Workspace ONE Access-Dienst verwendet rollenbasierte Zugriffssteuerung (RBAC) zum Verwalten von Administratorrollen. Mit der rollenbasierten Zugriffskontrolle erstellen Sie funktionale Rollen, die den Administratorzugriff auf Aufgaben in der Workspace ONE Access-Konsole steuern, und weisen die Rollen einem/einer oder mehreren Benutzern und Gruppen zu.

Drei vordefinierte Administratorrollen sind in den Workspace ONE Access-Dienst integriert.

  • Superadministrator. Die Rolle „Superadministrator“ hat Zugriff auf alle Features und Funktionen in den Workspace ONE Access-Diensten und kann diese verwalten. Der Super-Admin kann Benutzern und Gruppen Administratorrollen zuweisen und die Administratorrollen verwalten. Als bewährte Vorgehensweise erteilen Sie die Rolle „Superadministrator“, um einige auszuwählen.

    Für Workspace ONE Access-Cloud-Mandanten wird bei der Ersteinrichtung des Mandanten ein lokaler Mandanten-Administratorbenutzer als erster Super-Admin in der Systemdomäne des Systemverzeichnisses erstellt. Der Name dieses Benutzers lautet admin. Die Anmeldedaten, die Sie bei einem neuen Mandaten erhalten, gehören zu diesem lokalen Administrationsbenutzer.

  • Nur-Lesen-Administrator. Die Rolle „Nur-Lesen-Administrator“ kann die Details auf den Seiten der Workspace ONE Access-Konsole, einschließlich Dashboard und Berichte, anzeigen, sie kann jedoch keine Änderungen vornehmen. Allen Administratorrollen wird automatisch die Rolle „Nur-Lesen“ zugewiesen. Sie können Benutzer und Gruppen auch der Rolle „Nur Lesen“ zuweisen, wenn Sie sie zu den lokalen Verzeichnissen hinzufügen.

    Die Rolle „Nur-Lesen-Administratoren“ gibt Benutzern Administratorzugriff zum Anzeigen der Workspace ONE Access-Konsole, es sei denn, einem Administrator ist eine andere Rolle mit zusätzlichen Zugriff zugewiesen. In diesem Fall können sie nur die Inhalte in der Workspace ONE Access-Konsole anzeigen.

    Hinweis: Bestimmte Seiten der Workspace ONE Access-Konsole können von einem Administrator, der nur für die Rolle „Nur-Lesen“ berechtigt ist, nicht angezeigt werden. Wenn Administratoren mit Lesezugriff versuchen, diese Seiten anzuzeigen, werden sie auf das Dashboard umgeleitet.
  • Verzeichnisadministrator. Die Rolle "Verzeichnisadministrator" kann Benutzer, Gruppen und Verzeichnisse verwalten. Der Verzeichnisadministrator kann Verzeichnisintegration für Enterprise-Verzeichnisse und lokale Verzeichnisse innerhalb Ihrer Organisation verwalten. Der Verzeichnisadministrator kann auch lokale Benutzer und Gruppen verwalten.

Sie können auch benutzerdefinierte Rollen erstellen, die eingeschränkte Berechtigungen für bestimmte Diensttypen in der Workspace ONE Access-Konsole gewähren. Innerhalb dieser Dienste können bestimmte Vorgänge als Aktionstyp ausgewählt werden, der in der Rolle ausgeführt werden kann.

Vorgehensweise zum Anwenden von Administratorrollen auf verschiedene Dienste

Sie können Rollen zur Zugriffssteuerung erstellen, um sechs verschiedene Arten von Diensten in der Workspace ONE Access-Konsole zu verwalten. Den gleichen Benutzern und Gruppen können mehrere Rollen zugewiesen werden. Wenn einem Benutzer mehr als eine Rolle zugewiesen wird, wird das Verhalten von der angewendeten Rollen addiert. Wenn beispielsweise einem Administrator zwei Rollen zugewiesen werden, eine mit Schreibzugriff auf den Identitäts- und Zugriffsmanagementdienst und der Möglichkeit, Richtlinien zu verwalten, und die andere Rolle ohne diesen Zugriff, hat dieser Administrator Zugriff auf das Ändern von Richtlinien.

Wenn Sie eine Rolle hinzufügen, wählen Sie den Diensttyp aus und legen fest, welche Aktionen in diesem Dienst durchgeführt werden können. In einigen Diensten können Sie auswählen, dass alle Ressourcen für die ausgewählte Aktion oder nur einige Ressourcen verwaltet werden sollen.

Diensttyp

Dienstbeschreibung

Katalog

Der Katalog ist das Repository aller Ressourcen, für die Benutzern Berechtigungen erteilt werden können.

Der Katalog-Dienst kann die folgenden Typen von Aktionen verwalten.

  • Web-Anwendungen
  • App-Quellen
  • Drittanbieteranwendungen
  • Sammlung virtueller ThinApp-Anwendungen
  • Sammlung virtueller Apps, die Horizon, Horizon Cloud und Citrix-basierte Anwendungen enthält.
Hinweis: Ein Super-Admin ist erforderlich, um die ersten Schritte auf der Seite „Sammlung virtueller Apps“ im Katalog zu initiieren. Nach Abschluss der ersten Schritte können Administratorrollen mit den Katalogdienst ThinApp-Pakete und Desktop-Anwendungen verwalten.
Verzeichnisverwaltung

Der Verzeichnis-Management-Dienst kann die folgenden Typen von Aktionen entweder für die Organisation oder für bestimmte Verzeichnisse in Ihrer Organisation verwalten.

  • Enterprise-Verzeichnis. Der Administrator kann Verzeichnisse im Workspace ONE Access-Dienst hinzufügen, bearbeiten und löschen. Das Bearbeiten eines Verzeichnisses umfasst das Verwalten von Verzeichniseinstellungen, einschließlich Synchronisierungseinstellungen.
  • Lokales Verzeichnis. Der Administrator kann lokale Verzeichnisse erstellen, bearbeiten und löschen. Das Bearbeiten eines Verzeichnisses umfasst das Verwalten der Einstellungen und das Erstellen, Bearbeiten und Löschen von lokalen Benutzern und Gruppen.
Wichtig: Wenn Sie eine Rolle mit dem Verzeichnisverwaltungsdienst erstellen, müssen Sie auch den Identitäts- und Zugriffsmanagementdienst in der Rolle konfigurieren.
Benutzer und Gruppen

Der „Benutzer und Gruppen“-Dienst kann die folgenden Typen von Aktionen in Ihrer gesamten Organisation oder für bestimmte Domänen in Ihrer Organisation verwalten.

  • Gruppen
  • Benutzer
  • Kennwortrücksetzungen für lokale Benutzer
Berechtigungen

Der Dienst „Berechtigung“ kann Benutzern Web- und virtuelle Anwendungen zuweisen.

Die folgenden Typen von Berechtigungsaktionen können verwaltet werden. Für jede dieser Aktionen können Sie die Rolle konfigurieren, die Benutzern und Gruppen für sämtliche Ressourcen in Ihrer Organisation oder für bestimmte Anwendungen zugewiesen werden sollen. Sie können auch Anwendungen für Benutzer und Gruppen innerhalb von bestimmten Domänen autorisieren.

  • Web-Berechtigungen
  • Drittanbieter-Berechtigungen
Rollen-Verwaltung

Der Rollen-Verwaltungsdienst kann die Zuweisung der Admin-Rolle an Benutzer verwalten.

Wenn Sie eine Rolle mit dem Rollen-Verwaltungsdienst erstellen, müssen Sie den Dienst „Benutzer und Gruppen“ konfigurieren und die Aktionen zum Verwalten von Benutzern und Gruppen auswählen.

Administratoren, denen diese Rolle zugewiesen ist, können Benutzer und Gruppen auf die Administratorrolle hochstufen bzw. diese Rolle von Benutzern oder Gruppen entfernen.

Identitäts- und Zugriffsmanagement

Der Identitäts- und Zugriffsmanagementdienst kann die folgenden Bereiche über die Workspace ONE Access-Konsole verwalten.

  • Ressourcen > Richtlinien
  • Integrationen > Authentifizierungsmethoden, Konnektoren, Konnektoren (ältere), Verzeichnisse, Methoden für Konnektor-Authentifizierung, Identitätsanbieter, Magic Link, Okta-Katalog, UEM-Integration
    Hinweis: Um die Verzeichniseinstellungen zu verwalten, müssen Sie den Verzeichnisverwaltungsdienst in die Rolle aufnehmen.
  • Einstellungen > Branding, Anmeldeeinstellungen, Kennwortrichtlinie, Kennwortwiederherstellung und Benutzerattribute
Hinweis: Administratoren mit der Rolle, die den Identitäts- und Zugriffsmanagementdienst umfasst, können Workspace ONE Access in Workspace ONE UEM integrieren und das Verzeichnis über die Workspace ONE UEM Console erstellen.