Nel server di Workspace ONE Access possono essere concessi i tipi di ruoli seguenti.

I tre ruoli amministratore predefiniti includono i seguenti.

  • Ruolo Super amministratore che può accedere e gestire tutte le funzionalità e le funzioni nei servizi di Workspace ONE Access.

    Il primo Super amministratore è l'utente amministratore locale creato da Workspace ONE Access alla prima configurazione del servizio. Il servizio crea l'amministratore nel dominio di sistema della directory di sistema. È possibile assegnare altri utenti al ruolo Super amministratore nella directory di sistema. È consigliabile concedere il ruolo Super amministratore a pochi utenti selezionati.

  • Il ruolo Amministratore di sola lettura consente di visualizzare i dettagli nelle pagine della console di Workspace ONE Access, tra cui il dashboard e i report, ma non di apportare modifiche. A tutti i ruoli di amministratore viene assegnato automaticamente il ruolo di sola lettura.
    Nota: Alcune pagine della console di Workspace ONE Access non possono essere visualizzate da un amministratore che disponga del ruolo di sola lettura. Quando un amministratore di sola lettura tenta di visualizzare queste pagine, viene reindirizzato al dashboard.
  • Il ruolo Amministratore directory può gestire utenti, gruppi e directory. L'amministratore di directory può gestire l'integrazione delle directory sia per le directory aziendali che per le directory locali all'interno dell'organizzazione. L'amministratore di directory può inoltre gestire utenti e gruppi locali.
Figura 1. Scheda Ruoli nella console di Workspace ONE Access

È possibile assegnare questi ruoli predefiniti a utenti e gruppi nel servizio. Non è possibile modificare o eliminare questi ruoli.

È inoltre possibile creare ruoli di amministratore personalizzati che forniscano autorizzazioni limitate per servizi specifici nella console di Workspace ONE Access. All'interno del servizio è possibile selezionare operazioni specifiche come il tipo di azione che può essere eseguita nel ruolo.

A un utente o un gruppo è possibile assegnare più ruoli. Quando a un utente viene assegnato più di un ruolo, il comportamento dei ruoli applicati è additivo. Ad esempio, se a un amministratore vengono assegnati due ruoli, uno con accesso in scrittura alla gestione dei criteri e l'altro senza, tale amministratore potrà modificare i criteri.

È possibile configurare il controllo dell'accesso basato sui ruoli per gestire i seguenti servizi nella console di amministrazione.

Tipo di servizio

Descrizione del servizio

Catalogo

Il Catalogo è il repository di tutte le risorse di Workspace ONE che è possibile assegnare agli utenti.

Il servizio Catalogo può gestire i seguenti tipi di azione.

  • Applicazioni Web
  • Origini delle app
  • Applicazioni di terze parti
  • Raccolta app virtuali ThinApp
  • Raccolta app virtuali che include le applicazioni Horizon, Horizon Cloud e basate su Citrix.
Nota: Per poter avviare il flusso iniziale nella pagina Raccolta app virtuali del Catalogo, è necessario un Super amministratore. Dopo il flusso introduttivo iniziale, i ruoli di amministratore del servizio Catalogo possono gestire i pacchetti ThinApp e le applicazioni desktop.
Gestione directory

Il servizio Gestione directory può gestire i seguenti tipi di azione per l'organizzazione o per directory specifiche nell'organizzazione.

  • Directory aziendale. L'amministratore può aggiungere, modificare ed eliminare directory nel servizio. La modifica di una directory comprende la gestione delle impostazioni della directory, incluse le impostazioni di sincronizzazione.
  • Directory locale. L'amministratore può creare, modificare ed eliminare directory locali. La modifica di una directory comprende la gestione delle impostazioni e la creazione, la modifica e l'eliminazione di utenti e gruppi locali.

Quando il servizio Gestione directory è incluso in un ruolo, nel ruolo deve essere configurato anche il servizio Gestione identità e accessi.

Utenti e gruppi

Il servizio Utenti e gruppi può gestire i seguenti tipi di azione in tutta l'organizzazione o per domini specifici dell'organizzazione.

  • Gruppi
  • Utenti
  • Reimpostazioni password per gli utenti locali
Permessi

Il servizio Permessi consente di assegnare utenti ad applicazioni Web e virtuali.

È possibile gestire i seguenti tipi di azione relativi ai permessi. Per ciascuna di queste azioni, è possibile configurare il ruolo per assegnare utenti e gruppi a tutte le risorse nell'organizzazione o ad applicazioni specifiche. È anche possibile autorizzare applicazioni per utenti e gruppi all'interno di domini specifici.

  • Permessi Web
  • Permessi di terze parti
Amministrazione ruoli

Il servizio Amministrazione ruoli può gestire l'assegnazione del ruolo di amministratore agli utenti.

Quando si crea un ruolo con il servizio Amministrazione ruoli, è necessario configurare il servizio Utenti e gruppi e selezionare le azioni Gestisci utenti e Gestisci gruppi.

Gli amministratori a cui è stato assegnato questo ruolo possono promuovere utenti e gruppi al ruolo di amministratore e possono rimuovere il ruolo di amministratore da utenti o gruppi.

Gestione identità e accessi

Il servizio Gestione identità e accessi può gestire le impostazioni nella scheda Gestione identità e accessi. Per gestire le impostazioni della directory, è necessario anche il servizio Gestione directory.

Nota: Gli amministratori che dispongono del ruolo Gestione identità e accessi possono integrare Workspace ONE Access con Workspace ONE UEM e creare la directory da Workspace ONE UEM Console.

Quando si aggiunge un ruolo, si seleziona il servizio e si definiscono le azioni che possono essere eseguite nel servizio. In alcuni servizi, è possibile scegliere di gestire tutte le risorse per l'azione selezionata o solo alcune risorse.

Gestione dell'accesso di sola lettura

L'accesso di sola lettura viene concesso con ciascun ruolo assegnato a un amministratore. È inoltre possibile assegnare il ruolo di sola lettura a utenti e gruppi dalla pagina del ruolo Amministratore di sola lettura.

Il ruolo Amministratore di sola lettura consente agli utenti amministratori di visualizzare la console di Workspace ONE Access, ma, a meno che agli amministratori non venga assegnato un altro ruolo con diritti di accesso aggiuntivi, possono visualizzare solo i contenuti della console di Workspace ONE Access.

Quando si assegna il ruolo di sola lettura come ruolo separato, è possibile rimuovere il ruolo dalla pagina di assegnazione del ruolo di Amministratore di sola lettura o dalla pagina del profilo dell'utente o del gruppo.