本文档主题介绍了关于分配两种类型角色的最佳实践,当您希望用户登录到 Horizon Universal Console并在您的 Horizon Cloud 环境中工作时,您必须为他们提供这两种类型的角色。其中一种角色用于启用或停用 Horizon Universal Console用户界面中不同部分。另一种角色用于确定分配有此类型角色的人员可以调用的操作。您必须确保提供给特定个人的这两种角色的最终组合能够反映要向其提供的所需结果。

重要说明: 由于其中一类角色用于控制用户可在控制台中看到的内容,而另一类角色用于控制可调用的操作,因此您必须确保特定人员具有的这两种角色的总体组合能够反映要向其提供的所需结果。以下部分介绍了最佳组合。如果您未遵循这些最佳做法,则可能会出现矛盾。例如,如果根据此处介绍的指南,分配角色不匹配,则某个用户可能在登录到控制台后无法执行您希望其执行的操作,或者用户在登录后能够执行您不希望其执行的操作。因此,请务必确保您在 常规设置页面的 My VMware 帐户区域中为某个用户分配的角色与在 角色和权限页面中为该用户的 Active Directory 组所分配的角色相一致。

以下部分介绍了这两类角色,以及可在典型组织中根据标准场景使用的最佳组合做法。

切记:基于云的 Horizon Universal Console 导览中所述,第一代控制台是动态的,反映了适合第一代租户环境的最新配置的功能。对本文档中所述功能的访问取决于以下因素,包括但不限于:
  • 该功能是否取决于仅在最新的第一代 Horizon Cloud 容器清单、Horizon 容器版本或 Horizon Cloud Connector 版本中提供的系统代码。
  • 访问的功能是否处于“有限可用性”状态,如在首次亮相时发行说明中所述。
  • 功能是否需要特定许可或 SKU。

当您看到本文档中提及一项功能,而未在第一代控制台中看到该功能时,请首先查看发行说明,了解该功能的访问权限是否受限,以及您在租户环境中可以请求启用该功能的方式。或者,如果您认为自己有权使用本文档中所述的某项功能,但未在控制台中看到该功能,则可以咨询您的 VMware Horizon Cloud Service 代表,如果您没有代表,则可按照如何在 Customer Connect 中提交支持请求 (VMware KB 2006985) 中所述,向 Horizon Cloud Service 团队提交服务请求 (SR)。

为分配有该角色的 Active Directory 组中的人员启用或停用控制台用户界面不同部分的角色

此类角色是在系统中预定义的,并与 Active Directory 组相关联。当某个用户对 Horizon Cloud 环境进行身份验证时,控制台将检测该用户帐户位于哪个 Active Directory (AD) 组。控制台还会识别在控制台的“角色和权限”页面中为该 AD 组分配了此类角色中的哪个角色。然后,当该用户浏览控制台的各用户界面页面、选项卡和窗口时,根据该用户的 AD 组所分配到的角色,这些项目可能会显示为已启用或已停用。

重要说明: 这表明了,这些角色只能分配给组,不能分配给个人 AD 用户帐户,这也意味着您必须避免将其中两个角色分配给同一个 AD 域组。如果将其中两个角色分配给同一个 AD 域组,则当该组中的某个用户登录时,控制台会发现该用户所在的组分配到了两个角色,导致该用户在浏览用户界面页面时,可能会看到已停用的项目,因为两个角色中有一个角色阻止其访问这些项目。

您可以在 AD 组级别应用其中的每个角色。由于此类角色是在组级别而不是单个用户级别应用的,因此同一 AD 组中的所有用户都将获得您使用控制台的“角色和权限”页面为该 Active Directory 组分配的角色。在 AD 环境中,您可以控制哪些用户属于您的 AD 组。因此,当您在 AD 环境中将用户从一个 AD 组移到另一个 AD 组时,您必须确保其移动到的目标组所具有的角色要与其该组已经具有的角色(即分配给其 My VMware 帐户的角色)相一致。当您将某个用户从一个 AD 组移到另一个 AD 组时,您必须验证是否需要对该用户所具有的角色(即分配给其 My VMware 帐户的角色)进行调整,以便与为该用户所在的新 AD 组分配的角色保持一致。

例如,Help Desk Read Only Administrator 角色便是此类角色中的一个角色。当在“角色和权限”页面上为某个 AD 组分配该角色后,控制台将允许该组中的用户导航到最终用户的用户卡并查看信息,但不允许他们在桌面上执行操作。

确定为其 My VMware 帐户分配了此类角色的人员可以调用哪些操作的角色

与第一类角色一样,此类角色也是在系统中预定义的。此类角色与在“常规设置”页面的 My VMware 帐户区域中配置的 My VMware 帐户相关。当某个用户对 Horizon Cloud 环境进行身份验证时,控制台将检测为用于对登录会话进行身份验证的 My VMware 帐户分配了哪个角色。然后,当该用户尝试在控制台中调用某个操作时,系统将根据在“常规设置”页面中分配给该已登录用户的 My VMware 帐户的角色,决定是允许 API 调用执行还是阻止 API 调用。

因此,在对控制台进行初始身份验证后,此分配的角色通常与其分配到的另一类角色协同工作:

  1. 当该用户浏览控制台的用户界面页面、选项卡和窗口时,根据该用户的 AD 组所分配到的角色,这些用户界面元素将显示为已启用或已停用。
  2. 当该用户单击某个按钮发起 API 调用以执行某项操作时,如果分配给其 My VMware 帐户的角色不允许执行该操作,则 API 调用将不会执行,并且该操作也将无法完成。
重要说明: 考虑到在控制台中,此角色与分配给用户的 AD 组的角色协同工作(后者决定哪些控制台元素处于活动状态,而前者决定在单击某个元素后允许完成哪些操作),因此您必须确保特定人员具有的这两种角色的总体组合能够反映要向其提供的所需结果。否则,可能会产生相矛盾的结果。将某个用户从一个 AD 组移到另一个 AD 组时,请确认其 My VMware 帐户中的角色与其所在的新 AD 组的角色相一致,并可根据需要进行调整。以下部分介绍了标准的最佳组合。

五种标准的最佳角色组合

如果用户所具有的两类角色未按照下表所述方式保持一致,则可能会出现自相矛盾的行为,因此建议您根据下表中的组合方式,确保为组织用户授予的角色保持一致。系统允许您为 AD 组分配比为该组中单个用户的 My VMware 帐户分配的角色具有更高权限宽容度的角色。如果某个用户同时属于多个 AD 组,请确保在“角色和权限”页面上为这些组分配的角色不仅彼此相一致,而且还与该用户的 My VMware 帐户所分配到的角色相一致。

“常规设置”页面中用户的 My VMware 帐户所具有的角色 “角色和权限”页面中用户的 Active Directory 组所具有的角色 描述
客户管理员 超级管理员 完全访问权限,能够查看控制台的所有区域并在控制台中执行所有操作。
客户分配管理员 分配管理员 能够查看控制台的所有区域,并执行与修改和管理最终用户分配和场相关的操作。
客户管理员只读 演示管理员 能够查看控制台的所有区域、查看设置,并选择各个选项以查看更多选择内容,但不能调用会导致环境发生更改的操作,如删除项目。此组合的一个用途示例是:允许组织中的用户登录并向其他人展示系统的功能,且同时避免对系统进行更改。
客户技术支持 技术支持部门管理员 有权查看控制台中与技术支持相关的区域,并执行控制台提供的所有与技术支持相关的操作。此组合的目的在于使用户能够使用用户卡功能查看最终用户会话的状态并对会话执行故障排除操作。
客户技术支持只读 技术支持部门只读管理员 有权查看控制台中与技术支持相关的区域,并在用户卡中查看最终用户会话的状态,但不能调用与技术支持相关的操作。

如果想要将用户限制为仅具有对控制台各区域的只读访问权限,即对控制台的查看访问权限

如果希望某个用户能够浏览控制台中的所有用户界面页面、打开对话框并查看报告,同时无法调用可导致您的租户环境发生更改的操作,则必须确保同时满足以下两个条件:

  • 在“常规设置”页面的 My VMware 帐户区域中,将 Customer Administrator Read-Only 角色分配给该用户的 My VMware 帐户。如果该用户帐户列出的角色不是此角色,您可以先将该帐户所在的行从 My VMware 帐户部分中移除,然后再重新添加,并在添加时指定 Customer Administrator Read-Only 角色。
  • 在“角色和权限”页面中,将 Demo Administrator 角色分配给该用户所在的 Active Directory 组。

如果同时满足这两个条件,那么该用户将能够登录到控制台、导航到控制台的所有页面、浏览页面、打开对话框并查看报告,但却不能调用可导致环境发生更改的操作。

注: 由于“角色和权限”页面在 AD 组级别运行,而不是在单个帐户级别运行,因此您必须确保 AD 组中具有相应的个人帐户,这具体取决于您的组织要求。

如果想要让用户仅具有对控制台中技术支持功能的访问权限,并能在用户卡中执行操作

如果希望某个用户能够登录到控制台,但只能访问控制台中与技术支持相关的功能,而不是访问控制台的所有区域,同时还允许该用户执行与技术支持相关的操作,您必须确保同时满足以下两个条件:

  • 在“常规设置”页面的 My VMware 帐户区域中,将 Customer Helpdesk 角色分配给该用户的 My VMware 帐户。如果该用户帐户列出的角色不是此角色,您可以先将该帐户所在的行从 My VMware 帐户部分中移除,然后再重新添加,并在添加时指定 Customer Helpdesk 角色。
  • 在“角色和权限”页面中,将 Help Desk Administrator 角色分配给该用户所在的 Active Directory 组。

如果同时满足这两个条件,那么该用户将能够登录到控制台、查看与技术支持相关的功能,并执行与技术支持相关的操作。

注: 由于“角色和权限”页面在 AD 组级别运行,而不是在单个帐户级别运行,因此您必须确保 AD 组中具有相应的个人帐户,这具体取决于您的组织要求。

如果想要将用户限制为仅具有对控制台技术支持功能的只读访问权限

如果希望某个用户能够登录到控制台,但只具有对技术支持相关功能的只读访问权限,并且希望禁止其执行任何与技术支持相关的操作,您必须确保同时满足以下两个条件:

  • 在“常规设置”页面的 My VMware 帐户区域中,将 Customer Helpdesk Read-Only 角色分配给该用户的 My VMware 帐户。如果该用户帐户列出的角色不是此角色,您可以先将该帐户所在的行从 My VMware 帐户部分中移除,然后再重新添加,并在添加时指定 Customer Helpdesk Read-Only 角色。
  • 在“角色和权限”页面中,将 Help Desk Read Only Administrator 角色分配给该用户所在的 Active Directory 组。

如果同时满足这两个条件,那么该用户将能够登录到控制台,并在仅具有只读权限的情况下使用与技术支持相关的功能。

注: 由于“角色和权限”页面在 AD 组级别运行,而不是在单个帐户级别运行,因此您必须确保 AD 组中具有相应的个人帐户,这具体取决于您的组织要求。

如果想要将用户限制为仅具有对控制台的分配和场相关功能的访问权限

如果希望单个用户能够访问控制台以执行与管理最终用户分配和场相关的操作,以及对控制台的所有其他区域具有只读访问权限,请确保同时满足以下两个条件:

  • 在“常规设置”页面的 My VMware 帐户区域中,将 Customer Assignment Administrator 角色分配给该用户的 My VMware 帐户。如果该用户帐户列出的角色不是此角色,您可以先将该帐户所在的行从 My VMware 帐户部分中移除,然后再重新添加,并在添加时指定 Customer Assignment Administrator 角色。
  • 在“角色和权限”页面中,将 Assignment Administrator 角色分配给该用户所在的 Active Directory 组。

如果同时满足这两个条件,那么该用户将能够登录到控制台、导航到控制台的所有页面并查看它们,并且调用可创建、修改或删除最终用户分配和场的操作。单个用户还可以执行与管理分配和场相关的操作,例如虚拟机配置、电源管理和远程应用程序配置。

注: 由于“角色和权限”页面在 AD 组级别运行,而不是在单个帐户级别运行,因此您必须确保 AD 组中具有相应的个人帐户,这具体取决于您的组织要求。

如果希望用户具有对控制台的完全访问权限,即能够访问所有区域并执行所有操作

如果希望某个用户拥有对控制台的完全访问权限,以便其能够查看所有区域,并调用可导致租户环境发生更改的操作,请确保同时满足以下两个条件:

  • 在“常规设置”页面的 My VMware 帐户区域中,将 Customer Administrator 角色分配给该用户的 My VMware 帐户。如果该用户帐户列出的角色不是此角色,您可以先将该帐户所在的行从 My VMware 帐户部分中移除,然后再重新添加,并在添加时指定 Customer Administrator 角色。
  • 在“角色和权限”页面中,将 Super Administrator 角色分配给该用户所在的 Active Directory 组。

如果同时满足这两个条件,那么该用户将能够登录到控制台、导航到控制台的所有页面,并调用可导致环境发生更改的操作。

注: 由于“角色和权限”页面在 AD 组级别运行,而不是在单个帐户级别运行,因此您必须确保 AD 组中具有相应的个人帐户,这具体取决于您的组织要求。