Documentação do Oracle Cloud Infrastructure

Compreendendo o Acesso de Usuários a Desktops a um Pool de Desktops

Os usuários da área de trabalho podem acessar uma única área de trabalho de cada pool de áreas de trabalho contido no compartimento que o grupo deles pode acessar. Para limitar o acesso de um usuário, você deve criar grupos e compartimentos separados.

Exemplo: Dois subcompartimentos com um pool de desktops cada

Neste exemplo, um compartimento Desktops contém dois subcompartimentos:

  • Windows_Desktops
  • Linux_Desktops

Existem dois grupos:

  • Windows_Users
  • Linux_Users

Além disso:

  • O subcompartimento Windows_Desktops contém um único pool de desktops Windows.
  • O subcompartimento Linux_Desktops contém um único pool de desktops Linux.

Os usuários podem acessar os subcompartimentos com base nas seguintes políticas:

Allow group Windows_Users to use published-desktops in compartment Desktops:Windows_Desktops
Allow group Linux_Users to use published-desktops in compartment Desktops:Linux_Desktops

Neste cenário, o administrador pode limitar o acesso dos usuários da área de trabalho com base no grupo. Um usuário do grupo Windows_Users só pode abrir uma única área de trabalho do Windows. Da mesma forma, um usuário dentro do grupo Linux_Users só pode abrir uma única área de trabalho Linux. Um usuário que pertença aos grupos Windows_Users e Linux_Users pode abrir dois desktops: um do pool do Windows e outro do pool do Linux.

Exemplo com dois subcompartimentos, cada um com um único pool de desktops.

Consulte também:

O que é visível na interface do Secure Desktops?

O usuário da área de trabalho acessa seus desktops por meio da interface do Secure Desktops, que é um aplicativo de browser separado da Console do Oracle Cloud Infrastructure. A interface lista os desktops aos quais o usuário da área de trabalho pode se conectar. Do ponto de vista do usuário da área de trabalho, a lista é composta por seus desktops individuais atribuídos. No entanto, o que acontece nos bastidores é um pouco mais complexo. A lista está realmente mostrando os desktops publicados aos quais o usuário recebeu acesso.

O que é um ambiente de trabalho publicado?

Um desktop publicado é essencialmente um único desktop dentro de um pool de desktop. É por isso que a lista que o usuário da área de trabalho vê mostra uma lista de nomes de pools da área de trabalho, e não detalhes da instância da área de trabalho individual. Dependendo de o usuário ter acessado anteriormente uma área de trabalho, ele determinará se há recursos reais subjacentes do OCI designados ao usuário para essa área de trabalho específica.

Por exemplo, na primeira vez que o usuário da área de trabalho faz login na interface do Secure Desktops, ele vê uma lista de nomes de pools de áreas de trabalho mostrando a área de trabalho no status "Disponível - nova área de trabalho". Isso significa que eles podem criar uma área de trabalho nesse pool que será atribuída exclusivamente a eles. No entanto, não há atualmente uma área de trabalho (juntamente com a instância de computação subjacente e o volume em blocos) criada ou designada explicitamente ao usuário. Depois de selecionar inicialmente seu desktop para acessá-lo, o serviço Secure Desktops provisiona um desktop para o usuário e cria os recursos subjacentes do OCI necessários para suportar o desktop. Você, como administrador, poderá ver a área de trabalho listada na console (consulte Exibindo o Status de Áreas de Trabalho e Conexões da Área de Trabalho).

Na próxima vez que o usuário acessar a interface do Secure Desktops, ele verá o mesmo desktop publicado na lista. No entanto, agora está no estado "Disponível". Isso significa que agora há uma instância de desktop real nesse pool de desktops designado ao usuário e ele é composto de recursos do OCI.

Por que se preocupar com o conceito de desktop publicado?

O conceito de desktop publicado é fundamental para entender como as políticas de acesso funcionam, conforme visto na política que concede a um usuário acesso a uma área de trabalho:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Isso não concede a um usuário acesso a um pool de desktops inteiro, mas sim a uma única instância de desktops dentro de cada pool no compartimento especificado. É por isso que você precisaria de um compartimento separado para cada pool de desktops se precisasse limitar o acesso do usuário a um desktop específico.

Consulte relacionado: