Workspace ONE Access 服务使用基于角色的访问控制 (Role-Based Access Control, RBAC) 来管理管理员角色。通过基于角色的访问控制,您可以在 Workspace ONE Access 控制台中创建功能角色来控制管理员对任务的访问,并且还可以将这些角色分配给一个或多个用户和组。
Workspace ONE Access 服务中内置了三个预定义的管理员角色。
- 超级管理员。超级管理员角色可以访问和管理 Workspace ONE Access 服务中的所有特性和功能。超级管理员可以将管理员角色分配给用户和组并管理管理员角色。最佳做法是向选定的几位用户授予超级管理员角色。
对于 Workspace ONE Access 云租户,在首次设置租户时,将在“系统目录”的“系统域”中创建一个本地租户管理员用户作为第一个超级管理员。此用户的名称为 admin。在您获取新租户时收到的凭据属于该本地管理员用户。
- 只读管理员。只读管理员角色可以查看 Workspace ONE Access 控制台页面(包括仪表板和报告)中的详细信息,但无法进行更改。所有管理员角色都会自动分配只读角色。您还可以在将用户和组添加到本地目录时为其分配只读角色。
只读管理员角色向用户授予查看 Workspace ONE Access 控制台的管理员访问权限,不过,除非为管理员分配了另一个具有其他访问权限的角色,否则,他们只能查看 Workspace ONE Access 控制台中的内容。
注: 某些 Workspace ONE Access 控制台页面不允许由仅被授予只读角色的管理员查看。只读管理员尝试查看这些页面时,会被重定向到仪表板。 - 目录管理员。目录管理员角色可以管理用户、组和目录。目录管理员可以管理您组织内的企业目录和本地目录的目录集成。目录管理员还可以管理本地用户和组。
您也可以在 Workspace ONE Access 控制台中创建自定义管理员角色以提供对特定类型服务的有限权限。在这些服务中,可以选择特定操作作为可在该角色中执行的操作类型。
如何将管理员角色应用于不同的服务
您可以创建访问控制角色,以在 Workspace ONE Access 控制台中管理六种不同类型的服务。可以将多个角色分配给同一用户和组。当为某个用户分配了多个角色时,所应用的角色的行为是累加的。例如,如果为某个管理员分配了两个角色,一个角色对“身份和访问管理”服务具有写入访问权限且可以管理策略,而另一个角色则不具有该权限,则该管理员有权修改策略。
添加角色时,需选择相应类型的服务,并定义可在该服务中执行的操作。在某些服务中,可以为选定的操作选择管理所有资源还是部分资源。
| 服务类型 | 服务描述 |
|---|---|
| 目录 | 目录是包含可以授权给用户的所有资源的存储库。 “目录”服务可以管理以下类型的操作。
注: 需要成为超级管理员才能在“目录”的“虚拟应用程序集合”页中启动入门流程。启动初始入门流程后,具有“目录”服务的管理员角色可以管理 ThinApp 软件包和桌面应用程序。
|
| 目录管理 | “目录管理”服务可以管理组织或组织中特定目录的以下类型的操作。
重要说明: 创建具有“目录管理”服务的角色时,还必须在该角色中配置“身份和访问管理”服务。
|
| 用户和组 | “用户和组”服务可以管理整个组织或组织中特定域的以下类型的操作。
|
| 授权 | “授权”服务可以为用户分配 Web 应用程序和虚拟应用程序。 可以管理以下类型的授权操作。对于其中每种操作,您都可以配置角色来为用户和组分配组织中的所有资源或特定应用程序。您还可以将应用程序授权给特定域中的用户和组。
|
| 角色管理 | “角色管理”服务可以管理对用户的管理员角色分配。 创建具有“角色管理”服务的角色时,必须配置“用户和组”服务,并选择“管理用户”和“管理组”操作。 分配有此角色的管理员可以将用户和组升级为管理员角色,还可以从用户或组中移除管理员角色。 |
| 身份和访问管理 | “身份和访问管理”服务可从 Workspace ONE Access 控制台管理以下区域。
注: 角色包含“身份和访问管理”服务的管理员可以将
Workspace ONE Access 与 Workspace ONE UEM 集成,并从 Workspace ONE UEM Console 创建目录。
|
