Documentação do Oracle Cloud Infrastructure

Noções Básicas Sobre o Acesso do Usuário da Área de Trabalho a um Pool de Desktop

Os usuários da área de trabalho podem acessar uma única área de trabalho de cada pool de área de trabalho contido no compartimento que seu grupo pode acessar. Para limitar o acesso de um usuário, você deve criar grupos separados e compartimentos separados.

Exemplo: dois subcompartimentos com um pool de área de trabalho cada

Neste exemplo, um compartimento Desktops contém dois subcompartimentos:

  • Windows_Desktops
  • Linux_Desktops

Existem dois grupos:

  • Windows_Users
  • Linux_Users

Além disso:

  • O subcompartimento Windows_Desktops contém um único pool de área de trabalho do Windows.
  • O subcompartimento Linux_Desktops contém um único pool de área de trabalho do Linux.

Os usuários podem acessar os subcompartimentos com base nas seguintes políticas:

Allow group Windows_Users to use published-desktops in compartment Desktops:Windows_Desktops
Allow group Linux_Users to use published-desktops in compartment Desktops:Linux_Desktops

Nesse cenário, o administrador pode limitar o acesso dos usuários da área de trabalho com base no grupo. Um usuário do grupo Windows_Users só pode abrir uma única área de trabalho do Windows. Da mesma forma, um usuário do grupo Linux_Users só pode abrir uma única área de trabalho do Linux. Um usuário que pertença aos grupos Windows_Users e Linux_Users pode abrir dois desktops: um do pool do Windows e outro do pool do Linux.

Exemplo com dois subcompartimentos, cada um com um único pool de área de trabalho.

Consulte também:

O que é visível na interface Secure Desktops?

O usuário da área de trabalho acessa seus desktops por meio da interface Secure Desktops, que é um aplicativo de browser separado da Console do Oracle Cloud Infrastructure. A interface lista os desktops com os quais o usuário da área de trabalho pode se conectar. Do ponto de vista do usuário da área de trabalho, a lista é composta de seus desktops individuais atribuídos. No entanto, o que está acontecendo nos bastidores é um pouco mais complexo. A lista está realmente mostrando os desktops publicados aos quais o usuário recebeu acesso.

O que é um desktop publicado?

Uma área de trabalho publicada é essencialmente uma única área de trabalho dentro de um pool de área de trabalho. É por isso que a lista que o usuário da área de trabalho vê mostra uma lista de nomes de pool da área de trabalho, e não detalhes de instância da área de trabalho individual. Dependendo de se o usuário acessou uma área de trabalho anteriormente, determina se há recursos subjacentes reais do OCI designados ao usuário para essa área de trabalho específica.

Por exemplo, na primeira vez que o usuário de área de trabalho faz login na interface do Secure Desktops, ele vê uma lista de nomes de pool de área de trabalho mostrando a área de trabalho no status "Disponível - nova área de trabalho". Isso significa que eles têm a capacidade de criar uma área de trabalho nesse pool que será atribuída de forma exclusiva a eles. No entanto, não há atualmente uma área de trabalho (juntamente com a instância de computação subjacente e o volume em blocos) explicitamente criada ou designada ao usuário. Depois de selecionar inicialmente sua área de trabalho para acessá-la, o serviço Secure Desktops provisiona uma área de trabalho para o usuário e cria os recursos subjacentes do OCI necessários para suportar a área de trabalho. Você, como administrador, poderá ver a área de trabalho listada no console (consulte Exibindo o Estado das Áreas de Trabalho).

Na próxima vez que o usuário acessar a interface do Secure Desktops, ele verá o mesmo ambiente de trabalho publicado na lista. No entanto, agora está no estado "Disponível". Isso significa que agora há uma instância de desktop real nesse pool de desktop designado ao usuário e ele é composto de recursos do OCI.

Por que se preocupar com o conceito de desktop publicado?

O conceito de área de trabalho publicado é fundamental para entender como as políticas de acesso funcionam, conforme visto na política que concede a um usuário acesso a uma área de trabalho:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

Isso não concede a um usuário acesso a um pool de área de trabalho inteiro, mas sim a uma única instância de área de trabalho dentro de cada pool no compartimento especificado. É por isso que você precisaria de um compartimento separado para cada pool de área de trabalho se precisasse limitar o acesso do usuário a uma área de trabalho específica.

Consulte relacionado: