Configurar roles con RBAC
Cada rol predefinido del control de acceso por roles (RBAC) tiene determinados permisos de funciones y de acceso asociados. En este artículo, se describe para qué sirve cada uno de esos permisos. Para obtener una lista completa de permisos predeterminados para cada rol integrado, descargue Role-Based Access Control Defaults.
Aplicar permisos equivale a definir los grupos de usuarios que el rol de RBAC tiene el permiso de administrar. El administrador predeterminado no puede cambiar los parámetros aplicados de los permisos. De forma predeterminada, los permisos aplicados se refieren a todos los grupos de usuarios.
Cuando hace una asignación, asigna el rol de RBAC a un grupo, de modo que el grupo de usuarios es propietario de los derechos de administrador de RBAC.
Importante:
En el permiso Parámetros, el permiso RBAC otorga acceso total a los usuarios administradores, incluida la capacidad de asignar sus propios permisos. Conceda este acceso solamente a los usuarios a los que quiere dar la capacidad de manipular todo lo que hay en el sistema de Endpoint Management.
Este artículo contiene las siguientes secciones:
Rol de administrador
Los usuarios que tengan el rol predefinido Admin tienen o no tienen acceso a las siguientes funciones de XenMobile. De forma predeterminada, las opciones Acceso autorizado (excepto Self Help Portal), Funciones de consola y Aplicar permisos están habilitadas.
Acceso autorizado
Acceso de administrador a la consola | Los administradores tienen acceso a todas las funciones de la consola de XenMobile. |
Acceso al portal Self Help Portal | Los administradores no tienen acceso al portal Self-Help Portal. |
Inscripción de dispositivos compartidos | Los administradores no tienen acceso a la inscripción de dispositivos compartidos. Esta función está pensada para los usuarios que necesitan inscribir dispositivos compartidos. |
Acceso a Remote Support | Los administradores tienen acceso a Remote Support.* |
Acceso a API públicas | Los administradores tienen acceso a la API pública para llevar a cabo, previa programación, acciones disponibles en la consola de XenMobile. Esas acciones pueden ser: administración de certificados, licencias, aplicaciones, dispositivos, grupos de entrega y usuarios locales. |
Inscribir dispositivos COSU | Proporciona un modo para que los administradores puedan inscribir dispositivos Android Enterprise dedicados (también conocidos como dispositivos COSU) si esta capacidad no está configurada mediante un perfil de inscripción. |
La asistencia remota (Remote Support) permite que el personal de Help Desk tome el control remoto de los dispositivos móviles Android administrados. La transmisión de la pantalla solo se admite en dispositivos Samsung Knox. Remote Support no está disponible para implementaciones locales en clúster de XenMobile Server. Remote Support no está disponible para nuevos clientes desde el 1 de enero de 2019. Los clientes existentes pueden seguir utilizando el producto, pero Citrix no proporciona mejoras ni correcciones.
Funciones de consola
Los administradores tienen acceso sin restricciones a todas las funciones de la consola de XenMobile.
| | | | ———————- | ————————————————————————————————————————————————————————————- | | Panel de mandos | El **panel de mandos** es la primera página que los administradores ven después de iniciar sesión en la consola de XenMobile. El **panel de pandos** muestra información básica sobre notificaciones y dispositivos. | | Informes | En la página **Análisis > Informes**, se ofrecen informes predefinidos que permiten analizar las implementaciones de dispositivos y aplicaciones. | | Dispositivos | La página **Administrar > Dispositivos** es donde se administran los dispositivos de los usuarios. En esta página, puede agregar dispositivos individuales o importar un archivo de aprovisionamiento de dispositivos para agregar varios dispositivos a la vez. | | Grupos y usuarios locales | La página **Administrar > Usuarios** es donde se agregan, modifican o eliminan usuarios locales y grupos de usuarios locales. | | Inscripción | La página **Administrar > Invitaciones de inscripción** es donde se define cómo invitar a los usuarios a inscribir sus dispositivos en XenMobile. | | Directivas | La página **Configurar > Directivas de dispositivo** es donde se gestionan las directivas de los dispositivos; por ejemplo, directivas de VPN y Wi-Fi. | | Aplicaciones | La página **Configurar > Aplicaciones** es donde se administran las varias aplicaciones que los usuarios pueden instalar en sus dispositivos. | | Medios | La página **Configurar > Multimedia** es donde se administran los medios para contenido multimedia que los usuarios pueden instalar en sus dispositivos. | | Acción | La página **Configurar > Acciones** es donde se administran las respuestas para desencadenar eventos. | | Perfiles de inscripción | La página **Configurar > Perfiles de inscripción** es donde se configuran los perfiles (modos) de inscripción para permitir que los usuarios inscriban sus dispositivos. | | Grupos de entrega | La página **Configurar > Grupos de entrega** es donde se administran los grupos de entrega y los recursos asociados a ellos. | | Parámetros | La página Parámetros es donde se definen los parámetros del sistema (como propiedades de cliente y servidor, certificados y proveedores de credenciales). Importante: Estos parámetros incluyen el permiso RBAC. El permiso RBAC otorga acceso total a los administradores, incluida la capacidad de asignar sus propios permisos. Conceda este acceso solamente a los usuarios a los que quiere dar la capacidad de manipular todo lo que hay en el sistema de Endpoint Management. | | | Asistencia | La página Solución de problemas y asistencia es donde se realizan las actividades de solución de problemas (como ejecutar diagnósticos y generar registros). |
Dispositivos
Los administradores acceden a las funciones de los dispositivos mediante la consola. Desde ella, pueden establecer restricciones para los dispositivos, configurar y enviar notificaciones a los dispositivos y administrar las aplicaciones presentes en los dispositivos, entre otros.
Borrado completo de dispositivo | Borra todos los datos y aplicaciones de un dispositivo, incluidas las tarjetas de memoria (si el dispositivo las tuviera). |
Borrar restricción | Quita una o varias restricciones de dispositivo. |
Borrado selectivo de dispositivo | Borra todas las aplicaciones y datos empresariales del dispositivo, pero no afecta a las aplicaciones y datos personales. |
Ver ubicaciones | Muestra la ubicación y establece restricciones geográficas en el dispositivo. Incluye: Localizar dispositivos (ver la ubicación de un dispositivo) y Seguimiento de dispositivos (realizar el seguimiento de la ubicación de un dispositivo a lo largo del tiempo). |
Bloquear dispositivo | Bloquea remotamente un dispositivo de modo que los usuarios no puedan usarlo. |
Desbloquear dispositivo | Desbloquea remotamente un dispositivo de modo que los usuarios puedan usarlo. |
Bloquear contenedor | Bloquea remotamente el contenedor de datos empresariales de un dispositivo. |
Desbloquear contenedor | Desbloquea remotamente el contenedor de datos empresariales de un dispositivo. |
Restablecer contraseña de contenedor | Restablece la contraseña del contenedor de datos empresariales. |
Habilitar omisión de bloqueo de activación de DEP ASM | En un dispositivo iOS supervisado, almacena un código de circunvalación cuando habilite el Bloqueo de activación. Si necesita borrar el dispositivo, use este código para quitar automáticamente el Bloqueo de activación. |
Hacer sonar el dispositivo | Hace sonar remotamente un dispositivo Windows al máximo volumen durante 5 minutos. |
Reiniciar el dispositivo | Reinicia los dispositivos Windows desde la consola de XenMobile. |
Implementar en dispositivo | Envía aplicaciones, notificaciones y restricciones, entre otros, a un dispositivo. |
Modificar dispositivo | Modifica los parámetros de un dispositivo. |
Notificación a dispositivo | Envía una notificación a un dispositivo. |
Agregar o quitar dispositivo | Agrega o quita dispositivos de XenMobile. |
Importar dispositivos | Importa en XenMobile un grupo de dispositivos a partir de un archivo. |
Exportar tabla de dispositivos | Recaba información sobre dispositivos a partir de la página “Dispositivos” y la exporta en un archivo CSV. |
Revocar dispositivo | Prohíbe a un dispositivo que se conecte a XenMobile. |
Bloqueo de aplicaciones | Deniega el acceso a todas las aplicaciones de un dispositivo. En Android, los usuarios no pueden iniciar sesión en XenMobile. En iOS, los usuarios pueden iniciar sesión, pero no pueden acceder a las aplicaciones. |
Borrado de aplicaciones | En Android, esta operación elimina la cuenta de XenMobile del usuario. En iOS, esta operación elimina la clave de cifrado que los usuarios necesitan para acceder a las funciones de XenMobile. |
Ver inventario de software | Muestra el software instalado en un dispositivo. |
Solicitar duplicación AirPlay | Solicita iniciar el streaming de AirPlay. |
Detener duplicación AirPlay | Detiene el streaming de AirPlay. |
Habilitar el modo perdido | En Administrar > Dispositivos, puede colocar un dispositivo supervisado en modo perdido para bloquearlo en la pantalla de bloqueo. El modo perdido también le permite localizar el dispositivo en caso de hurto o pérdida. |
Inhabilitar el modo perdido | En Administrar > Dispositivos, puede inhabilitar el modo perdido de un dispositivo establecido en ese modo. |
Actualización de SO del dispositivo | Puede implementar una directiva para controlar las actualizaciones del SO en los dispositivos. |
Apagar dispositivo | Apaga los dispositivos iOS desde la consola de XenMobile. |
Reiniciar dispositivo | Reinicia los dispositivos iOS desde la consola de XenMobile. |
Grupos y usuarios locales
La página Administrar > Usuarios es donde se administran usuarios locales y grupos de usuarios locales en XenMobile.
Agregar usuarios locales |
Eliminar usuarios locales |
Modificar usuarios locales |
Importar usuarios locales |
Exportar usuarios locales |
Grupos de usuarios locales |
Obtener ID de bloqueo de usuario local |
Eliminar bloqueo de usuario local |
Inscripción
Los administradores pueden agregar y eliminar invitaciones de inscripción, enviar notificaciones a usuarios y exportar la tabla de inscripción en un archivo CSV.
Agregar o eliminar inscripción | Agrega o quita una invitación de inscripción a usuarios o grupos de usuarios. |
Notificar al usuario | Envía una invitación de inscripción a usuarios o grupos de usuarios. |
Exportar la tabla de invitaciones de inscripción | Recaba información sobre inscripciones a partir de la página “Inscripción” y la exporta en un archivo CSV. |
Directivas
Agregar o eliminar directiva | Agrega o quita una directiva de dispositivo o de aplicación. |
Modificar directiva | Cambia una directiva de dispositivo o de aplicación. |
Cargar directiva | Carga una directiva de dispositivo o de aplicación. |
Clonar directiva | Copia una directiva de dispositivo o de aplicación. |
Inhabilitar directiva | Inhabilita una directiva existente de aplicación. |
Exportar directiva | Recaba información sobre directivas de dispositivo a partir de la página “Directivas de dispositivo” y la exporta en un archivo CSV. |
Asignar directiva | Asigna una directiva de dispositivo a uno o varios grupos de entrega. |
Aplicación
En XenMobile, los administradores gestionan las aplicaciones desde la página Configurar > Aplicaciones.
Agregar o eliminar aplicaciones empresariales o de tiendas de aplicaciones | Agrega o quita una aplicación de tienda pública de aplicaciones o una aplicación de empresa (no habilitada para MDX). |
Modificar aplicaciones empresariales o de tienda de aplicaciones | Modifica una aplicación de tienda pública de aplicaciones o una aplicación de empresa (no habilitada para MDX). |
Agregar/eliminar aplicación MDX, web y SaaS | Agrega/quita una aplicación habilitada para MDX, una aplicación de su red interna (aplicación web) o una aplicación de una red pública (SaaS) a/de XenMobile. |
Modificar aplicaciones MDX, web y SaaS | Modifica una aplicación habilitada para MDX, una aplicación de su red interna (aplicación web) o una aplicación de una red pública (SaaS) en XenMobile. |
Agregar o quitar categoría | Agrega o elimina una categoría en que pueden aparecer aplicaciones en XenMobile Store. |
Asignar aplicación pública o de empresa a grupo de entrega | Asigna una aplicación de tienda pública de aplicaciones o una aplicación habilitada para MDX a un grupo de entrega para su implementación. |
Asignar aplicación MDX, de enlace web o SaaS a grupo de entrega | Asigna a un grupo de entrega una aplicación habilitada para MDX, que no requiere Single Sign-On (WebLink) o proveniente de una red pública (SaaS). |
Exportar tabla de aplicaciones | Recaba información sobre aplicaciones a partir de la página Apps y la exporta en un archivo CSV. |
Nota:
Al seleccionar Funciones de la consola > Aplicación, el dispositivo de punto final de la API
GET <https://XMS_IP:4443/controlpoint/rest/ad>
devuelve la información de LDAP por diseño.
Medios
Administra el contenido multimedia obtenido de un tienda pública de aplicaciones o a través de una licencia de compras por volumen.
Agregar o eliminar libros de empresa o de tienda de aplicaciones |
Asignar libros públicos/de empresa a grupo de entrega |
Modificar libros de empresa o de tienda de aplicaciones |
Acción
Agregar/eliminar acción | Agrega o quita una acción definida por un desencadenador (un evento, una propiedad de dispositivo o usuario, o bien el nombre de una aplicación instalada) y su respuesta asociada. |
Modificar acción | Cambia una acción definida por un desencadenador (un evento, una propiedad de dispositivo o usuario, o bien el nombre de una aplicación instalada) y su respuesta asociada. |
Asignar acción a grupo de entrega | Asigna una acción a un grupo de entrega para la implementación en los dispositivos de los usuarios. |
Exportar acción | Recaba información sobre acciones a partir de la página “Acciones” y la exporta en un archivo CSV. |
Grupo de entrega
Los administradores gestionan los grupos de entrega desde la página Configurar > Grupos de entrega.
Agregar o eliminar grupo de entrega | Crea o elimina un grupo de entrega, que agrega usuarios concretos y acciones, aplicaciones y directivas opcionales. |
Modificar grupo de entrega | Modifica un grupo de entrega existente, lo que modifica usuarios y acciones, aplicaciones y directivas opcionales. |
Implementar grupo de entrega | Pone un grupo de entrega disponible para su uso. |
Exportar grupo de entrega | Recaba información sobre grupos de entrega a partir de la página “Grupo de entrega” y la exporta en un archivo CSV. |
Perfil de inscripción
Administra perfiles de inscripción.
Agregar/eliminar perfil de inscripción |
Modificar perfil de inscripción |
Asignar perfil de inscripción a grupo de entrega |
Parámetros
Los administradores configuran diferentes parámetros en la página Parámetros.
RBAC | Asignación RBAC, Asignar roles. Importante: Este permiso otorga acceso total a los administradores, incluida la capacidad de asignar sus propios permisos. Conceda este acceso solamente a los usuarios a los que quiere dar la capacidad de manipular todo lo que hay en el sistema de Endpoint Management. |
LDAP | Administra uno o varios directorios que cumplen el protocolo LDAP (como Active Directory) para importar grupos, cuentas de usuario y propiedades relacionadas. |
Licencia | Para XenMobile Server local. Administra licencias de Citrix. |
Inscripción | Habilita el portal Self Help Portal y los modos de seguridad de inscripción para usuarios. |
Administración de versiones | Muestra la versión actual instalada. Incluye: Actualización de administración de versiones |
Certificados | Modificar certificado APNS, Escucha SSL de certificados |
Plantillas de notificaciones | Crea plantillas de notificaciones para utilizarlas en acciones automatizadas, inscripciones y la entrega de mensajes de notificación estándar a los usuarios. |
Flujos de trabajo | Administra la creación, la aprobación y la eliminación de cuentas de usuario a utilizar con configuraciones de aplicaciones. |
Proveedores de credenciales | Agrega uno o varios proveedores de credenciales autorizados para emitir certificados de dispositivo. Los proveedores de credenciales controlan el formato de los certificados y las condiciones de renovación o revocación de estos. |
Entidades de PKI | Administra entidades de infraestructura de clave pública (genéricas, de Microsoft Certificate Services o entidades de certificación discrecional). |
Probar conexión de PKI | Use el botón Probar conexión, ubicado en la página Parámetros > Entidades de PKI, para asegurarse de que es posible acceder al servidor. |
Propiedades de cliente | Administra diferentes propiedades en los dispositivos de los usuarios, como el tipo de código de acceso, su nivel de seguridad o su caducidad. |
Asistencia del cliente | Establece las maneras en que los usuarios pueden ponerse en contacto con los servicios de asistencia (teléfono, correo electrónico o correo de tíquet de asistencia). |
Personalización de marca de clientes | Puede crear un nombre de almacén personalizado y vistas predeterminadas de almacén para XenMobile Store. Agrega un logotipo personalizado que aparecerá en XenMobile Store o Secure Hub. |
Puerta de enlace SMS del operador | Establece puertas de enlace SMS del operador para configurar notificaciones que XenMobile envía a través de ellas. |
Servidor de notificaciones | Establece una puerta de enlace SMTP para enviar correos electrónicos a los usuarios. |
ActiveSync Gateway | Administra el acceso de usuario a usuarios y dispositivos con ayuda de reglas y propiedades. |
Programa de implementación de Apple | Agrega una cuenta del Programa de implementación de Apple a XenMobile. |
Inscripción de dispositivos en Apple Configurator | Configura parámetros de Apple Configurator en XenMobile. |
Configuración de compras por volumen de iOS | Agrega cuentas de compras por volumen de Apple. |
Proveedor de servicios móviles | Utiliza la interfaz del proveedor de servicios móviles para emitir operaciones y consultar dispositivos BlackBerry y Exchange ActiveSync. |
Citrix Gateway | Para XenMobile Server local. Agrega una instancia de Citrix Gateway. Elige si permitir la autenticación y si insertar certificados de usuario para esa autenticación. Elige un proveedor de credenciales. |
Control de acceso de red | Establece las condiciones que determinan si un dispositivo no cumple las normas y, en consecuencia, se le deniega el acceso a la red. |
Samsung Knox | Habilita o inhabilita XenMobile para consultar las API de REST del servidor de atestación de Samsung Knox. |
Propiedades de servidor | Agrega o modifica las propiedades de servidor. Requiere reiniciar XenMobile en todos los nodos. |
Syslog | Para XenMobile Server local. Envía archivos de registros a un servidor de registros del sistema (syslog) mediante el nombre de host o la dirección IP del servidor. |
XenApp y XenDesktop | Permite a los usuarios agregar Virtual Apps and Desktops a través de Secure Hub. |
Citrix Files | Cuando se utiliza XenMobile con cuentas Enterprise: Configura parámetros de conexión a la cuenta de ShareFile y a la cuenta de servicio del administrador para administrar cuentas de usuario. Requiere las credenciales existentes de administrador y el dominio de Citrix Files. Cuando se utiliza XenMobile con conectores de zonas de almacenamiento: Configure XenMobile para que apunte a los recursos compartidos de red y a las ubicaciones de SharePoint definidas en los conectores de zonas de almacenamiento. |
Programa para la mejora de la experiencia | Para XenMobile Server local. Inicia o cancela el envío de estadísticas e información de uso anónimas a Citrix. |
Microsoft Azure | Para XenMobile Server local. Integra XenMobile en Microsoft Azure. |
Android Enterprise | Configura parámetros de servidor Android Enterprise. |
Proveedor de identidades (IDP) | Configura un proveedor de identidades. |
XenMobile Tools | Accede a la página XenMobile Tools. |
Configuración de SNMP | Habilita SNMP para los nodos de XenMobile Server. Modifique o agregue usuarios de supervisión, configure el SNMP Manager donde aparecen las notificaciones de captura y configure los intervalos y umbrales de captura. |
Asistencia
Los administradores pueden llevar a cabo varias tareas de asistencia.
Comprobaciones de conectividad de Citrix Gateway | Realiza varias comprobaciones de conectividad de Citrix Gateway mediante la dirección IP. Requiere nombre de usuario y contraseña. |
Comprobaciones de conectividad de XenMobile | Realiza comprobaciones de conectividad de funciones seleccionadas de XenMobile (como la base de datos, DNS o Google Plan). |
Crear paquetes de asistencia | Para XenMobile Server local. Crea un archivo a enviar a la asistencia de Citrix para solucionar problemas. Ese archivo contiene información del sistema, registros, información de base de datos, información básica, archivos de seguimiento y la información más reciente sobre la configuración de XenMobile o Citrix Gateway. |
Documentación sobre los productos Citrix | Accede al sitio público de documentación de Citrix XenMobile. |
Citrix Knowledge Center | Accede al sitio de asistencia de Citrix para buscar artículos de la base de conocimientos. |
Registros | Accede y analiza datos de archivos de registros para la depuración, la auditoría de administradores y la auditoría de usuarios. |
Información de clústeres | Para XenMobile Server local. Accede a información sobre cada uno de los nodos de un entorno en clústeres. |
Recolección de elementos no utilizados | Para XenMobile Server local. Accede a información sobre objetos de la memoria que ya no se utilizan. |
Propiedades de memoria de Java | Para XenMobile Server local. Accede a la instantánea del uso, los datos y los bloques de memoria de Java. |
Macros | Rellena datos de dispositivo o usuario en el campo de texto de un perfil, directiva, notificación o plantilla de inscripción. Configure una sola directiva e impleméntela en una gran base de usuarios. Así, obtendrá valores específicos para cada usuario de destino. |
Configuración de PKI | Importa y exporta información de la configuración de PKI. |
Utilidad de firma APNS | Envía una solicitud de certificados de firma Apple Push Network (APNs) o carga un certificado APNs de Secure Mail para iOS. |
Citrix Insight Services | Carga registros en Citrix Insight Services (CIS) para obtener asistencia con diferentes problemas. |
Estado del dispositivo del conector de Citrix Gateway para Exchange ActiveSync | Consulta a XenMobile el estado de un dispositivo según se ha enviado al conector de Citrix Gateway para Exchange ActiveSync en función del ID de ActiveSync del dispositivo. |
Anonimización y reidentificación | Para XenMobile Server local. En XenMobile, cuando crea paquetes de asistencia, los datos confidenciales de usuario, red y servidor pasan a ser anónimos de forma predeterminada. Puede cambiar este comportamiento en Asistencia > Anonimización y reidentificación, en el apartado Avanzado. |
Parámetros de registros | Personaliza el nivel de registro o agrega un registrador personalizado. |
Restringir acceso de grupos
Los usuarios administradores pueden aplicar permisos a todos los grupos de usuarios.
Rol de apoyo
Los usuarios con el rol de asistencia tienen acceso a la asistencia remota. Sus permisos se aplican a todos los usuarios de forma predeterminada y no pueden modificar este parámetro.
Rol de usuario
Los usuarios con el rol de usuario tienen el siguiente acceso limitado a XenMobile.
Acceso autorizado
Self Help Portal | Los usuarios tienen acceso solo al portal Self-Help Portal en XenMobile. |
Funciones de consola
Los usuarios tienen el siguiente acceso restringido a la consola de XenMobile.
Dispositivos
Borrado completo de dispositivo | Borra todos los datos y aplicaciones de un dispositivo, incluidas las tarjetas de memoria (si el dispositivo las tuviera). |
Borrado selectivo de dispositivo | Borra todas las aplicaciones y datos empresariales del dispositivo, pero no afecta a las aplicaciones y datos personales. |
Ver ubicaciones | Muestra la ubicación y establece restricciones geográficas en el dispositivo. Incluía: Localizar dispositivos (ver la ubicación de un dispositivo) y Seguimiento de dispositivos (realizar el seguimiento de la ubicación de un dispositivo a lo largo del tiempo). |
Bloquear dispositivo | Bloquea remotamente un dispositivo de modo que no se pueda usar. |
Desbloquear dispositivo | Desbloquea remotamente un dispositivo de modo que se pueda usar. |
Bloquear contenedor | Bloquea remotamente el contenedor de datos empresariales de un dispositivo. |
Desbloquear contenedor | Desbloquea remotamente el contenedor de datos empresariales de un dispositivo. |
Restablecer contraseña de contenedor | Restablece la contraseña del contenedor de datos empresariales. |
Habilitar omisión de bloqueo de activación de DEP ASM | En un dispositivo iOS supervisado, almacena un código de circunvalación cuando habilite el Bloqueo de activación. Si necesita borrar el dispositivo, use este código para quitar automáticamente el Bloqueo de activación. |
Hacer sonar el dispositivo | Hace sonar remotamente un dispositivo Windows al máximo volumen durante 5 minutos. |
Reiniciar el dispositivo | Reinicia un dispositivo Windows. |
Ver inventario de software | Muestra el software instalado en un dispositivo. |
Inscripción
Agregar o eliminar inscripción | Agrega o quita una invitación de inscripción a usuarios o grupos de usuarios. |
Notificar al usuario | Envía una invitación de inscripción a usuarios o grupos de usuarios. |
Restringir acceso de grupos
En el caso de los cuatro roles predefinidos, este permiso está configurado de forma predeterminada y puede aplicarse a todos los grupos de usuarios. No se puede modificar el rol.
Configurar roles con RBAC
En XenMobile, la función del control de acceso por roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema.
XenMobile implementa cuatro roles de usuario predeterminados para separar de manera lógica el acceso a las funciones del sistema:
- Administrador: Concede acceso completo al sistema.
- Asistencia: Concede acceso para la asistencia remota.
- Usuario: Rol utilizado por los usuarios que pueden inscribir dispositivos y acceder al portal Self-Help Portal.
También puede usar los roles predeterminados como plantillas base para personalizarlas y crear roles de usuario. Puede asignar permisos de roles para acceder a funciones específicas del sistema, además de las definidas para los roles predeterminados.
Los roles se pueden asignar a usuarios locales (a nivel de usuario) o a grupos de Active Directory (todos los usuarios de ese grupo tendrán los mismos permisos). Si un usuario pertenece a varios grupos de Active Directory, todos los permisos se combinan entre sí para definir los permisos de ese usuario concreto. Supongamos, por ejemplo, que los usuarios del grupo A de Active Directory pueden localizar dispositivos de administradores y que los usuarios del grupo B de Active Directory pueden borrar dispositivos de empleados. En ese caso, un usuario que pertenezca a ambos grupos puede localizar y borrar dispositivos de administradores y empleados.
Nota:
Los usuarios locales solo pueden tener un rol asignado.
En XenMobile, puede usar la función de control de acceso basado en roles (RBAC) para realizar las siguientes acciones:
- Crear un rol.
- Agregar grupos a un rol.
- Asociar usuarios locales a roles.
-
En la consola de XenMobile, vaya a Parámetros > Control de acceso basado en roles. Aparecerá la página Control de acceso basado en roles con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.
Si hace clic en el signo más (+) situado junto a un rol, ese rol se expande para mostrar todos los permisos que se le han concedido, tal y como se muestra en la siguiente ilustración.
-
Haga clic en Agregar para agregar un rol de usuario. Para modificar el rol, haga clic en el icono del lápiz situado a la derecha de un rol existente. Para eliminar el rol, haga clic en el icono de papelera situado a la derecha de un rol. No se pueden eliminar los roles de usuario predeterminados.
- Si hace clic en Agregar o en el icono de lápiz, aparecerán la página Agregar rol o la página Modificar rol.
- Si hace clic en el icono de papelera, aparecerá un diálogo de confirmación. Haga clic en Eliminar para quitar el rol seleccionado.
-
Escriba la siguiente información para crear o para modificar un rol de usuario:
- Nombre de RBAC: Indique un nombre descriptivo para el nuevo rol de usuario. No se puede cambiar el nombre de un rol existente.
- Plantilla de RBAC: Puede hacer clic en una plantilla como punto de partida para el nuevo rol. No puede seleccionar una plantilla si está modificando un rol existente.
Las plantillas de RBAC son los roles de usuario predeterminados. Determinan el acceso a las funciones del sistema que tienen los usuarios asociados a ese rol. Tras seleccionar una plantilla RBAC, puede ver todos los permisos asociados a ese rol en los campos Acceso autorizado y Funciones de consola. El uso de una plantilla es opcional. Puede seleccionar directamente las opciones que quiera asignar a un rol en los campos Acceso autorizado y Funciones de consola.
-
Haga clic en Aplicar, junto al campo Plantilla de RBAC, para rellenar las casillas Acceso autorizado y Funciones de consola con los permisos de funciones y acceso predefinidos.
-
Marque y desmarque las casillas de verificación de Acceso autorizado y Funciones de consola para personalizar el rol.
Si hace clic en el triángulo situado junto a “Funciones de consola”, aparecerán los permisos específicos de esa función y puede marcarlos o desmarcarlos. Al hacer clic en la casilla de nivel superior, se prohíbe el acceso a esa área de la consola. Seleccione opciones individualmente bajo el nivel superior para habilitar esas opciones. Por ejemplo, en la siguiente figura, las opciones de Borrado completo del dispositivo y Desactivar restricciones no aparecen para los usuarios asignados al rol. Aparecen las opciones marcadas.
-
Aplicar permisos: seleccione uno o varios grupos de usuarios para limitar los grupos que puede administrar el administrador. Si hace clic en Para grupos de usuarios específicos, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.
Por ejemplo, si un administrador RBAC tiene permisos para acceder a los grupos de usuarios de ActiveDirectory y MSP:
- El administrador solo tiene acceso a la información de los usuarios que se encuentran en el grupo ActiveDirectory, el grupo MSP o ambos grupos.
- El administrador no puede ver ningún otro usuario local o de AD. El administrador puede ver la información de los usuarios que sean miembros de grupos secundarios de cualquiera de esos grupos.
- El administrador puede enviar invitaciones a:
- los grupos de permisos y sus grupos secundarios
- los usuarios que son miembros de grupos de permisos y sus grupos secundarios
-
Haga clic en Siguiente. Aparecerá la página Asignación.
-
Escriba la siguiente información para asignar el rol a los grupos de usuarios.
- Seleccione un dominio: haga clic en un dominio de la lista desplegable.
- Incluir grupos de usuarios: Haga clic en “Buscar” para ver una lista de todos los grupos disponibles o escriba un nombre de grupo completo o parcial para limitar la lista a solo aquellos grupos que tengan ese nombre.
- En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando se selecciona un grupo de usuarios, el grupo aparece en la lista Grupos de usuarios seleccionados.
Nota:
Para quitar un grupo de usuarios de la lista Grupos de usuarios seleccionados, haga clic en la “X” situada junto al nombre del grupo de usuarios.
-
Haga clic en Guardar.