Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Horizon Universal Console afin d'exploiter votre environnement Horizon Cloud

Cette rubrique de la documentation décrit les meilleures pratiques pour les deux types de rôles que vous devez attribuer aux personnes pour qu'elles puissent se connecter à la Horizon Universal Console et utiliser votre environnement Horizon Cloud. Un type de rôle est utilisé pour activer ou désactiver différentes parties de l'interface utilisateur de la Horizon Universal Console. L'autre type de rôle est utilisé pour déterminer les actions que peuvent appeler les personnes disposant de ce rôle. Vous devez vous assurer que la combinaison finale des deux rôles que vous attribuez à un utilisateur spécifique reflète le résultat souhaité pour cette personne.

Important : Étant donné qu'un type de rôle régit ce que l'utilisateur peut consulter dans la console et que l'autre type de rôle régit l'appel des actions, vous devez vous assurer que la combinaison globale des deux rôles dont un utilisateur spécifique dispose reflète les résultats souhaités pour cette personne. Les combinaisons de meilleures pratiques sont décrites dans les sections suivantes. Le non-respect de ces recommandations peut entraîner des contradictions. Si les rôles attribués ne sont, par exemple, pas conformes aux instructions décrites dans ce document, un utilisateur peut se connecter à la console et ne pas être en mesure d'effectuer les actions censées être effectuées. L'utilisateur peut également se connecter et être en mesure d'effectuer des actions indésirables. Par contre, il est important d'aligner le rôle de l'utilisateur dans la zone Comptes My VMware de la page Paramètres généraux sur celui attribué au groupe Active Directory de cet utilisateur sur la page Rôles et autorisations.

Les sections suivantes décrivent les deux types de rôles et les combinaisons de meilleures pratiques à utiliser en fonction des scénarios standard dans des organisations typiques.

Mémoriser : Comme décrit dans la section Visite d'Horizon Universal Console basée sur le cloud, la console de première génération est dynamique et reflète les fonctionnalités appropriées à la dernière configuration de votre environnement de locataire de première génération. L'accès aux fonctionnalités décrites dans cette documentation peut dépendre de facteurs, y compris, mais sans s'y limiter :

Si la fonctionnalité dépend du code système disponible uniquement dans le dernier manifeste d'espace Horizon Cloud de première génération, la version de l'espace Horizon ou la version d'Horizon Cloud Connector.
Si vous accédez ou non à la fonctionnalité en disponibilité limitée, comme indiqué dans les Notes de mise à jour au lancement de la fonctionnalité.
Si la fonctionnalité nécessite une gestion des licences ou des SKU spécifiques.

Lorsque la mention d'une fonctionnalité s'affiche dans cette documentation, mais pas cette fonctionnalité dans la console de première génération, consultez d'abord les Notes de mise à jour pour vérifier si l'accès de la fonctionnalité est limité et comment vous pouvez demander son activation dans votre locataire. Si vous pensez être autorisé à utiliser une fonctionnalité décrite dans cette documentation et qu'elle ne s'affiche pas dans la console, vous pouvez également demander à votre représentant VMware Horizon Cloud Service ou, si vous n'en avez pas, vous pouvez soumettre une demande de service (SR) à l'équipe Horizon Cloud Service comme décrit dans l'article 2006985 de la base de connaissances VMware Comment soumettre une demande de support dans Customer Connect.

Rôles qui activent ou désactivent différentes parties de l'interface utilisateur de la console pour les personnes du groupe Active Directory qui dispose de ce rôle

Ces rôles sont prédéfinis dans le système et sont liés à vos groupes Active Directory. Lorsqu'un utilisateur s'authentifie dans votre environnement Horizon Cloud, la console détecte le groupe Active Directory (AD) dans lequel se trouve le compte de cet utilisateur. La console identifie également lequel de ces rôles est attribué à ce groupe AD sur la page Rôles et autorisations de la console. Ensuite, lorsque la personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console, ces éléments s'affichent comme étant activés ou désactivés en fonction du rôle attribué du groupe AD de la personne.

Important : Ce point selon lequel les rôles peuvent être uniquement attribués à des groupes et non à des comptes d'utilisateur AD individuels implique également que vous devez éviter d'attribuer deux rôles au même groupe de domaines AD. Si vous attribuez deux de ces rôles au même groupe AD et qu'un utilisateur de ce groupe se connecte, lorsque la console identifie que les deux rôles sont attribués au groupe de cet utilisateur, alors qu'il parcourt les pages de l'interface utilisateur, il peut consulter les éléments désactivés, car l'un des deux rôles empêche son accès à ces éléments.

Vous pouvez appliquer chacun de ces rôles au niveau d'un groupe AD. Étant donné qu'ils s'appliquent au niveau d'un groupe plutôt qu'à un niveau individuel, tous les utilisateurs du même groupe AD reçoivent le rôle que vous attribuez à ce groupe Active Directory à l'aide de la page Rôles et autorisations de la console. Vous pouvez contrôler les utilisateurs qui se trouvent dans vos groupes AD de votre environnement AD. Par conséquent, lorsque vous déplacez des utilisateurs dans votre environnement AD d'un groupe AD à un autre, vous devez vous assurer qu'ils sont transférés vers un groupe qui dispose de l'un des rôles qui continuent de s'aligner sur leur autre rôle attribué : celui-ci est attribué à leur compte My VMware. Lorsque vous transférez un utilisateur d'un groupe AD à un autre, vous devez vérifier si l'autre type de rôle, celui qui est attribué au compte My VMware de cet utilisateur, nécessitera peut-être un ajustement pour rester aligné sur le rôle de ce type de rôle attribué au nouveau groupe AD de l'utilisateur.

Le rôle de Help Desk Read Only Administrator constitue un exemple de l'un de ces rôles. Lorsque ce rôle est attribué à un groupe AD sur la page Rôles et autorisations, la console permet aux utilisateurs de ce groupe d'accéder aux fiches des utilisateurs finaux et d'afficher les informations, mais pas d'effectuer des opérations sur les postes de travail.

Rôles qui déterminent les actions qui peuvent être appelées par des personnes dont ce rôle est attribué à leur compte My VMware

Comme l'autre type de rôle, ceux-ci sont prédéfinis dans le système. Ces rôles sont associés aux comptes My VMware qui sont configurés dans la zone Comptes My VMware de la page Paramètres généraux. Lorsqu'un utilisateur s'authentifie dans votre environnement Horizon Cloud, la console détecte quel rôle est attribué au compte My VMware utilisé pour authentifier la session de connexion. Ensuite, lorsque la personne tente d'appeler une action dans la console, le système autorise ou refuse l'appel d'API, en fonction de ce rôle attribué au compte My VMware de la personne connectée sur la page Paramètres généraux.

Par conséquent, après l'authentification initiale sur la console, ce rôle attribué fonctionne souvent conjointement avec l'autre type de rôle attribué :

La personne parcourt les pages, les onglets et les fenêtres de l'interface utilisateur de la console et voit les éléments de l'interface utilisateur s'afficher comme étant activés ou désactivés en fonction du rôle attribué du groupe AD de la personne.
Lorsque cette personne clique sur un bouton qui invoque un appel d'API à effectuer une action, si le rôle attribué à son compte My VMware n'autorise pas l'exécution de cette action, l'appel d'API échoue et l'action ne se termine pas.

Important : Étant donné que dans la console, ce rôle fonctionne en coordination avec le rôle attribué au groupe AD d'une personne, ce dernier déterminant quels éléments de la console sont actifs et le premier déterminant les actions dont l'exécution est autorisée lors d'un clic sur un élément, vous devez vous assurer que la combinaison globale des deux rôles dont dispose un utilisateur spécifique reflète les résultats souhaités pour ce particulier. Sinon, cela peut entraîner des résultats contradictoires. Lorsque vous transférez un utilisateur d'un groupe AD à un autre, vérifiez que le rôle sur son compte My VMware est aligné sur celui de son nouveau groupe AD et ajustez-le si nécessaire. Les combinaisons de meilleures pratiques standard sont décrites dans les sections suivantes.

Cinq combinaisons de rôles de meilleures pratiques standard

Du fait qu'un comportement contradictoire peut se produire lorsque les deux rôles d'une personne ne sont pas alignés conformément au tableau ci-dessous, il est recommandé d'aligner les rôles accordés aux utilisateurs de votre organisation conformément au tableau suivant. Le système ne vous empêche pas d'attribuer un rôle à un groupe AD plus permissif que le rôle attribué aux comptes My VMware des utilisateurs de ce groupe. Si un utilisateur appartient à plusieurs groupes AD, assurez-vous que les rôles attribués à ces groupes sur la page Rôles et autorisations sont également alignés les uns sur les autres et avec le rôle sur le compte My VMware de l'utilisateur.


Rôle sur le compte My VMware de la personne sur la page Paramètres généraux	Rôle dans le groupe Active Directory de la personne sur la page Rôles et autorisations	Description
Administrateur de client	Super administrateur	Accès complet pour afficher toutes les zones de la console et effectuer toutes les actions à l'intérieur.
Administrateur d'attributions client	Administrateur d'attributions	Possibilité d'afficher toutes les zones de la console et d'effectuer des actions liées à la modification et à la gestion des attributions d'utilisateurs finaux et des batteries de serveurs.
Administrateur du client en lecture seule	Administrateur de démo	Possibilité d'afficher toutes les zones de la console, d'afficher les paramètres et de sélectionner des options pour consulter d'autres choix, et sans pouvoir appeler des actions qui modifient l'environnement, telles que la suppression d'éléments. Voici un exemple d'utilisation de cette combinaison pour permettre aux personnes de votre organisation de se connecter et de démontrer les capacités du système à d'autres utilisateurs, tout en évitant de modifier le système.
Support technique de client	Administrateur de support technique	Accès pour afficher les zones liées au support technique de la console et effectuer toutes les actions liées au support technique fournies par la console. L'objectif de cette combinaison est de permettre aux personnes d'utiliser les fonctionnalités de la fiche utilisateur pour consulter l'état des sessions d'utilisateurs finaux et d'effectuer des opérations de dépannage sur les sessions.
Support technique de client en lecture seule	Administrateur de support technique en lecture seule	Accès pour afficher les zones liées au support technique de la console et consulter l'état des sessions d'utilisateurs finaux dans la fiche utilisateur, tout en empêchant d'appeler les actions liées au support technique.

Lorsque vous souhaitez empêcher une personne de disposer d'un accès à l'affichage en lecture seule à la console pour toutes les zones à l'intérieur

Si vous souhaitez qu'un utilisateur puisse parcourir toutes les pages de l'interface utilisateur de la console, ouvrir des boîtes de dialogue et afficher des rapports, mais l'empêcher également d'appeler des actions qui modifient les éléments de votre environnement de locataire, vous devez vous assurer que les deux conditions suivantes sont remplies :

Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Administrator Read-Only à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Administrator Read-Only.
Sur la page Rôles et autorisations, attribuez le rôle Demo Administrator au groupe Active Directory de cet utilisateur.

Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci, les parcourir, ouvrir les boîtes de dialogue et afficher les rapports, et ne pas être autorisé à appeler des actions qui modifient les éléments de l'environnement.

Note : Étant donné que la page Rôles et autorisations fonctionne au niveau du groupe AD et non au niveau d'un compte individuel, vous devez vous assurer que le groupe AD dispose des comptes individuels appropriés à l'intérieur en fonction de vos besoins organisationnels.

Lorsque vous souhaitez empêcher une personne de disposer de l'accès aux fonctionnalités du support technique de la console et d'avoir également la possibilité d'effectuer des actions dans la fiche utilisateur

Si vous souhaitez qu'un utilisateur puisse se connecter à la console, mais ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique, et pas à toutes les zones de la console, tout en lui permettant d'effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :

Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Helpdesk à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Helpdesk.
Sur la page Rôles et autorisations, attribuez le rôle Help Desk Administrator au groupe Active Directory de cet utilisateur.

Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, consulter les fonctionnalités liées au service d'assistance et effectuer les actions liées au support technique.

Lorsque vous souhaitez empêcher une personne de disposer d'un accès en lecture seule aux fonctionnalités du support technique de la console

Si vous souhaitez qu'un utilisateur puisse se connecter à la console, et ne pas être autorisé à accéder uniquement aux fonctionnalités liées au support technique en lecture seule et à effectuer des actions liées au support technique, vous devez vous assurer que les deux conditions suivantes sont remplies :

Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Helpdesk Read-Only à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Helpdesk Read-Only.
Sur la page Rôles et autorisations, attribuez le rôle Help Desk Read Only Administrator au groupe Active Directory de cet utilisateur.

Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console et utiliser les fonctionnalités liées au support technique en lecture seule.

Lorsque vous souhaitez empêcher une personne de disposer d'un accès aux fonctionnalités liées aux attributions et aux batteries de serveurs de la console

Si vous souhaitez qu'un utilisateur ait accès à la console pour effectuer des opérations liées à la gestion des attributions d'utilisateurs finaux et des batteries de serveurs, et un accès en lecture seule à toutes les autres zones de la console, assurez-vous que les deux conditions suivantes sont remplies :

Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Assignment Administrator à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Assignment Administrator.
Sur la page Rôles et autorisations, attribuez le rôle Assignment Administrator au groupe Active Directory de cet utilisateur.

Si c'est le cas, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci et les afficher, puis appeler des actions qui créent, modifient ou suppriment les attributions d'utilisateurs finaux et les batteries de serveurs. L'utilisateur peut également effectuer des opérations liées à la gestion des attributions et des batteries de serveurs, telles que la configuration des VM, la gestion de l'alimentation et la configuration d'applications distantes.

Lorsque vous souhaitez qu'une personne dispose d'un accès complet à la console, pour toutes les zones et les actions à l'intérieur

Si vous souhaitez qu'un utilisateur dispose d'un accès complet à la console pour afficher toutes ses zones et appeler des actions qui modifient les éléments de votre environnement de locataire, assurez-vous que les deux conditions suivantes sont remplies :

Dans la zone Comptes My VMware de la page Paramètres généraux, attribuez le rôle Customer Administrator à son compte My VMware. Si le compte de cet utilisateur répertorie un autre rôle à cet emplacement, vous pouvez supprimer sa ligne de la section Comptes My VMware et la rajouter, en spécifiant cette fois-ci le rôle Customer Administrator.
Sur la page Rôles et autorisations, attribuez le rôle Super Administrator au groupe Active Directory de cet utilisateur.

Lorsque ces deux conditions sont remplies, l'utilisateur peut se connecter à la console, accéder à toutes les pages de celle-ci et appeler des actions qui modifient les éléments de l'environnement.