Citrix Cloud

Administratorgruppen verwalten

Sie können Ihrem Citrix Cloud-Konto Administratoren über Gruppen in Ihrem Active Directory oder Azure Active Directory (AD) hinzufügen. Sie können dann die Dienstzugriffsberechtigungen für alle Administratoren in der Gruppe verwalten.

AD-Voraussetzungen

Citrix Cloud unterstützt die AD-Gruppenauthentifizierung über SAML 2.0. Bevor Sie Mitglieder Ihrer AD-Administratorgruppen zu Citrix Cloud hinzufügen, müssen Sie eine Verbindung zwischen Citrix Cloud und Ihrem SAML-Anbieter konfigurieren. Weitere Informationen finden Sie unter SAML als Identitätsanbieter mit Citrix Cloud verbinden.

Wenn Sie bereits eine SAML-Verbindung in Citrix Cloud haben, müssen Sie Ihren SAML-Anbieter neu mit Citrix Cloud verbinden, bevor Sie AD-Administratorgruppen hinzufügen. Wenn Sie SAML nicht neu verbinden, schlägt das Hinzufügen von AD-Administratorgruppen möglicherweise fehl. Weitere Informationen finden Sie unter Vorhandene SAML-Verbindung für die Administratorauthentifizierung verwenden.

Voraussetzungen für Azure AD

Um Azure AD-Gruppen zu verwenden, brauchen Sie die neueste Version der Azure AD-Anwendung zum Verbinden von Azure AD mit Citrix Cloud. Citrix Cloud erwarb diese Anwendung, als Sie Ihr Azure AD zum ersten Mal verbunden haben. Wenn Sie Azure AD vor Mai 2019 mit Citrix Cloud verbunden haben, verwenden Sie möglicherweise nicht die aktuelle Anwendung für die Verbindung mit Azure AD. Citrix Cloud kann Ihre Azure AD-Gruppen nicht anzeigen, wenn Ihr Konto nicht die neueste Anwendung verwendet.

Führen Sie die folgenden Aufgaben aus, bevor Sie Azure AD-Gruppen in Citrix Cloud verwenden:

  1. Überprüfen Sie, ob Sie die neueste Anwendung für Ihre Azure AD-Verbindung verwenden. Citrix Cloud zeigt eine Benachrichtigung an, wenn Sie nicht die neueste Anwendung verwenden.
  2. Wenn die Anwendung aktualisiert werden muss, verbinden Sie Azure AD erneut mit Citrix Cloud. Durch die Wiederverbindung mit Azure AD erteilen Sie Citrix Cloud Lesezugriff auf Anwendungsebene und ermöglichen Citrix Cloud, in Ihrem Namen wieder eine Verbindung mit Azure AD herzustellen. Während der Wiederverbindung wird eine Liste dieser Berechtigungen angezeigt, die Sie überprüfen können. Weitere Informationen zu den Berechtigungen, die Citrix Cloud anfordert, finden Sie unter Azure Active Directory-Berechtigungen für Citrix Cloud.

    Wichtig:

    Für diese Aufgabe müssen Sie ein globaler Administrator in Azure AD sein. Außerdem müssen Sie mit einem Administratorkonto mit Vollzugriff unter dem Citrix-Identitätsanbieter bei Citrix Cloud angemeldet sein. Wenn Sie sich mit Ihren Azure AD-Anmeldeinformationen anmelden, schlägt die Wiederverbindung fehl. Wenn Sie keine Administratoren haben, die den Citrix-Identitätsanbieter verwenden, können Sie vorübergehend einen hinzufügen, um diese Aufgabe auszuführen, und ihn anschließend löschen.

Verbindung mit Azure AD überprüfen

  1. Melden Sie sich mit einem Administratorkonto mit Vollzugriff unter dem Citrix-Identitätsanbieter bei Citrix Cloud an.
  2. Wählen Sie im Menü “Citrix Cloud” Identitäts- und Zugriffsverwaltung und dann Authentifizierung aus.
  3. Suchen Sie Azure Active Directory. Es wird eine Benachrichtigung angezeigt, wenn Citrix Cloud die Anwendung für die Azure AD-Verbindung aktualisieren muss.

    Aufforderung zum Wiederherstellen der Verbindung mit Azure AD in der Citrix Cloud-Konsole

    Wenn Citrix Cloud bereits die neueste Anwendung verwendet, wird keine Benachrichtigung angezeigt.

Verbindung mit Azure AD wiederherstellen

  1. Klicken Sie in der Azure AD-Benachrichtigung in der Citrix Cloud-Konsole auf den Link für die Wiederverbindung. Eine Liste der angeforderten Azure-Berechtigungen wird angezeigt.
  2. Prüfen Sie die Berechtigungen und wählen Sie dann Akzeptieren aus.

Unterstützte Dienste und Berechtigungen

Die folgenden Services unterstützen benutzerdefinierte Zugriffsberechtigungen für Administratorgruppen:

  • Citrix Application Delivery Management-Service
  • Citrix DaaS
  • Workspace Environment Management Service

Sie können benutzerdefinierte Zugriffsberechtigungen nur für unterstützte Services zuweisen. Vollzugriffsberechtigungen werden nicht unterstützt.

Administratorgruppen haben keinen Zugriff auf andere Services. Sie können nur den unterstützte Service verwalten, für den sie eine Zugriffsberechtigung haben.

Berechtigungsänderungen für ein Mitglied der Administratorgruppe, das bereits angemeldet ist, werden erst wirksam, nachdem es sich ab- und neu angemeldet hat.

Resultierende Berechtigungen für Administratoren mit Citrix-, AD- und Azure AD-Identitäten

Wenn sich ein Administrator bei Citrix Cloud anmeldet, sind möglicherweise nur bestimmte Berechtigungen verfügbar, wenn der Administrator sowohl über eine Citrix-Identität (Standard-Identitätsanbieter in Citrix Cloud) als auch über eine Azure AD-Identität für Einzelbenutzer oder eine gruppenbasierte AD- oder Azure AD-Identität verfügt. In der Tabelle in diesem Abschnitt werden die Berechtigungen beschrieben, die für jede Kombination dieser Identitäten verfügbar sind.

AD- oder Azure AD-Identität für Einzelbenutzer sind AD- oder Azure AD-Berechtigungen, die dem Administrator über ein Einzelkonto erteilt werden. Gruppenbasierte AD- oder Azure AD-Identität sind AD- oder Azure AD-Berechtigungen, die dem Administrator als Mitglied einer Azure AD-Gruppe erteilt werden.

Citrix-Identität AD- oder Azure AD-Identität für Einzelbenutzer Gruppenbasierte AD- oder Azure AD-Identität Nach der Authentifizierung verfügbare Berechtigungen
X X   Administrator verfügt nach erfolgreicher Authentifizierung mit der Citrix- oder Azure AD-Identität über kumulative Berechtigungen beider Identitäten.
X   X Jede Identität wird wie eine unabhängige Einheit behandelt. Verfügbare Berechtigungen hängen davon ab, ob sich der Administrator mit der Citrix-Identität oder der Azure AD-Identität authentifiziert.
  X X Administrator hat kumulative Berechtigungen beider Identitäten, wenn er sich mit Azure AD bei Citrix Cloud authentifiziert.
X X X Bei Authentifizierung mit seiner Citrix-Identität verfügt der Administrator über kumulative Berechtigungen sowohl der Citrix-Identität als auch der Azure AD-Identität für Einzelbenutzer. Bei Authentifizierung mit Azure AD verfügt der Administrator über kumulative Berechtigungen aller drei Identitäten.

Anmeldeumgebung für Administratoren

Nachdem Sie eine AD- oder Azure AD-Gruppe Citrix Cloud hinzufügen und Dienstberechtigungen definieren, melden sich die Administratoren in der Gruppe einfach an, indem sie auf der Citrix Cloud-Anmeldeseite Mit Firmenanmeldeinformationen anmelden auswählen und die Anmelde-URL für das Konto eingeben (z. B. https://citrix.cloud.com/go/mycompany). Anders als beim Hinzufügen einzelner Administratoren werden Administratoren in der Gruppe nicht explizit eingeladen und erhalten daher keine E-Mails mit einer Einladung, Citrix Cloud-Administratoren zu werden.

Nach der Anmeldung wählen Administratoren in der Servicekachel die Option Verwalten aus, um auf die Verwaltungskonsole des Diensts zuzugreifen.

Launchpad mit Citrix DaaS-Kachel

Administratoren, denen nur Berechtigungen als Mitglieder von Gruppen erteilt wurden, können über die Anmelde-URL für das Konto auf das Citrix Cloud-Konto zugreifen.

Administratoren, denen Berechtigungen über ein Einzelkonto und als Gruppenmitglied erteilt wurden, können das Citrix Cloud-Konto auswählen, auf das sie zugreifen möchten. Administratoren, die Mitglied mehrerer Citrix Cloud-Konten sind, können nach erfolgreicher Authentifizierung ein Citrix Cloud-Konto aus der Kundenauswahl auswählen.

Einschränkungen

Zugriff auf Plattform- und Service-Features

Die unter Konsolenberechtigungen beschriebenen Citrix Cloud-Plattformfeatures stehen Mitgliedern von Administratorgruppen nicht zur Verfügung.

Außerdem sind Citrix DaaS-Features, die auf Funktionen der Citrix Cloud-Plattform wie Quick Deploy-Benutzerzuweisung basieren, nicht verfügbar.

Auswirkung mehrerer Gruppen auf die Anwendungsleistung

Citrix empfiehlt, dass ein einzelner Administrator in höchstens 20 Gruppen, die Citrix Cloud hinzugefügt wurden, Mitglied sein sollte. Die Mitgliedschaft in einer größeren Anzahl von Gruppen kann zur Verringerung der Anwendungsleistung führen.

Auswirkung mehrerer Gruppen auf die Authentifizierung

Wenn ein gruppenbasierter Administrator mehreren Gruppen in AD oder Azure AD zugewiesen ist, schlägt die Authentifizierung möglicherweise fehl, da die Anzahl der Gruppen zu groß ist. Dieses Problem tritt aufgrund einer Einschränkung der Integration zwischen Citrix Cloud und AD oder Azure AD auf. Wenn der Administrator versucht, sich anzumelden, versucht Citrix Cloud, die Anzahl der abgerufenen Gruppen zu komprimieren. Wenn Citrix Cloud die Komprimierung nicht erfolgreich anwenden kann, können nicht alle Gruppen abgerufen werden und die Authentifizierung schlägt fehl.

Dieses Problem kann auch Benutzer betreffen, die sich über AD oder Azure AD bei Citrix Workspace authentifizieren. Wenn ein Benutzer zu mehreren Gruppen gehört, schlägt die Authentifizierung möglicherweise fehl, da die Anzahl der Gruppen zu groß ist.

Um dieses Problem zu beheben, überprüfen Sie das Administrator- oder Benutzerkonto und stellen Sie sicher, dass Benutzer nur den Gruppen angehören, die für ihre Rolle in der Organisation erforderlich sind.

Hinzufügen von Gruppen schlägt aufgrund zu vieler zugewiesener Rollen-/Bereichspaare fehl

Beim Hinzufügen einer Gruppe mit mehreren Rollen-/Bereichspaaren kann ein Fehler auftreten, der anzeigt, dass die Gruppe nicht erstellt werden kann. Dieser Fehler tritt auf, weil die Anzahl der Rollen-/Bereichspaare, die der Gruppe zugewiesen sind, zu groß ist. Um diesen Fehler zu beheben, teilen Sie die Rollen-/Bereichspaare in zwei oder mehr Gruppen auf und weisen Sie die Administratoren diesen Gruppen zu.

Administratorgruppe zu Citrix Cloud hinzufügen

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Wählen Sie Administrator/Gruppe hinzufügen.
  3. Wählen Sie in den Administratordetails Ihr Azure AD aus und melden Sie sich gegebenenfalls bei Azure an. Wählen Sie Weiter.
  4. Wenn Sie AD verwenden, wählen Sie die Domain aus, die Sie verwenden möchten.
  5. Suchen Sie nach der Gruppe, die Sie hinzufügen möchten, und wählen Sie die Gruppe aus.
  6. Wählen Sie unter Zugriff festlegen die Rollen aus, die Sie der Gruppe zuweisen möchten. Sie müssen mindestens eine Rolle auswählen.
  7. Wenn Sie fertig sind, wählen Sie Speichern.

Serviceberechtigungen für eine Administratorgruppe ändern

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Suchen Sie die Administratorgruppe, die Sie verwalten möchten, klicken Sie auf die Auslassungspunkte und wählen Sie Zugriff bearbeiten aus. Gruppe mit ausgewähltem Menü "Zugriff bearbeiten"
  3. Setzen oder entfernen Sie die Häkchen neben einem oder mehreren Rollen- und Bereichspaaren nach Bedarf.
  4. Wenn Sie fertig sind, wählen Sie Speichern.

Administratorgruppe löschen

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Suchen Sie die Administratorgruppe, die Sie verwalten möchten, klicken Sie auf die Auslassungspunkte und wählen Sie Gruppe löschen aus. Auslassungspunkte mit ausgewählter Option "Gruppe löschen"

    Eine Bestätigungsmeldung wird angezeigt. Bestätigungsmeldung "Gruppe löschen"

  3. Wählen Sie Ich verstehe, dass Administratoren in dieser Gruppe nach dem Löschen dieser Gruppe nicht mehr auf Citrix Cloud zugreifen können aus. Damit bestätigen Sie, dass Sie sich der Auswirkungen des Löschens der Gruppe bewusst sind.
  4. Wählen Sie Löschen aus.

Wechseln zwischen mehreren Citrix Cloud-Konten

Hinweis:

In diesem Abschnitt wird ein Szenario beschrieben, das nur Mitglieder von Azure AD-Administratorgruppen betrifft.

Standardmäßig können Mitglieder von Azure AD-Administratorgruppen nicht zwischen Citrix Cloud-Konten wechseln, auf die sie zugreifen können. Für diese Administratoren wird die in der Abbildung unten gezeigte Option Kunden ändern nicht im Citrix Cloud-Benutzermenü angezeigt.

Benutzermenü mit hervorgehobener Schaltfläche "Kunde ändern"

Um diese Menüoption zu aktivieren und Azure AD-Gruppenmitgliedern das Wechseln zwischen Citrix Cloud-Konten zu ermöglichen, müssen Sie die Konten verknüpfen, zwischen denen gewechselt werden soll.

Das Verknüpfen von Citrix Cloud-Konten erfordert einen Hub-and-Spoke-Ansatz. Entscheiden Sie vor dem Verknüpfen von Konten, welches Citrix Cloud-Konto als das Konto fungieren soll, von dem aus auf die anderen Konten zugegriffen wird (“Hub”), und welche Konten in der Kundenauswahl (“Spokes”) aufgeführt werden sollen.

Stellen Sie vor dem Verknüpfen von Konten sicher, dass die folgenden Anforderungen erfüllt sind:

  • Sie haben Vollzugriffsberechtigungen in Citrix Cloud.
  • Sie haben Zugriff auf die Windows PowerShell Integrated Scripting Environment (ISE).
  • Sie haben die Kunden-IDs für die Citrix Cloud-Konten, die Sie verknüpfen möchten. Die Kunden-ID wird oben rechts in der Verwaltungskonsole für jedes Konto angezeigt. Citrix Cloud-Konsole mit hervorgehobener Kunden-ID
  • Sie haben das Citrix CWSAuth-Bearertoken für das Citrix Cloud-Konto, das Sie als Hub-Konto verknüpfen möchten. Folgen Sie den Anweisungen in CTX330675, um dieses Bearertoken abzurufen. Sie müssen diese Informationen angeben, wenn Sie Ihre Citrix Cloud-Konten verknüpfen.

So verknüpfen Sie Citrix Cloud-Konten

  1. Öffnen Sie die PowerShell ISE und fügen Sie das folgende Skript in den Arbeitsbereich ein:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links"
    
    $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers
    $allLinks = $resp.linkedCustomers + @("SpokeCustomerID")
    
    $body = @{"customers"=$allLinks}
    $bodyjson = $body | ConvertTo-Json
    
    $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json'
    Write-Host "Citrix Cloud Status Code: $($resp.RawContent)"
    <!--NeedCopy-->
    
  2. Ersetzen Sie in Zeile 4 CWSAuth bearer=XXXXXXX durch Ihren CWSAuth-Wert (z. B. CWSAuth bearer=AbCdef123Ghik…). Dieser Wert ist ein langer Hash, der einem Zertifikatsschlüssel ähnelt.
  3. Ersetzen Sie in Zeile 6 HubCustomerID durch die Kunden-ID des Hub-Kontos.
  4. Ersetzen Sie in Zeile 9 SpokeCustomerID durch die Kunden-ID des Spoke-Kontos.
  5. Führen Sie das Skript aus.
  6. Wiederholen Sie die Schritte 3 bis 5, um weitere Konten als Spokes zu verknüpfen.

So heben Sie die Verknüpfung von Citrix Cloud-Konten auf

  1. Öffnen Sie die PowerShell ISE. Wenn die PowerShell ISE bereits geöffnet ist, löschen Sie den Arbeitsbereich.
  2. Fügen Sie das folgende Skript in den Arbeitsbereich ein:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID"
    
    $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers
    Write-Host "Response: $($resp.RawContent)"
    <!--NeedCopy-->
    
  3. Ersetzen Sie in Zeile 4 CWSAuth bearer=xxxxxxx1 durch Ihren CWSAuth-Wert (z. B. CWSAuth bearer=AbCdef123Ghik…). Dieser Wert ist ein langer Hash, der einem Zertifikatsschlüssel ähnelt.
  4. Ersetzen Sie in Zeile 6 HubCustomerID durch die Kunden-ID des Hub-Kontos.
  5. Ersetzen Sie in Zeile 6 SpokeCustomerID durch die Kunden-ID des Spoke-Kontos.
  6. Führen Sie das Skript aus.
  7. Wiederholen Sie die Schritte 4 bis 6, um die Verknüpfung weiterer Konten aufzuheben.