La capacité d'effectuer des tâches dans Horizon Console est déterminée par un système de contrôle d'accès composé de rôles et de privilèges d'administrateur. Ce système est similaire au système de contrôle d'accès du vCenter Server.
Un rôle d'administrateur est un ensemble de privilèges. Les privilèges accordent la possibilité d'effectuer des actions spécifiques, comme autoriser un utilisateur sur un pool de postes de travail. Les privilèges contrôlent également ce qu'un administrateur peut voir dans Horizon Console. Par exemple, si un administrateur ne dispose pas de privilèges pour voir ou modifier des stratégies générales, le paramètre Stratégies générales n'est pas visible dans le volet de navigation lorsque l'administrateur ouvre une session sur Horizon Console. Si un administrateur ne dispose pas de privilèges pour modifier des stratégies globales, les boutons de la page Stratégies globales sont désactivés et les stratégies globales ne peuvent pas être modifiées lorsque l'administrateur se connecte à Horizon Console.
Les privilèges d'administrateur sont généraux ou spécifiques de l'objet. Les privilèges généraux contrôlent les opérations système, telles que l'affichage et la modification des paramètres généraux. Les privilèges propres à l'objet contrôlent les opérations effectuées sur des types d'objets spécifiques.
Les rôles d'administrateur combinent généralement tous les privilèges individuels requis pour effectuer une tâche d'administration à un niveau supérieur. Horizon Console comporte des rôles prédéfinis qui contiennent les privilèges requis pour effectuer des tâches d'administration habituelles. Vous pouvez attribuer ces rôles prédéfinis à vos utilisateurs et groupes d'administrateurs, ou créer vos propres rôles personnalisés en combinant des privilèges sélectionnés. Vous ne pouvez pas modifier les rôles prédéfinis.
Pour créer des administrateurs, vous sélectionnez des utilisateurs et des groupes dans vos utilisateurs et groupes Active Directory et affectez des rôles d'administrateur. Si le rôle contient des privilèges spécifiques à l'objet, vous devrez peut-être appliquer le rôle à un groupe d'accès, à un groupe d'accès de fédérations (environnements Architecture Cloud Pod uniquement) ou aux deux. Les administrateurs obtiennent des privilèges via leurs affectations de rôle. Vous ne pouvez pas affecter de privilèges directement à des administrateurs. Un administrateur qui a plusieurs affectations de rôle acquiert la somme de tous les privilèges contenus dans ces rôles.
Pour plus d'informations sur la configuration des groupes d'accès de fédérations pour déléguer l'administration des droits globaux, reportez-vous au document Architecture Cloud Pod dans Horizon.