Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례

이 설명서 항목에서는 사용자가 Horizon Universal Console에 로그인하고 Horizon Cloud 환경에서 작업하게 하려는 사용자에게 제공해야 하는 두 가지 역할에 대한 모범 사례를 설명합니다. 한 역할은 Horizon Universal Console 사용자 인터페이스 자체의 다양한 부분을 사용하도록 설정하거나 비활성화하는 데 사용됩니다. 다른 역할은 해당 역할이 할당된 사용자가 호출할 수 있는 작업을 결정하는 데 사용됩니다. 특정 사용자에게 제공하는 두 역할의 최종 조합이 해당 사용자에게 원하는 결과를 반영하도록 해야 합니다.

중요: 한 역할은 사용자가 콘솔에서 볼 수 있는 작업을 제어하고 다른 유형의 역할은 작업 호출을 제어하기 때문에 특정 사용자가 소유하는 두 역할의 전체적인 조합이 특정 사용자에 대해 원하는 결과를 반영하도록 해야 합니다. 모범 사례 조합은 다음 섹션에 설명되어 있습니다. 이러한 모범 사례를 따르지 않으면 상충되는 상황이 발생할 수 있습니다. 예를 들어, 할당된 역할이 여기에 설명된 지침에 따라 일치하지 않으면 사용자가 콘솔에 로그인한 후 수행하도록 하려는 작업을 수행할 수 없거나, 사용자가 로그인한 후 수행하지 않게 하려는 작업을 수행할 수 있게 됩니다. 따라서 일반 설정 페이지의 My VMware 계정 영역에 있는 개별 역할을 역할 및 사용 권한 페이지에서 해당 사용자의 Active Directory 그룹에 할당된 역할에 맞게 지정하는 것이 중요합니다.

다음 섹션에서는 일반적인 조직의 표준 시나리오를 기준으로 사용할 수 있는 두 가지 유형의 역할과 모범 사례 조합을 설명합니다.

기억할 사항: 클라우드 기반 Horizon Universal Console 둘러보기에 설명된 대로 1세대 콘솔은 1세대 테넌트 환경의 최신 구성에 적합한 기능을 반영하여 동적으로 변경됩니다. 이 설명서에 나온 기능에 대한 액세스는 다음과 같은 요소에 따라 다를 수 있으며 이에 국한되지 않습니다.

기능이 최신 1세대 Horizon Cloud 포드 매니페스트, Horizon 포드 버전 또는 Horizon Cloud Connector 버전에서만 사용할 수 있는 시스템 코드에 의존하는지 여부.
기능이 출시될 때 릴리스 정보에 언급된 것처럼 기능에 대한 액세스 가용성이 제한되는지 여부
기능에 특정 라이센싱 또는 SKU가 필요한지 여부.

해당 기능이 이 설명서에는 언급되어 있지만 1세대 콘솔에서 찾을 수 없으면 먼저 릴리스 정보를 확인하여 해당 기능의 액세스가 제한되어 있는지와 테넌트에서 사용 설정을 요청하는 방법을 검토하십시오. 또는 이 설명서에 나와 있는 기능을 사용할 수 있는 권한이 있으나 콘솔에서 확인할 수 없는 경우 VMware Horizon Cloud Service 담당자에게 요청하고, 담당자가 없는 경우 Customer Connect에 지원 요청을 제출하는 방법(VMware KB 2006985)에 설명된 대로 Horizon Cloud Service 팀에 SR(서비스 요청)을 제출할 수 있습니다.

역할이 할당된 Active Directory 그룹의 사용자에 대해 콘솔 사용자 인터페이스의 다른 부분을 사용하도록 설정하거나 비활성화하는 역할

이러한 역할은 시스템에서 미리 정의되며 Active Directory 그룹과 관련됩니다. 개별 사용자가 Horizon Cloud 환경에 인증받는 경우 해당 사용자 계정이 있는 AD(Active Directory) 그룹이 감지됩니다. 또한 콘솔의 [역할 및 사용 권한] 페이지에서 해당 AD 그룹에 할당되는 역할을 알 수 있습니다. 그런 다음 콘솔의 사용자 인터페이스 페이지, 탭 및 창을 따라 이동하면 해당 항목은 사용자의 AD 그룹에 할당된 역할에 따라 사용하도록 설정되거나 비활성화된 것으로 표시됩니다.

중요: 이러한 역할을 개별 AD 사용자 계정이 아닌 그룹에만 할당할 수 있다는 사실은 동일한 AD 도메인 그룹에 이러한 두 역할을 할당하지 않도록 해야 한다는 것을 의미하기도 합니다. 이러한 역할 중 두 개를 동일한 AD 그룹에 부여하고 해당 그룹의 사용자가 로그인하여 콘솔로 해당 사용자 그룹에 두 역할이 할당되었음을 식별하면 사용자 인터페이스 페이지를 이동할 때 두 역할 중 하나로 인해 해당 항목에 액세스할 수 없게 되므로 비활성화된 항목이 표시될 수 있습니다.

AD 그룹 수준에서 이러한 각 역할을 적용합니다. 개별 수준이 아니라 그룹 수준에서 적용되기 때문에 동일한 AD 그룹의 모든 사용자는 콘솔로 [역할 및 사용 권한] 페이지를 사용하여 해당 Active Directory 그룹에 할당하는 역할을 받게 됩니다. AD 환경의 AD 그룹에 속하는 개인을 제어합니다. 따라서 AD 환경의 개인을 하나의 AD 그룹에서 다른 Active Directory 그룹으로 이동하는 경우 할당된 다른 역할(My VMware 계정에 할당된 역할)에 맞는 역할 중 하나가 있는 그룹으로 이동해야 합니다. 한 AD 그룹에서 다른 그룹으로 개인을 이동하는 경우 해당 개인의 My VMware 계정에 할당된 다른 유형의 역할을 새 AD 그룹에 할당된 개인의 역할 유형에 맞게 조정해야 합니다.

이러한 역할 중 하나의 예로 Help Desk Read Only Administrator 역할을 들 수 있습니다. [역할 및 사용 권한] 페이지에서 AD 그룹에 해당 역할이 할당되면 해당 그룹의 개인이 최종 사용자의 사용자 카드로 이동하여 해당 정보를 볼 수 있지만 데스크톱에서 작업을 수행할 수 없습니다.

해당 역할이 해당 My VMware 계정에 할당된 사용자가 호출할 수 있는 작업을 결정하는 역할

다른 역할 유형과 마찬가지로 이러한 역할은 시스템에서 미리 정의됩니다. 이러한 역할은 [일반 설정] 페이지의 My VMware 계정 영역에 구성된 My VMware 계정과 관련되어 있습니다. 개인이 Horizon Cloud 환경에서 인증을 받는 경우 콘솔은 로그인한 세션을 인증하는 데 사용된 My VMware 계정에 할당된 역할을 감지합니다. 그런 다음, 사용자가 콘솔에서 작업을 호출하려고 하면 [일반 설정] 페이지에서 로그인한 사용자의 My VMware 계정에 할당된 이 역할에 따라 API 호출이 진행되도록 하거나 API 호출을 방지합니다.

결과적으로, 콘솔에 대한 초기 인증 후 할당된 역할은 다른 유형의 할당된 역할과 함께 작동하는 경우가 많습니다.

콘솔의 사용자 인터페이스 페이지, 탭 및 창을 따라 이동하면 사용자 인터페이스 요소는 사용자의 AD 그룹에 할당된 역할에 따라 사용하도록 설정되거나 비활성화된 것으로 표시됩니다.
해당 사용자가 작업을 수행하기 위한 API 호출 버튼을 클릭하면 해당 My VMware 계정에 할당된 역할이 해당 작업을 수행하도록 허용하지 않을 경우 API 호출이 진행되지 않고 작업이 완료되지 않습니다.

중요: 콘솔에서 이 역할이 사용자의 AD 그룹에 할당된 역할과 함께 작동한다고 가정할 경우(후자는 어떤 콘솔 요소가 활성 상태인지 확인하고, 전자는 요소 클릭 시 완료할 수 있는 작업 결정) 특정 개인이 갖는 두 역할의 전체적인 조합이 특정 개인에게 원하는 결과를 반영해야 합니다. 그렇지 않으면 모순되는 결과가 발생할 수 있습니다. 한 AD 그룹에서 다른 그룹으로 개인을 이동하는 경우 해당 My VMware 계정의 역할이 새 AD 그룹의 역할에 맞게 정렬되고 필요에 따라 조정되는지 확인합니다. 표준 모범 사례 조합이 다음 섹션에 설명되어 있습니다.

5가지 표준 모범 사례 역할 조합

아래 표에 따라 사용자의 두 역할이 잘 맞지 않을 때 모순된 상황이 발생할 수 있으므로 조직의 개인에게 부여된 역할을 다음 표에 맞게 조정하는 것이 좋습니다. 시스템은 해당 그룹에 속한 개인의 My VMware 계정에 할당된 역할보다 좀 더 허용적인 역할을 AD 그룹에 할당하도록 허용합니다. 개인이 여러 AD 그룹에 속하는 경우 [역할 및 사용 권한] 페이지에서 해당 그룹에 할당된 역할이 서로 간에 그리고 개인의 My VMware 계정 역할과 잘 맞는지 확인합니다.


[일반 설정] 페이지에서 사용자의 My VMware 계정에 대한 역할	[역할 및 사용 권한] 페이지에 있는 사용자의 Active Directory 그룹에 대한 역할	설명
고객 관리자	슈퍼 관리자	콘솔의 모든 영역을 확인하고 콘솔에서 모든 작업을 수행하기 위한 전체 액세스 권한.
고객 할당 관리자	할당 관리자	콘솔의 모든 영역을 보고 최종 사용자 할당 및 팜의 수정/관리와 관련된 작업을 수행할 수 있습니다.
고객 관리자 읽기 전용	데모 관리자	콘솔의 모든 영역을 보고, 설정을 보고, 추가 선택 항목을 볼 수 있는 옵션을 선택할 수 있는 기능이 있지만 항목 삭제와 같이 환경을 변경하는 작업을 호출하는 기능은 없습니다. 이 조합을 사용하는 예는 조직의 사용자가 로그인하도록 허용하며, 시스템의 기능을 다른 사용자에게 보여 주면서 시스템을 변경하지 못하게 합니다.
고객 기술 지원	헬프 데스크 관리자	콘솔의 헬프 데스크 관련 영역을 보고, 콘솔에서 제공하는 모든 헬프 데스크 관련 작업을 수행할 수 있습니다. 이 조합의 목적은 사용자 카드 기능을 사용하여 최종 사용자 세션의 상태를 확인하고 세션에서 문제 해결 작업을 수행하도록 하는 것입니다.
고객 기술 지원 읽기 전용	헬프 데스크 읽기 전용 관리자	콘솔의 헬프 데스크 관련 영역을 확인하고 사용자 카드의 최종 사용자 세션 상태를 볼 수 있지만 헬프 데스크 관련 작업을 호출할 수는 없습니다.

사용자를 모든 콘솔 영역에 대한 읽기 전용, 보기 액세스 권한으로 제한하려는 경우

개인이 모든 콘솔의 [사용자 인터페이스] 페이지를 찾아보고, 대화상자를 열고 보고서를 볼 수 있도록 하고, 테넌트 환경에서 항목 변경 작업의 호출은 제한하려면 다음 두 조건이 모두 충족되어야 합니다.

[일반 설정] 페이지의 My VMware 계정 영역에서 Customer Administrator Read-Only 역할을 해당 My VMware 계정에 할당합니다. 해당 개인의 계정에 다른 역할이 나열되어 있으면 My VMware 계정 섹션에서 해당 행을 제거하고, Customer Administrator Read-Only 역할을 지정하여 다시 추가합니다.
[역할 및 사용 권한] 페이지에서 해당 개인의 Active Directory 그룹에 Demo Administrator 역할을 할당합니다.

이러한 두 조건이 모두 충족되면 개인이 콘솔에 로그인하고, 콘솔의 모든 페이지로 이동하고, 페이지를 찾아보고, 대화상자를 열고 보고서를 볼 수 있지만 환경에서 항목 변경 작업의 호출은 제한할 수 있습니다.

참고: [역할 및 사용 권한] 페이지는 개별 계정 수준이 아니라 AD 그룹 수준에서 작동하기 때문에 조직 요구 사항에 따라 AD 그룹에 해당하는 개별 계정이 있는지 확인해야 합니다.

콘솔의 헬프 데스크 기능에 대한 액세스 권한과 사용자 카드에서 작업을 수행할 수 있는 기능을 제한하려는 경우

개별 사용자가 콘솔에 로그인할 수 있고, 콘솔의 모든 영역이 아니라 헬프 데스크 관련 기능에만 액세스하도록 제한하면서, 헬프 데스크 관련 작업을 수행할 수 있도록 허용하려면 다음 두 조건이 모두 충족되는지 확인해야 합니다.

[일반 설정] 페이지의 My VMware 계정 영역에서 Customer Helpdesk 역할을 해당 My VMware 계정에 할당합니다. 해당 개인의 계정에 다른 역할이 나열되어 있으면 My VMware 계정 섹션에서 해당 행을 제거하고, Customer Helpdesk 역할을 지정하여 다시 추가합니다.
[역할 및 사용 권한] 페이지에서 해당 개인의 Active Directory 그룹에 Help Desk Administrator 역할을 할당합니다.

이러한 두 조건이 모두 충족되면 해당 사용자는 콘솔에 로그인하고, 헬프 데스크 관련 기능을 보고, 헬프 데스크 관련 작업을 수행할 수 있게 됩니다.

사용자를 콘솔의 헬프 데스크 기능에 대한 읽기 전용 액세스 권한으로 제한하려는 경우

개별 사용자가 콘솔에 로그인할 수 있고, 헬프 데스크 관련 기능에 읽기 전용으로만 액세스하도록 제한하고, 헬프 데스크 관련 작업을 수행할 수 없도록 하려면 다음 두 조건이 모두 충족되는지 확인해야 합니다.

[일반 설정] 페이지의 My VMware 계정 영역에서 Customer Helpdesk Read-Only 역할을 해당 My VMware 계정에 할당합니다. 해당 개인의 계정에 다른 역할이 나열되어 있으면 My VMware 계정 섹션에서 해당 행을 제거하고, Customer Helpdesk Read-Only 역할을 지정하여 다시 추가합니다.
[역할 및 사용 권한] 페이지에서 해당 개인의 Active Directory 그룹에 Help Desk Read Only Administrator 역할을 할당합니다.

이러한 두 조건이 모두 충족되면 해당 사용자는 콘솔에 로그인하고, 헬프 데스크 관련 기능을 읽기 전용으로 사용할 수 있게 됩니다.

사용자를 콘솔의 할당 및 팜 관련 기능 액세스 권한으로 제한하려는 경우

개별 사용자가 콘솔에 액세스하여 최종 사용자 할당 및 팜 관리와 관련된 작업을 수행하고 콘솔의 다른 모든 영역에 읽기 전용 액세스 권한을 갖게 하려면 다음 두 조건을 모두 충족하는지 확인합니다.

[일반 설정] 페이지의 My VMware 계정 영역에서 Customer Assignment Administrator 역할을 해당 My VMware 계정에 할당합니다. 해당 개인의 계정에 다른 역할이 나열되어 있으면 My VMware 계정 섹션에서 해당 행을 제거하고, Customer Assignment Administrator 역할을 지정하여 다시 추가합니다.
[역할 및 사용 권한] 페이지에서 해당 개인의 Active Directory 그룹에 Assignment Administrator 역할을 할당합니다.

이러한 두 조건이 모두 충족되면 개인이 콘솔에 로그인하고 모든 콘솔 페이지로 이동하여 본 다음 최종 사용자 할당 및 팜을 생성하거나 수정하거나 삭제하는 작업을 호출할 수 있습니다. 또한 개인은 VM 구성, 전원 관리 및 원격 애플리케이션 구성과 같은 할당 및 팜 관리와 관련된 작업을 수행할 수 있습니다.

사용자에게 모든 콘솔 영역 및 작업에 대한 전체 액세스 권한을 부여하려는 경우

개별 사용자가 해당 콘솔 영역을 모두 볼 수 있고 테넌트 환경의 항목을 변경하는 작업을 호출할 수 있도록 콘솔에 대한 전체 액세스 권한을 부여하려는 경우 다음 두 조건이 모두 충족되어야 합니다.

[일반 설정] 페이지의 My VMware 계정 영역에서 Customer Administrator 역할을 해당 My VMware 계정에 할당합니다. 해당 개인의 계정에 다른 역할이 나열되어 있으면 My VMware 계정 섹션에서 해당 행을 제거하고, Customer Administrator 역할을 지정하여 다시 추가합니다.
[역할 및 사용 권한] 페이지에서 해당 개인의 Active Directory 그룹에 Super Administrator 역할을 할당합니다.

이러한 두 조건이 모두 충족되면 개인이 콘솔에 로그인하고, 콘솔의 모든 페이지로 이동하고, 환경의 항목 변경 작업을 호출할 수 있습니다.