Citrix应用程序交付管理服务

配置基于角色的访问控制

Citrix Application Delivery and Management提供了细粒度的、基于角色的访问控制(RBAC),您可以根据企业中各个用户的角色授予访问权限。

在Citrix Application Delivery and Management中,所有用户都添加到Citrix Cloud中。作为组织的第一个用户,您必须首先在Citrix Cloud中创建一个帐户,然后使用Citrix Cloud凭据登录到Citrix应用程序交付和管理GUI。您被授予超级管理员角色,默认情况下,您拥有Citrix Application Delivery and Management中的所有访问权限。稍后,您可以在Citrix Cloud中创建组织中的其他用户。

稍后创建并作为常规用户登录到Citrix Application Delivery and Management的用户称为委托管理员。默认情况下,这些用户拥有除用户管理权限以外的所有权限。但是,您可以向这些委托的管理用户授予特定的用户管理权限。您可以通过创建适当的策略并将其分配给这些委托的用户来实现这一点。用户管理权限为设置>用户管理.有关如何分配特定权限的详细信息,请参见如何分配额外的权限委托管理用户

关于如何创建策略、角色、组以及如何将用户绑定到组的更多信息将在以下部分中提供。

例子:

下面的示例说明了如何在Citrix应用程序交付和管理中实现RBAC。

ADC组负责人Chris是他所在组织中Citrix应用程序交付和管理的超级管理员。他创建了三个管理员角色:安全管理员、应用管理员和网络管理员。

  • 安全管理员David必须对SSL证书管理和监视具有完全访问权限,但必须对系统管理操作具有只读访问权限。
  • 应用程序管理员Steve只需要访问特定的应用程序和特定的配置模板。
  • 格雷格是一名网络管理员,他需要访问系统和网络管理。
  • Chris还必须为所有用户提供RBAC,而不管他们是本地用户还是外部用户。

下图显示了管理员和其他用户拥有的权限以及他们在组织中的角色。

RBAC用例

为了向用户提供基于角色的访问控制,Chris必须首先在Citrix Cloud中添加用户,然后才能在Citrix Application Delivery and Management中看到用户。Chris必须根据每个用户的角色为他们创建访问策略。访问策略与角色紧密绑定。因此,Chris还必须创建角色,然后他必须创建组,因为角色只能分配给组,而不能分配给单个用户。

访问是执行特定任务的能力,例如查看、创建、修改或删除文件。角色是根据企业内用户的权限和职责定义的。例如,一个用户可能被允许执行所有网络操作,而另一个用户可以观察应用程序中的流量并帮助创建配置模板。

角色由策略决定。创建策略后,可以创建角色,并将每个角色与一条或多条策略绑定,并为用户分配角色。您还可以为用户组分配角色。组是具有共同权限的用户的集合。例如,可以将管理特定数据中心的用户分配到一个组。角色是根据特定条件将用户添加到特定组中,从而授予用户的身份。在Citrix Application Delivery and Management中,创建角色和策略是特定于Citrix ADC中的RBAC特性的。随着企业需求的发展,可以轻松地创建、更改或终止角色和策略,而不必单独更新每个用户的特权。

角色可以是基于特性的,也可以是基于资源的。例如,考虑一个SSL/安全管理员和一个应用程序管理员。SSL/安全管理员必须具有对SSL证书管理和监控功能的完全访问权,但必须具有对系统管理操作的只读访问权。应用程序管理员只能访问其范围内的资源。

因此,以超级管理员Chris的角色,在Citrix Application Delivery and Management中执行以下示例任务,为组织中的安全管理员David配置访问策略、角色和用户组。

在Citrix应用程序交付和管理中配置用户

作为超级管理员,您可以通过在Citrix Cloud(而不是Citrix Application Delivery and Management)中为用户配置帐户来创建更多用户。当新用户添加到Citrix Application Delivery and Management时,您只能通过为用户分配适当的组来定义他们的权限。

在Citrix Cloud中添加新用户:

  1. 在Citrix应用程序交付和管理GUI中,单击左上角的汉堡包图标,然后选择身份和访问管理

    Citrix Cloud中的身份和访问管理

  2. 在“身份和访问管理”页面,选择管理员选项卡。

    该选项卡列出了在Citrix Cloud中创建的用户。

  3. 选择Citrix身份作为身份提供者。

  4. 在Citrix Application Delivery and Management中输入要添加的用户的电子邮件地址,然后单击邀请

    邀请用户使用Citrix应用程序交付和管理

    请注意

    用户收到来自Citrix Cloud的电子邮件邀请。用户必须单击电子邮件中提供的链接,通过提供他们的全名和密码完成注册过程,然后使用他们的凭据登录到Citrix应用程序交付和管理。

  5. 选择自定义访问指定的用户。

  6. 选择应用程序交付管理

    该选项列出了在Citrix应用程序交付和管理中创建的用户组。选择要将用户添加到的组。

    邀请用户自定义访问Citrix应用程序交付和管理

  7. 点击发送邀请

作为管理员,只有当用户登录到Citrix应用程序交付和管理时,您才能在Citrix应用程序交付和管理用户列表中看到新用户。

在Citrix应用交付和管理中配置用户:

  1. 在Citrix应用程序交付和管理GUI中,导航到设置>用户管理>用户

  2. 界面显示已创建的用户用户页面。

    配置用户

  3. 通过选择用户并单击,可以编辑提供给该用户的特权编辑.上编辑组权限设置节点。

    请注意

    • 用户只能从Citrix Cloud添加到Citrix Application Delivery and Management中。因此,即使您拥有管理权限,也不能在Citrix应用程序交付和管理GUI中添加或删除用户。您只能编辑组权限。用户可以从Citrix Cloud中添加或删除。

    • 只有在用户至少登录到Citrix应用程序交付和管理一次之后,用户详细信息才会出现在服务GUI上。

在Citrix应用交付和管理中配置访问策略

访问策略定义权限。通过创建角色,策略可以应用于一个用户组,也可以应用于多个用户组。角色由策略决定。创建策略后,还需要创建角色,并将每个角色与一条或多条策略绑定,再将角色分配给用户组。Citrix应用程序交付和管理提供了五个预定义的访问策略:

  • admin_policy.授予对所有Citrix应用程序交付和管理节点的访问权。该用户具有查看和编辑权限,可以查看所有Citrix Application Delivery和Management内容,并可以执行所有编辑操作。即用户可以对资源进行添加、修改和删除操作。
  • adminExceptSystem_policy.授予用户对Citrix应用程序交付和管理GUI中的所有节点的访问权限,但对设置节点的访问权限除外。
  • readonly_policy.授予只读权限。用户可以查看Citrix Application Delivery and Management的所有内容,但没有权限进行任何操作。
  • appadmin_policy.授予访问Citrix应用程序交付和管理中的应用程序特性的管理权限。绑定此策略的用户可以添加、修改和删除自定义应用程序,可以启用或禁用服务、服务组和各种虚拟服务器,例如内容切换和缓存重定向。
  • appreadonly_policy.为应用程序特性授予只读权限。绑定该策略的用户可以查看应用,但不能进行任何增加、修改、删除、启用、禁用操作。

虽然不能编辑这些预定义策略,但可以创建自己的(用户定义的)策略。

在前面,当您为角色分配策略并将角色绑定到用户组时,您可以在Citrix应用程序交付和管理GUI中为节点级别的用户组提供权限。例如,您可能只向整个负载均衡节点提供访问权限。您的用户有权限访问负载均衡节点下的所有特定于实体的子节点(例如,虚拟服务器、服务和其他),或者他们没有权限访问负载均衡节点下的任何节点负载平衡

Citrix应用程序交付和管理507。X版本和后续版本中,访问策略管理也得到了扩展,可以为子节点提供权限。可以为所有子节点配置访问策略设置,如虚拟服务器、服务、服务组和服务器。

目前,您只能为负载均衡节点下的子节点和GSLB节点下的子节点提供这种粒度级访问权限。

例如,作为一名管理员,您可能希望赋予用户仅查看虚拟服务器的访问权限,而不是Load Balancing节点中的后端服务、服务组和应用程序服务器。配置了该策略的用户只能访问虚拟服务器。

创建自定义访问策略。

  1. 在Citrix应用程序交付和管理GUI中,导航到设置>用户管理>访问策略

  2. 点击添加

  3. 创建访问策略页,在政策的名字字段,输入策略的名称,并在政策的描述字段。

    访问策略

    权限部分列出了所有Citrix应用程序交付和管理特性,并提供了用于指定只读、启用-禁用或编辑访问的选项。

    1. 单击(+)图标将每个特性组展开为多个特性。

    2. 选中特性名称旁边的权限复选框,为用户授予权限。

      • 观点:该选项允许用户在Citrix应用程序交付和管理中查看该特性。

      • Enable-Disable:此选项仅适用于网络功能允许在Citrix应用程序交付和管理上启用或禁用操作的特性。用户可以启用或禁用该特性。并且,用户还可以执行调查现在行动。

        当你批准Enable-Disable用户的权限视图许可也被授予。不能取消选择该选项。

      • 编辑:此选项授予用户完全访问权限。用户可以修改该特性及其功能。

        如果你同意编辑许可,视图Enable-Disable权限被授予。不能取消自动选择的选项。

      如果选中“功能”复选框,则会选择该功能的所有权限。

    请注意

    展开负载均衡和GSLB以查看更多配置选项。

    下图中,负载均衡特性的配置选项具有不同的权限:

    配置策略

    视图控件的权限被授予给用户虚拟服务器特性。用户可以在Citrix Application Delivery and Management中查看负载均衡虚拟服务器。要查看虚拟服务器,请导航到基础设施>网络功能>负载均衡并选择虚拟服务器选项卡。

    Enable-Disable控件的权限被授予给用户服务特性。该权限还授予视图许可。用户可以启用或禁用负载均衡虚拟服务器绑定的服务。此外,用户可以执行调查现在对服务的操作。要启用或禁用服务,请导航到基础设施>网络功能>负载均衡并选择服务选项卡。

    请注意

    如果用户具有Enable-Disable权限,对某项服务的“启用”或“禁用”操作在以下页面中有限制:

    1. 导航到基础设施>网络功能

    2. 选择虚拟服务器,单击配置

    3. 选择负载均衡虚拟服务器服务绑定页面。如果选择,该页将显示错误消息启用禁用

    编辑控件的权限被授予给用户服务团体特性。此权限授予在何处的完全访问权限视图Enable-Disable权限被授予。用户可以修改负载均衡虚拟服务器绑定的服务组。要编辑服务组,请导航到基础设施>网络功能>负载均衡并选择服务团体选项卡。

  4. 点击创建

    请注意

    选择编辑可能会在内部分配未在“权限”部分中启用的依赖权限。例如,当您启用故障管理的编辑权限时,Citrix Application Delivery and management在内部提供了配置邮件配置文件或创建SMTP服务器设置的权限,以便用户可以将报告作为邮件发送。

授予用户StyleBook权限

您可以创建一个访问策略来授予StyleBook权限,如导入、删除、下载等。

请注意

当您授予其他StyleBook权限时,视图权限将自动启用。

授予用户StyleBook权限

在Citrix应用交付和管理中配置角色

在Citrix应用程序交付和管理中,每个角色都绑定到一个或多个访问策略。您可以在策略和角色之间定义一对一、一对多和多对多的关系。您可以将一个角色绑定到多个策略,也可以将多个角色绑定到一个策略。

例如,一个角色可能绑定到两个策略,其中一个策略定义了一个特性的访问权限,另一个策略定义了另一个特性的访问权限。一个策略可能授予在Citrix Application Delivery and Management中添加Citrix ADC实例的权限,而另一个策略可能授予创建和部署StyleBook以及配置Citrix ADC实例的权限。

当多个策略为一个特性定义了编辑权限和只读权限时,编辑权限优先级高于只读权限。

Citrix应用程序交付和管理提供了五个预定义的角色:

  • admin_role.可以访问所有Citrix应用程序交付和管理功能。(这个角色是必然的adminpolicy.)
  • adminExceptSystem_role.除了具有设置权限外,可以访问Citrix应用程序交付和管理GUI。(该角色绑定到adminExceptSystem_policy)
  • readonly_role.具有只读访问权限。(这个角色是必然的readonlypolicy.)
  • appAdmin_role.仅对Citrix应用程序交付和管理中的应用程序特性具有管理访问权。(该角色与appAdminPolicy绑定)。
  • appReadonly_role.具有对应用程序功能的只读访问权。(该角色绑定appReadOnlyPolicy。)

虽然不能编辑预定义角色,但可以创建自己的(用户定义的)角色。

创建角色并为角色分配策略。

  1. 在Citrix应用程序交付和管理GUI中,导航到设置>用户管理>角色

  2. 点击添加

  3. 创建角色页,在角色名字段,输入角色的名称,并在角色描述字段(可选)。

  4. 政策控件中添加移动一个或多个策略配置列表。

    请注意

    策略以租户ID作为前缀(例如,maasdocfour),这是所有租户所独有的。

    配置角色

    请注意

    单击,可以新建访问策略,或者您可以导航到设置>用户管理>访问策略,并创建策略。

  5. 点击创建

在Citrix应用程序交付和管理中配置组

在Citrix应用程序交付和管理中,一个组可以同时拥有特性级和资源级访问。例如,一组用户可能只能访问选定的Citrix ADC实例;另一组只有少数几个应用程序,以此类推。

创建组时,可以为组分配角色,为组提供应用程序级访问,并为组分配用户。在Citrix应用程序交付和管理中,该组中的所有用户都被分配相同的访问权限。

您可以在Citrix应用程序交付和管理中在网络功能实体的单个级别上管理用户访问。您可以在实体级别上动态地为用户或组分配特定的权限。

Citrix Application Delivery and Management将虚拟服务器、服务、服务组和服务器视为网络功能实体。

  • 虚拟服务器(应用程序)—负载均衡()、GSLB、上下文切换(CS)、Cache重定向(CR),认证(身份验证)及citrixgateway (vpn

  • 服务—负载均衡和GSLB业务
  • 服务组—负载均衡和GSLB服务组
  • 服务器—负载均衡服务器

创建一个组。

  1. 在Citrix应用程序交付和管理中,导航到设置>用户管理>

  2. 点击添加

    创建系统组页面。

  3. 组名称字段中,输入组的名称。

  4. 组描述字段,输入组的描述。提供一个好的描述可以帮助您理解组的角色和功能。

  5. 角色部分,将一个或多个角色移动到配置列表。

    请注意

    角色的前缀是租户ID(例如,maasdocfour),这是所有租户所独有的。

  6. 可用列表中,可以单击编辑创建或修改角色。

    或者,您可以导航到>用户管理>用户、创建或修改用户。

    配置组

  7. 点击下一个

  8. 授权设置选项卡,可以从以下类别中选择资源:

    • 自动定量组
    • 实例
    • 应用程序
    • 配置模板
    • IPAM提供商和网络
    • 样本
    • Configpacks
    • 域名

    授权设置中的类别

    您可能希望从用户可以访问的类别中选择特定的资源。

    自动定量组:

    如果需要选择用户可以查看或管理的特定自动缩放组,请执行以下步骤:

    1. 清除所有自动缩放组复选框,然后单击添加自动缩放组

    2. 从列表中选择需要的自动缩放组,单击好吧

    实例:

    如果需要选择用户可以查看或管理的具体实例,请执行以下步骤。

    1. 清除所有实例复选框,然后单击选择实例

    2. 从列表中选择需要的实例,单击好吧

      选择实例

    应用程序:

    选择应用程序List允许您授予用户对所需应用程序的访问权。

    您可以在不选择应用程序实例的情况下授予应用程序访问权。因为应用程序独立于它们的实例来授予用户访问权。

    当您授予用户对应用程序的访问权限时,无论实例选择如何,用户都只被授权访问该应用程序。

    该列表为您提供了以下选项:

    • 所有应用程序:该选项默认选中。它添加了Citrix应用程序交付和管理中的所有应用程序。

    • 所选实例的所有应用:对象中选择实例时,才会出现此选项所有实例类别。它添加所选实例上的所有应用程序。

    • 特定的应用程序:此选项允许您添加希望用户访问的所需应用程序。点击添加应用程序并从列表中选择所需的应用程序。

    • 选择单个实体类型:该选项允许您选择特定类型的网络功能实体及其对应的实体。

      您可以添加单个实体,也可以选择所需实体类型下的所有实体,以授予用户访问权限。

      也适用于绑定实体选项授权绑定到所选实体类型的实体。例如,如果您选择一个应用程序,然后选择也适用于绑定实体, Citrix应用程序交付和管理授权绑定到所选应用程序的所有实体。

      请注意

      如果要授权绑定实体,请确保只选择了一种实体类型。

    可以使用正则表达式搜索并添加满足正则表达式条件的网络函数实体。指定的正则表达式在Citrix应用程序交付和管理中持久化。添加正则表达式。

    1. 点击添加正则表达式

    2. 在文本框中指定正则表达式。

      属性时,如何使用正则表达式添加应用程序,如下图所示特定的应用程序选择:

      使用正则表达式添加应用

      属性时,如何使用正则表达式添加网络函数实体选择单个实体类型选择:

      网络功能实体类型

    如果要添加更多正则表达式,请单击+图标。

    请注意

    对象的服务器名称服务器实体类型,而不是服务器IP地址。

    如果您选择也适用于绑定实体选项,用户可以自动访问绑定到已发现实体的实体。

    正则表达式存储在系统中,用于更新授权范围。当新实体匹配其实体类型的正则表达式时,Citrix应用程序交付和管理将授权范围更新到新实体。

    配置模板:

    当需要选择用户可以查看和管理的配置模板时,请执行以下步骤。

    1. 清除所有配置模板复选框,然后单击添加配置模板

    2. 在列表中选择模板,单击好吧

      配置模板

    IPAM供应商和网络:

    如果需要添加用户可以查看或管理的特定IPAM提供商和网络,请执行以下操作。

    • 添加供应商-清除所有的供应商复选框,然后单击添加供应商.您可以选择需要的提供商,单击好吧

    • 添加网络-清除所有网络复选框,然后单击添加网络.选择需要的网络,单击好吧

    添加IPAM提供商和网络

    样本:

    如果要选择用户可以查看或管理的特定样式书,请执行以下步骤:

    1. 清除所有样本复选框,然后单击将StyleBook添加到组.您可以选择单个的stylebook,也可以指定筛选器查询来授权stylebook。

      如果要选择单个的样式书,请从单个样本窗格,然后单击保存选择

      如果要使用查询搜索StyleBooks,请选择自定义过滤器窗格。查询是键所在的键-值对的字符串的名字名称空间,版本

      您还可以使用正则表达式作为值来搜索和添加符合组正则表达式条件的stylebook。用于搜索StyleBooks的自定义筛选器查询同时支持这两种方式操作。

      例子:

      name=lb-mon|lb AND namespace=com.citrix.adc。stylebooks AND version=1.0 

      该查询列出了满足以下条件的stylebook:

      • StyleBook的名称是任意一个lb-mon
      • StyleBook命名空间为com.citrix.adc.stylebooks
      • StyleBook版本是1.0

      使用一个定义为键表达式的值表达式之间的操作。

      例子:

      • name = lb-mon |磅查询有效。它也返回有名称的StyleBookslb-mon
      • Name =lb-mon | version=1.0查询无效。

      新闻输入查看查询结果,单击保存查询

      自定义过滤器

      保存的查询显示在自定义过滤器查询.基于保存的查询,Citrix应用程序交付和管理为用户提供对这些stylebook的访问。

    2. 从列表中选择所需的StyleBooks,然后单击好吧

      选择样本

      您可以在创建组并将用户添加到该组时选择所需的StyleBooks。当用户选择允许的样式书时,所有相关的样式书也会被选中。

    Configpacks:

    Configpacks,选择以下其中一个选项:

    • 所有的配置:默认勾选。它添加了Citrix应用程序交付和管理中的所有配置包。

    • 所选样式书的所有配置:该选项将添加所选StyleBook的所有配置包。

    • 具体的配置:该选项用于添加所需的配置包。

      选择一个配置包

      在创建组并将用户添加到组中时,可以选择所需的配置包。

    域名:

    如果需要选择用户可以查看或管理的特定域名,请执行以下步骤。

    1. 清除所有域名复选框,然后单击添加域名

    2. 在列表中选择需要查询的域名,单击好吧

  9. 点击创建组

  10. 分配用户控件中的用户可用列表,并将用户添加到配置列表。

    请注意

    您也可以通过单击添加新用户

    分配用户

  11. 点击完成

用户访问权限如何根据授权范围变化

当管理员将用户添加到具有不同访问策略设置的组时,该用户将映射到多个授权范围和访问策略。

在这种情况下,Citrix应用程序交付和管理根据特定的授权范围授予用户对应用程序的访问权。

假设一个用户被分配到一个组,该组有两个策略Policy-1和Policy-2。

  • 政策1—只查看应用的权限。

  • 政策2—查看和编辑应用的权限。

用户访问权限随着授权范围的变化而变化

用户可以查看Policy-1中指定的应用。此外,该用户还可以查看和编辑Policy-2中指定的应用程序。对Group-1应用程序的编辑访问受到限制,因为它不在Group-1授权范围内。

限制

以下Citrix应用程序交付和管理特性不完全支持RBAC:

  • 分析——分析模块不完全支持RBAC。RBAC支持仅限于实例级别,在Gateway Insight、HDX Insight和Security Insight分析模块中的应用程序级别不适用。
    • 例1:基于实例的RBAC(支持)。分配了几个实例的管理员只能看到下面的实例HDX洞察力>设备,下只有对应的虚拟服务器HDX洞察力>应用程序因为RBAC在实例级得到支持。
    • 例2:基于应用程序的RBAC(不支持)。分配了几个应用程序的管理员可以看到下面的所有虚拟服务器HDX洞察力>应用程序但是不能访问它们,因为RBAC在应用程序级别上不受支持。
  • StyleBooks - RBAC不完全支持StyleBooks。
    • 考虑这样一种情况,多个用户可以访问单个StyleBook,但对不同的Citrix ADC实例具有访问权限。用户可以在自己的实例上创建和更新配置包,但不能在其他实例上创建和更新配置包,因为除了自己的实例之外,他们无权访问其他实例。但是他们仍然可以查看在Citrix ADC实例上创建的配置包和对象,而不是他们自己的实例。