Konfiguration der rollenbasierten Zugriffskontrolle

NetScaler ADM bietet eine fein abgestimmte, rollenbasierte Zugriffssteuerung (RBAC), mit der Sie Zugriffsberechtigungen basierend auf den Rollen einzelner Benutzer in Ihrem Unternehmen erteilen können.

In NetScaler ADM werden alle Benutzer in Citrix Cloud hinzugefügt. Als erster Benutzer Ihrer Organisation müssen Sie zuerst ein Konto in Citrix Cloud erstellen und sich dann mit den Citrix Cloud-Anmeldeinformationen an der NetScaler ADM GUI anmelden. Sie haben die Super-Admin-Rolle und standardmäßig verfügen Sie über alle Zugriffsberechtigungen in NetScaler ADM. Später können Sie andere Benutzer in Ihrer Organisation in Citrix Cloud erstellen.

Benutzer, die später erstellt werden und sich als reguläre Benutzer bei NetScaler ADM anmelden, werden als delegierte Administratoren bezeichnet. Diese Benutzer haben standardmäßig alle Berechtigungen außer Benutzeradministrationsberechtigungen. Sie können diesen delegierten Administratorbenutzern jedoch bestimmte Benutzeradministrationsberechtigungen erteilen. Sie können dies tun, indem Sie entsprechende Richtlinien erstellen und diese diesen delegierten Benutzern zuweisen. Die Benutzeradministrationsberechtigungen befinden sich unterEinstellungen>Benutzer und Rollen．Weitere Informationen zum Zuweisen bestimmter Berechtigungen finden Sie unterSo weisen Sie delegierten Administratorbenutzern zusätzliche Berechtigungen zu．

Weitere Informationen zum Erstellen von Richtlinien, Rollen und Gruppen sowie zum Binden der Benutzer an Gruppen finden Sie in den folgenden Abschnitten.

Beispiel:

Das folgende Beispiel zeigt, wie RBAC in NetScaler ADM erreicht werden kann.

Chris, der Leiter der ADC-Gruppe, ist der Superadministrator von NetScaler ADM in seiner Organisation. Er erstellt drei Administratorrollen: Sicherheitsadministrator, Anwendungsadministrator und Netzwerkadministrator.

• David, der Sicherheitsadministrator, muss über vollständigen Zugriff auf die Verwaltung und Überwachung von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für den Systemverwaltungsbetrieb verfügen.
• Steve, ein Anwendungsadministrator, benötigt nur Zugriff auf bestimmte Anwendungen und nur bestimmte Konfigurationsvorlagen.
• Greg, ein Netzwerkadministrator, benötigt Zugriff auf System- und Netzwerkadministration.
• Chris muss auch RBAC für alle Benutzer bereitstellen, unabhängig davon, dass sie lokal oder extern sind.

Das folgende Bild zeigt die Berechtigungen, die Administratoren und andere Benutzer haben und ihre Rollen in der Organisation.

Um seinen Benutzern eine rollenbasierte Zugriffssteuerung zu bieten, muss Chris zuerst Benutzer in Citrix Cloud hinzufügen und erst danach kann er die Benutzer in NetScaler ADM sehen. Chris muss je nach Rolle Zugriffsrichtlinien für jeden Benutzer erstellen. Zugriffsrichtlinien sind eng an Rollen gebunden. Chris muss also auch Rollen erstellen, und dann muss er Gruppen erstellen, da Rollen nur Gruppen und nicht einzelnen Benutzern zugewiesen werden können.

Zugriff ist die Fähigkeit, eine bestimmte Aufgabe auszuführen, z. B. eine Datei anzuzeigen, zu erstellen, zu ändern oder zu löschen. Rollen werden entsprechend der Autorität und Verantwortung der Benutzer innerhalb des Unternehmens definiert. Beispielsweise kann ein Benutzer alle Netzwerkoperationen ausführen, während ein anderer Benutzer den Verkehrsfluss in Anwendungen beobachten und beim Erstellen von Konfigurationsvorlagen helfen kann.

Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien können Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzern Rollen zuweisen. Sie können auch Benutzergruppen Rollen zuweisen. Eine Gruppe ist eine Sammlung von Benutzern, die über gemeinsame Berechtigungen verfügen. Beispielsweise können Benutzer, die ein bestimmtes Rechenzentrum verwalten, einer Gruppe zugewiesen werden. Eine Rolle ist eine Identität, die Benutzern gewährt wird, indem sie bestimmten Gruppen basierend auf bestimmten Bedingungen hinzugefügt werden. In NetScaler ADM ist das Erstellen von Rollen und Richtlinien spezifisch für die RBAC-Funktion in NetScaler. Rollen und Richtlinien können einfach erstellt, geändert oder eingestellt werden, wenn sich die Anforderungen des Unternehmens entwickeln, ohne dass die Berechtigungen für jeden Benutzer individuell aktualisiert werden müssen.

Rollen können feature- oder ressourcenbasiert sein. Stellen Sie sich beispielsweise einen SSL-/Sicherheitsadministrator und einen Anwendungsadministrator vor. Ein SSL/Security-Administrator muss über vollständigen Zugriff auf die Verwaltungs- und Überwachungsfunktionen von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für Systemadministrationsvorgänge verfügen. Anwendungsadministratoren können nur auf die Ressourcen in ihrem Geltungsbereich zugreifen.

Führen Sie daher in Ihrer Rolle als Chris, der Superadministrator, die folgenden Beispielaufgaben in NetScaler ADM aus, um Zugriffsrichtlinien, Rollen und Benutzergruppen für David zu konfigurieren, der der Sicherheitsadministrator in Ihrer Organisation ist.

Konfigurieren von Benutzern auf NetScaler ADM

Als Superadministrator können Sie mehr Benutzer erstellen, indem Sie Konten für sie in Citrix Cloud und nicht in NetScaler ADM konfigurieren. Wenn die neuen Benutzer zu NetScaler ADM hinzugefügt werden, können Sie ihre Berechtigungen nur definieren, indem Sie dem Benutzer die entsprechenden Gruppen zuweisen.

So fügen Sie neue Benutzer in Citrix Cloud hinzu:

1. Klicken Sie in der NetScaler ADM-Benutzeroberfläche oben links auf das Hamburger-Symbol und wählen SieIdentity and Access Managementaus.

   

2. 民意调查您auf der Seite Identitats - Zugriffsverwaltung die RegisterkarteAdministratorenaus.

   Auf dieser Registerkarte werden die Benutzer aufgeführt, die in Citrix Cloud erstellt wurden.

3. Wählen Sie den Identitätsanbieter aus der Liste aus.

   • Citrix Identity: Geben Sie die E-Mail-Adresse des Benutzers ein, den Sie in NetScaler ADM hinzufügen möchten, und klicken Sie aufEinladen．

     

     Hinweis

     Der Benutzer erhält eine E-Mail-Einladung von Citrix Cloud. Der Benutzer muss auf den in der E-Mail bereitgestellten Link klicken, um den Registrierungsvorgang abzuschließen, indem er seinen vollständigen Namen und sein Kennwort angeben und sich später mit seinen Anmeldeinformationen bei NetScaler ADM anmelden.

   • Azure Active Directory (AD): Diese Option wird nur angezeigt, wenn Ihr Azure AD mit Citrix Cloud verbunden ist. Weitere Informationen finden Sie unterVerbinden von Azure Active Directory mit Citrix Cloud．Wenn Sie diese Option auswählen, um Benutzer oder Gruppen einzuladen, können Sie nurBenutzerdefinierten Zugrifffür den ausgewählten Benutzer oder die ausgewählte Gruppe angeben. Die Benutzer können sich mit ihren Azure AD-Anmeldeinformationen bei NetScaler ADM anmelden. Außerdem müssen Sie keine Citrix Identity für die Benutzer erstellen, die Teil des ausgewählten Azure AD sind. Wenn ein Benutzer zur eingeladenen Gruppe hinzugefügt wird, müssen Sie keine Einladung für den neu hinzugefügten Benutzer senden. Dieser Benutzer kann mit den Azure AD-Anmeldeinformationen auf NetScaler ADM zugreifen.

     

4. Wählen SieBenutzerdefinierter Zugrifffür den angegebenen Benutzer oder die angegebene Gruppe.

5. Wählen SieManagement für die Anwendungsbereitstellungaus.

   Diese Option listet die in NetScaler ADM erstellten Benutzergruppen auf. Wählen Sie die Gruppe aus, zu der Sie den Benutzer hinzufügen möchten.

   Citrix-Identität	Azure AD
   Klicken Sie aufEinladung senden．	Klicken Sie aufAdmin-Gruppehinzufügen.

Als Administrator sehen Sie den neuen Benutzer erst in der Liste der NetScaler ADM-Benutzer, nachdem sich der Benutzer bei NetScaler ADM angemeldet hat.

So konfigurieren Sie Benutzer in NetScaler ADM:

1. Navigieren Sie in der NetScaler ADM GUI zuEinstellungen>Benutzer und Rollen>Benutzer．

2. Der Benutzer wird auf der SeiteBenutzerangezeigt.

   

3. Sie können die Berechtigungen bearbeiten, die dem Benutzer zur Verfügung gestellt werden, indem Sie den Benutzer auswählen und aufBearbeitenklicken。您可以在Gruppenberechtigungen欧什der SeiteGruppenunter dem KnotenEinstellungenbearbeiten.

   Hinweis

   • Die Benutzer werden in NetScaler ADM nur aus der Citrix Cloud hinzugefügt. Obwohl Sie über Administratorberechtigungen verfügen, können Sie daher keine Benutzer in der NetScaler ADM-Benutzeroberfläche hinzufügen oder löschen. Sie können nur die Gruppenberechtigungen bearbeiten. Benutzer können in der Citrix Cloud hinzugefügt oder gelöscht werden.

   • Die Benutzerdetails werden erst auf der Dienst-GUI angezeigt, nachdem sich der Benutzer mindestens einmal am NetScaler ADM angemeldet hat.

Konfigurieren von Zugriffsrichtlinien auf NetScaler ADM

Zugriffsrichtlinien definieren Berechtigungen. Eine Richtlinie kann auf eine Benutzergruppe oder auf mehrere Gruppen angewendet werden, indem Rollen erstellt werden. Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien müssen Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzergruppen Rollen zuweisen. NetScaler ADM bietet fünf vordefinierte Zugriffsrichtlinien:

• admin_policy．Gewährt Zugriff auf alle NetScaler ADM-Knoten. Der Benutzer verfügt sowohl über Ansichts- als auch über Bearbeitungsberechtigungen, kann alle NetScaler ADM-Inhalte anzeigen und alle Bearbeitungsvorgänge ausführen. Das heißt, der Benutzer kann Vorgänge für die Ressourcen hinzufügen, ändern und löschen.
• adminExceptSystem_policy．Gewährt Benutzern Zugriff auf alle Knoten in der NetScaler ADM GUI, mit Ausnahme des Zugriffs auf den Knoten Einstellungen.
• readonly_policy．Gewährt schreibgeschützte Berechtigungen. Der Benutzer kann den gesamten Inhalt in NetScaler ADM anzeigen, ist jedoch nicht berechtigt, Vorgänge auszuführen.
• appadmin_policy．Gewahrt Administratorberechtigungen毛皮窝Zugriff auf die Anwendungsfunktionen in NetScaler ADM. Ein an diese Richtlinie gebundener Benutzer kann benutzerdefinierte Anwendungen hinzufügen, ändern und löschen und die Dienste, Dienstgruppen und die verschiedenen virtuellen Server aktivieren oder deaktivieren, z. B. Content Switching und Cache-Umleitung.
• appreadonly_policy．Gewährt schreibgeschützte Berechtigung für Anwendungsfunktionen. Ein an diese Richtlinie gebundener Benutzer kann die Anwendungen anzeigen, aber keine Vorgänge zum Hinzufügen, Ändern, Löschen, Aktivieren oder Deaktivieren ausführen.

Obwohl Sie diese vordefinierten Richtlinien nicht bearbeiten können, können Sie eigene (benutzerdefinierte) Richtlinien erstellen.

Früher, wenn Sie Rollen Richtlinien zugewiesen und die Rollen an Benutzergruppen gebunden haben, können Sie in der NetScaler ADM-GUI Berechtigungen für die Benutzergruppen auf Knotenebene bereitstellen. Beispielsweise können Sie nur Zugriffsberechtigungen für den gesamten Load Balancing-Knoten bereitstellen. Ihre Benutzer hatten die Berechtigung, auf alle entitätsspezifischen Unterknoten unter dem Load Balancing-Knoten (z. B. virtuelle Server, Dienste und andere) zuzugreifen, oder sie hatten keine Berechtigung, auf einen Knoten unterLoad Balancingzuzugreifen.

In NetScaler ADM 507.x Build und höheren Versionen wurde die Verwaltung der Zugriffsrichtlinien erweitert, um auch Berechtigungen für Unterknoten bereitzustellen. Zugriffsrichtlinieneinstellungen können für alle Unterknoten wie virtuelle Server, Dienste, Dienstgruppen und Server konfiguriert werden.

Derzeit können Sie eine solche Zugriffsberechtigung auf granularer Ebene nur für Unterknoten unter einem Load Balancing-Knoten und auch für Unterknoten unter dem GSLB-Knoten erteilen.

Beispielsweise möchten Sie als Administrator dem Benutzer eine Zugriffsberechtigung erteilen, um nur virtuelle Server anzuzeigen, jedoch nicht die Back-End-Dienste, Dienstgruppen und Anwendungsserver im Knoten Lastenausgleich. Die Benutzer, denen eine solche Richtlinie zugewiesen ist, können nur auf die virtuellen Server zugreifen.

So erstellen Sie benutzerdefinierte Zugriffsrichtlinien:

1. Navigieren Sie in der NetScaler ADM GUI zuEinstellungen>Benutzer und Rollen>Zugriffsrichtlinien．

2. Klicken Sie aufHinzufügen．

3. Geben Sie auf der SeiteZugriffsrichtlinien erstellenim FeldRichtliniennameden Namen der Richtlinie und die Beschreibung in das FeldRichtlinienbeschreibungein.

   

   Im AbschnittBerechtigungenwerden alle NetScaler ADM-Funktionen mit Optionen zum Angeben von schreibgeschütztem Zugriff, Aktivieren/Deaktivieren oder Bearbeiten aufgeführt.

   1. Klicken Sie auf das Symbol (+), um jede Feature-Gruppe in mehrere Features zu erweitern.

   2. Aktivieren Sie das Kontrollkästchen Berechtigung neben dem Feature-Namen, um den Benutzern Berechtigungen zu erteilen.

      • Ansicht:Mit dieser Option kann der Benutzer das Feature in NetScaler ADM anzeigen.

      • Aktivieren-Deaktivieren:Diese Option ist nur für dieNetzwerkfunktionsfunktionenverfügbar, die das Aktivieren oder Deaktivieren von Aktionen in NetScaler ADM ermöglichen. Benutzer können die Funktion aktivieren oder deaktivieren. Und Benutzer können auch die AktionJetzt abfragenausführen.

        Wenn Sie einem Benutzer die Berechtigung zum Aktivieren undDeaktivierenerteilen, wird auch die BerechtigungAnzeigenerteilt. Sie können diese Option nicht deaktivieren.

      • Bearbeiten:Diese Option gewährt dem Benutzer vollen Zugriff. Der Benutzer kann das Feature und seine Funktionen ändern.

        Wenn Sie die BerechtigungBearbeitenerteilen, werden sowohl die BerechtigungenAnzeigenals auchAktivieren/Deaktivierengewährt. Sie können die Auswahl der automatisch ausgewählten Optionen nicht aufheben.

      Wenn Sie das Kontrollkästchen Feature aktivieren, werden alle Berechtigungen für das Feature ausgewählt.

   Hinweis: Erweitern Sie

   Load Balancing und GSLB, um weitere Konfigurationsoptionen anzuzeigen.

   In der folgenden Abbildung haben die Konfigurationsoptionen der Load Balancing-Funktion unterschiedliche Berechtigungen:

   

   DieView-Berechtigungwird einem Benutzer für die FunktionVirtuelle Servererteilt. Benutzer können die virtuellen Lastausgleichsserver in NetScaler ADM anzeigen. Um virtuelle Server anzuzeigen, navigieren Sie zuInfrastruktur > Netzwerkfunktionen > Load Balancingund wählen Sie die RegisterkarteVirtuelle Serveraus.

   Die BerechtigungAktivieren-Deaktivierenwird einem Benutzer für die FunktionDienstegewährt. Mit dieser Berechtigung wird auch dieView-Berechtigungerteilt. Benutzer können die Dienste aktivieren oder deaktivieren, die an einen virtuellen Lastausgleichsserver gebunden sind. Außerdem kann der Benutzer eineJetzt abfragen-Aktion für Dienste ausführen. Um Dienste zu aktivieren oder zu deaktivieren, navigieren Sie zuInfrastruktur > Netzwerkfunktionen > Load Balancingund wählen Sie die RegisterkarteDiensteaus.

   Hinweis

   Wenn ein Benutzer über die BerechtigungEnable-Disableverfügt, ist die Aktion zum Aktivieren oder Deaktivieren für einen Dienst auf der folgenden Seite eingeschränkt:

   1. Navigieren Sie zuInfrastruktur > Netzwerkfunktionen．

   2. Wählen Sie einen virtuellen Server aus, und klicken Sie aufKonfigurieren．

   3. Wählen Sie die SeiteLoad Balancing Virtual Server Service Binding．Auf dieser Seite wird eine Fehlermeldung angezeigt, wenn SieAktivierenoderDeaktivierenauswählen.

   Die BerechtigungBearbeitenwird einem Benutzer für die FunktionDienstgruppenerteilt. Diese Berechtigung gewährt den vollen Zugriff, bei dem die BerechtigungenAnzeigenundEnable-Disablegewahrt了。Benutzer能帮死Dienstgruppenändern, die an einen virtuellen Lastausgleichsserver gebunden sind. Um Dienstgruppen zu bearbeiten, navigieren Sie zuInfrastruktur > Netzwerkfunktionen > Load Balancingund wählen Sie die RegisterkarteDienstgruppenaus.

4. Klicken Sie aufErstellen．

   Hinweis

   Wenn SieBearbeitenauswählen, können intern abhängige Berechtigungen zugewiesen werden, die im Abschnitt Berechtigungen nicht als aktiviert angezeigt werden. Wenn Sie beispielsweise Bearbeitungsberechtigungen für die Fehlerverwaltung aktivieren, stellt NetScaler ADM intern die Berechtigung zum Konfigurieren eines E-Mail-Profils oder zum Erstellen von SMTP-Serverkonfigurationen bereit, damit der Benutzer den Bericht als E-Mail senden kann.

Erteilen von StyleBook-Berechtigungen für Benutzer

Sie können eine Zugriffsrichtlinie erstellen, um StyleBook-Berechtigungen wie Importieren, Löschen, Herunterladen und mehr zu erteilen.

Hinweis

Die Anzeigeberechtigung wird automatisch aktiviert, wenn Sie andere StyleBook-Berechtigungen erteilen.

Konfigurieren von Rollen auf NetScaler ADM

In NetScaler ADM ist jede Rolle an eine oder mehrere Zugriffsrichtlinien gebunden. Sie können Eins-zu-Eins-, Eins-zu-Viele- und Viele-zu-Viele-Beziehungen zwischen Richtlinien und Rollen definieren. Sie können eine Rolle an mehrere Richtlinien binden, und Sie können mehrere Rollen an eine Richtlinie binden.

Beispielsweise kann eine Rolle an zwei Richtlinien gebunden sein, wobei eine Richtlinie Zugriffsberechtigungen für ein Feature und die andere Richtlinie Zugriffsberechtigungen für ein anderes Feature definiert. Eine Richtlinie kann die Berechtigung zum Hinzufügen von NetScaler-Instanzen in NetScaler ADM erteilen, und die andere Richtlinie kann die Berechtigung zum Erstellen und Bereitstellen eines StyleBook und zum Konfigurieren von NetScaler-Instanzen erteilen.

Wenn mehrere Richtlinien die Bearbeitungs- und Schreibschutzberechtigungen für ein einzelnes Feature definieren, haben die Bearbeitungsberechtigungen Priorität gegenüber schreibgeschützten Berechtigungen.

NetScaler ADM bietet fünf vordefinierte Rollen:

• admin_role．Hat Zugriff auf alle NetScaler ADM-Funktionen. (Diese Rolle ist gebunden anadminpolicy．)
• adminExceptSystem_role．Hat Zugriff auf die NetScaler ADM GUI mit Ausnahme der Einstellungsberechtigungen. (Diese Rolle ist an adminExceptSystem_policy gebunden)
• readonly_role．Schreibgeschützter Zugriff. (Diese Rolle ist gebunden anreadonlypolicy．)
• appAdmin_role．Hat administrativen Zugriff nur auf die Anwendungsfunktionen in NetScaler ADM. (Diese Rolle ist an appAdminPolicy gebunden).
• appReadonly_role．Hat nur Lesezugriff auf die Anwendungsfunktionen. (Diese Rolle ist an appReadOnlyPolicy gebunden.)

Sie können die vordefinierten Rollen zwar nicht bearbeiten, aber Sie können Ihre eigenen (benutzerdefinierten) Rollen erstellen.

So erstellen Sie Rollen und weisen ihnen Richtlinien zu:

1. Navigieren Sie in der NetScaler ADM GUI zuEinstellungen>Benutzer und Rollen>Rollen．

2. Klicken Sie aufHinzufügen．

3. GebenSie auf der Seite Rollen erstellenim FeldRollennameden Namen der Rolle ein und geben Sie die Beschreibung in das FeldRollenbeschreibungein (optional).

4. Fügen Sie im AbschnittRichtlinieneine oder mehrere Richtlinien zur ListeKonfigurierthinzu.

   Hinweis

   Den Richtlinien wird eine Mandanten-ID vorangestellt (z. B.maasdocfour), die für alle Mandanten eindeutig ist.

   

   Hinweis:

   Sie können eine Zugriffsrichtlinie erstellen, indem Sie aufNeuklicken, oder Sie können zuEinstellungen>Benutzer und Rollen>Zugriffsrichtliniennavigieren und Richtlinien erstellen.

5. Klicken Sie aufErstellen．

Konfigurieren von Gruppen auf NetScaler ADM

In NetScaler ADM kann eine Gruppe sowohl auf Feature- als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte NetScaler-Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in NetScaler ADM dieselben Zugriffsrechte zugewiesen.

Sie können einen Benutzerzugriff in NetScaler ADM auf der einzelnen Ebene von Netzwerkfunktionsentitäten verwalten. Sie können dem Benutzer oder der Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen.

NetScaler ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.

• Virtueller Server (Anwendungen)- Load Balancing (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und NetScaler Gateway (vpn)

• Services- Lastenausgleich und GSLB-Dienste
• Dienstgruppe— Load Balancing und GSLB-Dienstgruppen
• Server— Load Balancing-Server

So erstellen Sie eine Gruppe:

1. Navigieren Sie in NetScaler ADM zuEinstellungen>Benutzer und Rollen>Gruppen.

2. Klicken Sie aufHinzufügen．

   Die SeiteSystemgruppe erstellenwird angezeigt.

3. Geben Sie im FeldGruppennameden Namen der Gruppe ein.

4. Geben Sie im FeldGruppenbeschreibungeine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung hilft Ihnen, die Rolle und Funktion der Gruppe zu verstehen.

5. Verschieben Sie im AbschnittRolleneine oder mehrere Rollen in die ListeKonfiguriert．

   Hinweis

   Den Rollen wird eine Mandanten-ID vorangestellt (z. B.maasdocfour), die für alle Mandanten eindeutig ist.

6. In der ListeVerfügbarkönnen Sie aufNeuoderBearbeitenklicken und Rollen erstellen oder ändern.

   Alternativ können Sie zuEinstellungen > Benutzer und Rollen > Benutzernavigieren und Benutzer erstellen oder ändern.

   

7. Klicken Sie aufWeiter．

8. Auf der RegisterkarteAutorisierungseinstellungenkönnen Sie Ressourcen aus den folgenden Kategorien auswählen:

   • Autoscale-Gruppen
   • Instanzen
   • Anwendungen
   • Konfigurationsvorlagen
   • IPAM-Anbieter und Netzwerke
   • StyleBooks
   • Configpacks
   • Domain-Namen

   

   Möglicherweise möchten Sie bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.

   Autoscale-Gruppen:

   Wenn Sie die spezifischen Autoscale-Gruppen auswählen möchten, die der Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   1. Deaktivieren Sie das KontrollkästchenAlle AutoScale-Gruppen, und klicken Sie aufAutoScale-Gruppen hinzufügen．

   2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie aufOK．

   Instanzen:

   Wenn Sie die spezifischen Instanzen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   1. Deaktivieren Sie das KontrollkästchenAlle Instanzenund klicken Sie aufInstanzen auswählen．

   2. Wählen Sie die erforderlichen Instanzen aus der Liste aus und klicken Sie aufOK．

      

   Anwendungen:

   In der ListeAnwendungen auswählenkönnen Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

   Sie können Anwendungen Zugriff gewähren, ohne deren Instanzen auszuwählen. Weil Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.

   您要是einem Benutzer Zugriff Anwendung的风景明信片gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

   Diese Liste bietet Ihnen die folgenden Optionen:

   • Alle Anwendungen:Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im NetScaler ADM vorhanden sind.

   • Alle Anwendungen ausgewählter Instanzen:Diese Option wird nur angezeigt, wenn Sie Instanzen aus der KategorieAlle Instanzenauswählen. Es fügt alle Anwendungen hinzu, die auf der ausgewählten Instanz vorhanden sind.

   • Bestimmte Anwendungen:Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie aufAnwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.

   • Einzelner Entitätstyp auswählen:Mit dieser Option können Sie den spezifischen Typ der Netzwerkfunktionsentität und die entsprechenden Entitäten auswählen.

     Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.

     Die OptionAuch auf gebundene Entitäten anwendenautorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen undauch Auf gebundene Entitäten anwendenauswählen, autorisiert NetScaler ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.

     Hinweis

     Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.

   Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsentitäten zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in NetScaler ADM beibehalten. Führen Sie die folgenden Schritte aus, um reguläre Ausdrücke hinzuzufügen:

   1. Klicken Sie aufRegulären Ausdruck hinzufügen．

   2. Geben Sie den regulären Ausdruck im Textfeld an.

      In der folgenden Abbildung wird erläutert, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die OptionSpezifische Anwendungenauswählen:

      

      In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die OptionIndividuelle Entitätstyp auswählenauswählen:

      

   Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol+．

   Hinweis:

   Der reguläre Ausdruck stimmt nur mit dem Servernamen für den EntitätstypServerüberein und nicht mit der IP-Adresse des Servers.

   Wenn Sie die OptionAuch auf gebundene Entitäten anwendenfür eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

   Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert NetScaler ADM den Autorisierungsbereich auf die neuen Entitäten.

   Vorlagen für die Konfiguration:

   您要是死spezifische Konfigurationsvorlage来自wählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   1. Deaktivieren Sie das KontrollkästchenAlle Konfigurationsvorlagenund klicken Sie aufKonfigurationsvorlage hinzufügen．

   2. Wählen Sie die gewünschte Vorlage aus der Liste aus und klicken Sie aufOK．

      

   IPAM-Anbieter und Netzwerke:

   Wenn Sie die spezifischen IPAM-Anbieter und -Netzwerke hinzufügen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   • Anbieter hinzufügen- Deaktivieren Sie das KontrollkästchenAlle Anbieterund klicken Sie aufAnbieter hinzufügen．Sie können die erforderlichen Anbieter auswählen und aufOKklicken。

   • Netzwerke hinzufügen- Deaktivieren Sie das KontrollkästchenAlle Netzwerkeund klicken Sie aufNetzwerke hinzufügen．Sie können die erforderlichen Netzwerke auswählen und aufOKklicken。

   

   StyleBooks:

   Wenn Sie das spezifische StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   1. Deaktivieren Sie das KontrollkästchenAlle StyleBooks, und klicken Sie aufStyleBook zu Gruppe hinzufügen．Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.

      Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im BereichEinzelne StyleBooksaus und klicken Sie aufAuswahl speichern．

      Wenn Sie eine Abfrage zum Durchsuchen von StyleBooks verwenden möchten, wählen Sie den BereichBenutzerdefinierte Filteraus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, wobei Schlüsselname,namespaceundversionsind.

      您可以在regulare Ausdrucke欧什als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die Regex-Kriterien für die Gruppen erfüllen. Eine benutzerdefinierte Filterabfrage zum Durchsuchen von StyleBooks unterstützt sowohl die OperationAndals auchOr．

      Beispiel:

      name = lb-mon | = com.citrix.adc.styleb磅和名称空间ooks AND version=1.0 

      Diese Query listet die StyleBooks auf, die die folgenden Bedingungen erfüllen:

      • StyleBook-Name ist entwederlb-monoderlb．
      • StyleBook Namespace istcom.citrix.adc.stylebooks．
      • StyleBook-Version ist1.0．

      Verwenden Sie eineOr-Operation zwischen Werteausdrücken, die für den Schlüsselausdruck definiert ist.

      Beispiel:

      • Die Abfragename=lb-mon|lbist gültig. Es gibt die StyleBooks zurück, die einen Namenlb-monoderlbhaben.
      • Die Abfragename=lb-mon | version=1.0ist ungültig.

      Drücken SieEnter, um die Suchergebnisse anzuzeigen, und klicken Sie aufAbfrage speichern．

      

      Die gespeicherte Abfrage wird in der Abfrage “Benutzerdefinierte Filter”angezeigt. Basierend auf der gespeicherten Abfrage bietet NetScaler ADM Benutzerzugriff auf diese StyleBooks.

   2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie aufOK．

      

      Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt.

   Konfigurationspakete:

   Wählen Sie in Configpacks eine der folgenden Optionen aus:

   • Alle Konfigurationen: Diese Option ist standardmäßig ausgewählt. Es ermöglicht Benutzern, alle Konfigurationen in ADM zu verwalten.

   • Alle Konfigurationen der ausgewählten StyleBooks: Diese Option fügt alle Konfigurationspakete des ausgewählten StyleBooks hinzu.

   • Spezifische Konfigurationen: Mit dieser Option können Sie spezifische Konfigurationen für jedes StyleBook hinzufügen.

   • Alle von der Benutzergruppe erstellten Konfigurationen: Mit dieser Option können Benutzer nur auf Konfigurationen zugreifen, die von Benutzern derselben Gruppe erstellt wurden.

   Sie können die entsprechenden Config Packs auswählen, wenn Sie Gruppen erstellen und dieser Gruppe Benutzer zuweisen.

   Domainnamen:

   Wenn Sie den spezifischen Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

   1. Deaktivieren Sie das KontrollkästchenAlle Domainnamenund klicken Sie aufDomainnamen hinzufügen．

   2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus und klicken Sie aufOK．

9. Klicken Sie aufGruppe erstellen．

10. Wählen Sie im AbschnittBenutzer zuweisenden Benutzer in der ListeVerfügbaraus und fügen Sie ihn der ListeKonfigurierthinzu.

    Hinweis

    Sie können auch neue Benutzer hinzufügen, indem Sie aufNeuklicken。

    

11. Klicken Sie aufFertig stellen．

Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert

Wenn ein Administrator einen Benutzer zu einer Gruppe hinzufügt, die über unterschiedliche Zugriffsrichtlinieneinstellungen verfügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

秋季diesem gewahrt NetScaler ADM民主党Benutzerabhängig vom spezifischen Autorisierungsbereich Zugriff auf Anwendungen.

Stellen Sie sich einen Benutzer vor, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

• Policy-1— Nur Berechtigungen für Anwendungen anzeigen.

• Policy-2— Anzeigen und Bearbeiten der Berechtigung für Anwendungen.

Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter den Autorisierungsbereich der Gruppe 1 fällt.

Einschränkungen

RBAC wird von den folgenden NetScaler ADM-Funktionen nicht vollständig unterstützt:

• Analytics - RBAC wird von den Analysemodulen nicht vollständig unterstützt. Die RBAC-Unterstützung ist auf Instanzebene beschränkt und gilt nicht auf Anwendungsebene in den Analysemodulen Gateway Insight, HDX Insight und Security Insight.
  • Beispiel 1: Instanzbasierte RBAC (unterstützt). Ein Administrator, dem einige Instanzen zugewiesen wurden, kann nur diese Instanzen unterHDX Insight>Geräteund nur die entsprechenden virtuellen Server unterHDX Insight>Applicationssehen, da RBAC auf Instanzebene unterstützt wird.
  • Beispiel 2: Anwendungsbasierte RBAC (nicht unterstützt). Ein Administrator, dem einige Anwendungen zugewiesen wurden, kann alle virtuellen Server unterHDX Insight>Anwendungensehen, aber nicht darauf zugreifen, da RBAC auf Anwendungsebene nicht unterstützt wird.
• StyleBooks — RBAC wird für StyleBooks nicht vollständig unterstützt.
  • Stellen Sie sich eine Situation vor, in der mehrere Benutzer Zugriff auf ein einzelnes StyleBook haben, jedoch Zugriffsberechtigungen für verschiedene NetScaler-Instanzen haben. Benutzer können Config Packs auf ihren eigenen Instanzen erstellen und aktualisieren, jedoch nicht auf anderen Instanzen, da sie keinen anderen Zugriff auf diese Instanzen als ihre eigenen haben. Sie können jedoch weiterhin die Konfigurationspakete und Objekte anzeigen, die auf NetScaler-Instanzen erstellt wurden.