Product Documentation

Configuración de roles con RBAC

May 05, 2016
En XenMobile, la función del control de acceso basado en roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema.

XenMobile implementa cuatro roles de usuario predeterminados para separar de manera lógica el acceso a las funciones del sistema:

  • Administrator. Concede acceso completo al sistema.
  • Provisioning. Mediante la herramienta de aprovisionamiento de dispositivos, los administradores utilizan este rol para aprovisionar todos los dispositivos Windows Mobile o Windows CE como si se tratara de un grupo.
  • Support. Concede acceso para la asistencia remota.
  • User. Rol utilizado por los usuarios que pueden inscribir dispositivos y acceder al portal Self Help Portal.

Puede crear nuevos roles de usuario con permisos para acceder a funciones específicas del sistema aparte de las funciones definidas por estos roles predeterminados; para ello, puede utilizar las funciones predeterminadas como plantillas personalizables.

Los roles se pueden asignar a usuarios locales (a nivel de usuario) o a grupos de Active Directory (todos los usuarios de ese grupo tendrán los mismos permisos). Si un usuario pertenece a varios grupos de Active Directory, todos los permisos se combinan entre sí para definir los permisos de ese usuario concreto. Por ejemplo: si los usuarios del grupo ADGroupA pueden ubicar los dispositivos de los administradores, y los usuarios del grupo ADGroupB pueden borrar los dispositivos de los empleados, entonces un usuario que pertenezca a ambos grupos podrá ubicar y borrar dispositivos de administradores y de empleados.
Nota: Los usuarios locales solo pueden tener un rol asignado.

En XenMobile, puede usar la función de control de acceso basado en roles (RBAC) para realizar las siguientes acciones:

  • Crear un nuevo rol.
  • Agregar grupos a un rol.
  • Asociar usuarios locales a roles.
  1. En la consola de XenMobile, haga clic en Configure > Settings > Role-Based Access Control.


    Selección de RBAC

    Aparecerá la página Role con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.


    Página de RBAC

    Nota: Si hace clic en el signo más (+) situado junto a un rol, ese rol se expande para mostrar todos los permisos que se le han concedido, tal y como se muestra en la siguiente imagen.


    Expansión del rol de usuario

  2. Haga clic en Add para agregar un nuevo rol de usuario. También puede hacer clic en el icono de lápiz situado a la derecha de un rol existente para modificarlo, y puede hacer clic en el icono de papelera situado a la derecha de un rol previamente definido para eliminarlo. No se pueden eliminar los roles de usuario predeterminados.
    • Si hace clic en Add o en el icono de lápiz, aparecerán la página Add Role o la página Edit Role.


      Incorporación de un rol RBAC

    • Si hace clic en el icono de papelera, aparecerá un diálogo de confirmación. Haga clic en Delete para quitar el rol seleccionado.
  3. Escriba la siguiente información para crear un nuevo rol de usuario o para modificar un rol de usuario existente:
    1. RBAC name. Indique un nombre descriptivo para el nuevo rol de usuario. No se puede cambiar el nombre de un rol existente.
    2. RBAC template. Haga clic en una plantilla como punto de partida para el nuevo rol, o bien haga clic en la nueva plantilla de un rol existente.
      Nota: Las plantillas RBAC son los roles de usuario predeterminados y los roles que se hayan definido previamente. Determinan el acceso a las funciones del sistema que tienen los usuarios asociados a ese rol. Tras seleccionar una plantilla RBAC, puede ver todos los permisos asociados a ese rol en los campos Authorized Access y Console Features. Usar plantillas es opcional; puede seleccionar directamente las opciones que quiera asignar a un rol en los campos Authorized Access y Console Features.


      Selección de plantilla RBAC

      • Haga clic en Apply para rellenar las casillas de Authorized access y Console features con los permisos concedidos de funciones y acceso predefinidos para la plantilla seleccionada.
      • Marque y desmarque las casillas de verificación de Authorized access y Console features para personalizar el rol.
        Nota: Si hace clic en el triángulo situado junto a función de consola, aparecerán los permisos específicos de esa función y podrá marcarlos o desmarcarlos. Si marca la casilla del nivel superior de la lista, habilitará el acceso de solo lectura a esa parte de la consola. Debe marcar de forma individual las opciones situadas debajo de la casilla del nivel superior para habilitar el acceso de escritura o de actualización a esa opción. Por ejemplo, en la siguiente ilustración, el usuario tiene acceso de solo lectura a la opción Clear Restrictions.


        Funciones RBAC de consola

    3. Apply permissions. Marque los grupos a los que aplicar los permisos seleccionados.


      Aplicación de permisos de RBAC

    Si hace clic en To specific user groups, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.
  4. Haga clic en Next. Aparecerá la página Assignment.



  5. Escriba la siguiente información para asignar el rol a los grupos de usuarios y, a continuación, haga clic en Save.
    1. Select domain. En la lista, haga clic en un dominio.
    2. Include user groups. Haga clic en Search para ver una lista de todos los grupos disponibles o escriba un nombre de grupo completo o parcial para limitar la lista a solo aquellos grupos que tengan ese nombre.
    3. En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando seleccione un grupo de usuarios, ese grupo aparecerá en una lista de los grupos seleccionados situada a la derecha del cuadro de búsqueda.


      Asignación de grupo RBAC

      Para quitar un grupo de usuarios de la lista Selected user groups, realice una de las siguientes acciones:
      • Haga clic en Search para ver una lista de todos los grupos de usuarios del dominio seleccionado.
      • Escriba un nombre de grupo completo o parcial en el cuadro de búsqueda y, a continuación, haga clic en Search para limitar la lista de grupos de usuarios.

      Los grupos de usuarios que están incluidos en la lista tienen una casilla de verificación junto a sus nombres en la lista de resultados. Desplácese por la lista y desmarque la casilla de cada grupo que quiera quitar.