Horizon Cloud 관리 콘솔의 역할 기반 액세스 제어를 사용하여 어떤 Active Directory 사용자에게 어떤 관리 권한이 부여되는지를 결정할 수 있습니다. 콘솔에 로그인할 때 두 번째 로그인 화면에서는 Active Directory 계정 자격 증명을 사용합니다. 시스템은 Active Directory 그룹에 할당할 수 있는 미리 정의된 역할을 제공합니다.

경고: 슈퍼 관리자 역할은 여기에 제공된 AD 그룹에 역할을 할당하는 단계를 포함하여 Horizon Cloud 테넌트 계정에 로그인하고 콘솔에서 관리 작업을 수행할 수 있는 AD 사용자 계정을 제어합니다. 슈퍼 관리자 역할에 단일 AD 그룹만 할당된 경우에는 이 슈퍼 관리자 역할에 다른 관리자 그룹을 추가할 때까지 Active Directory 시스템에서 해당 관리자 그룹을 제거하거나 Active Directory 시스템에 표시되는 GUID를 변경하지 마십시오. Active Directory 시스템에서 그룹을 제거하거나 Active Directory 시스템에서 해당 GUID가 변경되도록 그룹을 변경하는 경우 해당 변경 내용이 Horizon Cloud 제어부에 전달되지 않고, 슈퍼 관리자 역할이 있는 해당 AD 그룹에 대한 Horizon Cloud 정보가 손실됩니다. 해당 그룹이 슈퍼 관리자 역할에 할당한 유일한 그룹인 경우, 슈퍼 관리자 액세스 수준으로 로그인할 수 있었던 AD 계정 중 어느 계정으로도 로그인하고 AD 그룹에 역할을 할당하여 슈퍼 관리자 액세스 권한이 있는 AD 계정 집합을 다시 설정하는 작업을 비롯한 관리 작업을 수행할 수 없게 됩니다. 도메인 바인딩 계정에는 항상 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 역할에 할당된 단일 AD 그룹을 제거했으며 해당 그룹에 도메인 바인딩 계정이 없는 경우, 도메인 바인딩 계정 자격 증명을 사용하여 콘솔에 로그인하고 새 AD 그룹에 수퍼 관리자 역할을 할당하는 단계를 수행할 수 있습니다. 그러나 도메인 바인딩 계정을 사용하여 성공적으로 로그인할 수 없는 경우에는 관리 액세스 권한을 테넌트 계정으로 복구할 것을 VMware 지원팀에 요청합니다.

이러한 역할 및 관련 권한에 따라 사용자가 관리 콘솔을 사용하여 수행할 수 있는 관리 작업이 결정됩니다. 콘솔의 기능 및 요소에 대한 가시성은 사용자의 Active Directory 계정에 할당된 역할을 통해 제어됩니다. 예를 들어, 헬프 데스크 읽기 전용 관리자 역할에 할당된 Active Directory 그룹의 사용자는 최종 사용자의 사용자 카드로 이동하고 정보를 볼 수 있지만 데스크톱에 대한 작업을 수행할 수는 없습니다. 헬프 데스크 관리자 역할에 할당된 Active Directory 그룹의 사용자는 사용자 카드로 이동하고 정보를 볼 수 있을 뿐만 아니라 문제 해결 작업을 수행할 수도 있습니다. 조직의 해당 Active Directory 그룹에 포함된 사용자가 표준 로그인 워크플로를 사용하여 로그인하고 관리 작업에 액세스할 수 있으려면 먼저 해당 그룹에 역할을 할당해야 합니다.

중요: 이러한 Horizon Cloud 역할은 그룹에만 할당할 수 있습니다. 시스템은 각 역할에 대한 개별 Active Directory 사용자 계정을 선택하는 방법을 제공하지 않습니다.
  • 클라우드 연결 포드가 Microsoft Azure에 있는 경우에는 도메인 가입 계정에 대해 이해하는 것이 중요합니다. Microsoft Azure의 초기 포드에 대해 등록한 도메인 가입 계정이 아직 Active Directory 그룹 중 하나에 없는 경우 도메인 가입 계정에 슈퍼 관리자 역할이 할당될 수 있도록 해당 계정에 대한 Active Directory 그룹을 생성합니다. 가상 시스템을 도메인에 가입하는 과정을 포함하는 해당 시스템 작업이 Microsoft Azure의 포드에서 제대로 작동하도록 해당 도메인 가입 계정에 슈퍼 관리자 역할을 부여해야 합니다. 자세한 내용은 Horizon Cloud의 작동에 필요한 서비스 계정을 참조하십시오.
  • 이와 같이 역할을 개별 계정이 아닌 그룹에만 할당할 수 있다는 사실은 동일한 Active Directory 도메인 그룹에 두 개의 역할을 할당하지 않도록 해야 한다는 것을 의미하기도 합니다. 슈퍼 관리자 역할은 콘솔에서 모든 관리 작업을 수행하는 사용 권한을 모두 부여하기 위한 것이며, 데모 관리자 역할은 읽기 전용 역할입니다. 동일한 Active Directory 그룹에 이러한 역할을 둘 다 지정하면 해당 그룹의 모든 사용자가 슈퍼 관리자 역할의 사용 권한을 수신하지 않습니다. 이들의 작업은 콘솔에서 제한되어, 사용자의 환경 전체를 관리하지 못할 수 있습니다.

기본적으로 다음과 같은 미리 정의된 역할이 제공됩니다. 미리 정의된 역할은 수정할 수 없습니다.

표 1. Horizon Cloud 역할 기반 액세스 제어 그룹
역할 설명
슈퍼 관리자 Active Directory 도메인의 하나 이상의 그룹 및 필요에 따라 다른 그룹에 할당해야 하는 필수 역할입니다. 이 역할은 콘솔에서 관리 작업을 수행하기 위한 모든 권한을 부여합니다.
중요: 첫 번째 포드에 Active Directory 도메인을 등록할 때 지정한 도메인 가입 계정이 슈퍼 관리자 역할이 부여된 그룹 중 하나에 있는지 확인합니다. 이미지 및 도메인 가입 작업과 관련된 작업에 전체적으로 성공하려면 해당 도메인 가입 계정에 이 슈퍼 관리자 역할이 부여되어야 합니다.

기본 및 보조 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 지정된 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.

헬프 데스크 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 다음을 수행할 수 있도록 콘솔에 대한 액세스 권한을 제공하는 것입니다.
  • 최종 사용자 세션의 상태를 확인합니다.
  • 세션에 대한 문제 해결 작업을 수행합니다.
헬프 데스크 읽기 전용 관리자 여러 그룹 중 하나에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 최종 사용자 세션의 상태를 확인할 수 있도록 콘솔에 대한 액세스 권한을 제공하는 것입니다.
데모 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 읽기 전용 역할입니다. 데모 관리자는 콘솔에서 설정을 보고, 옵션을 선택하여 추가 선택 항목을 볼 수는 있지만 선택을 수행해도 구성 설정은 변경되지 않습니다.

사전 요구 사항

경고: 기존 Active Directory 그룹에 역할을 할당하기 전에 Active Directory 그룹의 사용자 계정 멤버 자격을 검토하여 사용자 계정이 이러한 Horizon Cloud 역할 중 하나만 수신하도록 합니다. 필요한 경우 특정 Active Directory 그룹을 생성합니다. 이러한 역할은 Active Directory 그룹 수준에서 할당되기 때문에 사용자의 Active Directory 계정이 두 개의 Active Directory 그룹에 속하고 각 그룹에 다른 역할이 할당되면 예기치 않은 결과가 발생할 수 있습니다. 다음 우선순위에 따라 콘솔 기능이 표시됩니다.
  1. 슈퍼 관리자
  2. 헬프 데스크 관리자
  3. 데모 관리자
  4. 헬프 데스크 읽기 전용 관리자

이 우선순위의 결과로 사용자의 Active Directory 계정이 Active Directory 그룹 ADGroup1 및 ADGroup2 둘 다에 속해 있으며 ADGroup1에 슈퍼 관리자 역할을 할당하고 ADGroup2에 헬프 데스크 읽기 전용 관리자 역할을 할당하는 경우, 슈퍼 관리자 역할이 우선하기 때문에 다른 역할에 대한 기능의 부분 집합 대신에 슈퍼 관리자 역할에 따라 모든 기능이 콘솔에 표시됩니다.

프로시저

  1. 콘솔에서 설정 > 역할 및 권한으로 이동합니다.
  2. 미리 정의된 역할 중 하나를 선택하고 편집을 클릭합니다.
  3. 검색 상자를 사용하여 Active Directory 그룹을 검색하고 선택합니다.
    검색 상자에 3자 이상을 입력해야 결과가 나타납니다.
    해당 그룹이 선택된 그룹 집합에 추가됩니다.
  4. 저장을 클릭합니다.

다음에 수행할 작업

동일한 사용자에게 관리 콘솔에 로그인하기 위한 액세스 권한을 부여하려면 [일반 설정] 페이지를 사용하여 해당 My VMware 계정을 추가합니다. 자세한 내용은 Horizon Cloud 테넌트 환경에 로그인하기 위한 관리자 추가를 참조하십시오.

콘솔의 첫 번째 로그인 화면에서는 [일반 설정] 페이지를 사용하여 Horizon Cloud 역할과 연결된 My VMware 계정을 사용합니다. 두 번째 로그인 화면에서는 [역할 및 권한] 페이지를 사용하여 Horizon Cloud 역할과 연결된 Active Directory 자격 증명을 사용합니다.