Le service Workspace ONE Access utilise le contrôle d'accès basé sur les rôles (RBAC) pour gérer les rôles d'administrateur. Avec le contrôle d'accès basé sur les rôles, vous créez des rôles fonctionnels qui contrôlent l'accès administrateur aux tâches dans la console Workspace ONE Access et vous attribuez les rôles à un ou plusieurs utilisateurs et groupes.

Trois rôles d'administrateur prédéfinis sont intégrés au service Workspace ONE Access.

  • Super administrateur. Le rôle de super administrateur peut accéder à toutes les fonctionnalités et fonctions, et les gérer dans les services de Workspace ONE Access. Le super administrateur peut attribuer des rôles d'administrateur aux utilisateurs et aux groupes et gérer les rôles d'administrateur. Il est recommandé d'accorder le rôle de super administrateur à quelques privilégiés.

    Pour les locataires Cloud de Workspace ONE Access, un utilisateur administrateur de locataire local est créé comme premier super administrateur dans le domaine système d'annuaire système lors de la première configuration du locataire. Le nom de cet utilisateur est admin. Les informations d'identification que vous recevez lorsque vous obtenez un nouveau locataire appartiennent à cet utilisateur Admin local.

  • Administrateur en lecture seule. Le rôle d'administrateur en lecture seule peut afficher les détails sur les pages de la console Workspace ONE Access, notamment le tableau de bord et les rapports, mais ne peut pas apporter de modifications. Tous les rôles d'administrateur se voient automatiquement attribuer le rôle en lecture seule. Vous pouvez également attribuer des utilisateurs et des groupes au rôle en lecture seule lorsque vous les ajoutez aux répertoires locaux.

    Le rôle d'administrateur en lecture seule donne aux utilisateurs un accès d'administration pour afficher la console Workspace ONE Access, mais si un administrateur reçoit un autre rôle avec un accès supplémentaire, il ne peut voir que le contenu de la console Workspace ONE Access.

    Note : Certaines pages de la console Workspace ONE Access ne sont pas activées pour être affichées par un administrateur disposant uniquement du rôle en lecture seule. Lorsque des administrateurs en lecture seule tentent d'afficher ces pages, ils sont redirigés vers le tableau de bord.
  • Administrateur d'annuaire. Le rôle d'administrateur d'annuaire peut gérer les utilisateurs, les groupes et les annuaires. L'administrateur d'annuaire peut gérer l'intégration à la fois des annuaires d'entreprise et des annuaires locaux au sein de votre entreprise. L'administrateur d'annuaire peut également gérer les utilisateurs et les groupes locaux.

Vous pouvez également créer des rôles d'administrateur personnalisés qui donnent des autorisations limitées à des types de services spécifiques dans la console Workspace ONE Access. Dans ces services, des opérations spécifiques peuvent être sélectionnées comme type d'action pouvant être effectué dans le rôle.

Comment appliquer des rôles d'administrateur à différents services

Vous pouvez créer des rôles de contrôle d'accès pour gérer six types de services différents dans la console Workspace ONE Access. Plusieurs rôles peuvent être attribués au même utilisateur et aux mêmes groupes. Lorsqu'un utilisateur reçoit plusieurs rôles, le comportement des rôles appliqués est ajouté. Par exemple, si un administrateur dispose de deux rôles, l'un avec accès en écriture au service Gestion des identités et des accès, il peut gérer les stratégies, et l'autre rôle sans accès : cet administrateur peut modifier les stratégies.

Lorsque vous ajoutez un rôle, vous sélectionnez le type de service et définissez les actions pouvant être effectuées dans ce service. Dans certains services, vous pouvez choisir de gérer toutes les ressources pour l'action sélectionnée ou certaines ressources.

Type de service

Description du service

Catalogue

Le catalogue est le référentiel de toutes les ressources qui peuvent être attribuées aux utilisateurs.

Le service de catalogue peut gérer les types d'actions suivants.

  • Applications web
  • Sources d'application
  • Applications tierces
  • Collecte d'applications virtuelles ThinApp
  • Collecte d'applications virtuelles qui inclut Horizon, Horizon Cloud et des applications Citrix.
Note : Un super administrateur est requis pour initier le flux de démarrage sur la page Collecte d'applications virtuelles du catalogue. Après le flux de démarrage initial, les rôles d'administrateur avec le service de catalogue peuvent gérer des modules ThinApp et des applications de poste de travail.
Gestion des annuaires

Le service Gestion des annuaires peut gérer les types d'actions suivants pour l'entreprise ou pour des annuaires spécifiques dans votre entreprise.

  • Annuaire d'entreprise. L'administrateur peut ajouter, modifier et supprimer des annuaires dans le service Workspace ONE Access. La modification d'un annuaire inclut la gestion des paramètres de l'annuaire, notamment les paramètres de synchronisation.
  • Annuaire local. L'administrateur peut créer, modifier et supprimer des annuaires locaux. La modification d'un annuaire inclut la gestion des paramètres et la création, la modification et la suppression d'utilisateurs et de groupes locaux.
Important : Lorsque vous créez un rôle avec le service Gestion d'annuaires, vous devez également configurer le service Gestion des identités et des accès dans le rôle.
Utilisateurs et groupes

Le service Utilisateurs et groupes peut gérer les types d'actions suivants dans toute votre entreprise ou pour des domaines spécifiques dans votre entreprise.

  • Groupes
  • Utilisateurs
  • Réinitialisation des mots de passe des utilisateurs locaux
Droits

Le service Droit peut attribuer des utilisateurs à des applications Web et virtuelles.

Les types d'actions de droit suivants peuvent être gérés. Pour chacune de ces actions, vous pouvez configurer le rôle pour attribuer des utilisateurs et des groupes à toutes les ressources de votre entreprise ou à des applications spécifiques. Vous pouvez également attribuer des applications à des utilisateurs et des groupes au sein de domaines spécifiques.

  • Droits Web
  • Droits tiers
Administration des rôles

Le service Administration des rôles peut gérer l'attribution du rôle d'administrateur aux utilisateurs.

Lorsque vous créez un rôle avec le service Administration des rôles, vous devez configurer le service Utilisateurs et groupes et sélectionner les actions Gérer les utilisateurs et Gérer les groupes.

Les administrateurs avec ce rôle peuvent promouvoir des utilisateurs et des groupes au rôle d'administrateur et retirer le rôle d'administrateur à des utilisateurs ou des groupes.

Gestion des identités et des accès

Le service Gestion des identités et des accès peut gérer les zones suivantes à partir de la console Workspace ONE Access.

  • Ressources > Stratégies
  • Intégrations > Méthodes d'authentification, Connecteurs, Connecteurs (hérité), Répertoires, Méthodes d'authentification du connecteur, Fournisseurs d'identité, Lien magique, Catalogue Okta, Intégration d'UEM
    Note : Pour gérer les paramètres de l'annuaire, vous devez inclure le service Gestion d'annuaires dans le rôle.
  • Paramètres > Informations de marque, Préférences de connexion, Stratégie de mot de passe, Récupération du mot de passe et Attributs utilisateur
Note : Les administrateurs disposant du rôle qui inclut le service Gestion des identités et des accès peuvent intégrer Workspace ONE Access à Workspace ONE UEM et créer l'annuaire à partir de Workspace ONE UEM Console.