El servicio de Workspace ONE Access utiliza el control de acceso basado en funciones para gestionar las funciones de administrador. Con el control de acceso basado en funciones, puede crear funciones operativas que controlen el acceso del administrador a las tareas en la consola de Workspace ONE Access, y asignar las funciones a uno o varios usuarios y grupos.

El servicio de Workspace ONE Access tiene integradas tres funciones de administrador predefinidas: superadministrador, administrador de solo lectura y administrador de directorio. Puede asignar estas funciones predefinidas a los usuarios y los grupos del servicio. No puede modificar ni eliminar estas funciones.

En las implementaciones de Workspace ONE Access en la nube, se crea un usuario administrador local como primer superadministrador en el dominio del sistema del directorio del sistema al configurar el tenant por primera vez. El nombre de este usuario es admin. Las credenciales que recibe cuando obtiene un nuevo tenant pertenecen a este usuario administrador local.

La función de superadministrador puede acceder a todas las características y las funciones de los servicios de Workspace ONE Access y administrarlas. Puede asignar la función de superadministrador a otros usuarios en el directorio del sistema. Como práctica recomendada, conceda la función de superadministrador solo a algunos usuarios determinados.

La función de administrador de solo lectura puede ver los detalles de las páginas de la consola de Workspace ONE Access, incluido el panel de control y los informes, pero no puede realizar ningún cambio. A todas las funciones de administrador se les asigna automáticamente la función de solo lectura.

Nota: Algunas páginas de la consola de Workspace ONE Access no están habilitadas para que pueda verlas un administrador autorizado para la función de solo lectura. Cuando los administradores de solo lectura intentan ver las páginas, se los redirige al panel de control.

La función de administrador de directorio puede administrar usuarios, grupos y directorios. El administrador de directorio puede administrar la integración del directorio para los directorios empresariales y los directorios locales de la organización. El administrador de directorio también puede administrar los usuarios y los grupos locales.

También puede crear funciones de administrador personalizadas que confieran permisos limitados a servicios específicos de la consola de Workspace ONE Access. En del servicio, pueden seleccionarse operaciones específicas como el tipo de acción que se puede realizar en la función.

Cómo aplicar funciones de administrador a diferentes servicios

El control de acceso basado en funciones se puede configurar para administrar los siguientes servicios en la consola del administrador. Se pueden asignar varias funciones a los mismos usuarios y grupos. Cuando se asigna más de una función a un usuario, el comportamiento de las funciones que se aplica es acumulativo. Por ejemplo, si se asignan dos funciones a un administrador, una con acceso de escritura a la administración de directivas y la otra sin él, ese administrador podrá modificar directivas.

Tipo de servicio

Descripción del servicio

Catálogo

El catálogo es el repositorio de todos los recursos que se pueden autorizar para los usuarios.

El servicio Catálogo puede administrar los siguientes tipos de acciones.

  • Aplicaciones web
  • Orígenes de aplicaciones
  • Aplicaciones de terceros
  • Colección de aplicaciones virtuales ThinApp
  • La colección de aplicaciones virtuales que incluye Horizon, Horizon Cloud y las aplicaciones basadas en Citrix.
Nota: Es necesario que un superadministrador inicie el flujo de primeros pasos en la página Colección de aplicaciones virtuales del Catálogo. Después del flujo de primeros pasos inicial, las funciones de administrador con el servicio Catálogo pueden administrar aplicaciones de escritorio y paquetes de ThinApp.
Administración de directorios

El servicio Administración de directorios puede administrar los siguientes tipos de acciones de la organización o de los directorios específicos de su organización.

  • Directorio empresarial. El administrador puede agregar, editar y eliminar los directorios del servicio. Editar un directorio implica la administración de la configuración del directorio, incluida la configuración de sincronización.
  • Directorio local. El administrador puede crear, editar y eliminar los directorios locales. Editar un directorio incluye administrar la configuración y crear, editar y eliminar usuarios y grupos locales.

Cuando el servicio Administración de directorios está incluido en una función, el servicio Administración de acceso e identidad también debe estar configurado en la función.

Usuarios y grupos

El servicio Usuarios y grupos puede administrar los siguientes tipos de acciones en su organización total o en dominios específicos de su organización.

  • Grupos
  • Usuarios
  • Restablecimientos de contraseña para usuarios locales
Autorizaciones

El servicio Autorización puede asignar a los usuarios a aplicaciones virtuales y web.

Estos son los tipos de acciones de autorización que se pueden administrar. Para cada una de estas acciones, puede configurar la función de asignación de usuarios y grupos en todos los recursos de su organización o en aplicaciones específicas. También puede autorizar aplicaciones para usuarios y grupos de dominios específicos.

  • Autorizaciones de web
  • Autorizaciones de aplicaciones de terceros
Administración de funciones

El servicio Administración de funciones puede administrar la asignación de la función de administrador a los usuarios.

Al crear una función con el servicio Administración de funciones, debe configurar el servicio Usuario y grupos y seleccionar las acciones Administrar usuarios y Administrar grupos.

Los administradores que tienen asignada esta función pueden promover usuarios y grupos a la función de administrador y pueden eliminar la función de administrador de usuarios o grupos.

Administración de acceso e identidad

El servicio Administración de acceso e identidad puede administrar las siguientes áreas desde la consola de Workspace ONE Access.

  • Recursos > Directivas
  • Integraciones > Métodos de autenticación, Conectores, Conectores (heredados), Directorios, Métodos de autenticación del conector, Proveedores de identidades, Vínculo mágico, Catálogo de Okta e Integración de UEM
    Nota: Para administrar la configuración del directorio, también se requiere el servicio Administración de directorios.
  • Configuración > Detección automática, Personalización de marca, Preferencias de inicio de sesión, Directiva de contraseñas, Recuperación de contraseñas, Términos de uso y Atributos de usuario
Nota: Los administradores con la función de Administración de acceso e identidad pueden integrar Workspace ONE Access con Workspace ONE UEM y crear el directorio desde Workspace ONE UEM Console.

Cuando agregue una función, seleccione el servicio y defina las acciones que podrán realizarse en el servicio. En algunos servicios, puede elegir administrar todos los recursos para la acción seleccionada o solo algunos recursos.

Administrar el acceso de solo lectura

El acceso de solo lectura se concede con cada función asignada a un administrador. También puede asignar usuarios y grupos a la función de solo lectura cuando los agregue a los directorios locales.

La función de administrador de solo lectura brinda a los usuarios acceso de administrador para ver la consola de Workspace ONE Access, pero, a menos que se asigne otra función con acceso adicional a los administradores, solo podrán ver el contenido de la consola de Workspace ONE Access.

Cuando se asigna la función de solo lectura como una función independiente, se puede eliminar desde la página de asignación de la función de administrador de solo lectura o desde la página del perfil del usuario o grupo.