클라우드 기반 관리 콘솔에 인증하는 과정에서 My VMware 계정을 사용하여 초기 로그인 화면을 인증한 후 조직의 개인은 사용자가 환경에 등록한 Active Directory 도메인에 따라 두 번째 로그인 화면에 Active Directory 사용자 계정 자격 증명을 입력합니다. 시스템은 다양한 Active Directory 그룹에 할당할 수 있는 미리 정의된 역할을 제공합니다. 이러한 Active Directory 도메인 관련 역할은 로그인한 사용자가 콘솔로 이동할 때 표시되고 사용하도록 설정되거나 표시되었으나 비활성화되는 콘솔의 영역을 제어합니다. 조직의 적절한 Active Directory 그룹에 역할을 할당해야 해당 그룹의 사용자가 콘솔을 사용하여 원하는 작업을 수행할 수 있습니다.

주의: 클라우드 기반 Horizon Universal Console 둘러보기에 설명된 대로 콘솔은 테넌트 환경의 최신 구성에 적합한 기능을 반영하여 동적으로 변경됩니다. 이 설명서에 나온 기능에 대한 액세스는 다음과 같은 요소에 따라 다를 수 있으며 이에 국한되지 않습니다.
  • 기능이 최신 Horizon Cloud 포드 매니페스트, Horizon 포드 버전 또는 Horizon Cloud Connector 버전에서만 사용할 수 있는 시스템 코드에 의존하는지 여부.
  • 기능이 출시될 때 릴리스 정보에 언급된 것처럼 기능에 대한 액세스 가용성이 제한되는지 여부
  • 기능에 특정 라이센싱 또는 SKU가 필요한지 여부.

해당 기능이 이 설명서에는 언급되어 있지만 콘솔에서 찾을 수 없으면 먼저 릴리스 정보를 확인하여 해당 기능의 액세스가 제한되어 있는지와 테넌트에서 사용 설정을 요청하는 방법을 검토하십시오. 또는 이 설명서에 나와 있는 기능을 사용할 수 있는 권한이 있으나 콘솔에서 확인할 수 없는 경우 VMware Horizon Cloud Service 담당자에게 요청하고, 담당자가 없는 경우 Customer Connect에 지원 요청을 제출하는 방법(VMware KB 2006985)에 설명된 대로 Horizon Cloud Service 팀에 SR(서비스 요청)을 제출할 수 있습니다.

아래의 단계를 사용하여 할당하는 역할은 특정 사용자가 콘솔에서 볼 수 있도록 허용되는 인증된 세션과 콘솔에서 볼 수 있는 어떤 항목에 대해 어떤 작업을 수행할 수 있는지를 결정하기 위해 콘솔에서 사용하는 두 가지 역할 중 하나입니다. 표준 로그인 워크플로에서 콘솔의 첫 번째 로그인 화면에서는 [일반 설정] 페이지를 사용하여 역할과 연결된 My VMware 계정을 사용합니다. 두 번째 로그인 화면에서는 [역할 및 권한] 페이지를 사용하여 역할과 연결된 AD(Active Directory) 자격 증명을 사용합니다. 이러한 AD 도메인 관련 역할은 콘솔 기능 및 요소의 가시성을 결정합니다. 또한 이 역할은 사용자가 콘솔을 탐색할 때 비활성화 상태로 표시될 수 있는 사용자 인터페이스 요소를 결정합니다.

예를 들어 AD 그룹에서 할당 관리자 역할이 할당된 사용자는 최종 사용자 할당 및 팜 관리와 관련된 작업을 수행할 수 있지만 다른 유형의 작업은 수행할 수 없습니다. 헬프 데스크 읽기 전용 관리자 역할이 있는 AD 그룹의 사용자는 최종 사용자의 사용자 카드로 이동하고 정보를 볼 수 있지만 사용자 세션 문제 해결 작업을 수행할 수는 없습니다. 반면 헬프 데스크 관리자 역할이 있는 AD 그룹의 사용자는 사용자 카드 정보를 찾아서 볼 수 있으며 사용자 세션 문제 해결 작업을 수행할 수도 있습니다. 헬프 데스크 관리자 역할의 경우 AD 그룹이 수행할 수 있는 문제 해결 작업의 범위를 제한할 수도 있습니다.

이러한 AD 도메인 관련 역할은 조직의 사용자가 표준 로그인 워크플로를 사용하여 로그인할 때 사용하는 My VMware 계정의 역할과 함께 작동합니다. 따라서 사용자가 조직 내에서 다른 작업 위치 및 AD 그룹으로 이동하는 경우에도 두 역할의 전체 조합이 계속해서 특정 사용자에게 원하는 결과를 반영하는지 확인해야 합니다. 역할 할당에 대한 두 가지 유형의 역할 및 모범 사례 페어링에 대한 자세한 내용은 Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례를 참조하십시오.

참고: cloud.vmware.com의 VMware Cloud Services를 통해 Horizon Cloud Service 플랫폼을 사용하여 수행한 역할 변경 사항은 Horizon Universal Console에 표시되지 않습니다. 아래 설명된 대로 Horizon Universal Console에서 직접 역할 변경을 수행해야 합니다.
경고: 슈퍼 관리자 역할은 여기에 제공된 AD 그룹에 역할을 할당하는 단계를 포함하여 Horizon Cloud 테넌트 계정에 로그인하고 콘솔에서 관리 작업을 수행할 수 있는 AD 사용자 계정을 제어합니다. 슈퍼 관리자 역할에 단일 AD 그룹만 할당된 경우에는 이 슈퍼 관리자 역할에 다른 관리자 그룹을 추가할 때까지 Active Directory 시스템에서 해당 관리자 그룹을 제거하거나 Active Directory 시스템에 표시되는 GUID를 변경하지 마십시오. Active Directory 시스템에서 그룹을 제거하거나 Active Directory 시스템에서 해당 GUID가 변경되도록 그룹을 변경하는 경우 해당 변경 내용이 Horizon Cloud 제어부에 전달되지 않고, 슈퍼 관리자 역할이 있는 해당 AD 그룹에 대한 Horizon Cloud 정보가 손실됩니다. 해당 그룹이 슈퍼 관리자 역할에 할당한 유일한 그룹인 경우, 슈퍼 관리자 액세스 수준으로 로그인할 수 있었던 AD 계정 중 어느 계정으로도 로그인하고 AD 그룹에 역할을 할당하여 슈퍼 관리자 액세스 권한이 있는 AD 계정 집합을 다시 설정하는 작업을 비롯한 관리 작업을 수행할 수 없게 됩니다. 도메인 바인딩 계정에는 항상 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 역할에 할당된 단일 AD 그룹을 제거했으며 해당 그룹에 도메인 바인딩 계정이 없는 경우, 도메인 바인딩 계정 자격 증명을 사용하여 콘솔에 로그인하고 새 AD 그룹에 슈퍼 관리자 역할을 할당하는 단계를 수행할 수 있습니다. 그러나 도메인 바인딩 계정을 사용하여 성공적으로 로그인할 수 없는 경우에는 관리 액세스 권한을 테넌트 계정으로 복구할 것을 VMware 지원팀에 요청합니다.
중요: 이러한 Horizon Cloud 역할은 그룹에만 할당할 수 있습니다. 시스템은 각 역할에 대한 개별 Active Directory 사용자 계정을 선택하는 방법을 제공하지 않습니다.

이와 같이 역할을 개별 계정이 아닌 그룹에만 할당할 수 있다는 사실은 동일한 AD 그룹에 두 개의 역할을 할당하지 않도록 해야 한다는 것을 의미하기도 합니다. 슈퍼 관리자 역할은 콘솔에서 모든 관리 작업을 수행하는 사용 권한을 모두 부여하기 위한 것이며, 데모 관리자 역할은 읽기 전용 역할입니다. 동일한 AD 그룹에 이러한 역할을 둘 다 지정하면 해당 그룹의 모든 사용자가 슈퍼 관리자 역할의 사용 권한을 수신하지 않습니다. 이들의 작업은 콘솔에서 제한되어, 사용자의 환경 전체를 관리하지 못할 수 있습니다.

기본적으로 다음과 같은 미리 정의된 역할이 제공됩니다. 미리 정의된 역할은 수정할 수 없습니다.

표 1. Horizon Cloud 역할 기반 액세스 제어 그룹
역할 설명
슈퍼 관리자

AD 도메인의 하나 이상의 그룹 및 필요에 따라 다른 그룹에 할당해야 하는 필수 역할입니다. 이 역할은 콘솔의 모든 영역에 액세스하고 콘솔에서 관리 작업을 수행하는 모든 사용 권한을 부여합니다.

기본 및 보조 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 지정된 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.

참고: 포드 그룹에 1600.0 이전 버전의 매니페스트를 실행하는 포드가 있는 경우 도메인 가입 계정이 슈퍼 관리자 역할을 부여하는 그룹 중 하나에 있어야 합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
할당 관리자

테넌트 환경이 이 기능을 사용하도록 설정된 경우 이 역할을 하나 이상의 그룹에 선택적으로 할당할 수 있습니다. 이 역할이 있는 AD 그룹은 콘솔에 액세스하여 최종 사용자 할당 및 팜을 생성, 수정 및 삭제할 수 있습니다. 이 역할이 있는 그룹은 VM 구성, 전원 관리 및 원격 애플리케이션 구성과 같은 할당 및 팜 관리와 관련된 작업을 수행할 수도 있습니다.

헬프 데스크 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 AD 그룹이 사용자 카드 기능을 사용하여 다음을 수행할 수 있도록 콘솔 액세스 권한을 제공하는 것입니다.
  • 최종 사용자 세션의 상태를 확인합니다.
  • 세션에 대한 문제 해결 작업을 수행합니다.

기본적으로 이 역할이 있는 AD 그룹에는 콘솔에 나열된 할당 또는 팜과 연결된 세션에서 문제 해결 작업을 수행할 수 있는 사용 권한이 있습니다. 테넌트 환경이 이 기능을 사용하도록 설정된 경우 필요에 따라 그룹 사용 권한을 수정하여 해당 그룹의 문제 해결 작업 범위를 특정 할당 및 팜과 연결된 세션으로만 제한할 수도 있습니다. 그룹의 사용 권한 범위를 수정하려면 해당 그룹의 편집 아이콘을 클릭합니다.

참고: AD 그룹의 사용 권한 범위에 할당 또는 팜을 포함하고 나중에 해당 할당 또는 팜을 삭제하면 그룹의 사용 권한 범위에서 해당 할당 또는 팜이 즉시 제거됩니다. 삭제 프로세스가 실패하고 할당 또는 팜이 여전히 존재할 때 그룹 액세스 권한을 유지하려면 사용 권한 범위에 수동으로 다시 추가해야 합니다.
헬프 데스크 읽기 전용 관리자 여러 그룹 중 하나에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 AD 그룹이 사용자 카드 기능을 사용하여 최종 사용자 세션의 상태를 확인할 수 있도록 콘솔 액세스 권한을 제공하는 것입니다.
데모 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. My VMware 계정에 대한 고객 관리자 읽기 전용 역할과 페어링된 경우 이 그룹의 사용자는 설정을 보고 옵션을 선택하여 콘솔에서 추가 옵션을 볼 수 있지만 선택 항목은 구성 설정을 변경하지 않습니다.

사전 요구 사항

  • 기존 Active Directory 그룹에 역할을 할당하기 전에 Active Directory 그룹의 사용자 계정 멤버 자격을 검토하여 사용자 계정이 이러한 Horizon Cloud 역할 중 하나만 수신하도록 합니다. 필요한 경우 특정 Active Directory 그룹을 생성합니다. 이러한 역할은 Active Directory 그룹 수준에서 할당되기 때문에 사용자의 Active Directory 계정이 두 개의 Active Directory 그룹에 속하고 각 그룹에 다른 역할이 할당되면 예기치 않은 결과가 발생할 수 있습니다. 다음 우선순위에 따라 콘솔 기능이 표시됩니다.
    1. 슈퍼 관리자
    2. 할당 관리자
    3. 헬프 데스크 관리자
    4. 데모 관리자
    5. 헬프 데스크 읽기 전용 관리자

    이 우선순위의 결과로 사용자의 Active Directory 계정이 Active Directory 그룹 ADGroup1 및 ADGroup2 둘 다에 속해 있으며 ADGroup1에 슈퍼 관리자 역할을 할당하고 ADGroup2에 헬프 데스크 읽기 전용 관리자 역할을 할당하는 경우, 슈퍼 관리자 역할이 우선하기 때문에 다른 역할에 대한 기능의 부분 집합 대신에 슈퍼 관리자 역할에 따라 모든 기능이 콘솔에 표시됩니다.

  • 또한 그룹 멤버의 My VMware 계정에 할당된 역할을 검토하여 해당 역할이 Active Directory 그룹에 할당하는 역할에 맞게 지정되도록 합니다. Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례에 설명된 모범 사례 페어링을 따릅니다.
중요: 시스템은 모든 Horizon Cloud의 미리 정의된 역할에 최대 64개의 고유한 Active Directory 그룹을 할당하도록 지원합니다.

프로시저

  1. 콘솔에서 설정 > 역할 및 권한으로 이동합니다.
  2. 미리 정의된 역할 중 하나를 선택하고 편집을 클릭합니다.
  3. 검색 상자를 사용하여 Active Directory 그룹을 검색하고 선택합니다.
    검색 상자에 3자 이상을 입력해야 결과가 나타납니다.
    해당 그룹이 선택된 그룹 집합에 추가됩니다.
  4. 저장을 클릭합니다.
    중요: 시스템에서는 저장 작업으로 인해 모든 역할에 할당될 수 있는 시스템 지원 최대 Active Directory 그룹 수를 초과할 경우 선택한 그룹을 역할에 저장하지 못하게 됩니다. 지원되는 최대값은 이 설명서 항목의 사전 요구 사항 섹션에 나와 있습니다.

다음에 수행할 작업

도메인 그룹의 사용자가 해당 My VMware 계정에 적절한 역할을 가지고 있는지 확인합니다. Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여를 참조하십시오.