Los siguientes tipos de funciones se pueden conceder en el servidor de VMware Identity Manager.

Las tres funciones de administrador predefinidas incluyen los siguientes valores.

  • La función de superadministrador que puede acceder a todas las características y las funciones de los servicios de VMware Identity Manager y administrarlas.

    El primer superadministrador es el usuario administrador local que VMware Identity Manager crea cuando se configura por primera vez el servicio. El servicio crea el administrador en el dominio del sistema del directorio del sistema. Puede asignar la función de superadministrador a otros usuarios en el directorio del sistema. Como práctica recomendada, conceda la función de superadministrador solo a algunos usuarios determinados.

  • La función de administrador de solo lectura que puede ver los detalles de las páginas de la consola de VMware Identity Manager, incluido el panel de control y los informes, pero no puede realizar ningún cambio. A todas las funciones de administrador se les asigna automáticamente la función de solo lectura.
    Nota: Algunas páginas de la consola de Identity Manager no están habilitadas para que pueda verlas un administrador autorizado para la función de solo lectura. Cuando los administradores de solo lectura intentan ver las páginas, se los redirige al panel de control.
  • La función de administrador de directorio que puede administrar usuarios, grupos y directorios. El administrador de directorio puede administrar la integración del directorio para los directorios empresariales y los directorios locales de la organización. El administrador de directorio también puede administrar los usuarios y los grupos locales.
Figura 1. La pestaña Funciones en la consola de VMware Identity Manager

Puede asignar estas funciones predefinidas a los usuarios y los grupos del servicio. No puede modificar ni eliminar estas funciones.

También puede crear funciones de administrador personalizadas que confieran permisos limitados a servicios específicos de la consola de VMware Identity Manager. En del servicio, pueden seleccionarse operaciones específicas como el tipo de acción que se puede realizar en la función.

Se pueden asignar varias funciones a los mismos usuarios y grupos. Cuando se asigna más de una función a un usuario, el comportamiento de las funciones que se aplica es acumulativo. Por ejemplo, si se asignan dos funciones a un administrador, una con acceso de escritura a la administración de directivas y la otra sin él, ese administrador podrá modificar directivas.

El control de acceso basado en funciones se puede configurar para administrar los siguientes servicios en la consola del administrador.

Tipo de servicio

Descripción del servicio

Catálogo

El catálogo es el repositorio de todos los recursos de Workspace ONE que se pueden autorizar para los usuarios.

El servicio Catálogo puede administrar los siguientes tipos de acciones.

  • Aplicaciones web
  • Orígenes de aplicaciones
  • Aplicaciones de terceros
  • Colección de aplicaciones virtuales ThinApp
  • La colección de aplicaciones virtuales que incluye Horizon, Horizon Cloud y las aplicaciones basadas en Citrix.
Nota: Es necesario que un superadministrador inicie el flujo de primeros pasos en la página Colección de aplicaciones virtuales del Catálogo. Después del flujo de primeros pasos inicial, las funciones de administrador con el servicio Catálogo pueden administrar aplicaciones de escritorio y paquetes de ThinApp. Consulte Uso de las colecciones de aplicaciones virtuales para las integraciones de escritorio en la guía Configurar recursos en VMware Identity Manager 3.2.
Administración de directorios

El servicio Administración de directorios puede administrar los siguientes tipos de acciones de la organización o de los directorios específicos de su organización.

  • Directorio empresarial. El administrador puede agregar, editar y eliminar los directorios del servicio. Editar un directorio implica la administración de la configuración del directorio, incluida la configuración de sincronización.
  • Directorio local. El administrador puede crear, editar y eliminar los directorios locales. Editar un directorio incluye administrar la configuración y crear, editar y eliminar usuarios y grupos locales.

Cuando el servicio Administración de directorios está incluido en una función, el servicio Administración de acceso e identidad también debe estar configurado en la función.

Usuarios y grupos

El servicio Usuarios y grupos puede administrar los siguientes tipos de acciones en su organización total o en dominios específicos de su organización.

  • Grupos
  • Usuarios
  • Restablecimientos de contraseña para usuarios locales
Autorizaciones

El servicio Autorización puede asignar a los usuarios a aplicaciones virtuales y web.

Estos son los tipos de acciones de autorización que se pueden administrar. Para cada una de estas acciones, puede configurar la función de asignación de usuarios y grupos en todos los recursos de su organización o en aplicaciones específicas. También puede autorizar aplicaciones para usuarios y grupos de dominios específicos.

  • Autorizaciones de web
  • Autorizaciones de aplicaciones de terceros
Administración de funciones

El servicio Administración de funciones puede administrar la asignación de la función de administrador a los usuarios.

Al crear una función con el servicio Administración de funciones, debe configurar el servicio Usuario y grupos y seleccionar las acciones Administrar usuarios y Administrar grupos.

Los administradores que tienen asignada esta función pueden promover usuarios y grupos a la función de administrador y pueden eliminar la función de administrador de usuarios o grupos.

Administración de acceso e identidad

El servicio Administración de acceso e identidad puede administrar la configuración de la pestaña Administración de acceso e identidad. Para administrar la configuración del directorio, también se requiere el servicio Administración de directorios.

Nota: Los administradores con la función de Administración de acceso e identidad pueden integrar VMware Identity Manager con Workspace ONE UEM y crear el directorio desde Workspace ONE UEM Console.

Cuando agregue una función, seleccione el servicio y defina las acciones que podrán realizarse en el servicio. En algunos servicios, puede elegir administrar todos los recursos para la acción seleccionada o solo algunos recursos.

Administrar el acceso de solo lectura

El acceso de solo lectura se concede con cada función asignada a un administrador. También puede asignar usuarios y grupos a la función de solo lectura desde la página de funciones de administrador de solo lectura.

La función de administrador de solo lectura brinda a los usuarios acceso de administrador para ver la consola de VMware Identity Manager, pero, a menos que se asigne otra función con acceso adicional a los administradores, solo podrán ver el contenido de la consola de VMware Identity Manager.

Cuando se asigna la función de solo lectura como una función independiente, se puede eliminar desde la página de asignación de la función de administrador de solo lectura o desde la página del perfil del usuario o grupo.