El servicio Workspace ONE Access utiliza el control de acceso basado en funciones (RBAC) para gestionar las funciones de administrador. Con el control de acceso basado en funciones, puede crear funciones operativas que controlen el acceso del administrador a las tareas en la consola de Workspace ONE Access y asignar las funciones a uno o varios usuarios y grupos.

Las tres funciones de administrador predefinidas están integradas en el servicio Workspace ONE Access.

  • Superadministrador. La función de superadministrador puede acceder a todas las características y funciones de los servicios de Workspace ONE Access y administrarlas. Los superadministradores pueden asignar funciones de administrador a usuarios y grupos, así como administrar las funciones de administrador. Como práctica recomendada, conceda la función de superadministrador solo a algunos usuarios determinados.

    En los tenants en la nube de Workspace ONE Access, se crea un usuario administrador local como primer superadministrador en el dominio del sistema del directorio del sistema al configurar el tenant por primera vez. El nombre de este usuario es admin. Las credenciales que recibe cuando obtiene un nuevo tenant pertenecen a este usuario administrador local.

  • Administrador de solo lectura. La función de administrador de solo lectura puede ver los detalles de las páginas de la consola de Workspace ONE Access, incluido el panel de control y los informes, pero no puede realizar ningún cambio. A todas las funciones de administrador se les asigna automáticamente la función de solo lectura. También puede asignar usuarios y grupos a la función de solo lectura cuando los agregue a los directorios locales.

    La función de administrador de solo lectura brinda a los usuarios acceso de administrador para ver la consola de Workspace ONE Access, pero, a menos que se asigne otra función con acceso adicional a los administradores, solo podrán ver el contenido de la consola de Workspace ONE Access.

    Nota: Algunas páginas de la consola de Workspace ONE Access no están habilitadas para que pueda verlas un administrador autorizado para la función de solo lectura. Cuando los administradores de solo lectura intentan ver las páginas, se los redirige al panel de control.
  • Administrador de directorio. La función de administrador de directorio puede administrar usuarios, grupos y directorios. El administrador de directorio puede administrar la integración del directorio para los directorios empresariales y los directorios locales de la organización. El administrador de directorio también puede administrar los usuarios y los grupos locales.

También puede crear funciones de administrador personalizadas que confieran permisos limitados a tipos de servicio específicos de la consola de Workspace ONE Access. En estos servicios se pueden seleccionar operaciones específicas como el tipo de acción que se puede realizar en la función.

Cómo aplicar funciones de administrador a diferentes servicios

Puede crear funciones de control de acceso para administrar seis tipos diferentes de servicios en la consola de Workspace ONE Access. Se pueden asignar varias funciones a los mismos usuarios y grupos. Cuando se asigna más de una función a un usuario, el comportamiento de las funciones que se aplica es acumulativo. Por ejemplo, si un administrador tiene asignadas dos funciones, una con acceso de escritura al servicio Administración de acceso e identidad (puede administrar directivas) y otra sin este tipo de acceso, dicho administrador podrá modificar directivas.

Cuando agregue una función, seleccione el tipo de servicio y defina las acciones que podrán realizarse en el servicio. En algunos servicios, puede elegir administrar todos los recursos para la acción seleccionada o solo algunos recursos.

Tipo de servicio

Descripción del servicio

Catálogo

El catálogo es el repositorio de todos los recursos que se pueden autorizar para los usuarios.

El servicio Catálogo puede administrar los siguientes tipos de acciones.

  • Aplicaciones web
  • Orígenes de aplicaciones
  • Aplicaciones de terceros
  • Colección de aplicaciones virtuales ThinApp
  • La colección de aplicaciones virtuales que incluye Horizon, Horizon Cloud y las aplicaciones basadas en Citrix.
Nota: Es necesario que un superadministrador inicie el flujo de primeros pasos en la página Colección de aplicaciones virtuales del Catálogo. Después del flujo de primeros pasos inicial, las funciones de administrador con el servicio Catálogo pueden administrar aplicaciones de escritorio y paquetes de ThinApp.
Administración de directorios

El servicio Administración de directorios puede administrar los siguientes tipos de acciones de la organización o de los directorios específicos de su organización.

  • Directorio empresarial. El administrador puede agregar, editar y eliminar directorios en el servicio Workspace ONE Access. Editar un directorio implica la administración de la configuración del directorio, incluida la configuración de sincronización.
  • Directorio local. El administrador puede crear, editar y eliminar los directorios locales. Editar un directorio incluye administrar la configuración y crear, editar y eliminar usuarios y grupos locales.
Importante: Al crear una función con el servicio Administración de directorio, también debe configurar el servicio Administración de acceso e identidad en la función.
Usuarios y grupos

El servicio Usuarios y grupos puede administrar los siguientes tipos de acciones en su organización total o en dominios específicos de su organización.

  • Grupos
  • Usuarios
  • Restablecimientos de contraseña para usuarios locales
Autorizaciones

El servicio Autorización puede asignar a los usuarios a aplicaciones virtuales y web.

Estos son los tipos de acciones de autorización que se pueden administrar. Para cada una de estas acciones, puede configurar la función de asignación de usuarios y grupos en todos los recursos de su organización o en aplicaciones específicas. También puede autorizar aplicaciones para usuarios y grupos de dominios específicos.

  • Autorizaciones de web
  • Autorizaciones de aplicaciones de terceros
Administración de funciones

El servicio Administración de funciones puede administrar la asignación de la función de administrador a los usuarios.

Al crear una función con el servicio Administración de funciones, debe configurar el servicio Usuario y grupos y seleccionar las acciones Administrar usuarios y Administrar grupos.

Los administradores que tienen asignada esta función pueden promover usuarios y grupos a la función de administrador y pueden eliminar la función de administrador de usuarios o grupos.

Administración de acceso e identidad

El servicio Administración de acceso e identidad puede administrar las siguientes áreas desde la consola de Workspace ONE Access.

  • Recursos > Directivas
  • Integraciones > Métodos de autenticación, Conectores, Conectores (heredados), Directorios, Métodos de autenticación del conector, Proveedores de identidades, Vínculo mágico, Catálogo de Okta e Integración de UEM
    Nota: Para administrar la configuración de directorios, debe incluir el servicio Administración de directorio en la función.
  • Configuración > Personalización de marca, Preferencias de inicio de sesión, Directiva de contraseña, Recuperación de contraseñas y Atributos de usuario
Nota: Los administradores con la función que incluye el servicio Administración de acceso e identidad pueden integrar Workspace ONE Access con Workspace ONE UEM y crear el directorio desde Workspace ONE UEM Console.