На сервере Workspace ONE Access можно предоставить три предварительно определенных роли администратора: привилегированный администратор, администратор с доступом только для чтения и администратор каталога.

  • Пользователь с ролью привилегированного администратора может получать доступ ко всем компонентами и функциями в службах Workspace ONE Access, а также управлять ими.

    Первый привилегированный администратор — это локальный администратор, который создается Workspace ONE Access при первой настройке службы. Служба создает администратора в системном домене системного каталога. В системном каталоге можно назначить роль привилегированного администратора другим пользователям. Рекомендуется назначать роль привилегированного администратора ограниченному кругу лиц.

  • Пользователь с ролью администратора с доступом только для чтения может просматривать сведения на страницах консоли Workspace ONE Access, в том числе на панели управления и в отчетах, но не может вносить изменения. Всем администраторам автоматически назначаются роли с доступом только для чтения.
    Примечание: Администратор, которому назначена роль с доступом только для чтения, не может просматривать некоторые страницы консоли Workspace ONE Access. Когда администраторы, которым назначены роли с доступом только для чтения, пытаются просмотреть эти страницы, они перенаправляются на панель управления.
  • Пользователь с ролью администратора каталога может управлять пользователями, группами и каталогами. Администратор каталога может управлять интеграцией корпоративных и локальных каталогов в организации. Он также может управлять локальными пользователями и группами.
Рис. 1. Вкладка «Роли» в консоли Workspace ONE Access

Можно назначить эти предварительно определенные роли пользователям и группам в своей службе. Эти роли нельзя изменить или удалить.

Можно также создать настраиваемые роли администраторов, которые будут предоставлять ограниченные разрешения для определенных служб в консоли Workspace ONE Access. В службе можно выбрать определенные операции в качестве типа действия, которое может выполняться ролью.

Пользователям и группам можно назначить несколько ролей. Если пользователю назначено несколько ролей, возможности, доступные для этих ролей, предоставляются в совокупности. Например, если администратору назначены две роли, одна с доступом с правом записи для управления политиками, а вторая без такого доступа, у администратора будет доступ для изменения политик.

Можно настроить управление доступом на основе ролей, чтобы управлять следующими службами в консоли администрирования.

Тип службы

Описание службы

Каталог

Каталог представляет собой репозиторий всех ресурсов Workspace ONE, которые могут назначаться пользователям.

В службе каталога можно управлять следующими типами действий.

  • Веб-приложения
  • Источники приложений
  • Сторонние приложения
  • Коллекция виртуальных приложений ThinApp
  • Коллекция виртуальных приложений, включающая в себя приложения Horizon, Horizon Cloud и приложения на базе Citrix.
Примечание: Чтобы впервые начать работу с элементами на странице «Коллекция виртуальных приложений» в каталоге, требуется роль привилегированного администратора. После этого администраторы с доступом к службе каталога могут управлять пакетами ThinApp и настольными приложениями.
Управление каталогами

В службе управления каталогами можно управлять следующими типами действий как для всей организации, так и для конкретных каталогов в организации.

  • Корпоративный каталог. Администратор может добавлять, изменять и удалять каталоги в службе. Изменение каталога включает управление параметрами каталога, в том числе параметрами синхронизации.
  • Локальный каталог. Администратор может создавать, изменять и удалять локальные каталоги. Изменение каталога включает управление параметрами, а также создание, изменение и удаление локальных пользователей и групп.

Если служба управления каталогами доступна для роли, то также необходимо настроить службу управления учетными данными и доступом для этой роли.

Пользователи и группы

В службе управления пользователями и группами можно управлять следующими типами действий как для всей организации, так и для конкретных доменов в организации.

  • Группы
  • Пользователи
  • Сброс паролей для локальных пользователей
Права

В службе назначения прав можно назначать пользователям веб- и виртуальные приложения.

Можно управлять следующими типами действий с правами. Для каждого из этих действий можно настроить роль, чтобы назначить пользователям и группам все ресурсы организации или определенные приложения. Можно также предоставить пользователям и группам права на использование приложений в определенных доменах.

  • Права на доступ к веб-приложениям
  • Права на доступ к сторонним приложениям
Администрирование ролей

В службе администрирования ролей можно управлять назначением пользователям роли администратора.

При создании роли с помощью службы администрирования ролей необходимо настроить службу управления пользователями и группами, а затем выбрать действия «Управление пользователями» и «Управление группами».

Администраторы, которым назначена эта роль, могут предоставлять пользователям и группам роль администратора, а также отменять ее.

Управление учетными данными и доступом

В службе управления учетными данными и доступом можно управлять параметрами на вкладке «Управление учетными данными и доступом». Чтобы управлять параметрами каталогов, также требуется служба управления каталогами.

Примечание: Администраторы, которым назначена роль управления идентификацией и доступом, могут интегрировать Workspace ONE Access с Workspace ONE UEM и создать каталог из консоли Workspace ONE UEM Console.

При добавлении роли необходимо выбрать службу и определить, какие действия можно в ней выполнять. В некоторых службах можно указать управление всеми ресурсами или некоторыми ресурсами для выбранного действия.

Управление доступом только для чтения

Доступ только для чтения предоставляется каждой роли, назначенной администратору. Можно также назначить пользователям и группам роль с доступом только для чтения на странице «Роли администратора с доступом только для чтения».

Роль администратора с доступом только для чтения дает пользователям доступ с правами администратора для просмотра консоли Workspace ONE Access. Но если администратору не назначена другая роль с дополнительными правами доступа, он может только просматривать содержимое консоли Workspace ONE Access.

При назначении отдельной роли с доступом только для чтения можно удалить роль на странице назначения роли администратора с доступом только для чтения или на странице профиля группы или пользователя.