En el proceso de autenticación en la consola administrativa basada en la nube, después de autenticarse en la primera pantalla de inicio de sesión, la persona de la organización introduce las credenciales de la cuenta de usuario de Active Directory en la segunda pantalla de inicio de sesión, de acuerdo con el dominio de Active Directory registrado en el entorno. El sistema proporciona dos funciones predefinidas que puede asignar a los diversos grupos de Active Directory. Estas funciones relacionadas con el dominio de Active Directory controlan qué áreas de la consola se pueden ver, habilitar o deshabilitar, ya que la persona que inició sesión se desplaza a través de la consola. Debe asignar una función a los grupos apropiados de Active Directory de su organización para que los usuarios de ese grupo puedan utilizar la consola para realizar las actividades de trabajo que desea que realicen.
- Si la función depende del código del sistema disponible solo en el manifiesto del pod de Horizon Cloud first-gen más reciente, la versión del pod de Horizon o la versión de Horizon Cloud Connector.
- Si se debe acceder a la función en disponibilidad limitada, como se indica en las Notas de la versión al publicarse la función.
- Si la función requiere licencias o SKU específicas.
Cuando vea menciones a una función en esta documentación y no pueda verla en la consola de first-gen, compruebe primero las Notas de la versión para ver si el acceso a la función es limitado y la forma en que puede solicitar la habilitación en el arrendatario. Como alternativa, cuando crea que tiene derecho a utilizar una función que se describe en esta documentación y no puede verla en la consola, puede consultarlo al representante técnico de VMware Horizon Cloud Service o, en caso de no tener acceso a ninguno, puede abrir una solicitud de servicio (SR) al equipo de Horizon Cloud Service, como se describe en el artículo sobre Cómo presentar una solicitud de soporte en Customer Connect (KB de VMware 2006985).
La función que se asigna mediante los pasos que se indican a continuación es uno de los dos tipos de funciones que utiliza la consola para determinar lo que la sesión autenticada de una persona permite a esa persona ver en la consola y las acciones que puede realizar sobre lo que pueden ver en la consola.
En el flujo de trabajo de inicio de sesión estándar, la consola utiliza las cuentas de VMware Customer Connect, que se asocian con las funciones en la página Configuración general. Estas cuentas solían denominarse cuentas de My VMware.
La segunda pantalla de inicio de sesión utiliza las credenciales de Active Directory (AD), que están asociadas con las funciones mediante esta página Funciones y permisos. Estas funciones relacionadas con el dominio de AD determinan la visibilidad de las características y los elementos de la consola. Esta función también determina qué elementos de la interfaz de usuario pueden aparecer desactivados, ya que la persona se desplaza a través de la consola.
Por ejemplo, una persona en un grupo de AD a la que se le asigna la función Administrador de asignación puede realizar operaciones relacionadas con la administración de granjas y asignaciones de usuarios finales, pero no puede realizar otros tipos de operaciones. Una persona en un grupo de AD con la función Administrador del departamento de soporte técnico de solo lectura puede navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones de resolución de problemas en las sesiones de usuario. Por el contrario, una persona en un grupo de AD con la función Administrador del departamento de soporte técnico puede desplazarse hasta las tarjetas de usuario y ver la información en ellas, así como realizar operaciones de solución de problemas en las sesiones de usuario. Para la función Administrador del departamento de soporte técnico, también puede limitar el alcance de las operaciones de solución de problemas que puede realizar un grupo de AD.
Estas funciones relacionadas con el dominio de AD funcionan conjuntamente con las funciones de las cuentas de VMware Customer Connect que los usuarios de la organización utilizan para iniciar sesión mediante el flujo de trabajo de inicio de sesión estándar. Por lo tanto, debe asegurarse de que la combinación general de las dos funciones siga reflejando los resultados que desee para un individuo concreto, incluso cuando el individuo se traslade a diferentes puestos de trabajo y grupos de AD dentro de la organización. Para obtener más información sobre los dos tipos de funciones y los emparejamientos recomendados de las asignaciones de funciones, consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud.
Este punto de que las funciones se pueden asignar solo a grupos y no a cuentas individuales también significa que se debe evitar asignar dos funciones al mismo grupo de AD. La función de superadministrador está diseñada para otorgar todos los permisos para realizar todas las acciones de administración en la consola y la función de administrador de demostración es una función de solo lectura. Si asigna estas dos funciones al mismo grupo de AD, ninguno de los usuarios de ese grupo recibirá los permisos de la función de superadministrador. Dado que las acciones se restringen en la consola, desde ahí se puede limitar la disponibilidad de las funciones de administración del entorno.
De forma predeterminada, se proporcionan las siguientes funciones predefinidas. Las funciones predefinidas no se pueden modificar.
Función | Descripción |
---|---|
Superadministrador | Una función obligatoria que debe asignar al menos a un grupo del dominio de AD y de forma opcional a otros. Esta función concede todos los permisos para acceder a todas las áreas de la consola y realizar acciones de administración en la consola. A las cuentas de enlace de dominio principal y auxiliar se les asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a las cuentas especificadas.
Nota: Si el grupo de pods tiene pods que ejecutan manifiestos anteriores a la versión 1600.0, debe asegurarse de que la cuenta de unión al dominio esté en uno de los grupos a los que otorga la función de superadministrador. Para obtener más información, consulte
Cuentas de servicio que requiere Horizon Cloud para sus operaciones.
|
Administrador de asignación | Si el entorno de arrendatario está habilitado para esta capacidad, puede asignar esta función a uno o varios grupos de forma opcional. Los grupos de AD con esta función tienen acceso a la consola para crear, modificar y eliminar granjas y asignaciones de usuarios finales. Los grupos con esta función también pueden realizar operaciones relacionadas con la administración de asignaciones y granjas, como la configuración de máquinas virtuales, la administración de energía y la configuración de aplicaciones remotas. |
Administrador del departamento de soporte técnico | Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de AD que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para realizar las siguientes acciones:
De forma predeterminada, los grupos de AD con esta función tienen permisos para realizar operaciones de solución de problemas en las sesiones asociadas con cualquier asignación o granja que aparezca en la consola. Si el entorno de arrendatario está habilitado para esta capacidad, también puede modificar los permisos de un grupo para limitar el ámbito de las operaciones de solución de problemas de ese grupo solo a las sesiones asociadas con ciertas asignaciones y granjas. Para modificar el ámbito de los permisos de un grupo, haga clic en el icono de edición de ese grupo.
Nota: Si incluye una asignación o una granja en el ámbito de permisos de un grupo de AD y, posteriormente, intenta eliminar esa asignación o granja, se eliminará inmediatamente del ámbito de permisos del grupo. Si se produce un error en el proceso de eliminación y la asignación o la granja aún están presentes, debe volver a agregarlas manualmente al ámbito de permisos para conservar el acceso del grupo a ellas.
|
Administrador del departamento de soporte técnico de solo lectura | Una función que puede asignar de forma opcional a uno o varios grupos. Esta función proporciona acceso a la consola, y los grupos de AD que la tienen asignada pueden trabajar con las características de la tarjeta de usuario para ver el estado de las sesiones de usuario final. |
Administrador de demostración | Una función que puede asignar de forma opcional a uno o varios grupos. Cuando se empareja con la función de Solo lectura para administrador de cliente en la cuenta de VMware Customer Connect, los usuarios de este grupo pueden ver la configuración y seleccionar opciones para ver las opciones adicionales en la consola, pero las selecciones no cambian los ajustes de configuración. |
Requisitos previos
- Antes de asignar funciones a los grupos de Active Directory existentes, revise la membresía de la cuenta de usuario en los grupos de Active Directory para asegurarse de que una cuenta de usuario reciba solo una de estas funciones de Horizon Cloud. Cree grupos específicos de Active Directory si es necesario. Debido a que estas funciones se asignan en el nivel del grupo de Active Directory, pueden producirse algunos resultados inesperados si una cuenta de usuario de Active Directory pertenece a dos grupos de Active Directory y cada grupo tiene asignada una función diferente. Las funciones de la consola se muestran por orden de prioridad:
- Superadministrador
- Administrador de asignación
- Administrador del departamento de soporte técnico
- Administrador de demostración
- Administrador del departamento de soporte técnico de solo lectura
Como resultado de este orden de prioridad, si una cuenta de Active Directory de un usuario pertenece a dos grupos de Active Directory (ADGroup1 y ADGroup2), se asigna la función de superadministrador a ADGroup1 y se asigna la función de administrador del departamento de soporte técnico de solo lectura a ADGroup2, la consola muestra todas las características que corresponden a la función de superadministrador (en lugar del subconjunto de características de la otra función) porque tiene prioridad.
- También debe revisar las funciones asignadas a las cuentas de VMware Customer Connect de los miembros del grupo para asegurarse de que dichas funciones reflejen la función que asigna a su grupo de Active Directory. Siga los emparejamientos recomendados que se describen en Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud.
Procedimiento
Qué hacer a continuación
Asegúrese de que los usuarios del grupo de dominios tengan las funciones adecuadas en sus cuentas de VMware Customer Connect. Consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud y Otorgar funciones administrativas a las personas de la organización para iniciar sesión y realizar acciones en el entorno de arrendatario de Horizon Cloud con Horizon Universal Console.