授权

该框架平台为管理员提供了基于角色的访问控制（RBAC）功能，以管理对其帐户的用户和管理访问。通过框架管理用户界面，管理员能够分配角色，这些角色授予对用户的不同级别的访问级别。这些相同的颗粒控件可用于所有身份验证类型。

角色

角色使管理员可以轻松管理其用户的权限和访问级别。无论身份验证类型如何，管理员都必须指定他们希望授予用户的角色，然后才能授权这些用户访问框架资源。

角色	权限
客户管理员	最高访问级别。客户管理员能够创建和管理多个组织和帐户。客户管理员还可以修改以下列出的任何用户角色的权限。
客户分析	客户分析用户只能在客户级别访问分析图。
客户审核员	客户审核员用户仅在客户，组织和帐户级别上仅阅读对功能的访问。
客户安全管理员	客户安全管理员用户只能访问客户级别的审核跟踪和用户功能，以管理所有AUTH提供商（基本（用户名/密码），Google，SAML2，API，SAT），配置SAML2提供商，管理SAML2权限，并管理用户（如果启用了所有组织和帐户的框架IDP）。
有限的客户管理员	有限的客户管理员拥有与客户管理员管理组织和帐户相同的权限。但是，他们没有开始会议的能力。
组织管理员	组织管理员可以管理客户或有限客户管理员和这些组织帐户分配给他们的任何组织。组织管理员只能由客户或有限的客户管理员创建。
组织分析	组织分析用户只能在指定的组织级别访问分析图。
组织审核员	组织审核员用户仅阅读了对组织和组织下的帐户的访问。
组织安全管理员	组织安全管理员用户只能在指定的组织级别访问审核跟踪和用户功能，以管理所有AUTH提供商（基本（用户名/密码），Google，SAML2，API，SAT），配置SAML2提供商，管理SAML2权限，并添加用户（如果启用了帧IDP），则适用于指定组织下的所有帐户。
帐户管理员	帐户管理员可以访问和管理组织，客户或有限客户管理员分配给他们的任何帐户。
有限的帐户管理员	有限的帐户管理员拥有与帐户管理人员管理帐户相同的权限。但是，他们没有能力开始会议或管理用户。
帐户分析	帐户分析用户只能访问帐户仪表板中的分析页面。
帐户审核员	帐户审核员用户仅读取对帐户仪表板的访问。
帐户安全管理员	帐户安全管理员用户只能访问帐户仪表板中的用户和审核跟踪页面，以管理所有auth提供商（基本（用户名/密码），Google，SAML2，API，SAT），配置SAML2提供商，管理SAML2许可和管理用户（如果启用了帧IDP），则为指定帐户。他们还可以访问指定帐户的审核跟踪和会话跟踪。
帐户支持	帐户支持用户只能在帐户级别，摘要，分析，审计跟踪和状态页面上访问，以查看活动和研究用户会议。他们可以重新启动，终止VM和关闭会议。他们可以分离个人驱动器和企业配置文件磁盘（如果磁盘在会话结束后不脱离）以及备份，还原和删除个人驱动器和配置文件磁盘量。
沙盒管理员	Sandbox Administrator只能访问帐户仪表板中的“沙箱”页面以管理沙箱（例如，电源打开/关闭VM，安装和更新应用程序，更新OS，备份沙箱，从备份还原，更改实例类型，然后克隆到另一个沙盒，如果授权）。
公用事业服务器管理员	公用事业服务器管理员只能访问帐户仪表板中的“效用服务器”页面以添加，管理和终止实用程序服务器。
LaunchPad管理员	此帐户级角色只能添加，删除和更改启动板定义。
启动板用户	最终用户或“启动板用户”只能访问由管理员配置的启动板。如果管理员以这种方式配置，则启动板用户可以从多个帐户访问多个启动板。
API-生成匿名客户令牌	授权API请求者获得保护匿名令牌从指定客户实体下的所有框架帐户中的启动框架会话中的框架管理API。
API-生成匿名组织令牌	授权API请求者获得保护匿名令牌从指定组织实体下的所有框架帐户中的启动框架会话中的框架管理API。
API-生成匿名帐户令牌	授权API请求者获得保护匿名令牌从指定框架帐户中的启动帧会话的框架管理API。

管理员能够根据自己的访问级别授予权限。例如，尽管客户管理员可以将任何角色分配给任何用户，但组织管理员只能授予组织管理员角色或以下给其他用户。

您可以在此处阅读有关框架帐户层次结构的更多信息平台层次结构部分。邀请用户时，管理员必须分配角色。他们还可以随时为现有用户修改角色。如果您尚未邀请任何用户，请参考基本身份验证或第三方身份提供商集成我们的文档部分，具体取决于您希望用来添加用户的平台。

用户权限

Google（OAuth2）IDP

如果您决定使用Google Oauth通过框架集成，易于通过域/电子邮件管理用户。

从Nutanix控制台，导航到您希望设置OKTA集成（客户/组织/帐户）的所需实体。单击实体名称旁边列出的省略号，然后选择用户。

启用谷歌从“身份验证”选项卡上切换，然后单击节省在控制台的右上角。

单击新的谷歌标签。点击添加在右上角。

将出现一个新窗口，提示您输入电子邮件地址或域。在此示例中，我们将添加一个域，并为与该域关联的任何人提供帐户管理员在“ DOC-ACCT”帐户中的角色。

管理员还可以在相同的角色集下添加多个域和电子邮件地址。例如，使用添加按钮，我们与域一起添加了一个电子邮件地址。与该电子邮件地址关联的用户将在“ DOC-ACCT”帐户中赋予相同的角色。

为了增加另一个粒度，可以通过单击来赋予我们的域和单个电子邮件地址添加以下角色部分。

现在，一旦我们单击添加在窗口的底部，将提供域和单个电子邮件地址启动板用户访问“应用2”启动板，以及帐户管理员访问“持久桌面”帐户。管理员可以为多个域/电子邮件地址添加许多Google授权角色集。

使用SAML2 IDP的用户权限

一旦您设置了SAML2提供商集成使用框架，您将需要为用户指定权限。导航到SAML2权限SAML2提供商右侧的标签从所需实体的用户页面上的标签。点击添加许可。

• 对于提供商：选择您要指定权限的SAML2提供商。

• 允许访问：

• 总是：一旦对用户进行身份验证，他们就可以访问您在下面指定的角色 - 不需要条件。

• 当满足所有条件时：用户必须满足管理员指定的所有条件，以授予访问指定角色的访问权限。

• 满足任何条件时：用户可以符合管理员指定的任何条件，要授予访问指定角色的访问权限。

• 状况：指定您的主张索赔及其价值观，这将与您希望授予的角色相对应。参考下表的我们公认的主张索赔。

• 授予角色：选择您希望授予用户的所需角色。您可以使用添加按钮。有关更多信息，请参考上面的角色部分。

  主张主张	索赔价值	例子
  Em	电子邮件	johnsmith@mycompany.com
  给定的名称	名	约翰
  sn	姓	史密斯

  笔记

  当按域限定用户时，最好使用“ EM以 @YourCompany.com结束”。

  笔记

  在IDP设置期间，您可能已经使用过邮件定义电子邮件属性。虽然这对IDP很好，但您必须使用Em在框架上配置SAML2权限时，请参考电子邮件属性。

点击节省完成后。管理员可以在SAML2许可部分。

SAML2属性

在框架上创建SAML2权限时，Admins可以通过设置特定的权限设置来使用其IDP的自定义属性。在此示例中，我们将使用一个非常常见的自定义属性 - “组”。大多数IDP都提供了“分组”用户的方法，可以通过自定义属性映射传递这些组来构架。使用其他属性地图，您可以为各种角色和访问特权构建条件。在为SAML2索赔/属性创建任何规则时，请在比较操作员字段中使用“包含”，如下所示。

这是您将在OKTA中设置组语句的示例：

这是Okta中组列表的示例：

这就是我们将其中一个组（“ Okta-Contractors”）转到框架的方式，从而使管理员可以创建规则和角色以满足他们的需求。

使用上面的配置，将登录到框架的“ Okta-Contractors”组中的任何用户将获得帐户管理员访问“承包商帐户”的访问。

所有身份提供者都使用不同的方法来管理用户组，请咨询您的IDP文档，以获取有关组和组管理的更多信息。

故障排除

如果用户成功地验证了其SAML2身份提供商后，请参见以下未经授权的页面，则没有SAML2许可规则可以通过SAML2属性名称和身份提供商提供的相应值满足。

要解决此问题，框架管理员必须：

1. 在用户成功身份验证SAML2身份提供商之后，在SAML2身份验证响应消息中确认正确的SAML2属性名称和值。
2. 查看未经授权页面上的SAML2属性名称（在字段列下）和相应的SAML2属性值（在值列下），并确定应使用哪个SAML2属性名称和相应的SAML2属性值来定义SAML2许可授权规则。

授权规则在适当的框架客户，组织或帐户的SAML2权限选项卡中定义。一旦帧管理员确认正确的SAML2属性，并且在未经授权的页面上列出了值，他们就可以为用户（或用户组）创建SAML2权限规则。

例如，基于未经授权的页面图像中提供的信息，框架管理员可以替换SAML2_ATTRIBUTE_NAME和http://schemas.xmlsoap.org/ws/2005/05/isentity/claims/emailaddress和SAML2_ATTRIBUTE_VALUE和william.wong@nutanix.com在下面的SAML2权限页面中，以创建特定于一个人的电子邮件地址的SAML2权限规则。