持部门管理员
    4. 演示管理员
    5. 技术支持部门只读管理员

    由于采用该优先顺序,如果用户的 Active Directory 帐户属于 Active Directory 组 ADGroup1 和 ADGroup2,为 ADGroup1 分配超级管理员角色,并为 ADGroup2 分配技术支持部门只读管理员角色,则控制台根据超级管理员角色显示所有功能,而不是根据另一个角色显示一部分功能,因为超级管理员角色优先。

  • 此外,还要查看分配给组成员的 VMware Customer Connect 帐户的角色,以确保这些角色与您为其 Active Directory 组分配的角色相一致。请按照关于为要使用 Horizon Universal Console在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践中介绍的最佳组合方式操作。
重要说明: 系统支持在所有 Horizon Cloud 预定义角色中最多总共分配 64 个唯一 Active Directory 组。

过程

  1. 在控制台中,导航到设置 > 角色和权限
  2. 选择其中一个预定义角色,然后单击编辑
  3. 使用搜索框搜索 Active Directory 组并将其选定。
    您必须在搜索框中键入至少三个字符才会显示结果。
    该组会被添加到一组选定的组中。
  4. 单击保存
    重要说明: 如果保存操作会导致超过系统支持的可在所有角色中分配的最大 Active Directory 组数,则系统会阻止将选定的组保存到该角色。本文档主题的“必备条件”部分中说明了支持的最大数量。

下一步做什么

确保域组中的用户在其 VMware Customer Connect 帐户中具有适当的角色。请参阅关于为要使用 Horizon Universal Console在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践为组织中的人员授予管理角色以使用 Horizon Universal Console登录到 Horizon Cloud 租户环境并在其中执行操作