デフォルトでは、グローバル資格はルート フェデレーション アクセス グループに作成され、Horizon Console では / または Root(/) として表示されます。ルート フェデレーション アクセス グループの下にフェデレーション アクセス グループを作成し、別の管理者に特定のグローバル資格の管理を委任することができます。
フェデレーション アクセス グループの管理者にロールを割り当てることにより、そのフェデレーション アクセス グループのグローバル資格とグローバル セッションへの管理者アクセスを構成することができます。管理者は、ロールを割り当てられているフェデレーション アクセス グループのみに存在するグローバル資格とグローバル セッションにアクセスできます。管理者が持つフェデレーション アクセス グループに対するロールによって、そのフェデレーション アクセス グループのグローバル資格とグローバル セッションに対するアクセス レベルが決定されます。
ロールの権限は、ルート フェデレーション アクセス グループから継承されるため、ルート フェデレーション アクセス グループに対するロールを持つ管理者は、すべてのフェデレーション アクセス グループに対してそのロールの権限を持つことになります。ルート フェデレーション アクセス グループに対する管理者ロールを持つ管理者は、システムのすべてのオブジェクトに対するフル アクセス権を持つため、スーパー管理者になります。
フェデレーション アクセス グループに適用するロールには、フェデレーション アクセス グループに適用可能なオブジェクト固有の権限が 1 つ以上含まれている必要があります。グローバル権限またはアクセス グループ固有の権限のみを含むロールは、フェデレーション アクセス グループに適用できません。VMware Horizon 8 の権限、権限範囲、ロールの詳細については、『Horizon 8 の管理』ドキュメントの「ロールベースの委任管理の構成」を参照してください。
Horizon Console を使用して、フェデレーション アクセス グループの構成と管理を行うことができます。グローバル資格を作成するときに、デフォルトのルート フェデレーション アクセス グループを使用するか、別のフェデレーション アクセス グループを選択できます。