В службе Workspace ONE Access для управления ролями администратора используется функция управления доступом на основе ролей (RBAC). Управление доступом на основе ролей позволяет создавать функциональные роли, которые управляют доступом администраторов к задачам в консоли Workspace ONE Access, и назначать роли для одного или нескольких пользователей и групп.

Три предварительно определенных роли администраторов встроены в службу Workspace ONE Access.

  • Привилегированный администратор. Пользователь с ролью привилегированного администратора может получать доступ ко всем компонентами и функциями в службах Workspace ONE Access, а также управлять ими. Привилегированный администратор может назначать пользователям и группам роли администратора и управлять ролями администратора. Рекомендуется назначать роль привилегированного администратора ограниченному кругу лиц.

    Для облачных арендаторов Workspace ONE Access локальный администратор создается в качестве первого привилегированного администратора в системном домене системного каталога при первой настройке арендатора. Имя этого пользователя — admin. Учетные данные, предоставляемые при получении нового арендатора, относятся к этому локальному администратору.

  • Администратор с правами только для чтения. Пользователь с ролью администратора с правами только для чтения может просматривать сведения на страницах консоли Workspace ONE Access, в том числе на панели управления и в отчетах, но не может вносить изменения. Всем администраторам автоматически назначаются роли с доступом только для чтения. При добавлении пользователей и групп в локальные каталоги таким пользователям и группам также можно назначить роль «только для чтения».

    Роль администратора с доступом только для чтения дает пользователям доступ с правами администратора для просмотра консоли Workspace ONE Access. Но если администратору не назначена другая роль с дополнительными правами доступа, он может только просматривать содержимое консоли Workspace ONE Access.

    Примечание: Администратор, которому назначена роль с доступом только для чтения, не может просматривать некоторые страницы консоли Workspace ONE Access. Когда администраторы, которым назначены роли с доступом только для чтения, пытаются просмотреть эти страницы, они перенаправляются на панель управления.
  • Администратор каталога. Пользователь с ролью администратора каталога может управлять пользователями, группами и каталогами. Администратор каталога может управлять интеграцией корпоративных и локальных каталогов в организации. Он также может управлять локальными пользователями и группами.

Можно также создать настраиваемые роли администраторов, которые будут предоставлять ограниченные разрешения для определенных типов служб в консоли Workspace ONE Access. В службах можно выбрать определенные операции в качестве типа действия, которое может выполняться ролью.

Применение ролей администратора к разным службам

Можно создать роли управления доступом для управления шестью различными типами служб в консоли Workspace ONE Access. Пользователям и группам можно назначить несколько ролей. Если пользователю назначено несколько ролей, возможности, доступные для этих ролей, предоставляются в совокупности. Например, если администратору назначены две роли, одна с доступом с правом записи в «Управление удостоверениями и доступом», а вторая без такого доступа, у администратора будет доступ для изменения политик.

При добавлении роли необходимо выбрать тип службы и определить, какие действия можно в ней выполнять. В некоторых службах можно указать управление всеми ресурсами или некоторыми ресурсами для выбранного действия.

Тип службы

Описание службы

Каталог

Каталог — это репозиторий всех ресурсов, которые могут быть назначены пользователям.

В службе каталога можно управлять следующими типами действий.

  • Веб-приложения
  • Источники приложений
  • Сторонние приложения
  • Коллекция виртуальных приложений ThinApp
  • Коллекция виртуальных приложений, включающая в себя приложения Horizon, Horizon Cloud и приложения на базе Citrix.
Примечание: Чтобы впервые начать работу с элементами на странице «Коллекция виртуальных приложений» в каталоге, требуется роль привилегированного администратора. После этого администраторы с доступом к службе каталога могут управлять пакетами ThinApp и настольными приложениями.
Управление каталогами

В службе управления каталогами можно управлять следующими типами действий как для всей организации, так и для конкретных каталогов в организации.

  • Корпоративный каталог. Администратор может добавлять, изменять и удалять каталоги в службе Workspace ONE Access. Изменение каталога включает управление параметрами каталога, в том числе параметрами синхронизации.
  • Локальный каталог. Администратор может создавать, изменять и удалять локальные каталоги. Изменение каталога включает управление параметрами, а также создание, изменение и удаление локальных пользователей и групп.
Важно!: При создании роли с помощью службы управления каталогами необходимо также настроить службу управления удостоверениями и доступом в роли.
Пользователи и группы

В службе управления пользователями и группами можно управлять следующими типами действий как для всей организации, так и для конкретных доменов в организации.

  • Группы
  • Пользователи
  • Сброс паролей для локальных пользователей
Права

В службе назначения прав можно назначать пользователям веб- и виртуальные приложения.

Можно управлять следующими типами действий с правами. Для каждого из этих действий можно настроить роль, чтобы назначить пользователям и группам все ресурсы организации или определенные приложения. Можно также предоставить пользователям и группам права на использование приложений в определенных доменах.

  • Права на доступ к веб-приложениям
  • Права на доступ к сторонним приложениям
Администрирование ролей

В службе администрирования ролей можно управлять назначением пользователям роли администратора.

При создании роли с помощью службы администрирования ролей необходимо настроить службу управления пользователями и группами, а затем выбрать действия «Управление пользователями» и «Управление группами».

Администраторы, которым назначена эта роль, могут предоставлять пользователям и группам роль администратора, а также отменять ее.

Управление учетными данными и доступом

В консоли Workspace ONE Access с помощью службы «Управление учетными данными и доступом» можно управлять следующими областями.

  • Ресурсы > Политики
  • Интеграции > Методы проверки подлинности, Соединители, Соединители (устаревшие), Каталоги, Методы проверки подлинности соединителя Connector, Поставщики удостоверений, Magic Link, Каталог Okta, Интеграция UEM
    Примечание: Чтобы управлять настройками каталога необходимо включить в роль службу управления каталогами.
  • Настройки > Фирменная символика, Параметры входа, Политика паролей, Восстановление пароля и Атрибуты пользователя
Примечание: Администраторы, которым назначена роль со «Службой управления идентификацией и доступом», могут интегрировать Workspace ONE Access с Workspace ONE UEM и создать каталог из консоли Workspace ONE UEM Console.