可以在 VMware Identity Manager 服务器中授予以下类型的角色

三个预定义的管理员角色包括:

  • 超级管理员角色,该角色可以访问和管理 VMware Identity Manager 服务中的所有特性和功能。

    第一个超级管理员是在您首次设置该服务时 VMware Identity Manager 创建的本地管理员用户。该服务会在“系统目录”的“系统域”中创建此管理员。您可以在“系统目录”中为其他用户分配超级管理员角色。最佳做法是向选定的几位用户授予超级管理员角色。

  • 只读管理员角色,该角色可以查看管理控制台页面中的详细信息(包括仪表板和报告),但无法进行更改。所有管理员角色都会自动分配只读角色。
  • 目录管理员角色,该角色可以管理用户、组和目录。目录管理员可以管理您组织内的企业目录和本地目录的目录集成。目录管理员还可以管理本地用户和组。
图 1. VMware Identity Manager 管理控制台中的“角色”选项卡

您可以将这些预定义的角色分配给服务中的用户和组。您无法修改或删除这些角色。

您也可以在管理控制台中创建自定义管理员角色以提供对特定服务的有限权限。在该服务中,可以选择特定操作作为可在该角色中执行的操作类型。

可以将多个角色分配给同一用户和组。当为某个用户分配了多个角色时,所应用的角色的行为是累加的。例如,如果为某个管理员分配了两个角色,一个角色具有策略管理写入访问权限,而另一个角色则不具有该权限,则该管理员有权修改策略。

可以在管理控制台中设置基于角色的访问控制来管理以下服务。

服务类型

服务描述

目录

目录是包含可以授权给用户的所有 Workspace ONE 资源的存储库。

“目录”服务可以管理以下类型的操作。

  • Web 应用程序
  • 应用程序源
  • 第三方应用程序
  • ThinApp 虚拟应用程序集合
  • 包含 Horizon、Horizon Cloud 和基于 Citrix 的应用程序的虚拟应用程序集合。
注: 需要成为超级管理员才能在“目录”的“虚拟应用程序集合”页中启动入门流程。启动初始入门流程后,具有“目录”服务的管理员角色可以管理 ThinApp 软件包和桌面应用程序。请参阅《在 VMware Identity Manager 3.2 中设置资源》指南中的“使用虚拟应用程序集合进行桌面集成”。
目录管理

“目录管理”服务可以管理组织或组织中特定目录的以下类型的操作。

  • 企业目录。管理员可以在该服务中添加、编辑和删除目录。编辑目录涉及管理目录设置,其中包括同步设置。
  • 本地目录。管理员可以创建、编辑和删除本地目录。编辑目录涉及管理设置,以及创建、编辑和删除本地用户和组。

当角色中包含“目录管理”服务时,还必须在该角色中配置“身份和访问管理”服务。

用户和组

“用户和组”服务可以管理整个组织或组织中特定域的以下类型的操作。

  • 用户
  • 本地用户的密码重置
授权

“授权”服务可以为用户分配 Web 应用程序和虚拟应用程序。

可以管理以下类型的授权操作。对于其中每种操作,您都可以配置角色来为用户和组分配组织中的所有资源或特定应用程序。您还可以将应用程序授权给特定域中的用户和组。

  • Web 授权
  • 第三方授权
角色管理

“角色管理”服务可以管理对用户的管理员角色分配。

创建具有“角色管理”服务的角色时,必须配置“用户和组”服务,并选择“管理用户”和“管理组”操作。

分配有此角色的管理员可以将用户和组升级为管理员角色,还可以从用户或组中移除管理员角色。

身份和访问管理

“身份和访问管理”服务可以管理“身份和访问管理”选项卡中的设置。要管理目录设置,还需要“目录管理”服务。

注: 具有“身份和访问管理”角色的管理员可以将 VMware Identity Manager 与 AirWatch 相集成,并从 AirWatch 创建目录。

添加角色时,需选择相应的服务,并定义可在该服务中执行的操作。在某些服务中,可以为选定的操作选择管理所有资源还是部分资源。

管理只读访问权限

只读访问权限会授予分配给管理员的每个角色。您也可以从只读管理员角色页中为用户和组分配只读角色。

只读管理员角色向用户授予查看管理控制台的管理员访问权限,不过,除非为管理员分配了另一个具有其他访问权限的角色,否则,他们只能查看管理控制台中的内容。

当您将只读角色作为单独的角色进行分配时,可以从只读管理员角色的“分配”页或者从用户或组配置文件页中移除该角色。