Die drei vordefinierten Administratorrollen, die auf dem Workspace ONE Access-Server gewährt werden können, sind Super-Administrator, Nur-Lesen-Administrator und Verzeichnisadministrator.

  • Die Rolle „Super-Administrator“ hat Zugriff auf alle Features und Funktionen in den Workspace ONE Access-Diensten und kann diese verwalten.

    Der erste Super-Administrator wird der lokale Administratorbenutzer, der von Workspace ONE Access erstellt wird, wenn Sie den Dienst zum ersten Mal einrichten. Der Dienst erstellt den Administrator in der Systemdomäne des Systemverzeichnisses. Sie können die Rolle „Superadministrator“ für andere Benutzer im Verzeichnis zuweisen. Als bewährte Vorgehensweise erteilen Sie die Rolle „Superadministrator“, um einige auszuwählen.

  • Die Rolle „Nur-Lesen-Administrator“ kann die Details auf den Seiten der Workspace ONE Access-Konsole, einschließlich Dashboard und Berichte, anzeigen, sie kann jedoch keine Änderungen vornehmen. Allen Administratorrollen wird automatisch die Rolle „Nur-Lesen“ zugewiesen.
    Hinweis: Bestimmte Seiten der Workspace ONE Access-Konsole können von einem Administrator, der nur für die Rolle „Nur-Lesen“ berechtigt ist, nicht angezeigt werden. Wenn Administratoren mit Lesezugriff versuchen, diese Seiten anzuzeigen, werden sie auf das Dashboard umgeleitet.
  • Die Rolle "Verzeichnisadministrator" kann Benutzer, Gruppen und Verzeichnisse verwalten. Der Verzeichnisadministrator kann Verzeichnisintegration für Enterprise-Verzeichnisse und lokale Verzeichnisse innerhalb Ihrer Organisation verwalten. Der Verzeichnisadministrator kann auch lokale Benutzer und Gruppen verwalten.
Abbildung 1. Registerkarte „Rollen“ in der Workspace ONE Access-Konsole

Sie können diese vordefinierten Rollen Benutzern und Gruppen in Ihrem Dienst zuweisen. Sie können diese Rollen nicht ändern oder löschen.

Sie können auch benutzerdefinierte Rollen erstellen, die eingeschränkte Berechtigungen für bestimmte Dienste in der Workspace ONE Access-Konsole gewähren. Bestimmte Vorgänge können innerhalb des Dienstes als der Typ von Aktion ausgewählt werden, die in der Rolle durchgeführt werden können.

Den gleichen Benutzern und Gruppen können mehrere Rollen zugewiesen werden. Wenn einem Benutzer mehr als eine Rolle zugewiesen wird, wird das Verhalten von der angewendeten Rollen addiert. Wenn einem Administrator zwei Rollen zugewiesen wurden, eine mit Schreibzugriff auf die Richtlinienverwaltung und die andere ohne, so hat dieser Administrator z. B. Zugriff zum Ändern von Richtlinien.

Rollenbasierte Zugriffskontrolle kann eingerichtet werden, um die folgenden Dienste in der Verwaltungskonsole zu verwalten.

Diensttyp

Dienstbeschreibung

Katalog

Der Katalog ist das Repository aller Workspace ONE-Ressourcen, die Benutzern gewährt werden können.

Der Katalog-Dienst kann die folgenden Typen von Aktionen verwalten.

  • Web-Anwendungen
  • App-Quellen
  • Drittanbieteranwendungen
  • Sammlung virtueller ThinApp-Anwendungen
  • Sammlung virtueller Apps, die Horizon, Horizon Cloud und Citrix-basierte Anwendungen enthält.
Hinweis: Ein Super-Admin ist erforderlich, um die ersten Schritte auf der Seite „Sammlung virtueller Apps“ im Katalog zu initiieren. Nach Abschluss der ersten Schritte können Administratorrollen mit den Katalogdienst ThinApp-Pakete und Desktop-Anwendungen verwalten.
Verzeichnisverwaltung

Der Verzeichnis-Management-Dienst kann die folgenden Typen von Aktionen entweder für die Organisation oder für bestimmte Verzeichnisse in Ihrer Organisation verwalten.

  • Enterprise-Verzeichnis. Der Administrator kann Verzeichnisse im Dienst hinzufügen, bearbeiten und löschen. Das Bearbeiten eines Verzeichnisses umfasst das Verwalten von Verzeichniseinstellungen, einschließlich Synchronisierungseinstellungen.
  • Lokales Verzeichnis. Der Administrator kann lokale Verzeichnisse erstellen, bearbeiten und löschen. Das Bearbeiten eines Verzeichnisses umfasst das Verwalten der Einstellungen und das Erstellen, Bearbeiten und Löschen von lokalen Benutzern und Gruppen.

Wenn der Verzeichnis-Management-Dienst in einer Rolle enthalten ist, muss der Identitäts- und Zugriffsmanagement-Dienst auch in der Rolle konfiguriert werden.

Benutzer und Gruppen

Der „Benutzer und Gruppen“-Dienst kann die folgenden Typen von Aktionen in Ihrer gesamten Organisation oder für bestimmte Domänen in Ihrer Organisation verwalten.

  • Gruppen
  • Benutzer
  • Kennwortrücksetzungen für lokale Benutzer
Berechtigungen

Der Dienst „Berechtigung“ kann Benutzern Web- und virtuelle Anwendungen zuweisen.

Die folgenden Typen von Berechtigungsaktionen können verwaltet werden. Für jede dieser Aktionen können Sie die Rolle konfigurieren, die Benutzern und Gruppen für sämtliche Ressourcen in Ihrer Organisation oder für bestimmte Anwendungen zugewiesen werden sollen. Sie können auch Anwendungen für Benutzer und Gruppen innerhalb von bestimmten Domänen autorisieren.

  • Web-Berechtigungen
  • Drittanbieter-Berechtigungen
Rollen-Verwaltung

Der Rollen-Verwaltungsdienst kann die Zuweisung der Admin-Rolle an Benutzer verwalten.

Wenn Sie eine Rolle mit dem Rollen-Verwaltungsdienst erstellen, müssen Sie den Dienst „Benutzer und Gruppen“ konfigurieren und die Aktionen zum Verwalten von Benutzern und Gruppen auswählen.

Administratoren, denen diese Rolle zugewiesen ist, können Benutzer und Gruppen auf die Administratorrolle hochstufen bzw. diese Rolle von Benutzern oder Gruppen entfernen.

Identitäts- und Zugriffsmanagement

Der Identitäts- und Zugriffsmanagement-Dienst kann die Einstellungen auf der Registerkarte „Identitäts- und Zugriffsmanagement“ verwalten. Um die Verzeichniseinstellungen zu verwalten, ist auch der Verzeichnismanagement-Dienst erforderlich.

Hinweis: Administratoren mit der Rolle „Identitäts- und Zugriffsmanagement“ können Workspace ONE Access in Workspace ONE UEM integrieren und das Verzeichnis über die Workspace ONE UEM Console erstellen.

Wenn Sie eine Rolle hinzufügen, wählen Sie den Dienst aus und definieren Sie, welche Aktionen im Dienst ausgeführt werden können. In einigen Diensten können Sie auswählen, dass alle Ressourcen für die ausgewählte Aktion oder nur einige Ressourcen verwaltet werden sollen.

Verwalten des Lesezugriffs

Jeder Rolle, die einem Administrator zugewiesen ist, wird Lesezugriff gewährt. Sie können die Rolle „Lesezugriff“ auch Benutzern und Gruppen über die Seite „Nur-Lesen-Administratorrollen“ zuweisen.

Die Rolle „Nur-Lesen-Administratoren“ gibt Benutzern Administratorzugriff zum Anzeigen der Workspace ONE Access-Konsole, es sei denn, einem Administrator ist eine andere Rolle mit zusätzlichen Zugriff zugewiesen. In diesem Fall können sie nur die Inhalte in der Workspace ONE Access-Konsole anzeigen.

Wenn Sie die Rolle „Lesezugriff“ als eine separate Rolle zuweisen, können Sie die Rolle über die Seite „Nur-Lesen-Administratorrollen“ oder über die Seite „Benutzer- oder Gruppenprofil“ entfernen.