Le service Workspace ONE Access utilise le contrôle d'accès basé sur des rôles pour gérer les rôles d'administrateur. Avec le contrôle d'accès basé sur les rôles, vous créez des rôles fonctionnels qui contrôlent l'accès administrateur aux tâches dans la console Workspace ONE Access et vous attribuez les rôles à un ou plusieurs utilisateurs et groupes.

Trois rôles administrateur prédéfinis sont intégrés dans le service Workspace ONE Access, super administrateur, administrateur en lecture seule et administrateur de répertoire. Vous pouvez attribuer ces rôles prédéfinis à des utilisateurs et des groupes dans votre service. Vous ne pouvez pas modifier ou supprimer ces rôles.

Pour les déploiements Cloud de Workspace ONE Access, un utilisateur Admin de locataire local est créé en tant que premier super administrateur dans le domaine système du répertoire système lors de la première configuration du locataire. Le nom de cet utilisateur est admin. Les informations d'identification que vous recevez lorsque vous obtenez un nouveau locataire appartiennent à cet utilisateur Admin local.

Le rôle de super administrateur peut accéder à toutes les fonctionnalités et fonctions, et les gérer dans les services de Workspace ONE Access. Vous pouvez attribuer d'autres utilisateurs au rôle de super administrateur dans l'annuaire système. Il est recommandé d'accorder le rôle de super administrateur à quelques privilégiés.

Le rôle d'administrateur en lecture seule peut afficher les détails sur les pages de la console Workspace ONE Access, notamment le tableau de bord et les rapports, mais ne peut pas apporter de modifications. Tous les rôles d'administrateur se voient automatiquement accorder le rôle en lecture seule.

Note : Certaines pages de la console Workspace ONE Access ne sont pas activées pour être affichées par un administrateur disposant uniquement du rôle en lecture seule. Lorsque des administrateurs en lecture seule tentent d'afficher ces pages, ils sont redirigés vers le tableau de bord.

Le rôle d'administrateur d'annuaire peut gérer les utilisateurs, les groupes et les annuaires. L'administrateur d'annuaire peut gérer l'intégration à la fois des annuaires d'entreprise et des annuaires locaux au sein de votre entreprise. L'administrateur d'annuaire peut également gérer les utilisateurs et les groupes locaux.

Vous pouvez également créer des rôles d'administrateur personnalisés qui donnent des autorisations limitées à des services spécifiques dans la console Workspace ONE Access. Dans le service, des opérations spécifiques peuvent être sélectionnées comme type d'action pouvant être effectuée dans le rôle.

Comment appliquer des rôles d'administrateur à différents services

Vous pouvez configurer le contrôle d'accès basé sur les rôles pour gérer les services suivants dans la console d'administration. Plusieurs rôles peuvent être attribués au même utilisateur et aux mêmes groupes. Lorsqu'un utilisateur est attribué à plusieurs rôles, le comportement des rôles appliqués est additif. Par exemple, si deux rôles sont attribués à un administrateur, l'un avec accès en écriture à la gestion des stratégies et l'autre sans, cet administrateur peut modifier les stratégies.

Type de service

Description du service

Catalogue

Le catalogue est le référentiel de toutes les ressources qui peuvent être attribuées aux utilisateurs.

Le service de catalogue peut gérer les types d'actions suivants.

  • Applications web
  • Sources d'application
  • Applications tierces
  • Collecte d'applications virtuelles ThinApp
  • Collecte d'applications virtuelles qui inclut Horizon, Horizon Cloud et des applications Citrix.
Note : Un super administrateur est requis pour initier le flux de démarrage sur la page Collecte d'applications virtuelles du catalogue. Après le flux de démarrage initial, les rôles d'administrateur avec le service de catalogue peuvent gérer des modules ThinApp et des applications de poste de travail.
Gestion des annuaires

Le service Gestion des annuaires peut gérer les types d'actions suivants pour l'entreprise ou pour des annuaires spécifiques dans votre entreprise.

  • Annuaire d'entreprise. L'administrateur peut ajouter, modifier et supprimer des annuaires dans le service. La modification d'un annuaire inclut la gestion des paramètres de l'annuaire, notamment les paramètres de synchronisation.
  • Annuaire local. L'administrateur peut créer, modifier et supprimer des annuaires locaux. La modification d'un annuaire inclut la gestion des paramètres et la création, la modification et la suppression d'utilisateurs et de groupes locaux.

Lorsque le service Gestion des annuaires est inclus dans un rôle, le service Gestion des identités et des accès doit également être configuré dans le rôle.

Utilisateurs et groupes

Le service Utilisateurs et groupes peut gérer les types d'actions suivants dans toute votre entreprise ou pour des domaines spécifiques dans votre entreprise.

  • Groupes
  • Utilisateurs
  • Réinitialisation des mots de passe des utilisateurs locaux
Droits

Le service Droit peut attribuer des utilisateurs à des applications Web et virtuelles.

Les types d'actions de droit suivants peuvent être gérés. Pour chacune de ces actions, vous pouvez configurer le rôle pour attribuer des utilisateurs et des groupes à toutes les ressources de votre entreprise ou à des applications spécifiques. Vous pouvez également attribuer des applications à des utilisateurs et des groupes au sein de domaines spécifiques.

  • Droits Web
  • Droits tiers
Administration des rôles

Le service Administration des rôles peut gérer l'attribution du rôle d'administrateur aux utilisateurs.

Lorsque vous créez un rôle avec le service Administration des rôles, vous devez configurer le service Utilisateurs et groupes et sélectionner les actions Gérer les utilisateurs et Gérer les groupes.

Les administrateurs avec ce rôle peuvent promouvoir des utilisateurs et des groupes au rôle d'administrateur et retirer le rôle d'administrateur à des utilisateurs ou des groupes.

Gestion des identités et des accès

Le service Gestion des identités et des accès peut gérer les zones suivantes à partir de la console Workspace ONE Access.

  • Ressources > Stratégies
  • Intégrations > Méthodes d'authentification, Connecteurs, Connecteurs (hérité), Répertoires, Méthodes d'authentification du connecteur, Fournisseurs d'identité, Lien magique, Catalogue Okta, Intégration d'UEM
    Note : Pour gérer les paramètres d'annuaire, le service Gestion des annuaires est également requis.
  • Paramètres > Détection automatique, Informations de marque, Préférences de connexion, Stratégie de mot de passe, Récupération du mot de passe, Conditions d'utilisation et Attributs utilisateur
Note : Les administrateurs disposant du rôle Gestion des identités et des accès peuvent intégrer Workspace ONE Access à Workspace ONE UEM et créer l'annuaire à partir de Workspace ONE UEM Console.

Lorsque vous ajoutez un rôle, vous sélectionnez le service et définissez les actions pouvant être effectuées dans le service. Dans certains services, vous pouvez choisir de gérer toutes les ressources pour l'action sélectionnée ou certaines ressources.

Gérer l'accès en lecture seule

L'accès en lecture seule est octroyé à chaque rôle attribué à un administrateur. Vous pouvez également attribuer des utilisateurs et des groupes au rôle en lecture seule lorsque vous les ajoutez aux répertoires locaux.

Le rôle d'administrateur en lecture seule donne aux utilisateurs un accès d'administration pour afficher la console Workspace ONE Access, mais si un administrateur reçoit un autre rôle avec un accès supplémentaire, il ne peut voir que le contenu de la console Workspace ONE Access.

Lorsque vous attribuez le rôle en lecture seule comme rôle distinct, vous pouvez supprimer le rôle de la page Attribution du rôle Administrateur en lecture seule ou de la page des profils d'utilisateur ou de groupe.