Les types de rôles suivants peuvent être accordés dans le serveur VMware Identity Manager.

Les trois rôles d'administrateur prédéfinis sont les suivants.

  • Rôle de super administrateur pouvant accéder et gérer toutes les fonctionnalités et fonctions dans les services de VMware Identity Manager.

    Le premier super administrateur est l'utilisateur administrateur local que VMware Identity Manager crée lorsque vous configurez le service pour la première fois. Le service crée l'administrateur dans le domaine système de l'annuaire système. Vous pouvez attribuer d'autres utilisateurs au rôle de super administrateur dans l'annuaire système. Il est recommandé d'accorder le rôle de super administrateur à quelques privilégiés.

  • Rôle d'administrateur en lecture seule pouvant afficher les détails sur les pages de la console d'administration, notamment le tableau de bord et les rapports, mais ne pouvant pas apporter de modifications. Tous les rôles d'administrateur se voient automatiquement accorder le rôle en lecture seule.

  • Rôle d'administrateur d'annuaire pouvant gérer des utilisateurs, des groupes et des annuaires. L'administrateur d'annuaire peut gérer l'intégration à la fois des annuaires d'entreprise et des annuaires locaux au sein de votre entreprise. L'administrateur d'annuaire peut également gérer les utilisateurs et les groupes locaux.

Figure 1. Onglet Rôles de la console d'administration de VMware Identity Manager

Vous pouvez attribuer ces rôles prédéfinis à des utilisateurs et des groupes dans votre service. Vous ne pouvez pas modifier ou supprimer ces rôles.

Vous pouvez également créer des rôles d'administrateur personnalisés qui donnent des autorisations limitées à des services spécifiques dans la console d'administration. Dans le service, des opérations spécifiques peuvent être sélectionnées comme type d'action pouvant être effectuée dans le rôle.

Plusieurs rôles peuvent être attribués au même utilisateur et aux mêmes groupes. Lorsque plusieurs rôles sont accordés à un utilisateur, le comportement des rôles appliqués est cumulatif. Par exemple, si deux rôles sont attribués à un administrateur, l'un avec accès en écriture à la gestion des stratégies et l'autre sans, cet administrateur peut modifier les stratégies.

Le contrôle d'accès basé sur des rôles peut être configuré afin de gérer les services suivants dans la console d'administration.

Type de service

Description du service

Catalogue

Le catalogue est le référentiel de toutes les ressources de Workspace ONE pouvant être octroyées aux utilisateurs.

Le service de catalogue peut gérer les types d'actions suivants.

  • Applications web

  • Sources d'application

  • Applications tierces

  • Collecte d'applications virtuelles ThinApp

  • Collecte d'applications virtuelles qui inclut Horizon, Horizon Cloud et des applications Citrix.

Remarque :

Un super administrateur est requis pour initier le flux de démarrage sur la page Collecte d'applications virtuelles du catalogue. Après le flux de démarrage initial, les rôles d'administrateur avec le service de catalogue peuvent gérer des modules ThinApp et des applications de poste de travail. Reportez-vous à la section Utilisation des collectes d'applications virtuelles pour les intégrations de postes de travail dans le guide Configuration des ressources dans VMware Identity Manager 3.2.

Gestion des annuaires

Le service Gestion des annuaires peut gérer les types d'actions suivants pour l'entreprise ou pour des annuaires spécifiques dans votre entreprise.

  • Annuaire d'entreprise. L'administrateur peut ajouter, modifier et supprimer des annuaires dans le service. La modification d'un annuaire inclut la gestion des paramètres de l'annuaire, notamment les paramètres de synchronisation.

  • Annuaire local. L'administrateur peut créer, modifier et supprimer des annuaires locaux. La modification d'un annuaire inclut la gestion des paramètres et la création, la modification et la suppression d'utilisateurs et de groupes locaux.

Lorsque le service Gestion des annuaires est inclus dans un rôle, le service Identité et gestion de l'accès doit également être configuré dans le rôle.

Utilisateurs et groupes

Le service Utilisateurs et groupes peut gérer les types d'actions suivants dans toute votre entreprise ou pour des domaines spécifiques dans votre entreprise.

  • Groupes

  • Utilisateurs

  • Réinitialisation des mots de passe des utilisateurs locaux

Droits

Le service Droit peut attribuer des utilisateurs à des applications Web et virtuelles.

Les types d'actions de droit suivants peuvent être gérés. Pour chacune de ces actions, vous pouvez configurer le rôle pour attribuer des utilisateurs et des groupes à toutes les ressources de votre entreprise ou à des applications spécifiques. Vous pouvez également attribuer des applications à des utilisateurs et des groupes au sein de domaines spécifiques.

  • Droits Web

  • Droits tiers

Administration des rôles

Le service Administration des rôles peut gérer l'attribution du rôle d'administrateur aux utilisateurs.

Lorsque vous créez un rôle avec le service Administration des rôles, vous devez configurer le service Utilisateurs et groupes et sélectionner les actions Gérer les utilisateurs et Gérer les groupes.

Les administrateurs avec ce rôle peuvent promouvoir des utilisateurs et des groupes au rôle d'administrateur et retirer le rôle d'administrateur à des utilisateurs ou des groupes.

Gestion des identités et des accès

Le service Identité et gestion de l'accès peut gérer les paramètres dans l'onglet Identité et gestion de l'accès. Pour gérer les paramètres d'annuaire, le service Gestion des annuaires est également requis.

Remarque :

Les administrateurs disposant du rôle Identité et gestion de l'accès peuvent intégrer VMware Identity Manager à AirWatch et créer l'annuaire à partir d'AirWatch.

Lorsque vous ajoutez un rôle, vous sélectionnez le service et définissez les actions pouvant être effectuées dans le service. Dans certains services, vous pouvez choisir de gérer toutes les ressources pour l'action sélectionnée ou certaines ressources.

Gérer l'accès en lecture seule

L'accès en lecture seule est octroyé à chaque rôle attribué à un administrateur. Vous pouvez également attribuer des utilisateurs et des groupes au rôle en lecture seule à partir de la page des rôles Administrateur en lecture seule.

Le rôle d'administrateur en lecture seule donne aux utilisateurs un accès d'administration pour afficher la console d'administration, mais si un administrateur reçoit un autre rôle avec un accès supplémentaire, il ne peut voir que le contenu de la console d'administration.

Lorsque vous attribuez le rôle en lecture seule comme rôle distinct, vous pouvez supprimer le rôle de la page Attribution du rôle Administrateur en lecture seule ou de la page des profils d'utilisateur ou de groupe.