Lors du processus d'authentification sur la console d'administration basée sur le cloud, après l'authentification sur l'écran de connexion initiale, une personne de votre organisation entre ses informations d'identification de compte d'utilisateur Active Directory dans le deuxième écran de connexion, en fonction du domaine Active Directory que vous avez enregistré dans l'environnement. Le système fournit des rôles prédéfinis que vous pouvez attribuer à vos différents groupes Active Directory. Ces rôles liés au domaine Active Directory contrôlent les zones de la console qui sont visibles et activées ou visibles et désactivées, car la personne connectée parcourt la console. Vous devez attribuer un rôle aux groupes Active Directory appropriés de votre organisation afin que les utilisateurs de ce groupe puissent utiliser la console pour effectuer les activités de travail que vous souhaitez.

Mémoriser : Comme décrit dans la section Visite d'Horizon Universal Console basée sur le cloud, la console de première génération est dynamique et reflète les fonctionnalités appropriées à la dernière configuration de votre environnement de locataire de première génération. L'accès aux fonctionnalités décrites dans cette documentation peut dépendre de facteurs, y compris, mais sans s'y limiter :
  • Si la fonctionnalité dépend du code système disponible uniquement dans le dernier manifeste d'espace Horizon Cloud de première génération, la version de l'espace Horizon ou la version d'Horizon Cloud Connector.
  • Si vous accédez ou non à la fonctionnalité en disponibilité limitée, comme indiqué dans les Notes de mise à jour au lancement de la fonctionnalité.
  • Si la fonctionnalité nécessite une gestion des licences ou des SKU spécifiques.

Lorsque la mention d'une fonctionnalité s'affiche dans cette documentation, mais pas cette fonctionnalité dans la console de première génération, consultez d'abord les Notes de mise à jour pour vérifier si l'accès de la fonctionnalité est limité et comment vous pouvez demander son activation dans votre locataire. Si vous pensez être autorisé à utiliser une fonctionnalité décrite dans cette documentation et qu'elle ne s'affiche pas dans la console, vous pouvez également demander à votre représentant VMware Horizon Cloud Service ou, si vous n'en avez pas, vous pouvez soumettre une demande de service (SR) à l'équipe Horizon Cloud Service comme décrit dans l'article 2006985 de la base de connaissances VMware Comment soumettre une demande de support dans Customer Connect.

Le rôle que vous attribuez à l'aide des étapes ici est l'un des deux types de rôles que la console utilise pour déterminer ce que la session authentifiée d'une personne permet à cette personne d'afficher dans la console et les actions qu'elle peut effectuer sur les éléments visibles dans la console.

Dans le workflow de connexion standard, l'écran de première connexion de la console utilise les comptes VMware Customer Connect, qui sont associés aux rôles à l'aide de la page Paramètres généraux. Ces comptes se nommaient précédemment My VMware.

Le deuxième écran de connexion utilise les informations d'identification d'Active Directory (AD), qui sont associées aux rôles sur cette page Rôles et autorisations. Ces rôles liés au domaine Active Directory (AD) déterminent la visibilité des fonctionnalités et des éléments de la console. Ce rôle détermine également les éléments de l'interface utilisateur qui peuvent s'afficher comme étant désactivés lorsque la personne parcourt la console.

Par exemple, une personne d'un groupe AD auquel est attribué le rôle Administrateur d'attributions peut effectuer des opérations liées à la gestion des attributions d'utilisateurs finaux et des batteries de serveurs, mais ne peut pas effectuer d'autres types d'opérations. Une personne d'un groupe AD disposant du rôle Administrateur de support technique en lecture seule peut accéder aux fiches pour les utilisateurs finaux et afficher les informations, mais ne peut pas effectuer des opérations de dépannage dans les sessions d'utilisateur. Par contre, une personne d'un groupe AD disposant du rôle Administrateur de support technique peut accéder à des informations sur les fiches utilisateur et les afficher, et également effectuer des opérations de dépannage dans des sessions d'utilisateur. Pour le rôle Administrateur de support technique, vous pouvez également limiter la portée des opérations de dépannage qu'un groupe AD peut effectuer.

Ces rôles liés au domaine AD fonctionnent en coordination avec les rôles sur les comptes VMware Customer Connect que les personnes de votre organisation utilisent pour se connecter à l'aide du workflow de connexion standard. Par conséquent, vous devez vous assurer que la combinaison globale des deux rôles continue de refléter les résultats souhaités pour un particulier, même si celui-ci est transféré vers des postes et des groupes AD différents de votre organisation. Pour plus d'informations sur les deux types de rôles et les couplages des meilleures pratiques des attributions de rôles, reportez-vous à la section Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Horizon Universal Console afin d'exploiter votre environnement Horizon Cloud.

Note : Les modifications de rôles que vous effectuez à l'aide de la plate-forme Horizon Cloud Service, via VMware Cloud Services sur cloud.vmware.com, ne s'affichent pas dans Horizon Universal Console. Vous devez apporter des modifications de rôles directement dans Horizon Universal Console, comme décrit ci-dessous.
Attention : Gardez à l'esprit que le rôle Super administrateur détermine les comptes d'utilisateurs AD qui peuvent se connecter à votre compte de locataire Horizon Cloud et effectuer des opérations administratives dans la console, y compris les étapes à suivre pour attribuer des rôles à vos groupes AD. Si vous ne disposez que d'un seul groupe AD attribué au rôle Super administrateur, ne supprimez pas ce groupe d'administrateurs de votre système Active Directory ou ne modifiez pas son GUID tel qu'il s'affiche dans votre système Active Directory jusqu'à ce que vous ayez ajouté un autre groupe d'administrateurs à ce rôle Super administrateur. Si vous supprimez le groupe de votre système Active Directory ou si vous le modifiez de sorte que son GUID dans votre système Active Directory change, cette modification n'est pas communiquée au plan de contrôle d'Horizon Cloud et les connaissances par Horizon Cloud de ce groupe AD disposant du rôle Super administrateur seront interrompues. Si ce groupe est le seul que vous ayez attribué au rôle Super administrateur, il se peut alors qu'aucun de vos comptes AD qui étaient en mesure de se connecter avec le niveau d'accès Super administrateur ne puisse se connecter et effectuer des opérations d'administration, y compris l'opération d'attribution du rôle à un groupe AD pour rétablir un ensemble de comptes AD avec l'accès Super administrateur. Le rôle Super administrateur est toujours attribué au compte de liaison de domaine. Si vous avez supprimé votre seul groupe AD attribué au rôle Super administrateur et que le compte de liaison de domaine ne se trouvait pas dans ce groupe, vous pouvez essayer de vous connecter à la console à l'aide des informations d'identification du compte de liaison de domaine et d'effectuer les étapes pour attribuer le rôle Super administrateur à un nouveau groupe AD. Cependant, si vous ne parvenez pas à vous connecter avec le compte de liaison de domaine, vous devrez contacter le support VMware pour vous aider à récupérer l'accès administratif à votre compte de locataire.
Important : Ces rôles d' Horizon Cloud ne peuvent être attribués qu'à des groupes. Le système ne permet pas de choisir des comptes d'utilisateurs Active Directory individuels pour chaque rôle.

Ce point selon lequel les rôles peuvent être uniquement attribués à des groupes et non à des comptes individuels implique également que vous devez éviter d'attribuer deux rôles au même groupe AD. Le rôle Super administrateur doit accorder l'ensemble des autorisations nécessaires pour effectuer toutes les actions de gestion dans la console, et le rôle Administrateur de démo est un rôle en lecture seule. Si vous attribuez ces deux rôles au même groupe AD, tous les utilisateurs de ce groupe ne reçoivent pas les autorisations du rôle de super administrateur. Leurs actions sont restreintes dans la console, ce qui peut empêcher la disponibilité de la gestion complète de votre environnement.

Les rôles prédéfinis suivants sont fournis par défaut. Les rôles prédéfinis ne peuvent pas être modifiés.

Tableau 1. Groupes de contrôle d’accès basé sur les rôles Horizon Cloud
Rôle Description
Super administrateur

Rôle obligatoire devant être attribué à au moins un groupe dans votre domaine AD et éventuellement à d'autres. Ce rôle accorde toutes les autorisations permettant d'accéder à toutes les zones de la console et d'effectuer des actions de gestion dans la console.

le rôle Super administrateur est toujours attribué aux comptes de liaison de domaine principal et auxiliaire, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console. Vous devez vous assurer que les comptes de liaison de domaine spécifiés ne sont pas accessibles aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.

Note : Si votre flotte dispose d'espaces exécutant des manifestes postérieurs à 1600.0, vous devez vous assurer que le compte de jonction de domaine se trouve dans l'un des groupes pour lesquels vous accordez le rôle Super administrateur. Pour plus d'informations, reportez-vous à la section Comptes de service dont Horizon Cloud a besoin pour ses opérations.
Administrateur d'attributions

Si votre environnement de locataire est activé pour cette capacité, vous pouvez éventuellement attribuer ce rôle à un ou plusieurs groupes. Les groupes AD disposant de ce rôle ont accès à la console pour créer, modifier et supprimer des attributions d'utilisateurs finaux et des batteries de serveurs. Les groupes disposant de ce rôle peuvent également effectuer des opérations liées à la gestion des attributions et des batteries de serveurs, telles que la configuration de VM, la gestion de l'alimentation et la configuration d'applications distantes.
Administrateur de support technique Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. L'objectif de ce rôle consiste à fournir un accès à la console afin que vos groupes AD disposant de ce rôle puissent utiliser les fonctionnalités de fiche utilisateur pour :
  • Reportez-vous à l'état des sessions d'utilisateurs finaux.
  • Effectuer des opérations de dépannage sur les sessions.

Par défaut, les groupes AD dotés de ce rôle disposent d'autorisations pour effectuer des opérations de dépannage dans des sessions associées à l'attribution ou la batterie de serveurs répertoriées dans la console. Si votre environnement de locataire est activé pour cette capacité, vous pouvez également modifier éventuellement les autorisations d'un groupe afin de limiter la portée des opérations de dépannage de ce groupe aux sessions associées à certaines attributions et batteries de serveurs. Pour modifier la portée des autorisations d'un groupe, cliquez sur l'icône de modification de ce groupe.

Note : Si vous incluez une attribution ou une batterie de serveurs dans la portée des autorisations d'un groupe AD et tentez ultérieurement de supprimer cette attribution ou cette batterie de serveurs, elle est immédiatement supprimée de la portée des autorisations du groupe. Si le processus de suppression échoue et que l'attribution ou la batterie de serveurs est toujours présente, vous devez la rajouter manuellement dans la portée des autorisations pour conserver l'accès du groupe à celle-ci.
Administrateur de support technique en lecture seule Rôle que vous pouvez éventuellement attribuer à un des nombreux groupes. L'objectif de ce rôle consiste à fournir un accès à la console afin que vos groupes AD disposant de ce rôle puissent utiliser les fonctionnalités de fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux.
Administrateur de démo Rôle que vous pouvez éventuellement attribuer à un ou plusieurs groupes. En cas de couplage avec le rôle Administrateur du client en lecture seule sur le compte VMware Customer Connect, les utilisateurs de ce groupe peuvent afficher les paramètres et sélectionner les options permettant de consulter d'autres choix dans la console. Toutefois, les sélections ne modifient pas les paramètres de configuration.

Conditions préalables

  • Avant d’attribuer des rôles à vos groupes Active Directory existants, examinez l’appartenance au compte d’utilisateur dans les groupes Active Directory pour vous assurer qu'un compte d’utilisateur reçoit uniquement un de ces rôles d'Horizon Cloud. Créez des groupes Active Directory spécifiques, si nécessaire. Étant donné que ces rôles sont attribués au niveau du groupe Active Directory, des résultats inattendus peuvent se produire si le compte Active Directory d'un utilisateur appartient à deux groupes Active Directory et qu'un rôle différent est attribué à chaque groupe. Les fonctionnalités de la console s'affichent en fonction de cet ordre de priorité :
    1. Super administrateur
    2. Administrateur d'attributions
    3. Administrateur de support technique
    4. Administrateur de démo
    5. Administrateur de support technique en lecture seule

    À la suite de cet ordre de priorité, si le compte Active Directory d'un utilisateur appartient à la fois aux groupes Active Directory ADGroup1 et ADGroup2, et que vous attribuez le rôle Super administrateur à ADGroup1 et le rôle Administrateur de support technique en lecture seule à ADGroup2, la console affiche toutes les fonctionnalités en fonction du rôle Super administrateur, au lieu du sous-ensemble de fonctionnalités pour l'autre rôle, car le rôle Super administrateur est prioritaire.

  • Vérifiez également les rôles attribués aux comptes VMware Customer Connect des membres du groupe pour vous assurer que ces rôles sont conformes à celui que vous attribuez à leur groupe Active Directory. Suivez les associations de meilleures pratiques décrites dans Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Horizon Universal Console afin d'exploiter votre environnement Horizon Cloud.
Important : Le système prend en charge l'attribution d'un nombre maximal total de 64 groupes Active Directory uniques dans tous les rôles prédéfinis d' Horizon Cloud.

Procédure

  1. Dans la console, accédez à Paramètres > Rôles et autorisations.
  2. Sélectionnez l'un des rôles prédéfinis et cliquez sur Modifier.
  3. Utilisez la zone de recherche pour rechercher et sélectionner un groupe Active Directory.
    Pour que les résultats s’affichent, vous devez taper au moins trois caractères dans la zone de recherche.
    Le groupe est ajouté à l'ensemble de groupes sélectionnés.
  4. Cliquez sur Enregistrer.
    Important : Le système empêche d'enregistrer les groupes sélectionnés dans le rôle si l'action d'enregistrement entraîne le dépassement du nombre maximal de groupes Active Directory pris en charge pouvant être attribués à tous les rôles. Le maximum pris en charge est indiqué dans la section Conditions préalables de cette rubrique de la documentation.

Que faire ensuite

Assurez-vous que les utilisateurs du groupe de domaines disposent des rôles appropriés sur leurs comptes VMware Customer Connect. Reportez-vous aux sections Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Horizon Universal Console afin d'exploiter votre environnement Horizon Cloud et Attribuez des rôles administratifs aux utilisateurs de votre organisation pour qu'ils se connectent et effectuent des actions dans votre environnement de locataire Horizon Cloud à l'aide de la Horizon Universal Console.