委托管理
概述
通过在Citrix Cloud中进行委托管理,您可以根据所有管理员在组织中的角色,配置他们需要的访问权限。
缺省情况下,管理员具有完全访问权限。此设置允许访问Citrix Cloud中所有可用的客户管理和管理功能,以及所有订阅的服务。设置管理员的访问权限。
- 在Citrix Cloud中为管理员的通用管理权限配置自定义访问。
- 为订阅的服务配置自定义访问。在Citrix DaaS(以前是Citrix Virtual Apps and desktop服务)中,您可以在邀请新管理员时配置自定义访问。您可以稍后更改管理员的访问权限。
有关显示管理员列表和定义访问权限的信息,请参见为Citrix Cloud帐户添加管理员.
本文描述如何在Citrix DaaS中配置自定义访问。
管理员、角色和范围
委托管理使用三个概念进行自定义访问:管理员、角色和作用域。
- 管理员:管理员代表通过Citrix Cloud登录进行标识的人员,这通常是一个电子邮件地址。每个管理员都与一个或多个角色和范围对相关联。
角色:角色代表一个工作功能,并具有与之关联的权限。这些权限允许Citrix DaaS特有的某些任务。例如,交付组管理员角色拥有创建交付组和从交付组中删除桌面的权限,以及其他相关的权限。一个管理员可以拥有多个角色。管理员可以是交付组管理员和机器目录管理员。
Citrix DaaS提供了几个内置的自定义访问角色。您不能更改这些内置角色中的权限,也不能删除这些角色。
您可以创建自己的自定义访问角色以满足组织的需求,并更详细地委派权限。使用自定义角色在操作或任务的粒度上分配权限。只有当自定义角色没有被分配给管理员时,才可以删除自定义角色。
您可以更改管理员的角色。
角色总是与作用域配对。
范围:作用域表示对象的集合。作用域用于以与组织相关的方式对对象进行分组。对象可以在多个作用域中。
有一个内置作用域:All,它包含所有对象。Citrix Cloud和Help Desk管理员总是与All作用域配对。不能为这些管理员更改该范围。
当您为该服务邀请(添加)管理员时,角色总是与作用域(默认情况下为All作用域)配对。
中创建和删除作用域管理> Full Configuration接口。您可以在Citrix Cloud控制台中分配角色/作用域对。
没有显示完全访问管理员的作用域。根据定义,这些管理员可以访问所有客户管理的Citrix Cloud和订阅的服务对象。
内置角色和作用域
Citrix DaaS具有以下内置角色。
云管理员:可以执行所有可以从Citrix DaaS启动的任务。
可以看到管理而且监控控制台上的选项卡。此角色总是与All作用域相结合。您不能更改作用域。
不要被这个角色的名字弄糊涂了。自定义访问云管理员不能执行Citrix云级任务(Citrix云任务需要完全访问)。
只读管理员:可以查看指定范围内的所有对象(除了全局信息外),但不能更改任何内容。例如,作用域为London的只读管理员可以查看所有全局对象和London作用域中的任何对象(例如,London Delivery Groups)。但是,该管理员不能看到New York作用域中的对象(假设London和New York作用域不重叠)。
可以看到管理选项卡。看不到监控选项卡。您可以更改范围。
帮助台管理员:可以查看交付组,并管理与这些组关联的会话和机器。可以查看正在监视的交付组的机器目录和主机信息。还可以为这些交付组中的机器执行会话管理和机器电源管理操作。
可以看到监控选项卡。看不到管理选项卡。此角色总是与All作用域相结合。您不能更改作用域。
机器目录管理员:能够创建和管理机器目录,并将机器提供到目录中。可以管理基本镜像和安装软件,但不能为用户分配应用程序或桌面。
可以看到管理选项卡。看不到监控选项卡。您可以更改范围。
配送组管理员:可以交付应用程序、桌面和机器。还可以管理相关的会话。可以管理应用程序和桌面配置,如策略和电源管理设置。
可以看到管理选项卡。看不到监控选项卡。您可以更改范围。
主机管理员:可以管理主机连接及其关联的资源设置。无法向用户交付计算机、应用程序或桌面。
可以看到管理选项卡。看不到监控选项卡。您可以更改范围。
会议管理员:可以查看正在监视的交付组,并管理其关联的会话和机器。
可以看到监控选项卡。看不到管理选项卡。您不能更改作用域。
管理员:可以执行所有的任务和操作。完全管理员总是与所有的范围.
可以看到管理而且监控控制台上的选项卡。这个角色总是与所有的范围.您不能更改作用域。
Full Monitor管理员:的所有视图和命令的完全访问权监控选项卡。
可以看到监控选项卡。看不到管理选项卡。您不能更改作用域。
探针代理管理员:可以访问探测代理api。
可以看到监控选项卡。看不到管理选项卡。具有对应用程序页面,但不能访问任何其他视图。
下表总结了Citrix DaaS中每个自定义访问角色都可以看到哪些控制台选项卡,以及该角色是否可以使用自定义作用域。
| 自定义访问管理员角色 | 可以看到管理选项卡在控制台? | 可以看到监控选项卡在控制台? | 角色可以与自定义作用域一起使用吗? |
|---|---|---|---|
| 云管理员 | 是的 | 是的 | 没有 |
| 只读管理员 | 是的 | 没有 | 是的 |
| 帮助台管理员 | 没有 | 是的 | 没有 |
| 机器目录管理员 | 是的 | 没有 | 是的 |
| 交付组管理员 | 是的 | 没有 | 是的 |
| 主机管理员 | 是的 | 没有 | 是的 |
| 会议管理员 | 没有 | 是的 | 没有 |
| 完整的管理员 | 是的 | 是的 | 没有 |
| 全监控管理员 | 没有 | 是的 | 没有 |
| 探针代理管理员 | 没有 | 是的 | 没有 |
注意:
自定义访问管理员角色(云管理员和帮助台管理员除外)不适用于Citrix的Azures虚拟应用程序和桌面标准、虚拟应用程序必需品和虚拟桌面必需品。
查询与角色关联的权限。
- 登录到Citrix云.选择我的服务> DaaS在左上角的菜单中。
- 从管理> Full Configuration中,选择管理员在左窗格中。
- 选择角色选项卡。
在中间上方的窗格中选择一个角色。的角色定义下窗格中的选项卡列出了类别和权限。选择一个类别以查看特定的权限。的管理员“TAB”选项卡中列出已分配该角色的管理员。
已知问题:完全管理员条目没有显示完全访问Citrix DaaS管理员的正确权限集。
您需要多少管理员
管理员的数量及其权限的粒度通常取决于部署的规模和复杂性。
- 在小型部署或概念验证部署中,由一个或几个管理员完成所有工作。没有自定义访问委托。在这种情况下,每个管理员都具有Full访问权限,它总是具有All作用域。
- 在拥有更多机器、应用程序和桌面的大型部署中,需要更多的委派。一些管理员可能有更具体的功能职责(角色)。例如,其中两个具有完全访问权限,其他的是帮助台管理员。另外,管理员可能只管理特定的对象组(范围),例如特定部门中的机器目录。在本例中,创建新的作用域,以及具有适当的自定义访问角色和作用域的管理员。
管理员管理总结
为Citrix DaaS设置管理员的顺序如下:
如果您希望管理员具有完全管理员(包括Citrix Cloud中的所有订阅服务)或内置角色以外的角色,创建自定义角色.
如果您希望管理员具有除All以外的作用域(并且允许为预期的角色创建不同的作用域,且该作用域尚未创建),创建范围.
从Citrix Cloud,邀请管理员.如果希望新管理员拥有默认的完全访问权限以外的其他权限,请指定自定义访问角色和作用域对。
稍后,如果您想更改管理员的访问权限(角色和范围),请参见配置自定义访问.
添加管理员
要添加(邀请)管理员,请遵循中的指导为Citrix Cloud帐户添加管理员.这里重复了该信息的一个子集。
重要的是:
不要混淆“custom”和“custom access”的用法。
- 在Citrix Cloud控制台中为Citrix DaaS创建管理员和分配角色时,术语“自定义访问”既包括内置角色,也包括在服务中创建的任何其他自定义角色管理> Full Configuration接口。
- 在服务中管理> Full Configuration接口,“custom”只是将该角色与内置角色区分开来。
添加管理员的一般流程如下:
登录到Citrix云然后选择身份及访问管理在左上角的菜单中。
在身份及访问管理页面,选择管理员.的管理员TAB列出该帐户的所有当前管理员。
在管理员选项卡,选择身份类型,输入管理员的电子邮件地址,然后单击邀请.
- 选择完全访问如果您希望管理员具有完全访问权限。通过这种方式,管理员可以访问Citrix Cloud和所有订阅服务中的所有客户管理员功能。
- 选择自定义访问如果您希望管理员具有有限的访问权限。然后可以选择自定义访问角色和作用域对。这样,管理员在登录到Citrix Cloud时就拥有了所需的权限。
- 点击发送邀请.Citrix Cloud向该电子邮件地址发送邀请,并在管理员完成入职后将其添加到列表中。
当管理员收到邮件时,单击登录链接接受邀请。
有关添加管理员的详细信息,请参见管理Citrix Cloud管理员.
或者,请访问管理> Full Configuration > Administrators > Administrators并点击添加管理员.你被直接带到身份和访问管理>管理员,它会在一个新的浏览器选项卡中打开。在那里完成添加管理员之后,关闭选项卡并返回控制台以继续执行其他配置任务。
创建和管理角色
当管理员创建或编辑角色时,他们只能启用自己拥有的权限。此控件防止管理员创建权限超过当前权限的角色,然后将其分配给自己(或编辑已分配的角色)。
自定义角色名最多可以包含64个Unicode字符。名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头、右箭头、管形符号、左右括号、左右括号、引号和撇号。
角色描述可以包含最多256个Unicode字符。
- 登录到Citrix云如果你还没有。选择我的服务> DaaS在左上角的菜单中。
- 从管理> Full Configuration中,选择管理员在左窗格中。
- 选择角色选项卡。
按照你想要完成的任务的说明:
- 查看角色详细信息。选择中间窗格中的角色。中间窗格的下方列出了角色的对象类型和相关权限。选择管理员选项卡,以显示当前拥有此角色的管理员列表。
创建自定义角色:选择创建角色在操作栏中。配置如下:
- 输入名称和描述。
- 配置控制台访问。确定哪些控制台对管理员可见。不需要选择任何控制台就可以继续。在这种情况下,具有该角色的管理员不能访问管理而且监控但可以通过sdk和api访问、查看或管理对象。
- 选择对象类型和权限。若要授予对象类型完全访问权限,请选中其复选框。要在细粒度级别授予权限,请展开对象类型,然后选择只读或单独的物体管理在类型内。
- 复制角色:选择中间窗格中的角色,然后选择复制的作用在操作栏中。根据需要更改名称、描述、对象类型和权限。完成后,选择保存.
- 编辑自定义角色:选择中间窗格中的角色,然后选择编辑的角色在操作栏中。根据需要更改名称、描述、对象类型和权限。不能编辑内置角色。完成后,选择保存.
- 删除自定义角色:选择中间窗格中的角色,然后选择删除角色在操作栏中。出现提示时,确认删除。不能删除内置角色。如果自定义角色已分配给管理员,则不能删除。
创建和管理作用域
默认情况下,所有角色的相关对象都有all作用域。例如,交付组管理员可以管理所有交付组。对于某些管理员角色,您可以创建一个范围,允许该管理员角色访问相关对象的子集。例如,您可能想让机器目录管理员只访问包含某种类型的机器的目录,而不是所有目录。
- 完全访问管理员或自定义访问云管理员可以为只读管理员、机器目录管理员、交付组管理员和主机管理员角色创建作用域。
- 不能为完全访问管理员创建范围,也不能为云管理员或帮助台管理员创建范围。这些管理员总是具有All作用域。
创建和管理作用域的规则:
- 作用域名称最多可以包含64个Unicode字符。名称不能包括:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左右箭头、管形、左右括号、左右括号、引号和撇号。
- 范围描述可以包含最多256个Unicode字符。
- 在复制或编辑范围时,请记住,从范围中删除对象会使管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会使任何角色/作用域对不可用。
创建和管理作用域:
- 登录到Citrix云.选择我的服务> DaaS在左上角的菜单中。
- 从管理> Full Configuration中,选择管理员在左窗格中。
- 选择作用域选项卡。
按照你想要完成的任务的说明:
- 查看范围详细信息:选择范围。窗格的下方列出了具有该作用域的对象和管理员。
- 创建一个范围:选择创建范围在操作栏中。输入名称和描述。对象按类型列出,例如交付组和机器目录。
- 要包含特定类型的所有对象(例如,所有交付组),请选中对象类型的复选框。
- 要在类型中包含单个对象,请展开类型,然后选择对象的复选框(例如,特定的交付组)。
- 要创建租户客户,请选择租户范围复选框。如果选中,则为作用域输入的名称是租户名称。有关租户范围的更多信息,请参见租户管理.
完成后,选择好吧.
- 复制一个作用域:选择中间窗格中的范围,然后选择复制范围在操作栏中。更改名称、描述。根据需要更改对象类型和对象。完成后,选择保存.
- 编辑作用域:选择中间窗格中的范围,然后选择编辑范围在操作栏中。根据需要更改名称、描述、对象类型和对象。完成后,选择保存.
删除作用域:选择中间窗格中的范围,然后选择删除范围在操作栏中。出现提示时,确认删除。
如果作用域已分配给角色,则不能删除作用域。如果您尝试这样做,则会出现错误消息,表明您没有权限。事实上,发生错误是因为使用此范围的角色/范围对被分配给管理员。首先,为使用它的所有管理员删除角色/范围对分配。中的作用域管理控制台。
创建作用域之后,它将出现在自定义访问列表,并与相应的角色相匹配。然后可以将其分配给管理员。
例如,假设您创建了一个名为CAD的作用域,并选择包含适合CAD应用程序的计算机的目录。当您返回到Citrix Cloud控制台时,服务级别自定义访问角色/范围对的列表现在有了新的条目(以粗体显示):
- 云管理员,所有
- 配送组管理员,全部
- 运输组管理员,CAD
- 帮助台管理员,所有
- 主机管理员,所有
- 主机管理员,CAD
- 机器目录管理员,所有
- 机器目录管理员,CAD
- 只读,所有
- 只读,CAD
云管理员和帮助台管理员总是具有“所有”范围,因此CAD范围不适用于他们。
租户管理
通过Full Configuration管理界面,您可以在单个Citrix DaaS下创建互斥租户。中创建租户作用域来实现这一点Administrators >作用域并将相关的配置对象(如机器编目和交付组)与这些租户关联起来。因此,具有租户访问权限的管理员只能管理与租户关联的对象。
这个功能很有用,例如,如果您的组织:
- 是否有不同的业务竖井(独立的部门或独立的IT管理团队)
- 拥有多个内部站点,并希望在单个Citrix DaaS实例中维护相同的设置。
该接口允许您根据名称筛选租户客户。缺省情况下,显示所有租户客户信息。如果需要显示某个租户的信息,请在右上角的列表中选择该租户。
创建租户客户
要创建租户客户,请选择租户范围在创建作用域时。通过选择该选项,您可以创建一个惟一的作用域类型,该类型应用于在不同业务单元之间共享Citrix DaaS实例的场景中的对象——这些业务单元中的每个业务单元都独立于其他业务单元。创建租户作用域后,不能更改作用域类型。
的作用域选项卡显示所有范围项。常规作用域和租户作用域之间的唯一区别是类型列。空白列字段表示常规作用域。你可以按类型列,根据需要对范围项进行排序。
要查看附加到范围的资源(对象),请选择管理员在左窗格中。在作用域选项卡,选择范围,然后选择编辑范围在操作栏中。
提示:
租户属性是在范围级别分配的。机器编目、交付组、应用程序和连接从适用范围继承租户属性。
在使用租户范围时,请注意以下注意事项:
- 租户的财产分配顺序如下:托管>机器目录>交付组>应用程序.低层对象依赖于高层对象从其继承租户属性。例如,在选择交付组时,必须选择相关的托管和机器目录。否则,交付组不能继承租户的属性。
- 创建租户范围后,可以通过修改对象编辑租户分配。当更改租户分配时,它仍然受到必须将其分配给相同租户或这些租户的子集的约束。但是,当租户分配发生变化时,低层对象不会重新计算。在更改租户分配时,请确保适当地限制对象。例如,如果机器目录可用于
TenantA而且TenantB,您可以为其创建配送组TenantA还有一个是TenantB.(TenantA而且TenantB都与该机器目录相关联。)然后可以将机器目录更改为只与之关联TenantA.因此,交付组与TenantB变得无效。
为管理员配置自定义访问权限
创建租户范围后,为各自的管理员配置自定义访问权限。有关更多信息,请参见配置管理员自定义访问权限.Citrix Cloud向指定的客户管理员发送邀请,并将他们添加到列表中。当他们收到邮件时,他们会点击登录接受邀请。当他们登录到完整的配置管理接口,它们看到分配的角色和范围对所包含的资源。
具有租户访问权限的管理员只能管理与租户关联的对象(例如,机器目录、交付组)。
配置管理员自定义访问权限
该特性允许您以与现有管理员或邀请的管理员在组织中的角色一致的方式定义他们的访问权限。
对访问权限的修改需要5分钟才能生效。退出Full Configuration管理界面并重新登录会使更改立即生效。在修改生效后,管理员仍然使用管理界面而没有重新连接管理界面的场景中,当管理员试图访问不再具有权限的项时,会出现警告。
默认情况下,当您邀请管理员时,他们具有完全访问权限。
记住:完全访问权限允许管理员管理所有订阅服务和客户管理员Citrix Cloud操作(例如邀请更多的管理员)。Citrix Cloud部署至少需要一名具有完全访问权限的管理员。
设置管理员自定义访问权限。
- 登录到Citrix云.选择身份及访问管理>管理员在左上角的菜单中。
- 找到要管理的管理员,选择省略号菜单,然后选择编辑访问权.
选择自定义访问.要配置特定于服务的自定义访问,请在虚拟应用程序和桌面控件中一个或多个角色和范围对旁边的复选标记自定义访问列表。
如果您没有创建任何作用域并将它们分配给某个角色,则自定义访问list具有All作用域。例如,角色/范围条目配送组管理员,全部表示角色具有All作用域。
当您创建角色或范围时,它将出现在Citrix DaaS的自定义访问列表中,并且可以进行选择。例如,如果创建了名为Catalog1的作用域,则自定义访问列表包括机器目录管理员,Catalog1条目,除了默认的机器目录管理员,所有条目。
- 如果正在编辑的管理员已经具有自定义访问权限,并且希望给予该管理员完全访问权限,请选择完全访问.
- 完成后,选择保存.
下面的截图显示了完全访问权限和自定义访问内置管理员角色。
与Citrix虚拟应用程序和桌面的区别
如果您熟悉内部Citrix虚拟应用程序和桌面产品中的委托管理,那么Citrix DaaS版本有几个不同之处。
在Citrix Cloud:
- 管理员是通过其Citrix Cloud登录名来标识的,而不是通过其Active Directory帐户。可以为Active Directory个人创建角色/作用域对,但不能为组创建角色/作用域对。
- 管理员是在Citrix Cloud控制台中创建、配置和删除的,而不是在Citrix DaaS中。
- 角色/范围对分配给Citrix Cloud控制台中的管理员,而不是Citrix DaaS中的管理员。
- 目前还没有相关报告。您可以查看服务中的管理员、角色和范围信息管理> Full Configuration接口。
自定义访问云管理员类似于本地版本中的完全管理员。对于正在使用的Citrix虚拟应用程序和桌面版本,两者都具有完全的管理和监控权限。
但是,在Citrix DaaS中,没有命名的完全管理员角色。不要将思杰云中的“完全访问权限”等同于思杰虚拟应用程序和桌面中的“完全管理员”。Citrix Cloud中的完全访问跨越平台级域、库、通知和资源位置,以及所有订阅的服务。
与早期Citrix DaaS版本的区别
在扩展的自定义访问特性发布之前(2018年9月),有两种自定义访问管理员角色:完全管理员和帮助台管理员。当部署启用了委托管理时(这是一个平台设置),这些角色将自动映射。
- 以前配置为自定义访问的管理员虚拟应用和桌面(或XenApp和XenDesktop)服务:完全管理员现在是自定义访问吗云管理员.
- 以前配置为自定义访问的管理员虚拟应用程序和桌面(或XenApp和XenDesktop)服务:帮助台管理员现在是自定义访问吗帮助台管理员.
更多的信息
看到授权管理和监督有关服务中使用的管理员、角色和作用域的信息监控控制台。