Cette rubrique de la documentation décrit les meilleures pratiques pour les deux types de rôles que vous devez attribuer aux personnes pour qu'elles puissent se connecter à la Horizon Universal Console et utiliser votre environnement Horizon Cloud. Un type de rôle est utilisé pour activer ou désactiver différentes parties de l'interface utilisateur de la Horizon Universal Console. L'autre type de rôle est utilisé pour déterminer les actions que peuvent appeler les personnes disposant de ce rôle. Vous devez vous assurer que la combinaison finale des deux rôles que vous attribuez à un utilisateur spécifique reflète le résultat souhaité pour cette personne.
Les sections suivantes décrivent les deux types de rôles et les combinaisons de meilleures pratiques à utiliser en fonction des scénarios standard dans des organisations typiques.
- Si la fonctionnalité dépend du code système disponible uniquement dans le dernier manifeste d'espace Horizon Cloud de première génération, la version de l'espace Horizon ou la version d'Horizon Cloud Connector.
- Si vous accédez ou non à la fonctionnalité en disponibilité limitée, comme indiqué dans les Notes de mise à jour au lancement de la fonctionnalité.
- Si la fonctionnalité nécessite une gestion des licences ou des SKU spécifiques.
Lorsque la mention d'une fonctionnalité s'affiche dans cette documentation, mais pas cette fonctionnalité dans la console de première génération, consultez d'abord les Notes de mise à jour pour vérifier si l'accès de la fonctionnalité est limité et comment vous pouvez demander son activation dans votre locataire. Si vous pensez être autorisé à utiliser une fonctionnalité décrite dans cette documentation et qu'elle ne s'affiche pas dans la console, vous pouvez également demander à votre représentant VMware Horizon Cloud Service ou, si vous n'en avez pas, vous pouvez soumettre une demande de service (SR) à l'équipe Horizon Cloud Service comme décrit dans l'article 2006985 de la base de connaissances VMware Comment soumettre une demande de support dans Customer Connect.
Rôles qui activent ou désactivent différentes parties de l'interface utilisateur de la console pour les personnes du groupe Active Directory qui dispose de ce rôle
Ces rôles sont prédéfinis dans le système et sont liés à vos groupes Active Directory. Lorsqu'un utilisateur s'authentifie dans votre environnement Horizon Cloud, la console détecte le groupe Active Directory (AD) dans lequel se trouve le compte de cet utilisateur. La console identifie également lequel de ces rôles est attribué à ce groupe AD sur la page Rôles et autorisations de la console. Ensuite, lorsque la personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console, ces éléments s'affichent comme étant activés ou désactivés en fonction du rôle attribué du groupe AD de la personne.
Vous pouvez appliquer chacun de ces rôles au niveau d'un groupe AD. Étant donné qu'ils s'appliquent au niveau d'un groupe plutôt qu'à un niveau individuel, tous les utilisateurs du même groupe AD reçoivent le rôle que vous attribuez à ce groupe Active Directory à l'aide de la page Rôles et autorisations de la console. Vous pouvez contrôler les utilisateurs qui se trouvent dans vos groupes AD de votre environnement AD. Par conséquent, lorsque vous déplacez des utilisateurs dans votre environnement AD d'un groupe AD à un autre, vous devez vous assurer qu'ils sont transférés vers un groupe qui dispose de l'un des rôles qui continuent de s'aligner sur leur autre rôle attribué : celui-ci est attribué à leur compte My VMware. Lorsque vous transférez un utilisateur d'un groupe AD à un autre, vous devez vérifier si l'autre type de rôle, celui qui est attribué au compte My VMware de cet utilisateur, nécessitera peut-être un ajustement pour rester aligné sur le rôle de ce type de rôle attribué au nouveau groupe AD de l'utilisateur.
Le rôle de Help Desk Read Only Administrator
constitue un exemple de l'un de ces rôles. Lorsque ce rôle est attribué à un groupe AD sur la page Rôles et autorisations, la console permet aux utilisateurs de ce groupe d'accéder aux fiches des utilisateurs finaux et d'afficher les informations, mais pas d'effectuer des opérations sur les postes de travail.
Rôles qui déterminent les actions qui peuvent être appelées par des personnes dont ce rôle est attribué à leur compte My VMware
Comme l'autre type de rôle, ceux-ci sont prédéfinis dans le système. Ces rôles sont associés aux comptes My VMware qui sont configurés dans la zone Comptes My VMware de la page Paramètres généraux. Lorsqu'un utilisateur s'authentifie dans votre environnement Horizon Cloud, la console détecte quel rôle est attribué au compte My VMware utilisé pour authentifier la session de connexion. Ensuite, lorsque la personne tente d'appeler une action dans la console, le système autorise ou refuse l'appel d'API, en fonction de ce rôle attribué au compte My VMware de la personne connectée sur la page Paramètres généraux.
Par conséquent, après l'authentification initiale sur la console, ce rôle attribué fonctionne souvent conjointement avec l'autre type de rôle attribué :
- La personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console et voit les éléments de l'interface utilisateur s'afficher comme étant activés ou désactivés en fonction du rôle attribué du groupe AD de la personne.
- Lorsque cette personne clique sur un bouton qui invoque un appel d'API à effectuer une action, si le rôle attribué à son compte My VMware n'autorise pas l'exécution de cette action, l'appel d'API échoue et l'action ne se termine pas.
Cinq combinaisons de rôles de meilleures pratiques standard
Du fait qu'un comportement contradictoire peut se produire lorsque les deux rôles d'une personne ne sont pas alignés conformément au tableau ci-dessous, il est recommandé d'aligner les rôles accordés aux utilisateurs de votre organisation conformément au tableau suivant. Le système ne vous empêche pas d'attribuer un rôle à un groupe AD plus permissif que le rôle attribué aux comptes My VMware des utilisateurs de ce groupe. Si un utilisateur appartient à plusieurs groupes AD, assurez-vous que les rôles attribués à ces groupes sur la page Rôles et autorisations sont également alignés les uns sur les autres et avec le rôle sur le compte My VMware de l'utilisateur.
Rôle sur le compte My VMware de la personne sur la page Paramètres généraux | Rôle dans le groupe Active Directory de la personne sur la page Rôles et autorisations | Description |
---|---|---|
Administrateur de client | Super administrateur | Accès complet pour afficher toutes les zones de la console et effectuer toutes les actions à l'intérieur. |
Administrateur d'attributions client | Administrateur d'attributions | Possibilité d'afficher toutes les zones de la console et d'effectuer des actions liées à la modification et à la gestion des attributions d'utilisateurs finaux et des batteries de serveurs. |
Administrateur du client en lecture seule | Administrateur de démo | Possibilité d'afficher toutes les zones de la console, d'afficher les paramètres et de sélectionner des options pour consulter d'autres choix, et sans pouvoir appeler des actions qui modifient l'environnement, telles que la suppression d'éléments. Voici un exemple d'utilisation de cette combinaison pour permettre aux personnes de votre organisation de se connecter et de démontrer les capacités du système à d'autres utilisateurs, tout en évitant de modifier le système. |
Support technique de client | Administrateur de support technique | Accès pour afficher les zones liées au support technique de la console et effectuer toutes les actions liées au support technique fournies par la console. L'objectif de cette combinaison est de permettre aux personnes d'utiliser les fonctionnalités de la fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux et d'effectuer des opérations de dépannage sur les sessions. |
Support technique de client en lecture seule | Administrateur de support technique en lecture seule | Accès pour afficher les zones liées au support technique de la console et consulter l'état des sessions d'utilisateurs finaux dans la fiche utilisateur, tout en empêchant d'appeler les actions liées au support technique. |
Lorsque vous souhaitez empêcher une personne de disposer d'un accès à l'affichage en lecture seule à la console pour toutes les zones à l'intérieur
Si vous souhaitez qu'un utilisateur puisse parcourir toutes les pages de l'interface utilisateur de la console, ouvrir des boîtes de dialogue et afficher des rapports, mais l'empêcher également d'appeler des actions qui modifient les éléments de votre environnement de locataire, vous devez vous assurer que les deux conditions suivantes sont remplies :
- Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle
Customer Administrator Read-Only
à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôleCustomer Administrator Read-Only
. - Sur la page Rôles et autorisations, attribuez le rôle
Demo Administrator
au groupe Active Directory de cet utilisateur.
Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci, les parcourir, ouvrir les boîtes de dialogue et afficher les rapports, et ne pas être autorisé à appeler des actions qui modifient les éléments de l'environnement.
Lorsque vous souhaitez empêcher une personne de disposer de l'accès aux fonctionnalités du support technique de la console et d'avoir également la possibilité d'effectuer des actions dans la fiche utilisateur
Si vous souhaitez qu'un utilisateur puisse se connecter à la console, mais ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique, et pas à toutes les zones de la console, tout en lui permettant d'effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :
- Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle
Customer Helpdesk
à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôleCustomer Helpdesk
. - Sur la page Rôles et autorisations, attribuez le rôle
Help Desk Administrator
au groupe Active Directory de cet utilisateur.
Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, consulter les fonctionnalités liées au service d'assistance et effectuer les actions liées au support technique.
Lorsque vous souhaitez empêcher une personne de disposer d'un accès en lecture seule aux fonctionnalités du support technique de la console
Si vous souhaitez qu'un utilisateur puisse se connecter à la console, et ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique en lecture seule et à effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :
- Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle
Customer Helpdesk Read-Only
à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôleCustomer Helpdesk Read-Only
. - Sur la page Rôles et autorisations, attribuez le rôle
Help Desk Read Only Administrator
au groupe Active Directory de cet utilisateur.
Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console et utiliser les fonctionnalités liées au support technique en lecture seule.
Lorsque vous souhaitez empêcher une personne de disposer d'un accès aux fonctionnalités liées aux attributions et aux batteries de serveurs de la console
Si vous souhaitez qu'un utilisateur ait accès à la console pour effectuer des opérations liées à la gestion des attributions d'utilisateurs finaux et des batteries de serveurs, et un accès en lecture seule à toutes les autres zones de la console, assurez-vous que les deux conditions suivantes sont remplies :
- Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle
Customer Assignment Administrator
à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôleCustomer Assignment Administrator
. - Sur la page Rôles et autorisations, attribuez le rôle
Assignment Administrator
au groupe Active Directory de cet utilisateur.
Si c'est le cas, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci et les afficher, puis appeler des actions qui créent, modifient ou suppriment les attributions d'utilisateurs finaux et les batteries de serveurs. L'utilisateur peut également effectuer des opérations liées à la gestion des attributions et des batteries de serveurs, telles que la configuration des VM, la gestion de l'alimentation et la configuration d'applications distantes.
Lorsque vous souhaitez qu'une personne dispose d'un accès complet à la console, pour toutes les zones et les actions à l'intérieur
Si vous souhaitez qu'un utilisateur dispose d'un accès complet à la console pour afficher toutes ses zones et appeler des actions qui modifient les éléments de votre environnement de locataire, assurez-vous que les deux conditions suivantes sont remplies :
- Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle
Customer Administrator
à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôleCustomer Administrator
. - Sur la page Rôles et autorisations, attribuez le rôle
Super Administrator
au groupe Active Directory de cet utilisateur.
Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci et appeler des actions qui modifient les éléments de l'environnement.