Par défaut, les droits globaux sont créés dans le groupe d'accès de fédérations racine, qui s'affiche comme / ou Root(/) dans Horizon Console. Vous pouvez créer des groupes d'accès de fédérations sous le groupe d'accès de fédérations racine pour déléguer l'administration de droits globaux spécifiques à différents administrateurs.
Vous configurez l'accès administrateur aux droits globaux et aux sessions globales dans un groupe d'accès de fédération en attribuant un rôle à un administrateur sur ce groupe d'accès de fédération. Les administrateurs peuvent accéder aux droits globaux et aux sessions globales qui résident uniquement dans des groupes d'accès de fédérations pour lesquels des rôles leur ont été attribués. Le rôle dont un administrateur dispose sur un groupe d'accès de fédérations détermine le niveau d'accès de l'administrateur sur les droits globaux et les sessions globales de ce groupe d'accès de fédérations.
Comme les privilèges de rôle sont hérités du groupe d'accès de fédérations racine, un administrateur qui dispose d'un rôle sur le groupe d'accès de fédérations racine détient les privilèges de ce rôle sur tous les groupes d'accès de fédérations. Les administrateurs qui disposent du rôle Administrateurs sur le groupe d'accès de fédération racine sont des super administrateurs, car ils ont un accès complet à tous les objets du système.
Pour s'appliquer à un groupe d'accès de fédération, un rôle doit contenir au moins un privilège spécifique à un objet applicable aux groupes d'accès à la fédération. Vous ne pouvez pas appliquer de rôles contenant uniquement des privilèges globaux ou des privilèges spécifiques à un groupe d'accès aux groupes d'accès de fédérations. Pour obtenir des informations complètes sur les privilèges, l'étendue des privilèges et les rôles dans VMware Horizon 8, reportez-vous à la section « Configuration d'administration déléguée basée sur des rôles » du document Administration d'Horizon 8.
Vous pouvez utiliser Horizon Console pour configurer et gérer des groupes d'accès de fédérations. Lorsque vous créez un droit d'accès global, vous pouvez accepter le groupe d'accès à la fédération racine par défaut ou sélectionner un groupe d'accès de fédération différent.