Konfigurieren der rollenbasierten Zugriffssteuerung

Citrix Application Delivery Management (Citrix ADM) bietet eine fein abgestimmte, rollenbasierte Zugriffssteuerung (RBAC), mit der Sie Zugriffsberechtigungen basierend auf den Rollen einzelner Benutzer in Ihrem Unternehmen erteilen können.

In Citrix ADM werden alle Benutzer in Citrix Cloud hinzugefügt. Als erster Benutzer Ihrer Organisation müssen Sie zunächst ein Konto in Citrix Cloud erstellen und sich dann mit den Citrix Cloud-Anmeldeinformationen an der Citrix ADM GUI anmelden. Sie erhalten die Superadministratorrolle, und standardmäßig verfügen Sie über alle Zugriffsberechtigungen in Citrix ADM. Später können Sie weitere Benutzer in Ihrer Organisation in Citrix Cloud erstellen.

Benutzer, die später erstellt werden und sich als reguläre Benutzer bei Citrix ADM anmelden, werden als delegierte Administratoren bezeichnet. Diese Benutzer verfügen standardmäßig über alle Berechtigungen mit Ausnahme der Benutzerverwaltungsberechtigungen. Sie können diesen delegierten Administratorbenutzern jedoch bestimmte Benutzerverwaltungsberechtigungen erteilen. Sie können dies tun, indem Sie entsprechende Richtlinien erstellen und diese diesen delegierten Benutzern zuweisen. Die Benutzerverwaltungsberechtigungen befinden sich unter Konto > Benutzerverwaltung. Weitere Informationen zum Zuweisen bestimmter Berechtigungen finden Sie unterZuweisen zusätzlicher Berechtigungen für delegierte Administratorbenutzer.

Weitere Informationen zum Erstellen von Richtlinien, Rollen, Gruppen und zum Binden der Benutzer an Gruppen finden Sie in den folgenden Abschnitten.

Beispiel:

Das folgende Beispiel veranschaulicht, wie RBAC in Citrix ADM erreicht werden kann.

Chris, der Leiter der ADC-Gruppe, ist der Superadministrator von Citrix ADM in seiner Organisation. Er erstellt drei Administratorrollen: Sicherheitsadministrator, Anwendungsadministrator und Netzwerkadministrator.

  • David, der Sicherheitsadministrator, muss vollständigen Zugriff auf die Verwaltung und Überwachung von SSL-Zertifikaten haben, sollte aber schreibgeschützten Zugriff für Systemverwaltungsvorgänge haben.
  • Steve, ein Anwendungsadministrator, benötigt nur Zugriff auf bestimmte Anwendungen und nur bestimmte Konfigurationsvorlagen.
  • Greg, ein Netzwerkadministrator, benötigt Zugriff auf System- und Netzwerkadministration.
  • Chris muss auch RBAC für alle Benutzer bereitstellen, unabhängig davon, dass sie lokal oder ein Multimandant sind.

Das folgende Bild zeigt die Berechtigungen, die Administratoren und andere Benutzer haben und ihre Rollen in der Organisation.

RBAC-Anwendungsfälle

Um seinen Benutzern eine rollenbasierte Zugriffssteuerung bereitzustellen, muss Chris zuerst Benutzer in Citrix Cloud hinzufügen und erst danach können die Benutzer in Citrix ADM angezeigt werden. Chris muss je nach Rolle Zugriffsrichtlinien für jeden Benutzer erstellen. Zugriffsrichtlinien sind eng an Rollen gebunden. Chris muss also auch Rollen erstellen, und dann muss er Gruppen erstellen, da Rollen nur Gruppen zugewiesen werden können und nicht einzelnen Benutzern.

Access ist die Möglichkeit, eine bestimmte Aufgabe auszuführen, wie zum Beispiel Anzeigen, Erstellen, Ändern oder Löschen einer Datei. Rollen werden entsprechend der Autorität und Verantwortung der Benutzer innerhalb des Unternehmens definiert. Beispielsweise kann ein Benutzer alle Netzwerkvorgänge ausführen, während ein anderer Benutzer den Verkehrsfluss in Anwendungen beobachten und beim Erstellen von Konfigurationsvorlagen helfen kann.

Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien können Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzern Rollen zuweisen. Sie können auch Benutzergruppen Rollen zuweisen. Eine Gruppe ist eine Sammlung von Benutzern, die gemeinsam über Berechtigungen verfügen. Beispielsweise können Benutzer, die ein bestimmtes Rechenzentrum verwalten, einer Gruppe zugewiesen werden. Eine Rolle ist eine Identität, die Benutzern gewährt wird, indem sie basierend auf bestimmten Bedingungen zu bestimmten Gruppen hinzugefügt werden. In Citrix ADM sind die Erstellung von Rollen und Richtlinien spezifisch für das RBAC-Feature in Citrix ADC. Rollen und Richtlinien können einfach erstellt, geändert oder eingestellt werden, wenn sich die Anforderungen des Unternehmens entwickeln, ohne dass die Berechtigungen für jeden Benutzer individuell aktualisiert werden müssen.

Rollen können Feature- oder ressourcenbasiert sein. Betrachten Sie beispielsweise einen SSL/Sicherheitsadministrator und einen Anwendungsadministrator. Ein SSL/Sicherheitsadministrator muss vollständigen Zugriff auf die Verwaltungs- und Überwachungsfunktionen von SSL-Zertifikaten haben, sollte jedoch schreibgeschützten Zugriff für Systemverwaltungsvorgänge haben. Anwendungsadministratoren können nur auf die Ressourcen in ihrem Geltungsbereich zugreifen.

Führen Sie daher in Ihrer Rolle als Superadministrator Chris die folgenden Beispielaufgaben in Citrix ADM aus, um Zugriffsrichtlinien, Rollen und Benutzergruppen für David zu konfigurieren, der der Sicherheitsadministrator in Ihrer Organisation ist.

Konfigurieren von Benutzern auf Citrix ADM

Als Superadministrator können Sie mehr Benutzer erstellen, indem Sie Konten für sie in Citrix Cloud und nicht in Citrix ADM konfigurieren. Wenn die neuen Benutzer Citrix ADM hinzugefügt werden, können Sie ihre Berechtigungen nur definieren, indem Sie dem Benutzer die entsprechenden Gruppen zuweisen.

So fügen Sie neue Benutzer in Citrix Cloud hinzu:

  1. Klicken Sie in der Citrix ADM GUI oben links auf das Hamburger Symbol und wählen Sie Identity and Access Managementaus.

    lokalisiertes Bild

  2. Wählen Sie auf der Seite Identitäts- und Zugriffsverwaltung die Registerkarte Administratoren aus.

    Auf dieser Registerkarte werden die Benutzer aufgeführt, die in Citrix Cloud erstellt wurden.

  3. Geben Sie die E-Mail-Adresse des Benutzers ein, den Sie in Citrix ADM hinzufügen möchten, und klicken Sie auf Einladen.

    lokalisiertes Bild

    Hinweis:

    Der Benutzer erhält eine E-Mail-Einladung von Citrix Cloud. Der Benutzer muss auf den in der E-Mail bereitgestellten Link klicken, um den Registrierungsvorgang abzuschließen, indem er seinen vollständigen Namen und sein Kennwort angeben und sich später mit seinen Anmeldeinformationen bei Citrix ADM anmelden.

  4. Als Administrator wird der neue Benutzer in der Citrix ADM Benutzerliste erst angezeigt, nachdem sich der Benutzer bei Citrix ADM anmeldet.

So konfigurieren Sie Benutzer in Citrix ADM:

  1. Navigieren Sie in der Citrix ADM GUI zu Konto > Benutzerverwaltung > Benutzer.

  2. Der Benutzer wird auf der Seite Benutzer angezeigt.

    lokalisiertes Bild

  3. Sie können die Berechtigungen bearbeiten, die dem Benutzer zur Verfügung gestellt werden, indem Sie den Benutzer auswählen und auf Bearbeitenklicken. Sie können Gruppenberechtigungen auch auf der Seite Gruppen unter Einstellungen bearbeiten.

    Hinweis:

    -  Ihre Benutzer werden in Citrix ADM nur aus der Citrix Cloud hinzugefügt. Daher können Sie, obwohl Sie über Administratorberechtigungen verfügen, keine Benutzer in der Citrix ADM GUI hinzufügen oder löschen. Sie können nur die Gruppenberechtigungen bearbeiten. Benutzer können aus Citrix Cloud hinzugefügt oder gelöscht werden.
    
    -  Die Benutzerdetails werden auf der Dienst-GUI erst angezeigt, nachdem sich der Benutzer mindestens einmal am Citrix ADM angemeldet hat.
    

Konfigurieren von Zugriffsrichtlinien auf Citrix ADM

Zugriffsrichtlinien definieren Berechtigungen. Eine Richtlinie kann auf eine Benutzergruppe oder auf mehrere Gruppen angewendet werden, indem Rollen erstellt werden. Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien müssen Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzergruppen Rollen zuweisen. Citrix ADM bietet fünf vordefinierte Zugriffsrichtlinien:

  • admin_policy. Gewährt Zugriff auf alle Citrix ADM -Knoten. Der Benutzer verfügt sowohl über Anzeige- als auch Bearbeitungsberechtigungen, kann alle Citrix ADM Inhalte anzeigen und alle Bearbeitungsvorgänge ausführen. Das heißt, der Benutzer kann Vorgänge für die Ressourcen hinzufügen, ändern und löschen.
  • adminExceptSystem_policy. Gewährt Benutzern Zugriff auf alle Knoten in der Citrix ADM GUI, mit Ausnahme des Zugriffs auf den Knoten Einstellungen.
  • readonly_policy. Gewährt schreibgeschützte Berechtigungen. Der Benutzer kann den gesamten Inhalt auf Citrix ADM anzeigen, ist jedoch nicht berechtigt, Vorgänge auszuführen.
  • appadmin_policy. Gewährt Administratorberechtigungen für den Zugriff auf die Anwendungsfeatures in Citrix ADM. Ein Benutzer, der an diese Richtlinie gebunden ist, kann benutzerdefinierte Anwendungen hinzufügen, ändern und löschen und die Dienste, Dienstgruppen und die verschiedenen virtuellen Server wie Inhaltswechsel, Cache-Umleitung und virtuelle HAProxy-Server aktivieren oder deaktivieren.
  • appreadonly_policy. Gewährt schreibgeschützte Berechtigung für Anwendungsfeatures. Ein Benutzer, der an diese Richtlinie gebunden ist, kann die Anwendungen anzeigen, kann jedoch keine Vorgänge zum Hinzufügen, Ändern oder Löschen, Aktivieren oder Deaktivieren ausführen.

Obwohl Sie diese vordefinierten Richtlinien nicht bearbeiten können, können Sie eigene (benutzerdefinierte) Richtlinien erstellen.

Wenn Sie Rollen Richtlinien zugewiesen und die Rollen an Benutzergruppen gebunden haben, können Sie Berechtigungen für die Benutzergruppen auf Knotenebene in der Citrix ADM GUI bereitstellen. Beispielsweise können Sie nur Zugriffsberechtigungen für den gesamten Load Balancing-Knoten bereitstellen. Ihre Benutzer hatten die Berechtigung, auf alle untergeordneten Unterknoten unter dem Lastenausgleichsknoten zuzugreifen (z. B. virtueller Server, Dienste usw.) oder sie hatten keine Berechtigung, auf einen Knoten unter Lastenausgleich zuzugreifen.

In Citrix ADM 507.x Build und höheren Versionen wird die Zugriffsrichtlinienverwaltung erweitert, um auch Berechtigungen für Unterknoten bereitzustellen. Zugriffsrichtlinieneinstellungen können für alle Unterknoten wie virtuelle Server, Dienste, Dienstgruppen und Server konfiguriert werden.

Derzeit können Sie eine solche granulare Zugriffsberechtigung nur für Unterknoten unter Lastenausgleichsknoten und auch für Unterknoten unter GSLB-Knoten bereitstellen.

Beispielsweise möchten Sie als Administrator dem Benutzer eine Zugriffsberechtigung erteilen, um nur virtuelle Server anzuzeigen, jedoch nicht die Back-End-Dienste, Dienstgruppen und Anwendungsserver im Knoten Lastenausgleich. Die Benutzer, denen eine solche Richtlinie zugewiesen ist, können nur auf die virtuellen Server zugreifen.

So erstellen Sie benutzerdefinierte Zugriffsrichtlinien:

  1. Navigieren Sie in der Citrix ADM GUI zu Konto > Benutzerverwaltung > Zugriffsrichtlinien.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie auf der Seite Zugriffsrichtlinien erstellen im Feld Richtlinienname den Namen der Richtlinie ein, und geben Sie die Beschreibung in das Feld Richtlinienbeschreibung ein.

    Zugriffsrichtlinien

    Im Abschnitt Berechtigungen werden alle Citrix ADM Funktionen aufgelistet, mit Optionen zum Festlegen von Schreibschutz, Aktivieren und Bearbeiten des Zugriffs.

    1. Klicken Sie auf das Symbol (+), um jede Feature-Gruppe in mehrere Features zu erweitern.

    2. Aktivieren Sie das Kontrollkästchen Berechtigung neben dem Feature-Namen, um den Benutzern Berechtigungen zu erteilen.

      • Ansicht: Mit dieser Option kann der Benutzer das Feature in Citrix ADM anzeigen.

      • Aktivieren-Deaktivieren: Diese Option ist nur für die Netzwerkfunktions-Features verfügbar, mit denen Aktionen für Citrix ADM aktiviert oder deaktiviert werden können. Benutzer können die Funktion aktivieren oder deaktivieren. Und Benutzer können auch die Aktion Jetzt abfragen ausführen.

        Wenn Sie einem Benutzer die Berechtigung zum Aktivieren und Deaktivieren erteilen, wird auch die Berechtigung Anzeigen erteilt. Sie können diese Option nicht aufheben.

      • Bearbeiten: Diese Option gewährt dem Benutzer den vollen Zugriff. Der Benutzer kann das Feature und seine Funktionen ändern.

        Wenn Sie die Berechtigung Bearbeiten erteilen, werden sowohl die Berechtigungen Ansicht als auch Aktivieren-Deaktivieren erteilt. Sie können die Auswahl der automatisch ausgewählten Optionen nicht aufheben.

      Wenn Sie das Kontrollkästchen Feature aktivieren, werden alle Berechtigungen für das Feature ausgewählt.

    Hinweis

    Erweitern Sie Lastenausgleich und GSLB, um weitere Konfigurationsoptionen anzuzeigen.

    In der folgenden Abbildung haben die Konfigurationsoptionen des Lastenausgleichs unterschiedliche Berechtigungen:

    Konfigurieren der Richtlinie

    Die Berechtigung Anzeigen wird einem Benutzer für das Feature Virtuelle Server gewährt. Benutzer können die virtuellen Lastausgleichsserver in Citrix ADM anzeigen. Um virtuelle Server anzuzeigen, navigieren Sie zu Netzwerke > Netzwerkfunktionen > Lastenausgleich und wählen Sie die Registerkarte Virtuelle Server.

    Die Berechtigung Aktivieren-Deaktivieren wird einem Benutzer für die Funktion Dienste gewährt. Diese Berechtigung erteilt auch die Berechtigung Anzeigen. Benutzer können die Dienste aktivieren oder deaktivieren, die an einen virtuellen Lastausgleichsserver gebunden sind. Außerdem kann Benutzer die Aktion Jetzt abfragen für Dienste ausführen. Um Dienste zu aktivieren oder zu deaktivieren, navigieren Sie zu Netzwerke > Netzwerkfunktionen > Lastenausgleich und wählen Sie die Registerkarte Dienste.

    Hinweis

    Wenn ein Benutzer über die Berechtigung Enable-Disableverfügt, ist die Aktion zum Aktivieren oder Deaktivieren für einen Dienst auf der folgenden Seite eingeschränkt:

    1. Navigieren Sie zu Netzwerke > Netzwerkfunktionen.

    2. Wählen Sie einen virtuellen Server aus, und klicken Sie auf Konfigurieren.

    3. Wählen Sie die Seite Load Balancing Virtual Server Service Bindung. Auf dieser Seite wird eine Fehlermeldung angezeigt, wenn Sie Aktivieren oder Deaktivieren auswählen.

    Die Berechtigung Bearbeiten wird einem Benutzer für das Feature Dienstgruppen erteilt. Diese Berechtigung gewährt den vollen Zugriff, auf den Berechtigungen Anzeigen und Enable-Deaktivieren erteilt werden. Benutzer können die Dienstgruppen ändern, die an einen virtuellen Lastausgleichsserver gebunden sind. Um Dienstgruppen zu bearbeiten, navigieren Sie zu Netzwerke > Netzwerkfunktionen > Lastenausgleich und wählen Sie die Registerkarte Dienstgruppen.

  4. Klicken Sie auf Erstellen.

    Hinweis:

    Wenn Sie Bearbeiten auswählen, weisen Sie möglicherweise intern abhängige Berechtigungen zu, die im Abschnitt Berechtigungen nicht als aktiviert angezeigt werden. Wenn Sie beispielsweise Bearbeitungsberechtigungen für die Fehlerverwaltung aktivieren, stellt Citrix ADM intern die Berechtigung zum Konfigurieren eines E-Mail-Profils oder zum Erstellen von SMTP-Serverkonfigurationen bereit, damit der Benutzer den Bericht als E-Mail senden kann.

Konfigurieren von Rollen auf Citrix ADM

In Citrix ADM ist jede Rolle an eine oder mehrere Zugriffsrichtlinien gebunden. Sie können Eins-zu-Eins-, Eins-zu-Viele- und Viele-zu-Viele-Beziehungen zwischen Richtlinien und Rollen definieren. Sie können eine Rolle an mehrere Richtlinien binden und mehrere Rollen an eine Richtlinie binden.

Beispielsweise kann eine Rolle an zwei Richtlinien gebunden sein, wobei eine Richtlinie Zugriffsberechtigungen für ein Feature und die andere Richtlinie Zugriffsberechtigungen für ein anderes Feature definiert. Eine Richtlinie erteilen möglicherweise die Berechtigung zum Hinzufügen von Citrix ADC Instanzen in Citrix ADM, und die andere Richtlinie erteilen möglicherweise die Berechtigung zum Erstellen und Bereitstellen von StyleBooks und zum Konfigurieren von Citrix ADC Instanzen.

Wenn mehrere Richtlinien die Bearbeitungs- und Schreibschutzberechtigungen für ein einzelnes Feature definieren, haben die Bearbeitungsberechtigungen Priorität gegenüber schreibgeschützten Berechtigungen.

Citrix ADM bietet fünf vordefinierte Rollen:

  • admin_role. Hat Zugriff auf alle Citrix ADM Funktionen. (Diese Rolle ist gebunden an adminpolicy.)
  • adminExceptSystem_role. Hat Zugriff auf die Citrix ADM GUI mit Ausnahme der Einstellungen Berechtigungen. (Diese Rolle ist an AdminExceptSystem_Policy gebunden)
  • readonly_role. Schreibgeschützter Zugriff. (Diese Rolle ist an readonlypolicy gebunden.)
  • appAdmin_role. Hat Administratorzugriff nur auf die Anwendungsfeatures in Citrix ADM. (Diese Rolle ist an appAdminPolicy gebunden).
  • appReadonly_role. Hat schreibgeschützten Zugriff auf die Anwendungsfunktionen. (Diese Rolle ist an appReadOnlyPolicy gebunden.)

Obwohl Sie die vordefinierten Rollen nicht bearbeiten können, können Sie eigene (benutzerdefinierte) Rollen erstellen.

So erstellen Sie Rollen und weisen ihnen Richtlinien zu:

  1. Navigieren Sie in der Citrix ADM GUI zu Konto > Benutzerverwaltung > Rollen.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie auf der Seite Rollen erstellen im Feld Rollenname den Namen der Rolle ein, und geben Sie die Beschreibung in das Feld Rollenbeschreibung ein (optional).

  4. Fügen Sie im Abschnitt Richtlinien eine oder mehrere Richtlinien zur Liste Konfiguriert hinzu.

    Hinweis:

    Die Richtlinien sind vorab mit einer Mandanten-ID (z. B. maasdocfour) versehen, die für alle Mandanten eindeutig ist.

    Konfigurieren von Rollen

    Hinweis

    Sie können eine Zugriffsrichtlinie erstellen, indem Sie auf Neuklicken, oder Sie können zu Konto> Benutzerverwaltung> Zugriffsrichtliniennavigieren und Richtlinien erstellen.

  5. Klicken Sie auf Erstellen.

Konfigurieren von Gruppen auf Citrix ADM

In Citrix ADM kann eine Gruppe sowohl auf Featureebene als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte Citrix ADC Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in Citrix ADM dieselben Zugriffsrechte zugewiesen.

Sie können einen Benutzerzugriff in Citrix ADM auf der Ebene der Netzwerkfunktionsobjekte verwalten. Sie können dem Benutzer oder der Gruppe dynamisch bestimmte Berechtigungen auf Entitätenebene zuweisen.

Citrix ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.

  • Virtueller Server (Anwendungen) - Lastenausgleich (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und Citrix Gateway (vpn)

  • Services - Lastenausgleich und GSLB-Dienste
  • Servicegruppe - Lastenausgleich und GSLB-Servicegruppen
  • Server - Lastausgleichsserver

So erstellen Sie eine Gruppe:

  1. Navigieren Sie in Citrix ADM zu Konto > Benutzerverwaltung > Gruppen.

  2. Klicken Sie auf Hinzufügen.

    Die Seite “Systemgruppe erstellen “ wird angezeigt.

  3. Geben Sie im Feld Gruppenname den Namen der Gruppe ein.

  4. Geben Sie im Feld Gruppenbeschreibung eine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung hilft Ihnen, die Rolle und Funktion der Gruppe zu verstehen.

  5. Verschieben Sie im Abschnitt Rollen eine oder mehrere Rollen in die Liste Konfiguriert.

    Hinweis:

    Den Rollen wird eine Mandanten-ID (z. B. maasdocfour) vorangestellt, die für alle Mandanten eindeutig ist.

  6. In der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern.

    Alternativ können Sie zu Konten > Benutzerverwaltung > Benutzer navigieren und Benutzer erstellen oder ändern.

    Gruppe konfigurieren

  7. Klicken Sie auf Weiter.

  8. Auf der Registerkarte Autorisierungseinstellungen können Sie Ressourcen aus den folgenden Kategorien auswählen:

    • Gruppen automatisch skalieren
    • Instanzen
    • Anwendungen
    • Konfigurationsvorlagen
    • StyleBooks
    • Konfigurationspakete
    • Domänennamen

    Kategorien in Autorisierungseinstellungen

    Sie können bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.

    Gruppen automatisch skalieren:

    Wenn Sie die spezifischen Gruppen für die automatische Skalierung auswählen möchten, die Benutzer anzeigen oder verwalten können, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen, und klicken Sie auf AutoScale-Gruppen hinzufügen.

    2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.

    Instanzen:

    Wenn Sie die spezifischen Instanzen auswählen möchten, die Benutzer anzeigen oder verwalten können, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen, und klicken Sie auf Instanzen auswählen.

    2. Wählen Sie die erforderlichen Instanzen aus der Liste aus, und klicken Sie auf OK.

      Auswählen von Instanzen

    Anwendungen:

    Mit der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

    Sie können den Zugriff auf Anwendungen gewähren, ohne deren Instanzen auszuwählen. Da Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.

    Wenn Sie Benutzerzugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

    Diese Liste enthält die folgenden Optionen:

    • Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im Citrix ADM vorhanden sind.

    • Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen in der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen, die auf der ausgewählten Instanz vorhanden sind.

    • Spezifische Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.

    • Individuelle Entitätstyp auswählen: Mit dieser Option können Sie einen bestimmten Typ von Netzwerkfunktions-Entity und entsprechende Entitäten auswählen.

      Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.

      Die Option Auf gebundene Entitäten auch anwendenautorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und auch auf gebundene Entitäten anwenden auswählen, autorisiert Citrix ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.

      Hinweis

      Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.

    Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsobjekte zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in Citrix ADM beibehalten. So fügen Sie regulären Ausdruck hinzu:

    1. Klicken Sie auf Regulären Ausdruck hinzufügen.

    2. Geben Sie den regulären Ausdruck im Textfeld an.

      In der folgenden Abbildung wird erläutert, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:

      lokalisiertes Bild

      In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die Option Individuelle Entitätstyp auswählen auswählen:

      Netzwerkfunktions-Entitätstypen

    Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol +.

    Hinweis:

    Der reguläre Ausdruck stimmt nur mit dem Servernamen für den Entitätstyp Servers und nicht mit der Server-IP-Adresse überein.

    Wenn Sie die Option Auf gebundene Entitäten auch anwenden für eine erkannte Entität auswählen, kann der Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

    Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert Citrix ADM den Autorisierungsbereich auf die neuen Entitäten.

    Konfigurationsvorlagen:

    Wenn Sie die spezifische Konfigurationsvorlage auswählen möchten, die der Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationsvorlagen, und klicken Sie auf Konfigurationsvorlage hinzufügen.

    2. Wählen Sie die gewünschte Vorlage aus der Liste aus, und klicken Sie auf OK.

      Konfigurationsvorlagen

    StyleBooks:

    Wenn Sie das spezifische StyleBook auswählen möchten, das Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle StyleBooks, und klicken Sie auf StyleBook zu Gruppe hinzufügen. Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.

      Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im Bereich Einzelne StyleBooks aus, und klicken Sie auf Auswahl speichern.

      Wenn Sie eine Abfrage zum Suchen von StyleBooks verwenden möchten, wählen Sie den Bereich Benutzerdefinierte Filter aus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, in denen Schlüssel namenamespace, und version.

      Sie können reguläre Ausdrücke auch als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die Regex-Kriterien für die Gruppen erfüllen.

      Beispiel:

      name=lb-mon OR namespace=com.citrix.adc.stylebooks OR version=1.0
      

      Drücken Sie Enter, um die Suchergebnisse anzuzeigen, und klicken Sie auf Abfrage speichern.

      Benutzerdefinierte Filter

      Die gespeicherte Abfrage wird in der Abfrage für benutzerdefinierte Filterangezeigt. Basierend auf der gespeicherten Abfrage bietet das ADM Benutzerzugriff auf diese StyleBooks.

    2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.

      StyleBooks auswählen

      Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt. Die Konfigurationspakete dieses StyleBook sind auch in dem enthalten, worauf der Benutzer Zugriff hat.

    Konfigurationspakete:

    Wenn Sie die spezifischen Konfigurationspakete auswählen möchten, die Benutzer anzeigen oder verwalten können, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationen, und klicken Sie auf Configpack zur Gruppe hinzufügen.

    2. Wählen Sie die erforderlichen Konfigurationspakete aus der Liste aus, und klicken Sie auf OK.

      Wählen Sie Configpack

      Sie können die erforderlichen Konfigurationspakete auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen.

    Domainnamen:

    Wenn Sie den spezifischen Domänennamen auswählen möchten, den Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Domänennamen, und klicken Sie auf Domänennamen hinzufügen.

    2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus, und klicken Sie auf OK.

  9. Klicken Sie auf Gruppe erstellen.

  10. Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus, und fügen Sie den Benutzer zur Liste Konfiguriert hinzu.

    Hinweis:

    Sie können auch neue Benutzer hinzufügen, indem Sie auf Neuklicken.

    Benutzer zuweisen

  11. Klicken Sie auf Fertig stellen.

Ändern des Benutzerzugriffs basierend auf dem Berechtigungsbereich

Wenn ein Administrator einer Gruppe mit unterschiedlichen Zugriffsrichtlinieneinstellungen einen Benutzer hinzufügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

In diesem Fall gewährt das ADM dem Benutzer je nach Berechtigungsumfang Zugriff auf Anwendungen.

Betrachten Sie einen Benutzer, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

  • Richtlinien-1 — Nur Berechtigung für Anwendungen anzeigen.

  • Policy-2 — Berechtigung zum Anzeigen und Bearbeiten von Anwendungen.

Änderungen des Benutzerzugriffs mit Autorisierungsbereichen

Der Benutzer kann Anwendungen anzeigen, die in Policy-1 angegeben sind. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter dem Berechtigungsumfang von Gruppe 1 liegt.

Einschränkungen

RBAC wird von den folgenden Citrix ADM Funktionen nicht vollständig unterstützt:

  • Analytics - RBAC wird von den Analytics-Modulen nicht vollständig unterstützt. Die RBAC-Unterstützung ist auf Instanzebene beschränkt und gilt nicht auf Anwendungsebene in den Analytics-Modulen Gateway Insight, HDX Insight und Security Insight.
    • Beispiel 1: Instanzbasierter RBAC (unterstützt). Ein Administrator, dem einige Instanzen zugewiesen wurden, kann nur diese Instanzen unter HDX Insight > Geräte und nur die entsprechenden virtuellen Server unter HDX Insight > Anwendungen sehen, da RBAC auf Instanz-Ebene unterstützt wird.
    • Beispiel 2: Anwendungsbasierte RBAC (nicht unterstützt). Ein Administrator, dem einige Anwendungen zugewiesen wurden, kann alle virtuellen Server unter HDX Insight > Anwendungen anzeigen, aber nicht darauf zugreifen, da RBAC auf Anwendungsebene nicht unterstützt wird.
  • StyleBooks — RBAC wird für StyleBooks nicht vollständig unterstützt.
    • Stellen Sie sich eine Situation vor, in der mehrere Benutzer Zugriff auf ein einzelnes StyleBook haben, jedoch Zugriffsberechtigungen für verschiedene Citrix ADC Instanzen haben. Benutzer können Konfigurationspakete auf ihren eigenen Instanzen erstellen und aktualisieren, aber nicht auf anderen Instanzen, da sie keinen Zugriff auf andere Instanzen als ihre eigenen haben. Sie können jedoch weiterhin die Konfigurationspakete und Objekte anzeigen, die auf Citrix ADC Instanzen erstellt wurden.