Product Documentation

Configuración de roles con RBAC

Mar 02, 2017

Cada rol predefinido del control de acceso basado en roles (RBAC) tiene ciertos permisos de funciones y de acceso asociados a cada uno de ellos. En este artículo, se describe para qué sirve cada uno de esos permisos. Para obtener una lista completa de los permisos predeterminados para cada rol integrado, descargue Role-Based Access Control Defaults

Aplicar permisos equivale a definir los grupos de usuarios que el rol RBAC tiene el permiso de administrar. Tenga en cuenta que el administrador predeterminado no puede cambiar los parámetros de los permisos aplicados; de forma predeterminada, los permisos aplicados se refieren a todos los grupos de usuarios.

Cuando asigna, asigna el rol RBAC a un grupo, de modo que el grupo de usuarios posee los derechos de administrador de RBAC.

Rol de administrador
Rol de aprovisionamiento de dispositivos
Rol de asistencia
Rol de usuario

Configuración de roles con RBAC

En XenMobile, la función del control de acceso basado en roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema.

XenMobile implementa cuatro roles de usuario predeterminados para separar de manera lógica el acceso a las funciones del sistema:

  • Administrator. Concede acceso completo al sistema.
  • Device Provisioning. Concede acceso a tareas básicas de administración de dispositivos para dispositivos Windows CE.
  • Support. Concede acceso para la asistencia remota.
  • User. Rol utilizado por los usuarios que pueden inscribir dispositivos y acceder al portal Self Help Portal.

Asimismo, puede utilizar los roles predeterminados como plantillas para crear nuevos roles de usuario con permisos para acceder a funciones específicas del sistema, además de las funciones definidas para esos roles predeterminados.

Los roles se pueden asignar a usuarios locales (a nivel de usuario) o a grupos de Active Directory (todos los usuarios de ese grupo tendrán los mismos permisos). Si un usuario pertenece a varios grupos de Active Directory, todos los permisos se combinan entre sí para definir los permisos de ese usuario concreto. Por ejemplo: si los usuarios del grupo ADGroupA pueden ubicar los dispositivos de los administradores, y los usuarios del grupo ADGroupB pueden borrar los dispositivos de los empleados, entonces un usuario que pertenezca a ambos grupos podrá ubicar y borrar dispositivos de administradores y de empleados.

Nota: Los usuarios locales solo pueden tener un rol asignado.

En XenMobile, puede usar la función de control de acceso basado en roles (RBAC) para realizar las siguientes acciones:

  • Crear un nuevo rol.
  • Agregar grupos a un rol.
  • Asociar usuarios locales a roles.

1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Settings.

2. Haga clic en Role-Based Access Control. Aparecerá la página Role-Based Access Control con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.

localized image

Si hace clic en el signo más (+) situado junto a un rol, ese rol se expande para mostrar todos los permisos que se le han concedido, tal y como se muestra en la siguiente ilustración.

localized image

3. Haga clic en Add para agregar un nuevo rol de usuario. También puede hacer clic en el icono de lápiz situado a la derecha de un rol existente para modificarlo, y puede hacer clic en el icono de papelera situado a la derecha de un rol previamente definido para eliminarlo. No se pueden eliminar los roles de usuario predeterminados.

  • Si hace clic en Add o en el icono de lápiz, aparecerán la página Add Role o la página Edit Role.
  • Si hace clic en el icono de papelera, aparecerá un diálogo de confirmación. Haga clic en Delete para quitar el rol seleccionado.

4. Escriba la siguiente información para crear un nuevo rol de usuario o para modificar un rol de usuario existente:

  • RBAC name. Indique un nombre descriptivo para el nuevo rol de usuario. No se puede cambiar el nombre de un rol existente.
  • RBAC template. Puede hacer clic en una plantilla como punto de partida para el nuevo rol. No puede seleccionar una plantilla si está modificando un rol existente.

Las plantillas RBAC son los roles de usuario predeterminados. Determinan el acceso a las funciones del sistema que tienen los usuarios asociados a ese rol. Tras seleccionar una plantilla RBAC, puede ver todos los permisos asociados a ese rol en los campos Authorized Access y Console Features. Usar plantillas es opcional; puede seleccionar directamente las opciones que quiera asignar a un rol en los campos Authorized Access y Console Features.

localized image

5. Haga clic en Apply, situado a la derecha del campo RBAC template, para rellenar las casillas Authorized access y Console features con los permisos concedidos de funciones y acceso predefinidos para la plantilla seleccionada.

localized image

6. Marque y desmarque las casillas de verificación Authorized access y Console features para personalizar el rol.

Si hace clic en el triángulo situado junto a Console feature, aparecerán los permisos específicos de esa función y puede marcarlos o desmarcarlos. Si marca la casilla del nivel superior de la lista, impedirá el acceso a esa parte de la consola. Debe marcar de forma individual las opciones situadas por debajo de la casilla del nivel superior para habilitar el acceso a esas opciones. Por ejemplo, en la imagen siguiente, las opciones Full Wipe device y Clear Restrictions no aparecen en la consola para los usuarios asignados a ese rol, mientras que las opciones marcadas sí aparecen.

localized image

7. Apply permissions. Marque los grupos a los que aplicar los permisos seleccionados. Si hace clic en To specific user groups, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.

localized image

8. Haga clic en Siguiente. Aparecerá la página Assignment.

localized image

9. Escriba la siguiente información para asignar el rol a los grupos de usuarios.

  • Select domain. En la lista, haga clic en un dominio.
  • Include user groups. Haga clic en Search para ver una lista de todos los grupos disponibles o escriba un nombre de grupo completo o parcial para limitar la lista a solo aquellos grupos que tengan ese nombre.
  • En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando se selecciona un grupo de usuarios, el grupo aparece en la lista Selected user groups.
localized image

Nota: Para quitar un grupo de usuarios de la lista Selected user groups, haga clic en la X situada junto al nombre del grupo de usuarios.

10. Haga clic en Save.