На сервере VMware Identity Manager могут быть предоставлены следующие типы ролей.

Три предварительно определенных роли администратора приведены ниже.

  • Роль привилегированного администратора, который может получать доступ и управлять всеми компонентами и функциями в службах VMware Identity Manager.

    Первый привилегированный администратор — это локальный администратор, который создается VMware Identity Manager при первой настройке службы. Служба создает администратора в системном домене системного каталога. В системном каталоге можно назначить роль привилегированного администратора другим пользователям. Рекомендуется назначать роль привилегированного администратора ограниченному кругу лиц.

  • Роль администратора с доступом только для чтения, который может просматривать сведения на страницах консоли VMware Identity Manager, в том числе на панели управления и в отчетах, но не может вносить изменения. Всем администраторам автоматически назначаются роли с доступом только для чтения.

    Примечание.

    Администратор, которому назначена роль с доступом только для чтения, не может просматривать некоторые страницы консоли Identity Manager. Когда администраторы, которым назначены роли с доступом только для чтения, пытаются просмотреть эти страницы, они перенаправляются на панель управления.

  • Роль администратора каталога, который может управлять пользователями, группами и каталогами. Администратор каталога может управлять интеграцией корпоративных и локальных каталогов в организации. Он также может управлять локальными пользователями и группами.

Рис. 1. Вкладка «Роли» в консоли VMware Identity Manager

Можно назначить эти предварительно определенные роли пользователям и группам в своей службе. Эти роли нельзя изменить или удалить.

Можно также создать настраиваемые роли администраторов, которые будут предоставлять ограниченные разрешения для определенных служб в консоли VMware Identity Manager. В службе можно выбрать определенные операции в качестве типа действия, которое может выполняться ролью.

Пользователям и группам можно назначить несколько ролей. Если пользователю назначено несколько ролей, возможности, доступные для этих ролей, предоставляются в совокупности. Например, если администратору назначены две роли, одна с доступом с правом записи для управления политиками, а вторая без такого доступа, у администратора будет доступ для изменения политик.

Можно настроить управление доступом на основе ролей, чтобы управлять следующими службами в консоли администрирования.

Тип службы

Описание службы

Каталог

Каталог представляет собой репозиторий всех ресурсов Workspace ONE, которые могут назначаться пользователям.

В службе каталога можно управлять следующими типами действий.

  • Веб-приложения

  • Источники приложений

  • Сторонние приложения

  • Коллекция виртуальных приложений ThinApp

  • Коллекция виртуальных приложений, включающая в себя приложения Horizon, Horizon Cloud и приложения на базе Citrix.

Примечание.

Чтобы впервые начать работу с элементами на странице «Коллекция виртуальных приложений» в каталоге, требуется роль привилегированного администратора. После этого администраторы с доступом к службе каталога могут управлять пакетами ThinApp и настольными приложениями. См. раздел «Использование коллекций виртуальных приложений для интеграции с виртуальными системами» в руководстве «Настройка ресурсов в VMware Identity Manager 3.2».

Управление каталогами

В службе управления каталогами можно управлять следующими типами действий как для всей организации, так и для конкретных каталогов в организации.

  • Корпоративный каталог. Администратор может добавлять, изменять и удалять каталоги в службе. Изменение каталога включает управление параметрами каталога, в том числе параметрами синхронизации.

  • Локальный каталог. Администратор может создавать, изменять и удалять локальные каталоги. Изменение каталога включает управление параметрами, а также создание, изменение и удаление локальных пользователей и групп.

Если служба управления каталогами доступна для роли, то также необходимо настроить службу управления учетными данными и доступом для этой роли.

Пользователи и группы

В службе управления пользователями и группами можно управлять следующими типами действий как для всей организации, так и для конкретных доменов в организации.

  • Группы

  • Пользователи

  • Сброс паролей для локальных пользователей

Права

В службе назначения прав можно назначать пользователям веб- и виртуальные приложения.

Можно управлять следующими типами действий с правами. Для каждого из этих действий можно настроить роль, чтобы назначить пользователям и группам все ресурсы организации или определенные приложения. Можно также предоставить пользователям и группам права на использование приложений в определенных доменах.

  • Права на доступ к веб-приложениям

  • Права на доступ к сторонним приложениям

Администрирование ролей

В службе администрирования ролей можно управлять назначением пользователям роли администратора.

При создании роли с помощью службы администрирования ролей необходимо настроить службу управления пользователями и группами, а затем выбрать действия «Управление пользователями» и «Управление группами».

Администраторы, которым назначена эта роль, могут предоставлять пользователям и группам роль администратора, а также отменять ее.

Управление учетными данными и доступом

В службе управления учетными данными и доступом можно управлять параметрами на вкладке «Управление учетными данными и доступом». Чтобы управлять параметрами каталогов, также требуется служба управления каталогами.

Примечание.

Администраторы, которым назначена роль управления доступом и учетными данными, могут интегрировать VMware Identity Manager с Workspace ONE UEM и создать каталог из консоли Workspace ONE UEM.

При добавлении роли необходимо выбрать службу и определить, какие действия можно в ней выполнять. В некоторых службах можно указать управление всеми ресурсами или некоторыми ресурсами для выбранного действия.

Управление доступом только для чтения

Доступ только для чтения предоставляется каждой роли, назначенной администратору. Можно также назначить пользователям и группам роль с доступом только для чтения на странице «Роли администратора с доступом только для чтения».

Роль администратора с доступом только для чтения дает пользователям доступ с правами администратора для просмотра консоли VMware Identity Manager. Но если администратору не назначена другая роль с дополнительными правами доступа, он может только просматривать содержимое консоли VMware Identity Manager.

При назначении отдельной роли с доступом только для чтения можно удалить роль на странице назначения роли администратора с доступом только для чтения или на странице профиля группы или пользователя.