En este tema de la documentación se describen las prácticas recomendadas para los dos tipos de funciones que se deben ofrecer a los usuarios cuando se desea que inicien sesión en Consola administrativa de Horizon Cloud y trabajen en el entorno de Horizon Cloud. Un tipo de función se utiliza para habilitar o desactivar diferentes partes de la propia interfaz de usuario de Consola administrativa de Horizon Cloud. El otro tipo de función se utiliza para determinar las acciones que pueden invocar las personas que tengan esa función asignada. Debe asegurarse de que la combinación final de las dos funciones que se asignan a una persona específica refleje los resultados que desea para esa persona en particular.

Importante: Debido a que un tipo de función determina lo que el usuario puede ver en la consola y el otro tipo de función controla la invocación de las acciones, debe asegurarse de que la combinación general de las dos funciones de una persona específica refleje los resultados que desea para esa persona en particular. Las combinaciones recomendadas se describen en las secciones siguientes. Si no sigue estas recomendaciones, es posible que se produzcan contradicciones. Por ejemplo, si las funciones asignadas no coinciden según las instrucciones que se describen aquí, es posible que una persona inicie sesión en la consola y no pueda realizar las acciones que usted desea que realice; o es posible que la persona inicie sesión y pueda realizar acciones que usted no desea que realice. Por lo tanto, es importante que se asegure de reflejar la función de la persona en el área Cuentas de My VMware de la página Configuración general con la función asignada al grupo de Active Directory de la persona en la página Funciones y permisos.

En las siguientes secciones se describen los dos tipos de funciones y las combinaciones recomendadas que se utilizarán en función de los escenarios estándar de las organizaciones típicas.

Funciones que habilitan o desactivan diferentes partes de la interfaz de usuario de la consola para personas en el grupo de Active Directory con esa función asignada

Estas funciones están predefinidas en el sistema y se relacionan con los grupos de Active Directory. Cuando una persona se autentica en el entorno de Horizon Cloud, la consola detecta en qué grupo de Active Directory se encuentra la cuenta de la persona. La consola también identifica cuál de estas funciones está asignada a ese grupo de Active Directory en la página Funciones y permisos de la consola. A continuación, a medida que la persona se desplaza a través de las páginas, las pestañas y las ventanas de la interfaz de usuario de la consola, dichos elementos se muestran como habilitados o desactivados según la función asignada del grupo de Active Directory de la persona.

Importante: Este punto de que estas funciones se pueden asignar solo a grupos y no a cuentas de usuario de Active Directory individuales también significa que se debe evitar asignar dos de estas funciones al mismo grupo de dominios de Active Directory. Si se asignan dos de estas funciones al mismo grupo de Active Directory y una persona de ese grupo inicia sesión, cuando la consola identifica que ambas funciones están asignadas al grupo de esa persona, a medida que se desplaza por las páginas de la interfaz de usuario, es posible que se muestren elementos desactivados, ya que una de las dos funciones impide el acceso a esos elementos.

Cada una de estas funciones se aplica en el nivel de grupo de Active Directory. Dado que se aplican en el nivel de grupo en lugar del nivel individual, todas las personas del mismo grupo de Active Directory obtendrán la función que se asigne a ese grupo de Active Directory mediante la página Funciones y permisos de la consola. Puede controlar qué usuarios se encuentran en los grupos de Active Directory en el entorno de Active Directory. Por lo tanto, cuando se mueven personas del entorno de Active Directory de un grupo de Active Directory a otro, debe asegurarse de que se mueven a un grupo que tenga una de las funciones que continúan reflejándose con el resto de funciones asignadas: la que se asigna a la cuenta de My VMware. Al mover una persona de un grupo de Active Directory a otro, debe verificar si el otro tipo de función, la que está asignada a la cuenta de My VMware de esa persona, debe ajustarse para seguir reflejándose con la función de este tipo de función que se asigna al nuevo grupo de Active Directory de la persona.

Un ejemplo de una de estas funciones es Help Desk Read Only Administrator. Cuando se asigna una función a un grupo de Active Directory en la página Funciones y permisos, la consola permite a los usuarios de ese grupo navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones en los escritorios.

Funciones que determinan las acciones que pueden invocar personas que tengan esa función asignada a su cuenta de My VMware

Al igual que el otro tipo de función, estas funciones están predefinidas en el sistema. Estas funciones se relacionan con las cuentas de My VMware que están configuradas en el área Cuentas de My VMware de la página Configuración general. Cuando una persona se autentica en el de entorno de Horizon Cloud, la consola detecta la función que está asignada a la cuenta de My VMware que se usó para autenticar la sesión iniciada. A continuación, cuando la persona intenta invocar una acción en la consola, el sistema permite que la llamada de API pase, o impide la llamada de API, en base a esta función que se asigna a la cuenta de My VMware de la persona que inició la sesión en la página Configuración general.

Como resultado, después de la autenticación inicial a la consola, esta función asignada a menudo funciona conjuntamente con el otro tipo de función asignada:

  1. La persona navega a través de las páginas de la interfaz de usuario, las pestañas y las ventanas de la consola, y ve los elementos de la interfaz de usuario que se muestran como habilitados o desactivados según la función asignada del grupo de Active Directory de la persona.
  2. Cuando esa persona hace clic en un botón que invocará a una llamada de API para realizar una acción, si la función asignada a su cuenta de My VMware no permite que se realice la acción, no se realizará la llamada de API y la acción no se completará.
Importante: Dado que, en la consola, esta función se ejecuta conjuntamente con la función asignada al grupo de Active Directory de una persona (la segunda determina los elementos de la consola que están activos y la primera determina qué acciones pueden completarse cuando se hace clic en un elemento) debe asegurarse de que la combinación general de las dos funciones de una persona específica refleje los resultados que desea para esa persona. De lo contrario, pueden producirse resultados contradictorios. Al mover una persona de un grupo de Active Directory a otro, confirme que la función de su cuenta My VMware refleje la función en el nuevo grupo de Active Directory y ajústela según sea necesario. Las combinaciones recomendadas estándar se describen en las siguientes secciones.

Las cuatro combinaciones de funciones recomendadas estándar

Debido a que puede producirse un comportamiento contradictorio cuando las dos funciones de una persona no están alineadas con la tabla que aparece a continuación, se recomienda que las funciones concedidas a las personas de la organización coincidan con la siguiente tabla. El sistema no le impide asignar una función a un grupo de Active Directory que sea más permisivo que la función asignada a las cuentas de My VMware de las personas de ese grupo. Si una persona pertenece a varios grupos de Active Directory, asegúrese de que las funciones asignadas a esos grupos en la página Funciones y permisos también se alineen entre sí y con la función de la cuenta de My VMware de la persona.

Función de la cuenta de My VMware de la persona en la página Configuración general Función en el grupo de Active Directory de la persona en la página Funciones y permisos Descripción
Administrador del cliente Superadministrador Acceso completo para ver todas las áreas de la consola y realizar todas las acciones en la consola.
Solo lectura para administrador de cliente Administrador de demostración Posibilidad de ver todas las áreas de la consola, ver la configuración y seleccionar opciones para ver más opciones, y sin la capacidad de invocar acciones que modifican el entorno, como la eliminación de elementos. Un ejemplo de uso de esta combinación es permitir a los usuarios de su organización iniciar sesión y demostrar las capacidades del sistema a otros, evitando que se realicen cambios en el sistema.
Departamento de soporte técnico del cliente Administrador del departamento de soporte técnico Acceso para ver las áreas relacionadas con el soporte técnico de la consola y realizar todas las acciones relacionadas con el soporte técnico que proporciona la consola. El propósito de esta combinación es que los usuarios trabajen con las funciones de la tarjeta de usuario para ver el estado de las sesiones de los usuarios finales y realizar operaciones de solución de problemas en las sesiones.
Departamento de soporte técnico del cliente de solo lectura Administrador del departamento de soporte técnico de solo lectura Acceso para ver las áreas relacionadas con el soporte técnico de la consola y ver el estado de las sesiones de usuario final en la tarjeta de usuario, a la vez que se evita la posibilidad de invocar las acciones relacionadas con el soporte técnico.

Si desea que una persona únicamente tenga acceso de solo lectura y visualización a la consola para todas las áreas de la consola

Si desea que una persona pueda examinar todas las páginas de la interfaz de usuario de la consola y abrir cuadros de diálogo y ver informes, pero también restringir sus permisos para que no pueda invocar acciones que modifiquen elementos en el entorno de arrendatario, debe asegurarse de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Administrator Read-Only a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Administrator Read-Only.
  • En la página Funciones y permisos, asigne la función Demo Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, desplazarse a todas las páginas de la consola, explorar las páginas, abrir cuadros de diálogo y ver informes, pero también tendrá restricciones para invocar acciones que modifiquen los elementos del entorno.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de Active Directory y no en un nivel de cuenta individual, debe asegurarse de que el grupo de Active Directory tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona solo tenga acceso a las funciones de soporte técnico de la consola y también pueda realizar acciones en la tarjeta de usuario

Si desea que una persona pueda iniciar sesión en la consola y restringirle el acceso solo a las funciones relacionadas con el soporte técnico, no a todas las áreas de la consola, a la vez que le permite realizar las acciones relacionadas con el soporte técnico, debe asegurarse de que se cumplan las siguientes condiciones:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Helpdesk a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Helpdesk.
  • En la página Funciones y permisos, asigne la función Help Desk Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, consultar las funciones relacionadas con el soporte técnico y realizar las acciones relacionadas con el soporte técnico.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de Active Directory y no en un nivel de cuenta individual, debe asegurarse de que el grupo de Active Directory tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona únicamente tenga acceso de solo lectura a las funciones de soporte técnico de la consola

Si desea que una persona pueda iniciar sesión en la consola y limitarle el acceso únicamente a las funciones relacionadas con el soporte técnico en modo de solo lectura, de modo que no pueda realizar ninguna acción relacionada con el soporte técnico, debe asegurarse de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Helpdesk Read-Only a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Helpdesk Read-Only.
  • En la página Funciones y permisos, asigne la función Help Desk Read Only Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola y utilizar las funciones relacionadas con el soporte técnico en modo de solo lectura.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de Active Directory y no en un nivel de cuenta individual, debe asegurarse de que el grupo de Active Directory tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona tenga acceso completo a la consola, para todas las áreas y acciones de la consola

Si desea que una persona tenga acceso completo a la consola para ver todas sus áreas e invocar acciones que cambien aspectos en su entorno de arrendatario, asegúrese de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Administrator a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Administrator.
  • En la página Funciones y permisos, asigne la función Super Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, desplazarse hasta todas las páginas de la consola e invocar acciones que cambien aspectos del entorno.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de Active Directory y no en un nivel de cuenta individual, debe asegurarse de que el grupo de Active Directory tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.