Cette rubrique de la documentation décrit les meilleures pratiques pour les deux types de rôles que vous devez attribuer aux personnes pour qu'elles puissent se connecter à la Console d'administration d'Horizon Cloud et utiliser votre environnement Horizon Cloud. Un type de rôle est utilisé pour activer ou désactiver différentes parties de l'interface utilisateur de la Console d'administration d'Horizon Cloud. L'autre type de rôle est utilisé pour déterminer les actions que les personnes, disposant de ce rôle, peuvent appeler. Vous devez vous assurer que la combinaison finale des deux rôles que vous attribuez à un individu spécifique reflète le résultat souhaité pour ce particulier.

Important : Étant donné qu'un type de rôle régit ce que l'utilisateur peut consulter dans la console et que l'autre type de rôle régit l'appel des actions, vous devez vous assurer que la combinaison globale des deux rôles dont un individu spécifique dispose reflète les résultats souhaités pour ce particulier. Les combinaisons de meilleures pratiques sont décrites dans les sections suivantes. Si vous ne suivez pas ces recommandations, des contradictions peuvent s'ensuivre. Si les rôles attribués ne sont, par exemple, pas conformes aux instructions décrites dans ce document, un individu peut se connecter à la console et ne pas être en mesure d'effectuer les actions censées être effectuées. L'utilisateur peut également se connecter et être en mesure d'effectuer des actions indésirables. Par contre, il est important d'aligner le rôle de l'individu dans la zone Comptes My VMware de la page Paramètres généraux sur celui attribué au groupe Active Directory de cet individu sur la page Rôles et autorisations.

Les sections suivantes décrivent les deux types de rôles et les combinaisons de meilleures pratiques à utiliser en fonction des scénarios standard dans des organisations typiques.

Rôles qui activent ou désactivent différentes parties de l'interface utilisateur de la console pour les personnes du groupe Active Directory qui dispose de ce rôle

Ces rôles sont prédéfinis dans le système et sont liés à vos groupes Active Directory. Lorsqu'un individu s'authentifie dans votre environnement Horizon Cloud, la console détecte dans quel groupe Active Directory le compte de cet individu se trouve. La console identifie également lequel de ces rôles est attribué à ce groupe Active Directory sur la page Rôles et autorisations de la console. Ensuite, lorsque la personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console, ces éléments s'affichent comme étant activés ou désactivés en fonction du rôle attribué du groupe Active Directory de la personne.

Important : Ce point selon lequel les rôles peuvent être uniquement attribués à des groupes et pas à des comptes d'utilisateur Active Directory individuels implique également que vous devez éviter d'attribuer deux rôles au même groupe de domaines Active Directory. Si vous attribuez deux de ces rôles au même groupe Active Directory et qu'un individu de ce groupe se connecte, lorsque la console identifie que les deux rôles sont attribués au groupe de cet individu, alors qu'il parcourt les pages de l'interface utilisateur, il peut consulter les éléments désactivés, car l'un des deux rôles empêche son accès à ces éléments.

Appliquez chacun de ces rôles au niveau d'un groupe Active Directory. Étant donné qu'ils s'appliquent au niveau d'un groupe plutôt qu'à un niveau individuel, tous les individus du même groupe Active Directory obtiennent le rôle que vous attribuez à ce groupe Active Directory à l'aide de la page Rôles et autorisations de la console. Contrôlez les individus qui se trouvent dans vos groupes Active Directory de votre environnement Active Directory. Par conséquent, lorsque vous déplacez des individus dans votre environnement Active Directory d'un groupe Active Directory à un autre, vous devez vous assurer qu'ils sont transférés vers un groupe qui dispose de l'un des rôles qui continuent de s'aligner sur leur autre rôle attribué : celui-ci est attribué à leur compte My VMware. Lorsque vous transférez un individu d'un groupe Active Directory à un autre, vous devez vérifier si l'autre type de rôle, celui qui est attribué au compte My VMware de cet individu, nécessitera peut-être un ajustement pour rester aligné sur le rôle de ce type de rôle attribué au nouveau groupe Active Directory de l'individu.

Le rôle de Help Desk Read Only Administrator constitue un exemple de l'un de ces rôles. Lorsque ce rôle est attribué à un groupe Active Directory sur la page Rôles et autorisations, la console permet aux individus de ce groupe d'accéder aux fiches des utilisateurs finaux et d'afficher les informations, mais pas d'effectuer des opérations sur les postes de travail.

Rôles qui déterminent les actions qui peuvent être appelées par des personnes dont ce rôle est attribué à leur compte My VMware

Comme l'autre type de rôle, ceux-ci sont prédéfinis dans le système. Ces rôles sont associés aux comptes My VMware qui sont configurés dans la zone Comptes My VMware de la page Paramètres généraux. Lorsqu'un individu s'authentifie dans votre environnement Horizon Cloud, la console détecte quel rôle est attribué au compte My VMware utilisé pour authentifier la session de connexion. Ensuite, lorsque la personne tente d'appeler une action dans la console, le système autorise ou refuse l'appel d'API, en fonction de ce rôle attribué au compte My VMware de la personne connectée sur la page Paramètres généraux.

Par conséquent, après l'authentification initiale sur la console, ce rôle attribué fonctionne souvent conjointement avec l'autre type de rôle attribué :

  1. La personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console et voit les éléments de l'interface utilisateur s'afficher comme étant activés ou désactivés en fonction du rôle attribué du groupe Active Directory de la personne.
  2. Lorsque cette personne clique sur un bouton qui invoque un appel d'API à effectuer une action, si le rôle attribué à son compte My VMware n'autorise pas l'exécution de cette action, l'appel d'API échoue et l'action ne se termine pas.
Important : Étant donné que dans la console, ce rôle fonctionne conjointement avec le rôle attribué au groupe Active Directory d'une personne, ce dernier déterminant quels éléments de la console sont actifs et le premier déterminant les actions dont l'exécution est autorisée lors d'un clic sur un élément, vous devez vous assurer que la combinaison globale des deux rôles dont dispose un individu spécifique reflète les résultats souhaités pour ce particulier. Sinon, des résultats contradictoires peuvent s'ensuivre. Lorsque vous transférez un utilisateur d'un groupe Active Directory à un autre, vérifiez que le rôle sur son compte My VMware est aligné sur celui de son nouveau groupe Active Directory et ajustez-le si nécessaire. Les combinaisons de meilleures pratiques standard sont décrites dans les sections suivantes.

Quatre combinaisons de rôles de meilleures pratiques standard

Du fait qu'un comportement contradictoire peut se produire lorsque les deux rôles d'une personne ne sont pas alignés conformément au tableau ci-dessous, il est recommandé d'aligner les rôles accordés aux individus de votre organisation conformément au tableau suivant. Le système ne vous empêche pas d'attribuer un rôle à un groupe Active Directory plus permissif que le rôle attribué aux comptes My VMware des individus de ce groupe. Si un utilisateur appartient à plusieurs groupes Active Directory, assurez-vous que les rôles attribués à ces groupes sur la page Rôles et autorisations sont également alignés les uns sur les autres et avec le rôle sur le compte My VMware de l'utilisateur.

Rôle sur le compte My VMware de la personne sur la page Paramètres généraux Rôle dans le groupe Active Directory de la personne sur la page Rôles et autorisations Description
Administrateur de client Super administrateur Accès complet pour afficher toutes les zones de la console et effectuer toutes les actions à l'intérieur.
Administrateur du client en lecture seule Administrateur de démo Possibilité d'afficher toutes les zones de la console, d'afficher les paramètres et de sélectionner des options pour consulter d'autres choix, et sans pouvoir appeler des actions qui modifient l'environnement, telles que la suppression d'éléments. Voici un exemple d'utilisation de cette combinaison pour permettre aux personnes de votre organisation de se connecter et de démontrer les capacités du système à d'autres individus, tout en évitant de modifier le système.
Support technique de client Administrateur de support technique Accès pour afficher les zones liées au support technique de la console et effectuer toutes les actions liées au support technique fournies par la console. L'objectif de cette combinaison est de permettre aux personnes d'utiliser les fonctionnalités de la fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux et d'effectuer des opérations de dépannage sur les sessions.
Support technique de client en lecture seule Administrateur de support technique en lecture seule Accès pour afficher les zones liées au support technique de la console et consulter l'état des sessions d'utilisateurs finaux dans la fiche utilisateur, tout en empêchant d'appeler les actions liées au support technique.

Lorsque vous souhaitez empêcher une personne de disposer d'un accès à l'affichage en lecture seule à la console pour toutes les zones à l'intérieur

Si vous souhaitez qu'un utilisateur puisse parcourir toutes les pages de l'interface utilisateur de la console, ouvrir des boîtes de dialogue et afficher des rapports, mais l'empêcher également d'appeler des actions qui modifient les éléments de votre environnement de locataire, vous devez vous assurer que les deux conditions suivantes sont remplies :

  • Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Administrator Read-Only à son compte My VMware. Si le compte de cet individu répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Administrator Read-Only.
  • Sur la page Rôles et autorisations, attribuez le rôle Demo Administrator au groupe Active Directory de cet individu.

Lorsque ces deux conditions sont remplies, l'individu peut se connecter à la console, accéder à toutes les pages de la console, les parcourir, ouvrir les boîtes de dialogue et afficher les rapports, et ne pas être autorisé à appeler des actions qui modifient les éléments de l'environnement.

Note : Étant donné que la page Rôles et autorisations fonctionne au niveau du groupe Active Directory et non au niveau d'un compte individuel, vous devez vous assurer que le groupe Active Directory dispose des comptes individuels appropriés à l'intérieur en fonction de vos besoins organisationnels.

Lorsque vous souhaitez empêcher une personne de disposer de l'accès aux fonctionnalités du support technique de la console et d'avoir également la possibilité d'effectuer des actions dans la fiche utilisateur

Si vous souhaitez qu'un individu puisse se connecter à la console, mais ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique, et pas à toutes les zones de la console, tout en lui permettant d'effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :

  • Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Helpdesk à son compte My VMware. Si le compte de cet individu répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Helpdesk.
  • Sur la page Rôles et autorisations, attribuez le rôle Help Desk Administrator au groupe Active Directory de cet individu.

Lorsque ces deux conditions sont remplies, l'individu peut se connecter à la console, consulter les fonctionnalités liées au service d'assistance et effectuer les actions liées au support technique.

Note : Étant donné que la page Rôles et autorisations fonctionne au niveau du groupe Active Directory et non au niveau d'un compte individuel, vous devez vous assurer que le groupe Active Directory dispose des comptes individuels appropriés à l'intérieur en fonction de vos besoins organisationnels.

Lorsque vous souhaitez empêcher une personne de disposer d'un accès en lecture seule aux fonctionnalités du support technique de la console

Si vous souhaitez qu'un individu puisse se connecter à la console, et ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique en lecture seule et à effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :

  • Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Helpdesk Read-Only à son compte My VMware. Si le compte de cet individu répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Helpdesk Read-Only.
  • Sur la page Rôles et autorisations, attribuez le rôle Help Desk Read Only Administrator au groupe Active Directory de cet individu.

Lorsque ces deux conditions sont remplies, l'individu peut se connecter à la console et utiliser les fonctionnalités liées au support technique en lecture seule.

Note : Étant donné que la page Rôles et autorisations fonctionne au niveau du groupe Active Directory et non au niveau d'un compte individuel, vous devez vous assurer que le groupe Active Directory dispose des comptes individuels appropriés à l'intérieur en fonction de vos besoins organisationnels.

Lorsque vous souhaitez qu'une personne dispose d'un accès complet à la console, pour toutes les zones et les actions à l'intérieur

Si vous souhaitez qu'un utilisateur dispose d'un accès complet à la console pour afficher toutes ses zones et appeler des actions qui modifient les éléments de votre environnement de locataire, assurez-vous que les deux conditions suivantes sont remplies :

  • Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Administrator à son compte My VMware. Si le compte de cet individu répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Administrator.
  • Sur la page Rôles et autorisations, attribuez le rôle Super Administrator au groupe Active Directory de cet individu.

Lorsque ces deux conditions sont remplies, l'individu peut se connecter à la console, accéder à toutes les pages de la console et appeler des actions qui modifient les éléments de l'environnement.

Note : Étant donné que la page Rôles et autorisations fonctionne au niveau du groupe Active Directory et non au niveau d'un compte individuel, vous devez vous assurer que le groupe Active Directory dispose des comptes individuels appropriés à l'intérieur en fonction de vos besoins organisationnels.