Il servizio Workspace ONE Access utilizza il controllo degli accessi basato sui ruoli (RBAC) per gestire i ruoli di amministratore. Con il controllo degli accessi basato sui ruoli, è possibile creare ruoli funzionali che controllano l'accesso amministrativo alle attività nella console di Workspace ONE Access, quindi assegnare i ruoli a uno o più utenti e gruppi.

Nel servizio Workspace ONE Access sono integrati tre ruoli di amministratore predefiniti.

  • Amministratore con privilegi avanzati. Il ruolo di amministratore con privilegi avanzati può accedere e gestire tutte le funzionalità dei servizi di Workspace ONE Access. L'amministratore con privilegi avanzati può assegnare ruoli di amministratore a utenti e gruppi, nonché gestire i ruoli di amministratore. È consigliabile concedere il ruolo di amministratore con privilegi avanzati a pochi utenti selezionati.

    Per i tenant cloud di Workspace ONE Access, viene creato un utente amministratore locale del tenant come primo amministratore con privilegi avanzati nel dominio di sistema della directory di sistema quando il tenant viene configurato per la prima volta. Il nome di questo utente è admin. Le credenziali ricevute quando si ottiene un nuovo tenant appartengono a questo utente amministratore locale.

  • Amministratore di sola lettura. Il ruolo di amministratore di sola lettura consente di visualizzare i dettagli nelle pagine della console di Workspace ONE Access, tra cui il dashboard e i report, ma non di apportare modifiche. A tutti i ruoli di amministratore viene assegnato automaticamente il ruolo di sola lettura. È inoltre possibile assegnare utenti e gruppi al ruolo di sola lettura quando vengono aggiunti alle directory locali.

    Il ruolo Amministratore di sola lettura consente agli utenti amministratori di visualizzare la console di Workspace ONE Access, ma, a meno che agli amministratori non venga assegnato un altro ruolo con diritti di accesso aggiuntivi, possono visualizzare solo i contenuti della console di Workspace ONE Access.

    Nota: Alcune pagine della console di Workspace ONE Access non possono essere visualizzate da un amministratore che disponga del ruolo di sola lettura. Quando un amministratore di sola lettura tenta di visualizzare queste pagine, viene reindirizzato al dashboard.
  • Amministratore della directory. Il ruolo di amministratore della directory può gestire utenti, gruppi e directory. L'amministratore di directory può gestire l'integrazione delle directory sia per le directory aziendali che per le directory locali all'interno dell'organizzazione. L'amministratore di directory può inoltre gestire utenti e gruppi locali.

È inoltre possibile creare ruoli di amministratore personalizzati che forniscano autorizzazioni limitate per tipi di servizi specifici nella console di Workspace ONE Access. In questi servizi è possibile selezionare operazioni specifiche come tipi di azione che possono essere eseguite nel ruolo.

Come applicare i ruoli di amministratore a diversi servizi

È possibile creare ruoli di controllo degli accessi per gestire sei diversi tipi di servizio nella console di Workspace ONE Access. A un utente o un gruppo è possibile assegnare più ruoli. Quando a un utente viene assegnato più di un ruolo, il comportamento dei ruoli applicati è additivo. Ad esempio, se a un amministratore vengono assegnati due ruoli, uno con accesso in scrittura al servizio Gestione identità e accessi che può gestire i criteri e l'altro senza accesso, tale amministratore potrà modificare i criteri.

Quando si aggiunge un ruolo, si seleziona il tipo di servizio e si definiscono le azioni che possono essere eseguite in tale servizio. In alcuni servizi, è possibile scegliere di gestire tutte le risorse per l'azione selezionata o solo alcune risorse.

Tipo di servizio

Descrizione del servizio

Catalogo

Il catalogo è il repository di tutte le risorse che possono essere autorizzate per gli utenti.

Il servizio Catalogo può gestire i seguenti tipi di azione.

  • Applicazioni Web
  • Origini delle app
  • Applicazioni di terze parti
  • Raccolta app virtuali ThinApp
  • Raccolta app virtuali che include le applicazioni Horizon, Horizon Cloud e basate su Citrix.
Nota: Per poter avviare il flusso iniziale nella pagina Raccolta app virtuali del Catalogo, è necessario un Super amministratore. Dopo il flusso introduttivo iniziale, i ruoli di amministratore del servizio Catalogo possono gestire i pacchetti ThinApp e le applicazioni desktop.
Gestione directory

Il servizio Gestione directory può gestire i seguenti tipi di azione per l'organizzazione o per directory specifiche nell'organizzazione.

  • Directory aziendale. L'amministratore può aggiungere, modificare ed eliminare directory nel servizio Workspace ONE Access. La modifica di una directory comprende la gestione delle impostazioni della directory, incluse le impostazioni di sincronizzazione.
  • Directory locale. L'amministratore può creare, modificare ed eliminare directory locali. La modifica di una directory comprende la gestione delle impostazioni e la creazione, la modifica e l'eliminazione di utenti e gruppi locali.
Importante: Quando si crea un ruolo con il servizio Gestione directory, è necessario configurare anche il servizio Gestione identità e accessi nel ruolo.
Utenti e gruppi

Il servizio Utenti e gruppi può gestire i seguenti tipi di azione in tutta l'organizzazione o per domini specifici dell'organizzazione.

  • Gruppi
  • Utenti
  • Reimpostazioni password per gli utenti locali
Permessi

Il servizio Permessi consente di assegnare utenti ad applicazioni Web e virtuali.

È possibile gestire i seguenti tipi di azione relativi ai permessi. Per ciascuna di queste azioni, è possibile configurare il ruolo per assegnare utenti e gruppi a tutte le risorse nell'organizzazione o ad applicazioni specifiche. È anche possibile autorizzare applicazioni per utenti e gruppi all'interno di domini specifici.

  • Permessi Web
  • Permessi di terze parti
Amministrazione ruoli

Il servizio Amministrazione ruoli può gestire l'assegnazione del ruolo di amministratore agli utenti.

Quando si crea un ruolo con il servizio Amministrazione ruoli, è necessario configurare il servizio Utenti e gruppi e selezionare le azioni Gestisci utenti e Gestisci gruppi.

Gli amministratori a cui è stato assegnato questo ruolo possono promuovere utenti e gruppi al ruolo di amministratore e possono rimuovere il ruolo di amministratore da utenti o gruppi.

Gestione identità e accessi

Il servizio Gestione identità e accessi può gestire le seguenti aree dalla console di Workspace ONE Access.

  • Risorse > Criteri
  • Integrazioni > Metodi di autenticazione, Connettori, Connettori (legacy), Directory, Metodi di autenticazione del connettore, Provider di identità, Magic Link, Catalogo Okta, Integrazione UEM
    Nota: Per gestire le impostazioni della directory, è necessario includere il servizio Gestione directory nel ruolo.
  • Impostazioni > Branding, Preferenze di accesso, Criterio password, Recupero password e Attributi utente
Nota: Gli amministratori che dispongono del ruolo che include il servizio Gestione identità e accessi possono integrare Workspace ONE Access con Workspace ONE UEM e creare la directory da Workspace ONE UEM Console.