Los siguientes tipos de funciones se pueden conceder en el servidor de VMware Identity Manager.
Las tres funciones de administrador predefinidas incluyen los siguientes valores.
La función de superadministrador que puede acceder a todas las características y las funciones de los servicios de VMware Identity Manager y administrarlas.
El primer superadministrador es el usuario administrador local que VMware Identity Manager crea cuando se configura por primera vez el servicio. El servicio crea el administrador en el dominio del sistema del directorio del sistema. Puede asignar la función de superadministrador a otros usuarios en el directorio del sistema. Como práctica recomendada, conceda la función de superadministrador solo a algunos usuarios determinados.
La función de administrador de solo lectura que puede ver los detalles de las páginas de la consola de administración, incluido el panel de control y los informes, pero no puede realizar ningún cambio. A todas las funciones de administrador se les asigna automáticamente la función de solo lectura.
La función de administrador de directorio que puede administrar usuarios, grupos y directorios. El administrador de directorio puede administrar la integración del directorio para los directorios empresariales y los directorios locales de la organización. El administrador de directorio también puede administrar los usuarios y los grupos locales.
Puede asignar estas funciones predefinidas a los usuarios y los grupos del servicio. No puede modificar ni eliminar estas funciones.
También puede crear funciones de administrador personalizadas que confieran permisos limitados a servicios específicos de la consola de administración. En del servicio, pueden seleccionarse operaciones específicas como el tipo de acción que se puede realizar en la función.
Se pueden asignar varias funciones a los mismos usuarios y grupos. Cuando se asigna más de una función a un usuario, el comportamiento de las funciones que se aplica es acumulativo. Por ejemplo, si se asignan dos funciones a un administrador, una con acceso de escritura a la administración de directivas y la otra sin él, ese administrador podrá modificar directivas.
El control de acceso basado en funciones se puede configurar para administrar los siguientes servicios en la consola del administrador.
Tipo de servicio |
Descripción del servicio |
---|---|
Catálogo |
El catálogo es el repositorio de todos los recursos de Workspace ONE que se pueden autorizar para los usuarios. El servicio Catálogo puede administrar los siguientes tipos de acciones.
Nota:
Es necesario que un superadministrador inicie el flujo de primeros pasos en la página Colección de aplicaciones virtuales del Catálogo. Después del flujo de primeros pasos inicial, las funciones de administrador con el servicio Catálogo pueden administrar aplicaciones de escritorio y paquetes de ThinApp. Consulte Uso de las colecciones de aplicaciones virtuales para las integraciones de escritorio en la guía Configurar recursos en VMware Identity Manager 3.2. |
Administración de directorios |
El servicio Administración de directorios puede administrar los siguientes tipos de acciones de la organización o de los directorios específicos de su organización.
Cuando el servicio Administración de directorios está incluido en una función, el servicio Administración de acceso e identidad también debe estar configurado en la función. |
Usuarios y grupos |
El servicio Usuarios y grupos puede administrar los siguientes tipos de acciones en su organización total o en dominios específicos de su organización.
|
Autorizaciones |
El servicio Autorización puede asignar a los usuarios a aplicaciones virtuales y web. Estos son los tipos de acciones de autorización que se pueden administrar. Para cada una de estas acciones, puede configurar la función de asignación de usuarios y grupos en todos los recursos de su organización o en aplicaciones específicas. También puede autorizar aplicaciones para usuarios y grupos de dominios específicos.
|
Administración de funciones |
El servicio Administración de funciones puede administrar la asignación de la función de administrador a los usuarios. Al crear una función con el servicio Administración de funciones, debe configurar el servicio Usuario y grupos y seleccionar las acciones Administrar usuarios y Administrar grupos. Los administradores que tienen asignada esta función pueden promover usuarios y grupos a la función de administrador y pueden eliminar la función de administrador de usuarios o grupos. |
Administración de acceso e identidad |
El servicio Administración de acceso e identidad puede administrar la configuración de la pestaña Administración de acceso e identidad. Para administrar la configuración del directorio, también se requiere el servicio Administración de directorios.
Nota:
Los administradores que tengan la función Administración de acceso e identidad pueden integrar VMware Identity Manager con AirWatch y crear el directorio desde AirWatch. |
Cuando agregue una función, seleccione el servicio y defina las acciones que podrán realizarse en el servicio. En algunos servicios, puede elegir administrar todos los recursos para la acción seleccionada o solo algunos recursos.
Administrar el acceso de solo lectura
El acceso de solo lectura se concede con cada función asignada a un administrador. También puede asignar usuarios y grupos a la función de solo lectura desde la página de funciones de administrador de solo lectura.
La función de administrador de solo lectura brinda a los usuarios acceso de administrador para ver la consola de administración, pero, a menos que se asigne otra función con acceso adicional a un administrador, solo podrán ver el contenido de la consola de administración.
Cuando se asigna la función de solo lectura como una función independiente, se puede eliminar desde la página de asignación de la función de administrador de solo lectura o desde la página del perfil del usuario o grupo.