De Workspace ONE Access-service gebruikt op rollen gebaseerde toegangscontrole voor het beheren van de beheerdersrollen. Met een op rollen gebaseerde toegangscontrole, kunt u functionele rollen creëren die de toegang van beheerders tot taken in de Workspace ONE Access-console beheren en de rollen toewijzen aan een of meer gebruikers en groepen.
Drie vooraf gedefinieerde beheerdersrollen zijn ingebouwd in de Workspace ONE Access-service, superadministrator, alleen-lezen beheerder en directorybeheerder. U kunt deze vooraf gedefinieerde rollen toewijzen aan gebruikers en groepen in uw service. U kunt deze rollen niet wijzigen of verwijderen.
Voor Workspace ONE Access-cloudimplementaties wordt een lokale tenantadmingebruiker in het systeemdomein van de systeemdirectory gemaakt als eerste superbeheerder wanneer de tenant voor het eerst wordt ingesteld. De naam van deze gebruiker is admin. De verficatiegegevens die u ontvangt wanneer u een nieuwe tenant krijgt, behoren bij deze lokale admingebruiker.
De superbeheerdersrol die toegang heeft tot alle kenmerken en functies in de Workspace ONE Access-services en kan deze ook beheren. U kunt andere gebruikers aan de superbeheerdersrol toewijzen in de systeemdirectory. Als best practice wordt aanbevolen de superbeheerdersrol slechts aan een beperkt aantal gebruikers te verlenen.
De beheerdersrol met kenmerk Alleen-lezen kan de details bekijken op de pagina's van de Workspace ONE Access-console, zoals het dashboard en de rapporten, maar kan deze niet wijzigen. De alleen-lezen rol wordt automatisch toegewezen aan alle beheerdersrollen.
De directorybeheerdersrol kan gebruikers, groepen en directory's beheren. De directorybeheerder kan integratie van directory's voor zowel de bedrijfsdirectory's als de lokale directory's binnen uw organisatie beheren. De directorybeheerder kan ook lokale gebruikers en groepen beheren.
U kunt ook aangepaste beheerdersrollen maken die beperkte rechten voor specifieke services in de Workspace ONE Access console verlenen. In de service kunnen specifieke bewerkingen worden geselecteerd als het type actie dat kan worden uitgevoerd in de rol.
Beheerdersrollen toepassen op verschillende services
Toegangsbeheer op basis van rollen kan worden ingesteld voor het beheer van de volgende services in de beheerconsole. Meerdere rollen kunnen aan dezelfde gebruikers en groepen worden toegewezen. Wanneer aan een gebruiker meer dan één rol wordt toegewezen, zijn altijd de meest uitgebreide rechten van de rollen van toepassing. Bijvoorbeeld: als aan een beheerder twee rollen zijn toegewezen, één met schrijftoegang tot beleidsbeheer en een andere zonder, heeft die beheerder toegang om het beleid te wijzigen.
Type service | Beschrijving van service |
---|---|
Catalogus | De catalogus is de opslagplaats van alle resources waarvoor rechten kunnen worden verleend aan gebruikers. De catalogusservice kan de volgende typen acties beheren.
Opmerking: Een superbeheerder is vereist om de procedure Aan de slag op de pagina Verzameling van virtuele apps in de catalogus te starten. Na de eerste procedure Aan de slag kunnen beheerdersrollen met de catalogusservice ThinApp-pakketten en desktopapplicaties beheren.
|
Directorybeheer | De service Directorybeheer kan de volgende typen acties beheren voor de organisatie of voor specifieke directory's in uw organisatie.
Wanneer de service Directorybeheer is opgenomen in een rol, moet de service Identiteits- en toegangsbeheer ook worden geconfigureerd in de rol. |
Gebruikers en groepen | De service Gebruikers en groepen kan de volgende typen acties in uw hele organisatie of voor specifieke domeinen in uw organisatie beheren.
|
Rechten | De service Rechten kan gebruikers toewijzen aan web- en virtuele applicaties. De volgende typen rechtenacties kunnen worden beheerd. Voor elk van deze acties kunt u de rol configureren om gebruikers en groepen aan alle bronnen in uw organisatie of aan specifieke applicaties toe te wijzen. U kunt ook rechten voor applicaties verlenen aan gebruikers en groepen in specifieke domeinen.
|
Rollenbeheer | De service Rollenbeheer kan de toewijzing van de beheerdersrol aan gebruikers beheren. Wanneer u een rol met de service Rollenbeheer maakt, moet u de service Gebruikers en groepen configureren en de acties Gebruikers beheren en Groepen beheren selecteren. Beheerders waaraan deze rol is toegewezen, kunnen gebruikers en groepen promoveren naar de beheerdersrol en kunnen de beheerdersrol van gebruikers of groepen verwijderen. |
Identiteits- en toegangsbeheer | De service Identiteits- en toegangsbeheer kan de volgende gebieden in de Workspace ONE Access-console beheren.
Opmerking: Beheerders met de rol Identiteits- en toegangsbeheer kunnen
Workspace ONE Access met Workspace ONE UEM integreren en de directory vanuit de Workspace ONE UEM Console maken.
|
Wanneer u een rol toevoegt, kunt u de service selecteren en bepalen welke acties kunnen worden uitgevoerd in de service. In sommige van de services kunt u ervoor kiezen om alle bronnen voor de geselecteerde actie of sommige bronnen te beheren.
Alleen-lezen toegang beheren
Alleen-lezen toegang wordt verleend met elke rol die wordt toegewezen aan een beheerder. U kunt ook gebruikers en groepen aan de alleen-lezen rol toewijzen wanneer u ze toevoegt aan de lokale directory's.
De rol alleen-lezen beheerder geeft gebruikers beheerderstoegang om de Workspace ONE Access-console weer te geven. Maar tenzij aan een beheerder een andere rol met aanvullende toegang is toegewezen, kan deze alleen de inhoud in de Workspace ONE Access-console weergeven.
Wanneer u de alleen-lezen rol als een afzonderlijke rol toewijst, kunt u de rol via de pagina voor het toewijzen van de rol Alleen-lezen beheerder of via de pagina met het gebruikers- of groepsprofiel verwijderen.