En el proceso de autenticación en la consola administrativa basada en la nube, después de autenticarse en la primera pantalla de inicio de sesión, la persona de la organización introduce las credenciales de la cuenta de usuario de Active Directory en la segunda pantalla de inicio de sesión, de acuerdo con el dominio de Active Directory registrado en el entorno. El sistema proporciona dos funciones predefinidas que puede asignar a los diversos grupos de Active Directory. Estas funciones relacionadas con el dominio de Active Directory controlan qué áreas de la consola se pueden ver, habilitar o deshabilitar, ya que la persona que inició sesión se desplaza a través de la consola. Debe asignar una función a los grupos apropiados de Active Directory de su organización para que los usuarios de ese grupo puedan utilizar la consola para realizar las actividades de trabajo que desea que realicen.

Recordatorio: Como se describe en Recorrido por la instancia de Horizon Universal Console basada en la nube, la consola de first-gen es dinámica y refleja las funciones adecuadas para la configuración más reciente del entorno de arrendatario de first-gen. El acceso a las funciones descritas en esta documentación puede depender de factores como, entre otros, los siguientes:
  • Si la función depende del código del sistema disponible solo en el manifiesto del pod de Horizon Cloud first-gen más reciente, la versión del pod de Horizon o la versión de Horizon Cloud Connector.
  • Si se debe acceder a la función en disponibilidad limitada, como se indica en las Notas de la versión al publicarse la función.
  • Si la función requiere licencias o SKU específicas.

Cuando vea menciones a una función en esta documentación y no pueda verla en la consola de first-gen, compruebe primero las Notas de la versión para ver si el acceso a la función es limitado y la forma en que puede solicitar la habilitación en el arrendatario. Como alternativa, cuando crea que tiene derecho a utilizar una función que se describe en esta documentación y no puede verla en la consola, puede consultarlo al representante técnico de VMware Horizon Cloud Service o, en caso de no tener acceso a ninguno, puede abrir una solicitud de servicio (SR) al equipo de Horizon Cloud Service, como se describe en el artículo sobre Cómo presentar una solicitud de soporte en Customer Connect (KB de VMware 2006985).

La función que se asigna mediante los pasos que se indican a continuación es uno de los dos tipos de funciones que utiliza la consola para determinar lo que la sesión autenticada de una persona permite a esa persona ver en la consola y las acciones que puede realizar sobre lo que pueden ver en la consola.

En el flujo de trabajo de inicio de sesión estándar, la consola utiliza las cuentas de VMware Customer Connect, que se asocian con las funciones en la página Configuración general. Estas cuentas solían denominarse cuentas de My VMware.

La segunda pantalla de inicio de sesión utiliza las credenciales de Active Directory (AD), que están asociadas con las funciones mediante esta página Funciones y permisos. Estas funciones relacionadas con el dominio de AD determinan la visibilidad de las características y los elementos de la consola. Esta función también determina qué elementos de la interfaz de usuario pueden aparecer desactivados, ya que la persona se desplaza a través de la consola.

Por ejemplo, una persona en un grupo de AD a la que se le asigna la función Administrador de asignación puede realizar operaciones relacionadas con la administración de granjas y asignaciones de usuarios finales, pero no puede realizar otros tipos de operaciones. Una persona en un grupo de AD con la función Administrador del departamento de soporte técnico de solo lectura puede navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones de resolución de problemas en las sesiones de usuario. Por el contrario, una persona en un grupo de AD con la función Administrador del departamento de soporte técnico puede desplazarse hasta las tarjetas de usuario y ver la información en ellas, así como realizar operaciones de solución de problemas en las sesiones de usuario. Para la función Administrador del departamento de soporte técnico, también puede limitar el alcance de las operaciones de solución de problemas que puede realizar un grupo de AD.

Estas funciones relacionadas con el dominio de AD funcionan conjuntamente con las funciones de las cuentas de VMware Customer Connect que los usuarios de la organización utilizan para iniciar sesión mediante el flujo de trabajo de inicio de sesión estándar. Por lo tanto, debe asegurarse de que la combinación general de las dos funciones siga reflejando los resultados que desee para un individuo concreto, incluso cuando el individuo se traslade a diferentes puestos de trabajo y grupos de AD dentro de la organización. Para obtener más información sobre los dos tipos de funciones y los emparejamientos recomendados de las asignaciones de funciones, consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud.

Nota: Los cambios de función que se realizan mediante la plataforma Horizon Cloud Service (a través de VMware Cloud Services en cloud.vmware.com) no aparecen en Horizon Universal Console. Debe realizar los cambios de función directamente en Horizon Universal Console como se describe a continuación.
Precaución: Tenga en cuenta que la función de superadministrador controla qué cuentas de usuario de AD pueden iniciar sesión en su cuenta de arrendatario de Horizon Cloud y realizar operaciones administrativas en la consola, incluidos los pasos que se indican a continuación para asignar funciones a los grupos de AD. Si solo tiene un único grupo de AD asignado a la función de superadministrador, no elimine ese grupo de administradores del sistema de Active Directory ni cambie su GUID tal como aparece en el sistema de Active Directory hasta que haya agregado otro grupo de administradores a esta función de superadministrador. Si elimina el grupo del sistema de Active Directory o lo cambia del mismo modo que su GUID en el sistema de Active Directory, el cambio no se comunicará al plano de control de Horizon Cloud, y Horizon Cloud dejará de detectar el grupo de AD que tenga la función de superadministrador. Si el grupo es el único grupo que ha asignado a la función de superadministrador, es posible que ninguna de sus cuentas de AD que haya utilizado para poder iniciar sesión con el nivel de acceso de superadministrador pueda iniciar sesión y realizar operaciones administrativas, incluida la operación para asignar la función a un grupo de AD de cara a restablecer un conjunto de cuentas de AD con acceso de superadministrador. A la cuenta de enlace de dominio siempre se le asigna la función de superadministrador. Si ha eliminado su único grupo de AD asignado a la función de superadministrador y la cuenta de enlace de dominio no estaba en ese grupo, puede intentar iniciar sesión en la consola con las credenciales de la cuenta de enlace de dominio y realizar los pasos para asignar la función de superadministrador a un nuevo grupo de AD. Sin embargo, si no puede iniciar sesión correctamente con la cuenta de enlace de dominio, tendrá que ponerse en contacto con el equipo de soporte técnico de VMware para que le ayuden a recuperar el acceso administrativo a su cuenta de arrendatario.
Importante: Estas funciones de Horizon Cloud pueden asignarse solo a los grupos. El sistema no proporciona una manera de elegir las cuentas de usuario de Active Directory individuales para cada función.

Este punto de que las funciones se pueden asignar solo a grupos y no a cuentas individuales también significa que se debe evitar asignar dos funciones al mismo grupo de AD. La función de superadministrador está diseñada para otorgar todos los permisos para realizar todas las acciones de administración en la consola y la función de administrador de demostración es una función de solo lectura. Si asigna estas dos funciones al mismo grupo de AD, ninguno de los usuarios de ese grupo recibirá los permisos de la función de superadministrador. Dado que las acciones se restringen en la consola, desde ahí se puede limitar la disponibilidad de las funciones de administración del entorno.

De forma predeterminada, se proporcionan las siguientes funciones predefinidas. Las funciones predefinidas no se pueden modificar.

Tabla 1. Horizon Cloud Grupos de control de acceso basado en funciones
Función Descripción
Superadministrador

Una función obligatoria que debe asignar al menos a un grupo del dominio de AD y de forma opcional a otros. Esta función concede todos los permisos para acceder a todas las áreas de la consola y realizar acciones de administración en la consola.

A las cuentas de enlace de dominio principal y auxiliar se les asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a las cuentas especificadas.

Nota: Si el grupo de pods tiene pods que ejecutan manifiestos anteriores a la versión 1600.0, debe asegurarse de que la cuenta de unión al dominio esté en uno de los grupos a los que otorga la función de superadministrador. Para obtener más información, consulte Cuentas de servicio que requiere Horizon Cloud para sus operaciones.
Administrador de asignación

Si el entorno de arrendatario está habilitado para esta capacidad, puede asignar esta función a uno o varios grupos de forma opcional. Los grupos de AD con esta función tienen acceso a la consola para crear, modificar y eliminar granjas y asignaciones de usuarios finales. Los grupos con esta función también pueden realizar operaciones relacionadas con la administración de asignaciones y granjas, como la configuración de máquinas virtuales, la administración de energía y la configuración de aplicaciones remotas.
Administrador del departamento de soporte técnico Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de AD que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para realizar las siguientes acciones:
  • Consulte el estado de las sesiones de usuario final.
  • Realizar operaciones de solución de problemas en las sesiones.

De forma predeterminada, los grupos de AD con esta función tienen permisos para realizar operaciones de solución de problemas en las sesiones asociadas con cualquier asignación o granja que aparezca en la consola. Si el entorno de arrendatario está habilitado para esta capacidad, también puede modificar los permisos de un grupo para limitar el ámbito de las operaciones de solución de problemas de ese grupo solo a las sesiones asociadas con ciertas asignaciones y granjas. Para modificar el ámbito de los permisos de un grupo, haga clic en el icono de edición de ese grupo.

Nota: Si incluye una asignación o una granja en el ámbito de permisos de un grupo de AD y, posteriormente, intenta eliminar esa asignación o granja, se eliminará inmediatamente del ámbito de permisos del grupo. Si se produce un error en el proceso de eliminación y la asignación o la granja aún están presentes, debe volver a agregarlas manualmente al ámbito de permisos para conservar el acceso del grupo a ellas.
Administrador del departamento de soporte técnico de solo lectura Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de AD que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para ver el estado de las sesiones de usuario final.
Administrador de demostración Una función que puede asignar de forma opcional a uno o varios grupos. Cuando se empareja con la función de Solo lectura para administrador de cliente en la cuenta de VMware Customer Connect, los usuarios de este grupo pueden ver la configuración y seleccionar opciones para ver las opciones adicionales en la consola, pero las selecciones no cambian los ajustes de configuración.

Requisitos previos

  • Antes de asignar funciones a los grupos de Active Directory existentes, revise la membresía de la cuenta de usuario en los grupos de Active Directory para asegurarse de que una cuenta de usuario reciba solo una de estas funciones de Horizon Cloud. Cree grupos específicos de Active Directory si es necesario. Debido a que estas funciones se asignan en el nivel del grupo de Active Directory, pueden producirse algunos resultados inesperados si una cuenta de usuario de Active Directory pertenece a dos grupos de Active Directory y cada grupo tiene asignada una función diferente. Las funciones de la consola se muestran por orden de prioridad:
    1. Superadministrador
    2. Administrador de asignación
    3. Administrador del departamento de soporte técnico
    4. Administrador de demostración
    5. Administrador del departamento de soporte técnico de solo lectura

    Como resultado de este orden de prioridad, si una cuenta de Active Directory de un usuario pertenece a dos grupos de Active Directory (ADGroup1 y ADGroup2), se asigna la función de superadministrador a ADGroup1 y se asigna la función de administrador del departamento de soporte técnico de solo lectura a ADGroup2, la consola muestra todas las características que corresponden a la función de superadministrador (en lugar del subconjunto de características de la otra función) porque tiene prioridad.

  • También debe revisar las funciones asignadas a las cuentas de VMware Customer Connect de los miembros del grupo para asegurarse de que dichas funciones reflejen la función que asigna a su grupo de Active Directory. Siga los emparejamientos recomendados que se describen en Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud.
Importante: El sistema admite la asignación de un máximo de 64 grupos de Active Directory únicos en total en todas las funciones predefinidas de Horizon Cloud.

Procedimiento

  1. En la consola, vaya a Configuración > Funciones y permisos.
  2. Seleccione una de las funciones predefinidas y haga clic en Editar.
  3. Use el cuadro de búsqueda para buscar y seleccionar un grupo de Active Directory.
    Debe escribir al menos tres caracteres en el cuadro de búsqueda para que se muestren los resultados.
    El grupo se agrega al conjunto de grupos seleccionados.
  4. Haga clic en Guardar.
    Importante: El sistema impide guardar los grupos seleccionados en la función si la acción de guardado puede provocar que se supere la cantidad máxima admitida del sistema de grupos de Active Directory que se pueden asignar en todas las funciones. El máximo admitido se indica en la sección Requisitos previos de este tema de la documentación.

Qué hacer a continuación

Asegúrese de que los usuarios del grupo de dominios tengan las funciones adecuadas en sus cuentas de VMware Customer Connect. Consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud y Otorgar funciones administrativas a las personas de la organización para iniciar sesión y realizar acciones en el entorno de arrendatario de Horizon Cloud con Horizon Universal Console.