De volgende typen rollen kunnen op de VMware Identity Manager-server worden verleend.

Er zijn drie vooraf gedefinieerde beheerdersrollen:

  • De superbeheerdersrol die toegang heeft tot alle functies in de VMware Identity Manager-services en deze ook kan beheren.

    De eerste superbeheerder is de lokale beheerdergebruiker die door VMware Identity Manager wordt gemaakt wanneer u de service voor het eerst instelt. De service maakt de beheerder in het systeemdomein van de systeemdirectory. U kunt andere gebruikers aan de superbeheerdersrol toewijzen in de systeemdirectory. Als best practice wordt aanbevolen de superbeheerdersrol slechts aan een beperkt aantal gebruikers te verlenen.

  • De alleen-lezen beheerdersrol die de details op de pagina's van de beheerconsole, zoals het dashboard en de rapporten, kan weergeven, maar niet kan wijzigen. De alleen-lezen rol wordt automatisch toegewezen aan alle beheerdersrollen.

  • De directorybeheerdersrol die gebruikers, groepen en directory's kan beheren. De directorybeheerder kan integratie van directory's voor zowel de bedrijfsdirectory's als de lokale directory's binnen uw organisatie beheren. De directorybeheerder kan ook lokale gebruikers en groepen beheren.

Figuur 1. Het tabblad Rollen in de VMware Identity Manager-beheerconsole

U kunt deze vooraf gedefinieerde rollen toewijzen aan gebruikers en groepen in uw service. U kunt deze rollen niet wijzigen of verwijderen.

U kunt ook aangepaste beheerdersrollen maken die beperkte rechten voor specifieke services in de beheerconsole verlenen. In de service kunnen specifieke bewerkingen worden geselecteerd als het type actie dat kan worden uitgevoerd in de rol.

Meerdere rollen kunnen aan dezelfde gebruikers en groepen worden toegewezen. Wanneer aan een gebruiker meer dan één rol wordt toegewezen, zijn altijd de meest uitgebreide rechten van de rollen van toepassing. Bijvoorbeeld: als aan een beheerder twee rollen zijn toegewezen, één met schrijftoegang tot beleidsbeheer en een andere zonder, heeft die beheerder toegang om het beleid te wijzigen.

Toegangsbeheer op basis van rollen kan worden ingesteld voor het beheer van de volgende services in de beheerconsole.

Type service

Beschrijving van service

Catalogus

De catalogus is de opslagplaats van alle Workspace ONE-bronnen waarvoor rechten kunnen worden verleend aan gebruikers.

De catalogusservice kan de volgende typen acties beheren.

  • Webapplicaties

  • Appbronnen

  • Applicaties van derden

  • ThinApp-verzameling van virtuele apps

  • Verzameling van virtuele apps die Horizon-, Horizon Cloud- en Citrix-gebaseerde applicaties bevat.

Opmerking:

Een superbeheerder is vereist om de procedure Aan de slag op de pagina Verzameling van virtuele apps in de catalogus te starten. Na de eerste procedure Aan de slag kunnen beheerdersrollen met de catalogusservice ThinApp-pakketten en desktopapplicaties beheren. Zie 'Verzamelingen van virtuele apps voor desktopintegraties gebruiken' in de handleiding 'Bronnen instellen in VMware Identity Manager 3.2'.

Directorybeheer

De service Directorybeheer kan de volgende typen acties beheren voor de organisatie of voor specifieke directory's in uw organisatie.

  • Bedrijfsdirectory. De beheerder kan directory's in de service toevoegen, bewerken en verwijderen. Het bewerken van een directory omvat het beheren van directoryinstellingen, waaronder de synchronisatie-instellingen.

  • Lokale directory. De beheerder kan lokale directory's maken, bewerken en verwijderen. Het bewerken van een directory omvat het beheren van instellingen en het maken, bewerken en verwijderen van lokale gebruikers en groepen.

Wanneer de service Directorybeheer is opgenomen in een rol, moet de service Identiteits- en toegangsbeheer ook worden geconfigureerd in de rol.

Gebruikers en groepen

De service Gebruikers en groepen kan de volgende typen acties in uw hele organisatie of voor specifieke domeinen in uw organisatie beheren.

  • Groepen

  • Gebruikers

  • Wachtwoord opnieuw instellen voor lokale gebruikers

Rechten

De service Rechten kan gebruikers toewijzen aan web- en virtuele applicaties.

De volgende typen rechtenacties kunnen worden beheerd. Voor elk van deze acties kunt u de rol configureren om gebruikers en groepen aan alle bronnen in uw organisatie of aan specifieke applicaties toe te wijzen. U kunt ook rechten voor applicaties verlenen aan gebruikers en groepen in specifieke domeinen.

  • Webrechten

  • Rechten van derden

Rollenbeheer

De service Rollenbeheer kan de toewijzing van de beheerdersrol aan gebruikers beheren.

Wanneer u een rol met de service Rollenbeheer maakt, moet u de service Gebruikers en groepen configureren en de acties Gebruikers beheren en Groepen beheren selecteren.

Beheerders waaraan deze rol is toegewezen, kunnen gebruikers en groepen promoveren naar de beheerdersrol en kunnen de beheerdersrol van gebruikers of groepen verwijderen.

Identiteits- en toegangsbeheer

De service Identiteits- en toegangsbeheer kan de instellingen op het tabblad Identiteits- en toegangsbeheer beheren. Voor het beheer van de directoryinstellingen is ook de service Directorybeheer vereist.

Opmerking:

Beheerders met de rol Identiteits- en toegangsbeheer kunnen VMware Identity Manager integreren met AirWatch en de directory via AirWatch maken.

Wanneer u een rol toevoegt, kunt u de service selecteren en bepalen welke acties kunnen worden uitgevoerd in de service. In sommige van de services kunt u ervoor kiezen om alle bronnen voor de geselecteerde actie of sommige bronnen te beheren.

Alleen-lezen toegang beheren

Alleen-lezen toegang wordt verleend met elke rol die wordt toegewezen aan een beheerder. U kunt ook gebruikers en groepen aan de alleen-lezen rol toewijzen via de pagina met rollen voor alleen-lezen beheerders.

De rol Alleen-lezen beheerder geeft gebruikers beheerderstoegang om de beheerconsole weer te geven, maar tenzij aan een beheerder een andere rol met aanvullende toegang is toegewezen, kan deze de inhoud in de beheerconsole alleen weergeven.

Wanneer u de alleen-lezen rol als een afzonderlijke rol toewijst, kunt u de rol via de pagina voor het toewijzen van de rol Alleen-lezen beheerder of via de pagina met het gebruikers- of groepsprofiel verwijderen.