En este tema de la documentación se describen las prácticas recomendadas para los dos tipos de funciones que se deben ofrecer a los usuarios cuando se desea que inicien sesión en Horizon Universal Console y trabajen en el entorno de Horizon Cloud. Un tipo de función se utiliza para habilitar o desactivar diferentes partes de la propia interfaz de usuario de Horizon Universal Console. El otro tipo de función se utiliza para determinar las acciones que pueden invocar las personas que tengan esa función asignada. Debe asegurarse de que la combinación final de las dos funciones que se asignan a una persona específica refleje los resultados que desea para esa persona en particular.

Importante: Debido a que un tipo de función determina lo que el usuario puede ver en la consola y el otro tipo de función controla la invocación de las acciones, debe asegurarse de que la combinación general de las dos funciones de una persona específica refleje los resultados que desea para esa persona en particular. Las combinaciones recomendadas se describen en las secciones siguientes. Si no sigue estas recomendaciones, es posible que se produzcan contradicciones. Por ejemplo, si las funciones asignadas no coinciden según las instrucciones que se describen aquí, es posible que una persona inicie sesión en la consola y no pueda realizar las acciones que usted desea que realice; o es posible que la persona inicie sesión y pueda realizar acciones que usted no desea que realice. Por lo tanto, es importante que se asegure de reflejar la función de la persona en el área Cuentas de My VMware de la página Configuración general con la función asignada al grupo de Active Directory de la persona en la página Funciones y permisos.

En las siguientes secciones se describen los dos tipos de funciones y las combinaciones recomendadas que se utilizarán en función de los escenarios estándar de las organizaciones típicas.

Recordatorio: Como se describe en Recorrido por la instancia de Horizon Universal Console basada en la nube, la consola de first-gen es dinámica y refleja las funciones adecuadas para la configuración más reciente del entorno de arrendatario de first-gen. El acceso a las funciones descritas en esta documentación puede depender de factores como, entre otros, los siguientes:
  • Si la función depende del código del sistema disponible solo en el manifiesto del pod de Horizon Cloud first-gen más reciente, la versión del pod de Horizon o la versión de Horizon Cloud Connector.
  • Si se debe acceder a la función en disponibilidad limitada, como se indica en las Notas de la versión al publicarse la función.
  • Si la función requiere licencias o SKU específicas.

Cuando vea menciones a una función en esta documentación y no pueda verla en la consola de first-gen, compruebe primero las Notas de la versión para ver si el acceso a la función es limitado y la forma en que puede solicitar la habilitación en el arrendatario. Como alternativa, cuando crea que tiene derecho a utilizar una función que se describe en esta documentación y no puede verla en la consola, puede consultarlo al representante técnico de VMware Horizon Cloud Service o, en caso de no tener acceso a ninguno, puede abrir una solicitud de servicio (SR) al equipo de Horizon Cloud Service, como se describe en el artículo sobre Cómo presentar una solicitud de soporte en Customer Connect (KB de VMware 2006985).

Funciones que habilitan o desactivan diferentes partes de la interfaz de usuario de la consola para personas en el grupo de Active Directory con esa función asignada

Estas funciones están predefinidas en el sistema y se relacionan con los grupos de Active Directory. Cuando una persona se autentica en el entorno de Horizon Cloud, la consola detecta en qué grupo de Active Directory (AD) se encuentra la cuenta de la persona. La consola también identifica cuál de estas funciones está asignada a ese grupo de AD en la página Funciones y permisos de la consola. A continuación, a medida que la persona se desplaza a través de las páginas, las pestañas y las ventanas de la interfaz de usuario de la consola, dichos elementos se muestran como habilitados o desactivados según la función asignada del grupo de AD de la persona.

Importante: Este punto de que estas funciones se pueden asignar solo a grupos y no a cuentas de usuario de AD individuales también significa que se debe evitar asignar dos de estas funciones al mismo grupo de dominios de AD. Si se asignan dos de estas funciones al mismo grupo de AD y una persona de ese grupo inicia sesión, cuando la consola identifica que ambas funciones están asignadas al grupo de esa persona, a medida que se desplaza por las páginas de la interfaz de usuario, es posible que se muestren elementos desactivados, ya que una de las dos funciones impide el acceso a esos elementos.

Cada una de estas funciones se aplica en el nivel de un grupo de AD. Dado que se aplican en el grupo en lugar del nivel individual, todas las personas del mismo grupo de AD recibirán la función que se asigne a ese grupo de Active Directory mediante la página Funciones y permisos de la consola. Puede controlar qué usuarios se encuentran en los grupos de AD en el entorno de AD. Por lo tanto, cuando se mueven personas del entorno de AD de un grupo de AD a otro, debe asegurarse de que se mueven a un grupo que tenga una de las funciones que continúan reflejándose con el resto de funciones asignadas: la que se asigna a la cuenta de My VMware. Al mover una persona de un grupo de AD a otro, debe verificar si el otro tipo de función, la que está asignada a la cuenta de My VMware de esa persona, debe ajustarse para seguir reflejándose con la función de este tipo de función que se asigna al nuevo grupo de AD de la persona.

Un ejemplo de una de estas funciones es Help Desk Read Only Administrator. Cuando se asigna una función a un grupo de AD en la página Funciones y permisos, la consola permite a los usuarios de ese grupo navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones en los escritorios.

Funciones que determinan las acciones que pueden invocar personas que tengan esa función asignada a su cuenta de My VMware

Al igual que el otro tipo de función, estas funciones están predefinidas en el sistema. Estas funciones se relacionan con las cuentas de My VMware que están configuradas en el área Cuentas de My VMware de la página Configuración general. Cuando una persona se autentica en el de entorno de Horizon Cloud, la consola detecta la función que está asignada a la cuenta de My VMware que se usó para autenticar la sesión iniciada. A continuación, cuando la persona intenta invocar una acción en la consola, el sistema permite que la llamada de API pase, o impide la llamada de API, en base a esta función que se asigna a la cuenta de My VMware de la persona que inició la sesión en la página Configuración general.

Como resultado, después de la autenticación inicial a la consola, esta función asignada a menudo funciona conjuntamente con el otro tipo de función asignada:

  1. La persona navega a través de las páginas de la interfaz de usuario, las pestañas y las ventanas de la consola, y ve los elementos de la interfaz de usuario que se muestran como habilitados o desactivados según la función asignada del grupo de AD de la persona.
  2. Cuando esa persona hace clic en un botón que invocará a una llamada de API para realizar una acción, si la función asignada a su cuenta de My VMware no permite que se realice la acción, no se realizará la llamada de API y la acción no se completará.
Importante: Dado que, en la consola, esta función se ejecuta conjuntamente con la función asignada al grupo de AD de una persona (la segunda determina los elementos de la consola que están activos y la primera determina qué acciones pueden completarse cuando se hace clic en un elemento) debe asegurarse de que la combinación general de las dos funciones de una persona específica refleje los resultados que desea para esa persona. De lo contrario, pueden producirse resultados contradictorios. Al mover una persona de un grupo de AD a otro, confirme que la función de su cuenta My VMware refleje la función en el nuevo grupo de AD y ajústela según sea necesario. Las combinaciones recomendadas estándar se describen en las siguientes secciones.

Las cinco combinaciones de funciones recomendadas estándar

Debido a que puede producirse un comportamiento contradictorio cuando las dos funciones de una persona no están alineadas con la tabla que aparece a continuación, se recomienda que las funciones concedidas a las personas de la organización coincidan con la siguiente tabla. El sistema no le impide asignar una función a un grupo de AD que sea más permisivo que la función asignada a las cuentas de My VMware de las personas de ese grupo. Si una persona pertenece a varios grupos de AD, asegúrese de que las funciones asignadas a esos grupos en la página Funciones y permisos también se alineen entre sí y con la función de la cuenta de My VMware de la persona.

Función de la cuenta de My VMware de la persona en la página Configuración general Función en el grupo de Active Directory de la persona en la página Funciones y permisos Descripción
Administrador del cliente Superadministrador Acceso completo para ver todas las áreas de la consola y realizar todas las acciones en la consola.
Administrador de asignación de clientes Administrador de asignación Capacidad para ver todas las áreas de la consola y realizar acciones relacionadas con la modificación y administración de asignaciones y granjas de usuarios finales.
Solo lectura para administrador de cliente Administrador de demostración Posibilidad de ver todas las áreas de la consola, ver la configuración y seleccionar opciones para ver más opciones, y sin la capacidad de invocar acciones que modifican el entorno, como la eliminación de elementos. Un ejemplo de uso de esta combinación es permitir a los usuarios de su organización iniciar sesión y demostrar las capacidades del sistema a otros, evitando que se realicen cambios en el sistema.
Departamento de soporte técnico del cliente Administrador del departamento de soporte técnico Acceso para ver las áreas relacionadas con el soporte técnico de la consola y realizar todas las acciones relacionadas con el soporte técnico que proporciona la consola. El propósito de esta combinación es que los usuarios trabajen con las funciones de la tarjeta de usuario para ver el estado de las sesiones de los usuarios finales y realizar operaciones de solución de problemas en las sesiones.
Departamento de soporte técnico del cliente de solo lectura Administrador del departamento de soporte técnico de solo lectura Acceso para ver las áreas relacionadas con el soporte técnico de la consola y ver el estado de las sesiones de usuario final en la tarjeta de usuario, a la vez que se evita la posibilidad de invocar las acciones relacionadas con el soporte técnico.

Si desea que una persona únicamente tenga acceso de solo lectura y visualización a la consola para todas las áreas de la consola

Si desea que una persona pueda examinar todas las páginas de la interfaz de usuario de la consola y abrir cuadros de diálogo y ver informes, pero también restringir sus permisos para que no pueda invocar acciones que modifiquen elementos en el entorno de arrendatario, debe asegurarse de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Administrator Read-Only a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Administrator Read-Only.
  • En la página Funciones y permisos, asigne la función Demo Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, desplazarse a todas las páginas de la consola, explorar las páginas, abrir cuadros de diálogo y ver informes, pero también tendrá restricciones para invocar acciones que modifiquen los elementos del entorno.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de AD y no en un nivel de cuenta individual, debe asegurarse de que el grupo de AD tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona solo tenga acceso a las funciones de soporte técnico de la consola y también pueda realizar acciones en la tarjeta de usuario

Si desea que una persona pueda iniciar sesión en la consola y restringirle el acceso solo a las funciones relacionadas con el soporte técnico, no a todas las áreas de la consola, a la vez que le permite realizar las acciones relacionadas con el soporte técnico, debe asegurarse de que se cumplan las siguientes condiciones:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Helpdesk a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Helpdesk.
  • En la página Funciones y permisos, asigne la función Help Desk Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, consultar las funciones relacionadas con el soporte técnico y realizar las acciones relacionadas con el soporte técnico.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de AD y no en un nivel de cuenta individual, debe asegurarse de que el grupo de AD tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona únicamente tenga acceso de solo lectura a las funciones de soporte técnico de la consola

Si desea que una persona pueda iniciar sesión en la consola y limitarle el acceso únicamente a las funciones relacionadas con el soporte técnico en modo de solo lectura, de modo que no pueda realizar ninguna acción relacionada con el soporte técnico, debe asegurarse de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Helpdesk Read-Only a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Helpdesk Read-Only.
  • En la página Funciones y permisos, asigne la función Help Desk Read Only Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola y utilizar las funciones relacionadas con el soporte técnico en modo de solo lectura.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de AD y no en un nivel de cuenta individual, debe asegurarse de que el grupo de AD tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona únicamente tenga acceso a las funciones relacionadas con asignaciones y granjas de la consola

Si desea que una persona tenga acceso a la consola para realizar operaciones relacionadas con la administración de asignaciones y granjas de usuarios finales, y acceso de solo lectura a todas las demás áreas de la consola, asegúrese de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Assignment Administrator a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Assignment Administrator.
  • En la página Funciones y permisos, asigne la función Assignment Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, desplazarse a todas las páginas de la consola y verlas, e invocar acciones que creen, modifiquen o eliminen asignaciones de usuario final y granjas. La persona también podrá realizar operaciones relacionadas con la administración de asignaciones y granjas, como la configuración de máquinas virtuales, la gestión de energía y la configuración de aplicaciones remotas.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de AD y no en un nivel de cuenta individual, debe asegurarse de que el grupo de AD tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.

Si desea que una persona tenga acceso completo a la consola, para todas las áreas y acciones de la consola

Si desea que una persona tenga acceso completo a la consola para ver todas sus áreas e invocar acciones que cambien aspectos en su entorno de arrendatario, asegúrese de que se cumplan las dos condiciones siguientes:

  • En el área Cuentas de My VMware de la página Configuración general, asigne la función Customer Administrator a su cuenta de My VMware. Si la cuenta de esa persona incluye una función diferente, puede eliminar su fila de la sección Cuentas de My VMware y volver a agregarla, esta vez especificando la función Customer Administrator.
  • En la página Funciones y permisos, asigne la función Super Administrator al grupo de Active Directory de esa persona.

Cuando se cumplan ambas condiciones, la persona podrá iniciar sesión en la consola, desplazarse hasta todas las páginas de la consola e invocar acciones que cambien aspectos del entorno.

Nota: Dado que la página Funciones y permisos funciona en el nivel de grupo de AD y no en un nivel de cuenta individual, debe asegurarse de que el grupo de AD tenga las cuentas individuales adecuadas en él, según los requisitos de la organización.