在 VMware Identity Manager 伺服器中可授與下列類型的角色
三個預先定義的管理員角色說明如下。
- 超級管理員角色可存取及管理 VMware Identity Manager 服務中的所有特性和功能。
第一個超級管理員是 VMware Identity Manager 在您第一次設定服務時所建立的本機管理員使用者。服務會在系統目錄的系統網域中建立管理員。您可以在系統目錄中將其他使用者指派給超級管理員角色。最佳做法是為選定的少數幾人授與超級管理員角色。
- 唯讀管理員角色可檢視 VMware Identity Manager 主控台頁面中的詳細資料 (包括儀表板和報告),但無法進行變更。所有管理員角色皆會自動指派唯讀角色。
備註: 僅具備唯讀角色權利的管理員無法檢視部分 Identity Manager 主控台頁面。當唯讀管理員嘗試檢視這些頁面時,系統會將其重新導向至儀表板。
- 目錄管理員角色可管理使用者、群組和目錄。目錄管理員可管理組織中企業目錄與與本機目錄的目錄整合。目錄管理員也可管理本機使用者和群組。
您可以將這些預先定義的角色指派給服務中的使用者和群組。您無法修改或刪除這些角色。
您也可以在 VMware Identity Manager 主控台中建立自訂管理員角色,以給予特定服務的有限權限。在服務中,可選取特定作業作為可在角色中執行的動作類型。
多個角色可指派給相同的使用者和群組。一個使用者被指派多個角色時,套用的角色行為會累加。例如,如果有一個管理員被指派兩個角色,一個具有原則管理的寫入權限,而另一個則無,則該管理員將有權修改原則。
您可以設定角色型存取控制,以便在管理員主控台中管理下列服務。
| 服務類型 | 服務說明 |
|---|---|
| 目錄 | 「目錄」是可授權給使用者之所有 Workspace ONE 資源的存放庫。 「目錄」服務可管理下列類型的動作。
備註: 「開始使用」流程必須由超級管理員在 [目錄] 中的 [虛擬應用程式集合] 頁面中起始。在初始的「開始使用」流程之後,擁有「目錄」服務的管理員角色即可管理 ThinApp 套件和桌面平台應用程式。請參閱《在 VMware Identity Manager 3.2 中設定資源》指南中的〈使用虛擬應用程式集合進行桌面平台整合〉。
|
| 目錄管理 | 「目錄管理」服務可為組織或組織中的特定目錄管理下列類型的動作。
當角色中包含「目錄管理」服務時,您也必須在該角色中設定「身分識別與存取管理」服務。 |
| 使用者和群組 | 「使用者和群組」服務可為整個組織或組織中的特定網域管理下列類型的動作。
|
| 權利 | 「權利」服務可將使用者指派給 Web 和虛擬應用程式。 可管理的權利動作類型如下。對於以下每個動作,您都可以設定角色,以便將使用者和群組指派給組織中的所有資源,或指派給特定應用程式。您也可以為特定網域內的使用者和群組賦予應用程式的權利。
|
| 角色管理 | 「角色管理」服務可管理對使用者的管理員角色指派。 當您建立具有「角色管理」服務的角色時,必須設定「使用者和群組」服務,並選取「管理使用者」和「管理群組」動作。 受指派此角色的管理員可將使用者和群組升階為管理員角色,並且可從使用者或群組中移除管理員角色。 |
| 身分識別與存取管理 | 「身分識別與存取管理」服務可管理 [身分識別與存取管理] 索引標籤中的設定。若要管理目錄設定,則也需要「目錄管理」服務。
備註: 具有身分識別與存取管理角色的管理員可以整合 VMware Identity Manager 與 Workspace ONE UEM,以及從 Workspace ONE UEM Console 建立目錄。
|
當您新增角色時,可以選取服務,並定義可在服務中執行的動作。在某些服務中,您可以為選定的動作選取要管理所有資源,或管理部分資源。
管理唯讀存取權
每個指派給管理員的角色都會被授與唯讀存取權。您也可以從 [唯讀管理員角色] 頁面將使用者和群組指派給唯讀角色。
唯讀管理員角色可為使用者管理員提供檢視 VMware Identity Manager 主控台的存取權,但除非管理員被指派了擁有額外存取權的其他角色,否則他們僅能檢視 VMware Identity Manager 主控台中的內容。
如果您是以個別角色的形式指派唯讀角色,則可以從 [唯讀管理員角色指派] 頁面或從使用者或群組設定檔頁面中移除該角色。
