클라우드 기반 관리 콘솔에 인증하는 과정에서 My VMware 계정을 사용하여 초기 로그인 화면을 인증한 후 조직의 개인은 사용자가 환경에 등록한 Active Directory 도메인에 따라 두 번째 로그인 화면에 Active Directory 사용자 계정 자격 증명을 입력합니다. 시스템은 다양한 Active Directory 그룹에 할당할 수 있는 미리 정의된 역할을 제공합니다. 이러한 Active Directory 도메인 관련 역할은 로그인한 사용자가 콘솔로 이동할 때 표시되고 사용하도록 설정되거나 표시되었으나 비활성화되는 콘솔의 영역을 제어합니다. 조직의 적절한 Active Directory 그룹에 역할을 할당해야 해당 그룹의 사용자가 콘솔을 사용하여 원하는 작업을 수행할 수 있습니다.

아래의 단계를 사용하여 할당하는 역할은 특정 사용자가 콘솔에서 볼 수 있도록 허용되는 인증된 세션과 콘솔에서 볼 수 있는 어떤 항목에 대해 어떤 작업을 수행할 수 있는지를 결정하기 위해 콘솔에서 사용하는 두 가지 역할 중 하나입니다. 표준 로그인 워크플로에서 콘솔의 첫 번째 로그인 화면에서는 [일반 설정] 페이지를 사용하여 역할과 연결된 My VMware 계정을 사용합니다. 두 번째 로그인 화면에서는 [역할 및 권한] 페이지를 사용하여 역할과 연결된 Active Directory 자격 증명을 사용합니다. 이러한 Active Directory 도메인 관련 역할은 콘솔의 기능 및 요소에 대한 가시성을 결정합니다. 또한 이 역할은 사용자가 콘솔을 탐색할 때 비활성화 상태로 표시될 수 있는 사용자 인터페이스 요소를 결정합니다. 예를 들어, 헬프 데스크 읽기 전용 관리자 역할에 할당된 Active Directory 그룹의 사용자는 최종 사용자의 사용자 카드로 이동하고 정보를 볼 수 있지만 데스크톱에 대한 작업을 수행할 수는 없습니다. 헬프 데스크 관리자 역할에 할당된 Active Directory 그룹의 사용자는 사용자 카드로 이동하고 정보를 볼 수 있을 뿐만 아니라 문제 해결 작업을 수행할 수도 있습니다.

이러한 Active Directory 도메인 관련 역할은 조직의 사용자가 표준 로그인 워크플로를 사용하여 로그인하는 데 사용하는 My VMware 계정의 역할과 함께 작동합니다. 따라서 사용자가 조직 내에서 다른 작업 위치 및 Active Directory 그룹으로 이동하는 경우에도 두 역할의 전체 조합이 계속해서 특정 사용자에 대해 원하는 결과를 반영하는지 확인해야 합니다. 역할 할당에 대한 두 가지 유형의 역할 및 모범 사례 페어링에 대한 자세한 내용은 Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례를 참조하십시오.

참고: cloud.vmware.com의 VMware Cloud Services를 통해 Horizon Cloud Service 플랫폼을 사용하여 수행한 역할 변경 사항은 Horizon Universal Console에 표시되지 않습니다. 아래 설명된 대로 Horizon Universal Console에서 직접 역할 변경을 수행해야 합니다.
경고: 슈퍼 관리자 역할은 여기에 제공된 AD 그룹에 역할을 할당하는 단계를 포함하여 Horizon Cloud 테넌트 계정에 로그인하고 콘솔에서 관리 작업을 수행할 수 있는 AD 사용자 계정을 제어합니다. 슈퍼 관리자 역할에 단일 AD 그룹만 할당된 경우에는 이 슈퍼 관리자 역할에 다른 관리자 그룹을 추가할 때까지 Active Directory 시스템에서 해당 관리자 그룹을 제거하거나 Active Directory 시스템에 표시되는 GUID를 변경하지 마십시오. Active Directory 시스템에서 그룹을 제거하거나 Active Directory 시스템에서 해당 GUID가 변경되도록 그룹을 변경하는 경우 해당 변경 내용이 Horizon Cloud 제어부에 전달되지 않고, 슈퍼 관리자 역할이 있는 해당 AD 그룹에 대한 Horizon Cloud 정보가 손실됩니다. 해당 그룹이 슈퍼 관리자 역할에 할당한 유일한 그룹인 경우, 슈퍼 관리자 액세스 수준으로 로그인할 수 있었던 AD 계정 중 어느 계정으로도 로그인하고 AD 그룹에 역할을 할당하여 슈퍼 관리자 액세스 권한이 있는 AD 계정 집합을 다시 설정하는 작업을 비롯한 관리 작업을 수행할 수 없게 됩니다. 도메인 바인딩 계정에는 항상 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 역할에 할당된 단일 AD 그룹을 제거했으며 해당 그룹에 도메인 바인딩 계정이 없는 경우, 도메인 바인딩 계정 자격 증명을 사용하여 콘솔에 로그인하고 새 AD 그룹에 슈퍼 관리자 역할을 할당하는 단계를 수행할 수 있습니다. 그러나 도메인 바인딩 계정을 사용하여 성공적으로 로그인할 수 없는 경우에는 관리 액세스 권한을 테넌트 계정으로 복구할 것을 VMware 지원팀에 요청합니다.
중요: 이러한 Horizon Cloud 역할은 그룹에만 할당할 수 있습니다. 시스템은 각 역할에 대한 개별 Active Directory 사용자 계정을 선택하는 방법을 제공하지 않습니다.

이와 같이 역할을 개별 계정이 아닌 그룹에만 할당할 수 있다는 사실은 동일한 Active Directory 도메인 그룹에 두 개의 역할을 할당하지 않도록 해야 한다는 것을 의미하기도 합니다. 슈퍼 관리자 역할은 콘솔에서 모든 관리 작업을 수행하는 사용 권한을 모두 부여하기 위한 것이며, 데모 관리자 역할은 읽기 전용 역할입니다. 동일한 Active Directory 그룹에 이러한 역할을 둘 다 지정하면 해당 그룹의 모든 사용자가 슈퍼 관리자 역할의 사용 권한을 수신하지 않습니다. 이들의 작업은 콘솔에서 제한되어, 사용자의 환경 전체를 관리하지 못할 수 있습니다.

기본적으로 다음과 같은 미리 정의된 역할이 제공됩니다. 미리 정의된 역할은 수정할 수 없습니다.

표 1. Horizon Cloud 역할 기반 액세스 제어 그룹
역할 설명
슈퍼 관리자 Active Directory 도메인의 하나 이상의 그룹 및 필요에 따라 다른 그룹에 할당해야 하는 필수 역할입니다. 이 역할은 콘솔의 모든 영역에 액세스하고 콘솔에서 관리 작업을 수행하는 모든 사용 권한을 부여합니다.

기본 및 보조 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 지정된 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.

참고: 포드 그룹에 1600.0 이전 버전의 매니페스트를 실행하는 포드가 있는 경우 도메인 가입 계정이 슈퍼 관리자 역할을 부여하는 그룹 중 하나에 있어야 합니다. 자세한 내용은 Horizon Cloud 작업에 필요한 서비스 계정을 참조하십시오.
헬프 데스크 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 다음을 수행할 수 있도록 콘솔에 대한 액세스 권한을 제공하는 것입니다.
  • 최종 사용자 세션의 상태를 확인합니다.
  • 세션에 대한 문제 해결 작업을 수행합니다.
헬프 데스크 읽기 전용 관리자 여러 그룹 중 하나에 선택적으로 할당할 수 있는 역할입니다. 이 역할의 목적은 이 역할을 가진 Active Directory 그룹이 사용자 카드 기능을 사용하여 최종 사용자 세션의 상태를 확인할 수 있도록 콘솔에 대한 액세스 권한을 제공하는 것입니다.
데모 관리자 하나 이상의 그룹에 선택적으로 할당할 수 있는 역할입니다. My VMware 계정에 대한 고객 관리자 읽기 전용 역할과 페어링된 경우 이 그룹의 사용자는 설정을 보고 옵션을 선택하여 콘솔에서 추가 옵션을 볼 수 있지만 선택 항목은 구성 설정을 변경하지 않습니다.

사전 요구 사항

경고: 기존 Active Directory 그룹에 역할을 할당하기 전에 Active Directory 그룹의 사용자 계정 멤버 자격을 검토하여 사용자 계정이 이러한 Horizon Cloud 역할 중 하나만 수신하도록 합니다. 필요한 경우 특정 Active Directory 그룹을 생성합니다. 이러한 역할은 Active Directory 그룹 수준에서 할당되기 때문에 사용자의 Active Directory 계정이 두 개의 Active Directory 그룹에 속하고 각 그룹에 다른 역할이 할당되면 예기치 않은 결과가 발생할 수 있습니다. 다음 우선순위에 따라 콘솔 기능이 표시됩니다.
  1. 슈퍼 관리자
  2. 헬프 데스크 관리자
  3. 데모 관리자
  4. 헬프 데스크 읽기 전용 관리자

이 우선순위의 결과로 사용자의 Active Directory 계정이 Active Directory 그룹 ADGroup1 및 ADGroup2 둘 다에 속해 있으며 ADGroup1에 슈퍼 관리자 역할을 할당하고 ADGroup2에 헬프 데스크 읽기 전용 관리자 역할을 할당하는 경우, 슈퍼 관리자 역할이 우선하기 때문에 다른 역할에 대한 기능의 부분 집합 대신에 슈퍼 관리자 역할에 따라 모든 기능이 콘솔에 표시됩니다.

또한 그룹 멤버의 My VMware 계정에 할당된 역할을 검토하여 해당 역할이 Active Directory 그룹에 할당하는 역할에 맞게 지정되도록 합니다. Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례에 설명된 모범 사례 페어링을 따릅니다.

프로시저

  1. 콘솔에서 설정 > 역할 및 권한으로 이동합니다.
  2. 미리 정의된 역할 중 하나를 선택하고 편집을 클릭합니다.
  3. 검색 상자를 사용하여 Active Directory 그룹을 검색하고 선택합니다.
    검색 상자에 3자 이상을 입력해야 결과가 나타납니다.
    해당 그룹이 선택된 그룹 집합에 추가됩니다.
  4. 저장을 클릭합니다.

다음에 수행할 작업

도메인 그룹의 사용자가 해당 My VMware 계정에 적절한 역할을 가지고 있는지 확인합니다. Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례Horizon Universal Console을 사용하여 Horizon Cloud 테넌트 환경에서 로그인하고 작업을 수행하기 위해 조직의 개인에게 관리 역할 부여를 참조하십시오.