In diesem Dokumentationsthema werden die Best Practices für die beiden Rollentypen beschrieben, die Sie den Benutzern zuweisen müssen, wenn sie sich bei der Horizon Cloud-Verwaltungskonsole anmelden und in Ihrer Horizon Cloud-Umgebung arbeiten sollen. Ein Rollentyp wird verwendet, um verschiedene Teile der Horizon Cloud-Verwaltungskonsole-Benutzeroberfläche selbst zu aktivieren oder zu deaktivieren. Der andere Rollentyp wird verwendet, um zu bestimmen, welche Aktionen von Personen aufgerufen werden können, denen die Rolle zugewiesen ist. Sie müssen sicherstellen, dass die finale Kombination der beiden Rollen, die Sie einer bestimmten Einzelperson zuweisen, das gewünschte Ergebnis für diese Person widerspiegelt.

Wichtig: Da ein Rollentyp regelt, was der Benutzer in der Konsole sehen kann und der andere Rollentyp den Aufruf von Aktionen regelt, müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen einer bestimmten Einzelperson die gewünschten Ergebnisse für die jeweilige Person widerspiegelt. Die Best Practice-Kombinationen werden in den folgenden Abschnitten beschrieben. Wenn Sie diese Best Practices nicht befolgen, können Widersprüche auftreten. Wenn z. B. die zugewiesenen Rollen nicht gemäß der hier beschriebenen Anleitung übereinstimmen, kann sich eine Einzelperson möglicherweise bei der Konsole anmelden und die Aktionen, die sie durchführen soll, nicht ausführen oder die Einzelperson kann sich anmelden und Aktionen ausführen, die sie nicht ausführen soll. Aus diesem Grund ist es wichtig, dass Sie sicherstellen, dass Sie die Rolle der Einzelperson im Bereich My VMware-Konten der Seite Allgemeine Einstellungen der Rolle zuweisen, die der Active Directory-Gruppe dieser Einzelperson auf der Seite Rollen und Berechtigungen zugewiesen ist.

In den folgenden Abschnitten werden die beiden Rollentypen und die Best Practice-Kombinationen beschrieben, die basierend auf den Standardszenarien in typischen Organisationen verwendet werden können.

Rollen mit Aktivierung oder Deaktivierung der verschiedenen Teile der Konsolenbenutzeroberfläche für Personen in der Active Directory-Gruppe mit dieser zugewiesenen Rolle

Diese Rollen sind im System vordefiniert und beziehen sich auf Ihre Active Directory-Gruppen. Wenn sich eine Einzelperson für Ihre Horizon Cloud-Umgebung authentifiziert, erkennt die Konsole, in welcher Active Directory-Gruppe sich das Konto dieser Einzelperson befindet. Die Konsole erkennt außerdem, welche dieser Rollen dieser Active Directory-Gruppe auf der Seite „Rollen und Berechtigungen“ der Konsole zugewiesen ist. Wenn die Person dann durch die Seiten, Registerkarten und Fenster der Konsolenbenutzeroberfläche navigiert, werden diese Elemente gemäß der zugewiesenen Rolle der Active Directory-Gruppe der Person als aktiviert oder deaktiviert angezeigt.

Wichtig: Die Tatsache, dass diese Rollen nur Gruppen und keinen einzelnen Active Directory-Benutzerkonten zugewiesen werden können, bedeutet auch, dass Sie es vermeiden müssen, derselben Active Directory-Domänengruppe zwei dieser Rollen zuzuweisen. Wenn Sie zwei dieser Rollen derselben Active Directory-Gruppe zuweisen, sich eine Einzelperson dieser Gruppe anmeldet und die Konsole feststellt, dass beide Rollen der Gruppe dieser Person zugewiesen sind, werden den Einzelpersonen beim Navigieren durch die Seiten der Benutzeroberfläche möglicherweise deaktivierte Elemente angezeigt, da eine der beiden Rollen den Zugriff auf diese Elemente verhindert.

Sie wenden jede dieser Rollen auf Active Directory-Gruppenebene an. Da sie auf Gruppenebene anstelle einer einzelnen Ebene angewendet werden, erhalten alle Einzelpersonen in derselben Active Directory-Gruppe die Rolle, die Sie dieser Active Directory-Gruppe auf der Seite „Rollen und Berechtigungen“ der Konsole zuweisen. Sie legen fest, welche Einzelpersonen sich in Ihren Active Directory-Gruppen in Ihrer Active Directory-Umgebung befinden. Wenn Sie also Einzelpersonen in Ihrer Active Directory-Umgebung von einer Active Directory-Gruppe in eine andere verschieben, müssen Sie sicherstellen, dass sie in eine Gruppe verschoben werden, die eine der Rollen aufweist, die weiterhin mit ihrer anderen zugewiesenen Rolle konform ist (die dem My VMware-Konto zugewiesen ist). Wenn Sie eine Einzelperson von einer Active Directory-Gruppe in eine andere verschieben, müssen Sie überprüfen, ob der andere Rollentyp (derjenige, der dem My VMware-Konto des jeweiligen Benutzers zugewiesen ist) angepasst werden muss, um der Rolle dieses Rollentyps zu entsprechen, die der neuen Active Directory-Gruppe der Einzelperson zugewiesen ist.

Ein Beispiel für eine dieser Rollen ist die Rolle Help Desk Read Only Administrator. Wenn einer Active Directory-Gruppe diese Rolle auf der Seite „Rollen und Berechtigungen“ zugewiesen wird, ermöglicht die Konsole den Einzelpersonen in dieser Gruppe zwar das Navigieren zu den Benutzerkarten für Endbenutzer und das Anzeigen der Informationen, jedoch nicht das Ausführen von Vorgängen auf den Desktops.

Rollen zur Bestimmung der Aktionen, die von Personen aufgerufen werden können, deren My VMware-Konto diese Rolle zugewiesen ist

Wie bei dem anderen Rollentyp auch sind diese Rollen im System vordefiniert. Diese Rollen beziehen sich auf die My VMware Konten, die auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten konfiguriert sind. Wenn sich eine Einzelperson für Ihre Horizon Cloud-Umgebung authentifiziert, erkennt die Konsole, welche Rolle dem My VMware-Konto zugewiesen ist, das zur Authentifizierung der angemeldeten Sitzung verwendet wurde. Wenn die Person dann versucht, eine Aktion in der Konsole aufzurufen, lässt das System den API-Aufruf durch oder es verhindert den API-Aufruf. Dies ist von der Rolle abhängig, die dem My VMware-Konto der angemeldeten Person auf der Seite „Allgemeine Einstellungen“ zugewiesen ist.

Folglich kann diese zugewiesene Rolle nach der anfänglichen Authentifizierung für die Konsole häufig zusammen mit dem anderen Typ der zugewiesenen Rolle verwendet werden:

  1. Die Person navigiert durch die Seiten, Registerkarten und Fenster der Konsolenbenutzeroberfläche und die Elemente der Benutzeroberfläche werden je nach zugewiesener Rolle der Active Directory-Gruppe der Person als aktiviert oder deaktiviert angezeigt.
  2. Wenn diese Person auf eine Schaltfläche klickt, die einen API-Aufruf zum Ausführen einer Aktion auslöst und die ihrem My VMware-Konto zugewiesene Rolle diese Aktion nicht zulässt, wird der API-Aufruf nicht durchgelassen und die Aktion wird nicht abgeschlossen.
Wichtig: Da diese Rolle in der Konsole zusammen mit der Rolle verwendet wird, die der Active Directory-Gruppe einer Person zugewiesen ist (wobei letztere bestimmt, welche Konsolenelemente aktiv sind, und erstere festlegt, welche Aktionen beim Klicken auf ein Element ausgeführt werden dürfen), müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen, die eine bestimmte Einzelperson hat, die gewünschten Ergebnisse für diese Einzelperson widerspiegelt. Andernfalls können widersprüchliche Ergebnisse eintreten. Wenn Sie eine Einzelperson von einer Active Directory-Gruppe in eine andere verschieben, bestätigen Sie, dass die Rolle in ihrem My VMware-Konto auf die Rolle in ihrer neuen Active Directory-Group ausgerichtet ist, und passen Sie sie nach Bedarf an. Die Best Practice-Standardkombinationen werden in den folgenden Abschnitten beschrieben.

Die vier Best Practice-Standardkombinationen

Da ein widersprüchliches Verhalten auftreten kann, wenn die beiden Rollen einer Person nicht gemäß der nachfolgenden Tabelle ausgerichtet sind, wird empfohlen, die Rollen zuzuweisen, die den Einzelpersonen Ihrer Organisation gemäß der folgenden Tabelle erteilt werden. Das System hindert Sie nicht daran, einer Active Directory-Group eine Rolle zuzuweisen, die toleranter ist als die Rolle, die den My VMware-Konten der Einzelpersonen in dieser Gruppe zugewiesen ist. Wenn eine Einzelperson zu mehreren Active Directory-Gruppen gehört, stellen Sie sicher, dass die Rollen, die diesen Gruppen auf der Seite „Rollen und Berechtigungen“ zugewiesen sind, auch aufeinander und mit der Rolle für das My VMware-Konto der Einzelbenutzer ausgerichtet sind.

Rolle für das My VMware-Konto der Person auf der Seite „Allgemeine Einstellungen“ Rolle für die Active Directory-Gruppe der Person auf der Seite „Rollen und Berechtigungen“ Beschreibung
Kundenadministrator Superadministrator Vollständiger Zugriff zum Anzeigen aller Bereiche der Konsole und zum Ausführen aller Aktionen in der Konsole.
Kundenadministrator schreibgeschützt Demo-Administrator Möglichkeit, alle Bereiche der Konsole anzuzeigen, Einstellungen anzuzeigen und Optionen auszuwählen, um zusätzliche Auswahlmöglichkeiten anzuzeigen und ohne die Möglichkeit, Aktionen aufzurufen, die die Umgebung ändern, z. B. das Löschen von Elementen. Ein Beispiel für die Verwendung dieser Kombination besteht darin, dass sich Personen in Ihrer Organisation anmelden und die Funktionen des Systems für andere Benutzer demonstrieren können, wobei Änderungen am System vermieden werden.
Kunden-Helpdesk Helpdesk-Administrator Zugriff zum Anzeigen der Helpdesk-bezogenen Bereiche der Konsole und zum Ausführen aller Helpdesk-bezogenen Aktionen, die von der Konsole bereitgestellt werden. Der Zweck dieser Kombination besteht darin, dass Personen mit den Benutzerkartenfunktionen arbeiten, um den Status der Endbenutzersitzungen anzuzeigen und Fehlerbehebungsvorgänge für die Sitzungen durchzuführen.
Kunden-Nur-Lese-Helpdesk Nur-Lese-Helpdesk-Administrator Zugriff zum Anzeigen der Helpdesk-bezogenen Bereiche der Konsole und des Status der Endbenutzersitzungen in der Benutzerkarte, während Aufrufe der Helpdesk-bezogenen Aktionen verhindert werden.

Wenn Sie eine Person auf den schreibgeschützten Anzeigezugriff auf die Konsole für alle Konsolenbereiche beschränken möchten

Wenn Sie möchten, dass eine Einzelperson alle Benutzerschnittstellenseiten der Konsole durchsuchen, Dialogfelder öffnen und Berichte anzeigen kann, und Sie verhindern möchten, dass sie Aktionen aufruft, durch die Änderungen in Ihrer Mandantenumgebung erfolgen, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Administrator Read-Only dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Administrator Read-Only an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Demo Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, zu allen Seiten der Konsole navigieren, die Seiten durchsuchen, Dialogfelder öffnen und Berichte anzeigen. Zudem kann verhindert werden, dass sie Aktionen aufruft, durch die Änderungen an der Umgebung vorgenommen werden.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der Active Directory-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die Active Directory-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn Sie eine Person auf den Zugriff auf die Helpdesk-Funktionen der Konsole beschränken möchten und sie auch Aktionen in der Benutzerkarte ausführen können soll

Wenn Sie möchten, dass sich eine Einzelperson bei der Konsole anmelden und nur auf die Helpdesk-bezogenen Funktionen und nicht auf alle Bereiche der Konsole zugreifen kann, während sie auch Helpdesk-bezogene Aktionen ausführen können soll, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Helpdesk dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Helpdesk an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Help Desk Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, Helpdesk-bezogene Funktionen anzeigen und Helpdesk-bezogene Aktionen ausführen.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der Active Directory-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die Active Directory-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn Sie eine Person auf den schreibgeschützten Zugriff für die Helpdesk-Funktionen der Konsole beschränken möchten

Wenn Sie möchten, dass sich eine Einzelperson bei der Konsole anmelden, auf schreibgeschützter Basis nur auf die Helpdesk-bezogenen Funktionen zugreifen und keine Helpdesk-bezogene Aktionen ausführen kann, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Helpdesk Read-Only dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Helpdesk Read-Only an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Help Desk Read Only Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden und Helpdesk-bezogene Funktionen auf schreibgeschützter Basis ausführen.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der Active Directory-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die Active Directory-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn eine Person vollständigen Zugriff auf die Konsole für alle Bereiche und Aktionen der Konsole haben soll

Wenn Sie möchten, dass eine Einzelperson vollständigen Zugriff auf die Konsole hat, um alle zugehörigen Bereiche anzuzeigen und Aktionen auszuführen, durch die Änderungen an Ihrer Mandantenumgebung vorgenommen werden, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Administrator dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Administrator an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Super Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, zu allen Seiten der Konsole navigieren und Aktionen aufrufen, durch die Änderungen an der Umgebung vorgenommen werden.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der Active Directory-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die Active Directory-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.