VMware Identity Manager サーバでは、次の種類のロールを付与することができます。

事前定義された 3 つの管理者ロールには、次のものが含まれます。

  • VMware Identity Manager サービスのすべての機能にアクセスして管理できるスーパー管理者ロール。

    最初のスーパー管理者は、最初にサービスを設定するときに、VMware Identity Manager が作成するローカルの管理者ユーザーです。サービスは、システム ディレクトリのシステム ドメインに管理者を作成します。システム ディレクトリのスーパー管理者ロールには、他のユーザーを割り当てることができます。ベスト プラクティスとして、限定された少数のユーザーにスーパー管理者ロールを付与します。

  • ダッシュボードやレポートなど、VMware Identity Manager コンソール ページの詳細は表示できるが、変更はできない読み取り専用管理者ロール。すべての管理者ロールには、自動的に読み取り専用ロールが割り当てられます。

    注:

    一部の Identity Manager コンソール ページは、読み取り専用ロールのみを持つ管理者には表示できません。読み取り専用ロールを持つ管理者がこれらのページを表示しようとすると、ダッシュボードにリダイレクトされます。

  • ユーザー、グループ、およびディレクトリを管理できるディレクトリ管理者ロール。ディレクトリ管理者は、エンタープライズ ディレクトリと、組織内のローカル ディレクトリの両方のディレクトリ統合を管理できます。ディレクトリ管理者は、ローカル ユーザーおよびグループも管理できます。

図 1. VMware Identity Manager コンソールの [ロール] タブ

これらの事前定義されたロールを、サービス内のユーザーおよびグループに割り当てることができます。これらのロールを削除したり変更したりすることはできません。

VMware Identity Manager コンソールの特定のサービスへの制限された権限を付与するカスタム管理者ロールを作成することもできます。サービス内で、ロールで実行できるアクションのタイプとして特定の操作を選択できます。

同じユーザーとグループに複数のロールを割り当てることができます。ユーザーに複数のロールが割り当てられている場合、適用されるロールの動作は付加的です。たとえば、ポリシー管理への書き込み権限を持つロールと持たないロールの 2 つのロールが管理者に割り当てられた場合、その管理者にはポリシーを変更する権限があります。

ロール ベースのアクセス制御は、管理コンソールの次のサービスを管理するように設定できます。

サービス タイプ

サービスの説明

カタログ

カタログは、ユーザーに使用資格を付与できるすべての Workspace ONE リソースのリポジトリです。

カタログ サービスは、次のタイプのアクションを管理できます。

  • Web アプリケーション

  • アプリケーション送信元

  • サードパーティ アプリケーション

  • ThinApp 仮想アプリケーションのコレクション

  • Horizon、Horizon Cloud、および Citrix ベースのアプリケーションを含む仮想アプリケーションのコレクション。

注:

スーパー管理者は、カタログ内の [仮想アプリケーションのコレクション] ページで初回の開始手順を実行する必要があります。初回の開始手順の後、カタログ サービスの管理者ロールは ThinApp パッケージおよびデスクトップ アプリケーションを管理できます。『VMware Identity Manager 3.2 でのリソースのセットアップ』ガイドの「デスクトップ統合のために仮想アプリケーションのコレクションを使用する」を参照してください。

ディレクトリ管理

ディレクトリ管理サービスは、組織または組織内の特定のディレクトリに対する次のタイプのアクションを管理できます。

  • エンタープライズ ディレクトリ管理者はサービス内のディレクトリを追加、編集、および削除できます。ディレクトリの編集には、同期設定を含むディレクトリ設定の管理が含まれます。

  • ローカル ディレクトリ管理者はローカル ディレクトリを作成、編集、および削除できます。ディレクトリの編集には、設定の管理、およびローカル ユーザーとグループの作成、編集、および削除が含まれます。

ディレクトリ管理サービスがロールに含まれている場合、ロールでは ID とアクセス管理サービスも構成する必要があります。

ユーザーとグループ

ユーザーとグループ サービスは、組織全体または組織内の特定のドメインに対する次のタイプのアクションを管理できます。

  • グループ

  • ユーザー

  • ローカル ユーザーのパスワードリセット

資格

資格サービスは、ユーザーを Web および仮想アプリケーションに割り当てることができます。

次のタイプの資格アクションを管理できます。これらの各アクションに対して、ユーザーおよびグループを組織内のすべてのリソースまたは特定のアプリケーションに割り当てるロールを構成できます。また、特定のドメイン内のユーザーおよびグループにアプリケーションの使用資格を付与することもできます。

  • Web 資格

  • サードパーティ資格

ロールの管理

ロールの管理サービスは、ユーザーへの管理者ロールの割り当てを管理できます。

ロールの管理サービスを使用してロールを作成する場合、ユーザーとグループ サービスを構成し、ユーザーの管理とグループの管理アクションを選択する必要があります。

このロールが割り当てられている管理者は、ユーザーおよびグループを管理者ロールに昇格でき、管理者ロールをユーザーまたはグループから削除できます。

ID とアクセス管理

ID とアクセス管理サービスは、[ID とアクセス管理] タブの設定を管理できます。ディレクトリ設定を管理するには、ディレクトリ管理サービスも必要です。

注:

ID およびアクセス管理のロールを持つ管理者は、VMware Identity Manager と Workspace ONE UEM を統合し、Workspace ONE UEM コンソールからディレクトリを作成できます。

ロールを追加するときには、サービスを選択し、サービスでどのアクションを実行できるかを定義します。一部のサービスでは、選択したアクションのすべてのリソースを管理するか、一部のリソースを管理するかを選択できます。

読み取り専用アクセスの管理

管理者に割り当てられた各ロールには、読み取り専用アクセスが許可されます。読み取り専用管理者ロールのページから、読み取り専用ロールにユーザーとグループを割り当てることもできます。

読み取り専用管理者ロールは、ユーザーに対して VMware Identity Manager コンソールを表示するためのアクセス権限を付与しますが、管理者に追加のアクセス権を持つ別のロールが割り当てられていない限り、ユーザーには VMware Identity Manager コンソールのコンテンツを表示する以外の権限がありません。

読み取り専用ロールを別個のロールとして割り当てる場合は、読み取り専用管理者ロールの [割り当て] ページ、あるいはユーザーまたはグループのプロファイル ページからロールを削除できます。