Citrix Application Delivery Management 13.0

Gruppen konfigurieren

In Citrix ADM kann eine Gruppe sowohl auf Featureebene als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte Citrix ADC Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in Citrix ADM dieselben Zugriffsrechte zugewiesen.

Sie können einen Benutzerzugriff in Citrix ADM auf der Ebene der Netzwerkfunktionsobjekte verwalten. Sie können dem Benutzer oder der Gruppe dynamisch bestimmte Berechtigungen auf Entitätenebene zuweisen.

Citrix ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.

  • Virtueller Server (Anwendungen) - Load Balancing (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und Citrix Gateway (VPN)

  • Services - Lastenausgleich und GSLB-Dienste
  • Servicegruppe - Lastenausgleich und GSLB-Servicegruppen
  • Server - Lastausgleichsserver

Erstellen einer Benutzergruppe

  1. Navigieren Sie in Citrix ADM zu System > Benutzerverwaltung > Gruppen.

  2. Klicken Sie auf Hinzufügen.

    Die Seite “Systemgruppe erstellen “ wird angezeigt.

  3. Geben Sie im Feld Gruppenname den Namen der Gruppe ein.

  4. Geben Sie im FeldGruppenbeschreibungeine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung der Gruppe hilft Ihnen, die Rolle und Funktion der Gruppe zu einem späteren Zeitpunkt besser zu verstehen.  

  5. Fügen Sie im Abschnitt Rollen eine oder mehrere Rollen zur Liste Konfiguriert hinzu oder verschieben Sie sie.

    Hinweis Unter der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern. Alternativ können Sie zu System > Benutzerverwaltung > Benutzer navigieren und Benutzer erstellen oder ändern.

    Systemgruppe erstellen

  6. Klicken Sie auf Weiter.Auf der Registerkarte Autorisierungseinstellungen können Sie Autorisierungseinstellungen für die folgenden Ressourcen bereitstellen:

    • Gruppen automatisch skalieren
    • Instanzen
    • Anwendungen
    • Konfigurationsvorlagen
    • StyleBooks
    • Domänennamen

    Kategorien in Autorisierungseinstellungen

    Sie können bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.

    Gruppen automatisch skalieren:

    Wenn Sie bestimmte Gruppen für die automatische Skalierung auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen, und klicken Sie auf AutoScale-Gruppen hinzufügen.

    2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.

    Instanzen:

    Wenn Sie die spezifischen Instanzen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen, und klicken Sie auf Instanzen auswählen.

    2. Wählen Sie die erforderlichen Instanzen aus der Liste aus, und klicken Sie auf OK.

      Auswählen von Instanzen

    Anwendungen:

    Mit der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

    Sie können den Zugriff auf Anwendungen gewähren, ohne deren Instanzen auszuwählen. Da Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.

    Wenn Sie einem Benutzer Zugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

    Diese Liste enthält die folgenden Optionen:

    • Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im Citrix ADM vorhanden sind.

    • Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen in der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen, die auf der ausgewählten Instanz vorhanden sind.

    • Spezifische Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.

    • Individuelle Entitätstyp auswählen: Mit dieser Option können Sie einen bestimmten Typ von Netzwerkfunktionsentität und entsprechenden Entitäten auswählen.

      Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.

      Die Option Auf gebundene Entitäten auch anwenden autorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und auch auf gebundene Entitäten anwendenauswählen, autorisiert Citrix ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.

      Hinweis

      Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.

    Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsobjekte zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in Citrix ADM beibehalten. So fügen Sie regulären Ausdruck hinzu:

    1. Klicken Sie auf Regulären Ausdruck hinzufügen.

    2. Geben Sie den regulären Ausdruck im Textfeld an.

      In der folgenden Abbildung wird erläutert, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:

      Spezifische Anwendungen

      In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die Option Individuelle Entitätstyp auswählen auswählen:

      Netzwerkfunktions-Entitätstypen

    Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol +.

    Hinweis:

    Der reguläre Ausdruck stimmt nur mit dem Servernamen für den Entitätstyp Servers und nicht mit der Server-IP-Adresse überein.

    Wenn Sie die Option Auch auf gebundene Entitäten anwenden für eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

    Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert Citrix ADM den Autorisierungsbereich auf die neuen Entitäten.

    Konfigurationsvorlagen:

    Wenn Sie die bestimmte Konfigurationsvorlage auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationsvorlagen, und klicken Sie auf Konfigurationsvorlage hinzufügen.

    2. Wählen Sie die gewünschte Vorlage aus der Liste aus, und klicken Sie auf OK.

      Hinzufügen von Konfigurationsvorlagen

    StyleBooks:

    Wenn Sie das bestimmte StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle StyleBooks, und klicken Sie auf StyleBook zu Gruppe hinzufügen.

    2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.

      StyleBook-Gruppe hinzufügen

      Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt. Die Konfigurationspakete dieses StyleBook sind auch in dem enthalten, worauf der Benutzer Zugriff hat.

    Konfigurationspakete:

    Wenn Sie die spezifischen Konfigurationspakete auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Konfigurationen, und klicken Sie auf Configpack zur Gruppe hinzufügen.

    2. Wählen Sie die erforderlichen Konfigurationspakete aus der Liste aus, und klicken Sie auf OK.

      Wählen Sie Configpack

      Sie können die erforderlichen Konfigurationspakete auswählen, wenn Sie Gruppen erstellen und die Benutzer dieser Gruppe hinzufügen.

    Domainnamen:

    Wenn Sie den bestimmten Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Domänennamen, und klicken Sie auf Domänennamen hinzufügen.

    2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus, und klicken Sie auf OK.

  7. Klicken Sie auf Gruppe erstellen.

  8. Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus, und fügen Sie den Benutzer zur Liste Konfiguriert hinzu.

    Hinweis

    Sie können Benutzer auch hinzufügen, indem Sie auf Neuklicken.

    Beispiel zum Erstellen einer Systemgruppe

  9. Klicken Sie auf Fertig stellen.

Verwalten des Benutzerzugriffs über mehrere Netzwerkfunktions-Entitäten

Als Administrator können Sie den Benutzerzugriff auf einzelne Ebene von Netzwerkfunktionsentitäten in Citrix ADM verwalten. Außerdem können Sie dem Benutzer oder einer Gruppe auf Entitäteebene dynamisch bestimmte Berechtigungen zuweisen, indem Sie den Filter für reguläre Ausdrücke verwenden.

In diesem Dokument wird beschrieben, wie Benutzerberechtigungen auf Entitätenebene definiert werden.

Bevor Sie beginnen, erstellen Sie eine Gruppe. Weitere Informationen finden Sie unter Konfigurieren von Gruppen in Citrix ADM.

Verwendungsszenario:

Betrachten Sie ein Szenario, in dem eine oder mehrere Anwendungen (virtuelle Server) auf demselben Server gehostet werden. Ein Superadministrator (George) möchte Steve (einem Anwendungsadministrator) nur Zugriff auf App1 und nicht auf den Hosting-Server gewähren.

Die folgende Tabelle zeigt diese Umgebung, in der Server-A Anwendungen App-1 und App-2 hostet.

Hostserver Anwendung (virtueller Server) Service Service-Gruppe
Server A App1 App-service-1 App-service-group-1
Server A App2 App-service-2 App-service-group-2

Hinweis

Citrix ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktionsentitäten. Der virtuelle Entitätstyp Server wird als Anwendung bezeichnet.

Um Netzwerkfunktionsentitäten Benutzerberechtigungen zuzuweisen, definiert George die Benutzerberechtigung wie folgt:

  1. Navigieren Sie zu Konto > Benutzerverwaltung > Gruppen, und fügen Sie eine Gruppe hinzu.

  2. Wählen Sie auf der Registerkarte Autorisierungseinstellungen die Option Anwendungen auswählen aus.

  3. Wählen Sie Individuelle Entitätstypauswählen.

  4. Wählen Sie den Entitätstyp All Applications aus, und fügen Sie die App-1-Entität aus der verfügbaren Liste hinzu.

  5. Klicken Sie auf Gruppe erstellen.

  6. Wählen Sie unter Benutzer zuweisendie Benutzer aus, die die Berechtigung benötigen. Für dieses Szenario wählt George Steves Benutzerprofil aus.

  7. Klicken Sie auf Fertig stellen.

Mit dieser Berechtigungseinstellung kann Steve nur App-1 und nicht andere Netzwerkfunktions-Entitäten verwalten.

**Hinweis:

Stellen Siesicher, dass die Option **Auch auf gebundene Entitäten anwenden deaktiviert ist. Andernfalls gewährt Citrix ADM Zugriff auf alle Netzwerkfunktionsentitäten, die an App-1 gebunden sind. Dadurch gewährt auch Zugriff auf den Hosting-Server.

Ein Superadministrator kann die regulären Ausdrücke (Regex) für jeden Entitätstyp angeben. Der reguläre Ausdruck wird im System gespeichert, um den Gültigkeitsbereich der Benutzerberechtigung zu aktualisieren. Wenn neue Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, kann Citrix ADM Benutzern dynamisch den Zugriff auf die spezifischen Netzwerkfunktionsentitäten gewähren.

Um Benutzerberechtigungen dynamisch zu erteilen, kann der Superadministrator reguläre Ausdrücke auf der Registerkarte Autorisierungseinstellungen hinzufügen.

In diesem Szenario fügt George App*als regulärer Ausdruck für den Entitätstyp Applications hinzu, und die Anwendungen, die den Regex-Kriterien entsprechen, werden in der Liste angezeigt. Mit dieser Autorisierungseinstellung kann Steve auf alle Anwendungen zugreifen, die der App*Regex entsprechen. Sein Zugriff ist jedoch nur auf die Anwendungen beschränkt, die nicht auf den gehosteten Server sind.

Ändern des Benutzerzugriffs basierend auf dem Berechtigungsbereich

Wenn ein Administrator einer Gruppe mit unterschiedlichen Zugriffsrichtlinieneinstellungen einen Benutzer hinzufügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

In diesem Fall gewährt das ADM dem Benutzer je nach Berechtigungsumfang Zugriff auf Anwendungen.

Betrachten Sie einen Benutzer, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

  • Richtlinien-1 — Nur Berechtigung für Anwendungen anzeigen.

  • Policy-2 — Berechtigung zum Anzeigen und Bearbeiten von Anwendungen.

Änderungen des Benutzerzugriffs mit Autorisierungsbereichen

Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter dem Berechtigungsumfang von Gruppe 1 liegt.

Zuordnung von RBAC beim Upgrade von Citrix ADM von 12.0 auf spätere Releases

Wenn Sie Citrix ADM von 12.0 auf 13.0 aktualisieren, werden beim Erstellen von Gruppen die Optionen zum Bereitstellen von “Lese-“ oder “Lesezugriff” nicht angezeigt. Diese Berechtigungen wurden durch “Rollen und Zugriffsrichtlinien” ersetzt, wodurch Sie den Benutzern mehr Flexibilität bieten können, rollenbasierte Berechtigungen bereitzustellen. Die folgende Tabelle zeigt, wie die Berechtigungen in Release 12.0 Version 13.0 zugeordnet sind:

12.0 Nur Anwendungen zulassen 13.0
Admin Lese-/Schreibzugriff Falsch admin
Admin Lese-/Schreibzugriff Wahr appAdmin
Admin schreibgeschützt Falsch readonly
Admin schreibgeschützt Wahr appReadonly