В службе Workspace ONE Access для управления ролями администратора используется функция управления доступом на основе ролей (RBAC). Управление доступом на основе ролей позволяет создавать функциональные роли, которые управляют доступом администраторов к задачам в консоли Workspace ONE Access, и назначать роли для одного или нескольких пользователей и групп.
Три предварительно определенных роли администраторов встроены в службу Workspace ONE Access.
- Привилегированный администратор. Пользователь с ролью привилегированного администратора может получать доступ ко всем компонентами и функциями в службах Workspace ONE Access, а также управлять ими. Привилегированный администратор может назначать пользователям и группам роли администратора и управлять ролями администратора. Рекомендуется назначать роль привилегированного администратора ограниченному кругу лиц.
Для облачных арендаторов Workspace ONE Access локальный администратор создается в качестве первого привилегированного администратора в системном домене системного каталога при первой настройке арендатора. Имя этого пользователя — admin. Учетные данные, предоставляемые при получении нового арендатора, относятся к этому локальному администратору.
- Администратор с правами только для чтения. Пользователь с ролью администратора с правами только для чтения может просматривать сведения на страницах консоли Workspace ONE Access, в том числе на панели управления и в отчетах, но не может вносить изменения. Всем администраторам автоматически назначаются роли с доступом только для чтения. При добавлении пользователей и групп в локальные каталоги таким пользователям и группам также можно назначить роль «только для чтения».
Роль администратора с доступом только для чтения дает пользователям доступ с правами администратора для просмотра консоли Workspace ONE Access. Но если администратору не назначена другая роль с дополнительными правами доступа, он может только просматривать содержимое консоли Workspace ONE Access.
Примечание: Администратор, которому назначена роль с доступом только для чтения, не может просматривать некоторые страницы консоли Workspace ONE Access. Когда администраторы, которым назначены роли с доступом только для чтения, пытаются просмотреть эти страницы, они перенаправляются на панель управления. - Администратор каталога. Пользователь с ролью администратора каталога может управлять пользователями, группами и каталогами. Администратор каталога может управлять интеграцией корпоративных и локальных каталогов в организации. Он также может управлять локальными пользователями и группами.
Можно также создать настраиваемые роли администраторов, которые будут предоставлять ограниченные разрешения для определенных типов служб в консоли Workspace ONE Access. В службах можно выбрать определенные операции в качестве типа действия, которое может выполняться ролью.
Применение ролей администратора к разным службам
Можно создать роли управления доступом для управления шестью различными типами служб в консоли Workspace ONE Access. Пользователям и группам можно назначить несколько ролей. Если пользователю назначено несколько ролей, возможности, доступные для этих ролей, предоставляются в совокупности. Например, если администратору назначены две роли, одна с доступом с правом записи в «Управление удостоверениями и доступом», а вторая без такого доступа, у администратора будет доступ для изменения политик.
При добавлении роли необходимо выбрать тип службы и определить, какие действия можно в ней выполнять. В некоторых службах можно указать управление всеми ресурсами или некоторыми ресурсами для выбранного действия.
| Тип службы | Описание службы |
|---|---|
| Каталог | Каталог — это репозиторий всех ресурсов, которые могут быть назначены пользователям. В службе каталога можно управлять следующими типами действий.
Примечание: Чтобы впервые начать работу с элементами на странице «Коллекция виртуальных приложений» в каталоге, требуется роль привилегированного администратора. После этого администраторы с доступом к службе каталога могут управлять пакетами ThinApp и настольными приложениями.
|
| Управление каталогами | В службе управления каталогами можно управлять следующими типами действий как для всей организации, так и для конкретных каталогов в организации.
Важно!: При создании роли с помощью службы управления каталогами необходимо также настроить службу управления удостоверениями и доступом в роли.
|
| Пользователи и группы | В службе управления пользователями и группами можно управлять следующими типами действий как для всей организации, так и для конкретных доменов в организации.
|
| Права | В службе назначения прав можно назначать пользователям веб- и виртуальные приложения. Можно управлять следующими типами действий с правами. Для каждого из этих действий можно настроить роль, чтобы назначить пользователям и группам все ресурсы организации или определенные приложения. Можно также предоставить пользователям и группам права на использование приложений в определенных доменах.
|
| Администрирование ролей | В службе администрирования ролей можно управлять назначением пользователям роли администратора. При создании роли с помощью службы администрирования ролей необходимо настроить службу управления пользователями и группами, а затем выбрать действия «Управление пользователями» и «Управление группами». Администраторы, которым назначена эта роль, могут предоставлять пользователям и группам роль администратора, а также отменять ее. |
| Управление учетными данными и доступом | В консоли Workspace ONE Access с помощью службы «Управление учетными данными и доступом» можно управлять следующими областями.
Примечание: Администраторы, которым назначена роль со «Службой управления идентификацией и доступом», могут интегрировать
Workspace ONE Access с Workspace ONE UEM и создать каталог из консоли Workspace ONE UEM Console.
|
