Servicio Citrix Application Delivery Management

Configurar el control de acceso basado en roles

Citrix Application Delivery Management (Citrix ADM) proporciona un control de acceso basado en roles (RBAC) con el que puede conceder permisos de acceso en función de las funciones de usuarios individuales dentro de su empresa.

En Citrix ADM, todos los usuarios se agregan en Citrix Cloud. Como primer usuario de su organización, primero debe crear una cuenta en Citrix Cloud y, a continuación, iniciar sesión en la GUI de Citrix ADM con las credenciales de Citrix Cloud. Se le concede la función de superadministrador y, de forma predeterminada, tiene todos los permisos de acceso en Citrix ADM. Más adelante, puede crear otros usuarios en su organización en Citrix Cloud.

Los usuarios que se crean más tarde y que inician sesión en Citrix ADM como usuarios normales se conocen como administradores delegados. Estos usuarios, de forma predeterminada, tienen todos los permisos excepto los permisos de administración de usuarios. Sin embargo, puede conceder permisos de administración de usuarios específicos a estos usuarios administradores delegados. Puede hacerlo creando directivas adecuadas y asignándolas a estos usuarios delegados. Los permisos de administración del usuario se encuentran en Cuenta > Administración del usuario. Para obtener más información acerca de cómo asignar permisos específicos, consulte Cómo asignar permisos adicionales a usuarios de administración delegados.

En las siguientes secciones se proporciona más información sobre cómo crear directivas, roles, grupos y cómo enlazar a los usuarios a grupos.

Ejemplo:

El siguiente ejemplo ilustra cómo se puede lograr RBAC en Citrix ADM.

Chris, el jefe del grupo ADC, es el superadministrador de Citrix ADM en su organización. Crea tres funciones de administrador: Administrador de seguridad, administrador de aplicaciones y administrador de red.

  • David, el administrador de seguridad, debe tener acceso completo para la administración y supervisión de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema.
  • Steve, un administrador de aplicaciones, necesita acceso solo a aplicaciones específicas y a plantillas de configuración específicas.
  • Greg, un administrador de red, necesita acceso a la administración de sistemas y redes.
  • Chris también debe proporcionar RBAC para todos los usuarios, independientemente del hecho de que sean locales o multiarrendatario.

La imagen siguiente muestra los permisos que tienen los administradores y otros usuarios y sus roles en la organización.

Casos de uso RBAC

Para proporcionar un control de acceso basado en roles a sus usuarios, Chris primero debe agregar usuarios en Citrix Cloud y solo después puede ver a los usuarios en Citrix ADM. Chris debe crear directivas de acceso para cada uno de los usuarios en función de su rol. Las directivas de acceso están estrechamente vinculadas a los roles. Por lo tanto, Chris también debe crear roles, y luego debe crear grupos ya que los roles se pueden asignar solo a grupos y no a usuarios individuales.

Access es la capacidad de realizar una tarea específica, como ver, crear, modificar o eliminar un archivo. Los roles se definen de acuerdo con la autoridad y responsabilidad de los usuarios dentro de la empresa. Por ejemplo, se puede permitir a un usuario realizar todas las operaciones de red, mientras que otro usuario puede observar el flujo de tráfico en las aplicaciones y ayudar a crear plantillas de configuración.

Los roles están determinados por las directivas. Después de crear directivas, puede crear roles, enlazar cada rol a una o varias directivas y asignar roles a los usuarios. También puede asignar roles a grupos de usuarios. Un grupo es una colección de usuarios que tienen permisos en común. Por ejemplo, los usuarios que administran un centro de datos concreto se pueden asignar a un grupo. Un rol es una identidad concedida a los usuarios al agregarlos a grupos específicos en función de condiciones específicas. En Citrix ADM, la creación de roles y directivas es específica de la función RBAC en Citrix ADC. Los roles y las directivas se pueden crear, cambiar o interrumpir fácilmente a medida que evolucionan las necesidades de la empresa, sin tener que actualizar individualmente los privilegios de cada usuario.

Los roles pueden estar basados en entidades o en recursos. Por ejemplo, considere un administrador SSL/Security y un administrador de aplicaciones. Un administrador de SSL/Security debe tener acceso completo a las funciones de supervisión y administración de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema. Los administradores de aplicaciones solo pueden acceder a los recursos dentro de su ámbito.

Por lo tanto, en su rol como Chris, el superadministrador, realice las siguientes tareas de ejemplo en Citrix ADM para configurar directivas de acceso, roles y grupos de usuarios para David, que es el administrador de seguridad de su organización.

Configurar usuarios en Citrix ADM

Como superadministrador, puede crear más usuarios configurando cuentas para ellos en Citrix Cloud y no en Citrix ADM. Cuando los nuevos usuarios se agregan a Citrix ADM, solo puede definir sus permisos asignando los grupos apropiados al usuario.

Para agregar nuevos usuarios en Citrix Cloud:

  1. En Citrix ADM GUI, haga clic en el icono Hamburger situado en la parte superior izquierda y seleccione Identity and Access Management.

    Imagen localizada

  2. En la página Administración de identidades y acceso, seleccione la ficha Administradores.

    Esta ficha muestra los usuarios creados en Citrix Cloud.

  3. Escriba la dirección de correo electrónico del usuario que quiere agregar en Citrix ADM y haga clic en Invitar.

    Imagen localizada

    Nota

    El usuario recibe una invitación por correo electrónico de Citrix Cloud. El usuario debe hacer clic en el enlace proporcionado en el correo electrónico para completar el proceso de registro proporcionando su nombre completo y contraseña, y luego iniciar sesión en Citrix ADM con sus credenciales.

  4. Como administrador, verá el nuevo usuario en la lista Usuarios de Citrix ADM solo después de que el usuario inicie sesión en Citrix ADM.

Para configurar usuarios en Citrix ADM:

  1. En la GUI de Citrix ADM, vaya a Cuenta > Administración de usuarios > Usuarios.

  2. El usuario se muestra en la página Usuarios.

    Imagen localizada

  3. Puede modificar los privilegios proporcionados al usuario seleccionándolo y haciendo clic en Modificar. También puede modificar permisos de grupo en la página Grupos en el nodo Configuración.

    Nota

    -  Sus usuarios se agregan en Citrix ADM solo desde Citrix Cloud. Por lo tanto, aunque tenga permisos de administrador, no puede agregar ni eliminar usuarios en la GUI de Citrix ADM. Solo puede modificar los permisos de grupo. Los usuarios se pueden agregar o eliminar de Citrix Cloud.
    
    -  Los detalles del usuario aparecen en la GUI del servicio solo después de que el usuario haya iniciado sesión en Citrix ADM al menos una vez.
    

Configurar directivas de acceso en Citrix ADM

Las directivas de acceso definen los permisos. Una directiva se puede aplicar a un grupo de usuarios o a varios grupos mediante la creación de roles. Los roles están determinados por las directivas. Después de crear directivas, debe crear roles, enlazar cada rol a una o varias directivas y asignar roles a grupos de usuarios. Citrix ADM proporciona cinco directivas de acceso predefinidas:

  • admin_policy. Otorga acceso a todos los nodos Citrix ADM. El usuario tiene permisos de visualización y edición, puede ver todo el contenido de Citrix ADM y puede realizar todas las operaciones de edición. Es decir, el usuario puede agregar, modificar y eliminar operaciones en los recursos.
  • AdminExceptSystem_Policy. Otorga acceso a los usuarios para todos los nodos de la GUI de Citrix ADM, excepto el acceso al nodo Configuración.
  • readonly_policy. Concede permisos de solo lectura. El usuario puede ver todo el contenido en Citrix ADM, pero no está autorizado a realizar ninguna operación.
  • appadmin_policy. Otorga permisos administrativos para acceder a las funciones de la aplicación en Citrix ADM. Un usuario vinculado a esta directiva puede agregar, modificar y eliminar aplicaciones personalizadas y habilitar o inhabilitar los servicios, los grupos de servicios y los diversos servidores virtuales, como la conmutación de contenido, la redirección de caché y los servidores virtuales HAProxy.
  • appreadonly_policy. Otorga permiso de solo lectura para las funciones de la aplicación. Un usuario vinculado a esta directiva puede ver las aplicaciones, pero no puede realizar ninguna operación de agregar, modificar o eliminar, habilitar o inhabilitar.

Aunque no puede modificar estas directivas predefinidas, puede crear sus propias directivas (definidas por el usuario).

Anteriormente, cuando asignó directivas a roles y enlazó los roles a grupos de usuarios, puede proporcionar permisos para los grupos de usuarios a nivel de nodo en la GUI de Citrix ADM. Por ejemplo, solo puede proporcionar permisos de acceso a todo el nodo Equilibrio de carga. Los usuarios tenían permiso para acceder a todos los subnodos específicos de la entidad en el nodo Equilibrio de carga (por ejemplo, servidor virtual, servicios y otros) o no tenían permiso para acceder a ningún nodo en Equilibrio de carga.

En la compilación de Citrix ADM 507.x y versiones posteriores, la administración de directivas de acceso se amplía para proporcionar permisos para subnodos también. La configuración de directiva de acceso se puede configurar para todos los subnodos, como servidores virtuales, servicios, grupos de servicios y servidores.

Actualmente, puede proporcionar un permiso de acceso de nivel granular solo para los subnodos en el nodo Equilibrio de carga y también para los subnodos en el nodo GSLB.

Por ejemplo, como administrador, puede que desee conceder al usuario un permiso de acceso solo para ver servidores virtuales, pero no los servicios back-end, los grupos de servicios y los servidores de aplicaciones en el nodo Equilibrio de carga. Los usuarios con una directiva de este tipo asignada solo pueden acceder a los servidores virtuales.

Para crear directivas de acceso definidas por el usuario:

  1. En la GUI de Citrix ADM, vaya a Cuenta > Administración de usuarios > Directivas de acceso.

  2. Haga clic en Agregar.

  3. En la página Crear directivas de acceso, en el campo Nombre de la directiva, escriba el nombre de la directiva y escriba la descripción en el campo Descripción de la directiva.

    Directivas de acceso

    La sección Permisos muestra todas las funciones de Citrix ADM, con opciones para especificar el acceso de solo lectura, habilitar o modificar.

    1. Haga clic en el icono (+) para expandir cada grupo de entidades en varias entidades.

    2. Active la casilla de verificación permiso situada junto al nombre de la entidad para conceder permisos a los usuarios.

      • Ver: Esta opción permite al usuario ver la función en Citrix ADM.

      • Activar-Inhabilitar: Esta opción solo está disponible para las funciones Funciones de red que permiten habilitar o inhabilitar acciones en Citrix ADM. El usuario puede habilitar o inhabilitar la función. Y, el usuario también puede realizar la acción Encuesta ahora.

        Cuando se concede el permiso Habilitar-Inhabilitar a un usuario, también se concede el permiso Ver. No puede anular la selección de esta opción.

      • Modificar: Esta opción otorga el acceso completo al usuario. El usuario puede modificar la función y sus funciones.

        Si concede el permiso Modificar, se conceden los permisos Ver y Activar desactivación. No puede anular la selección de las opciones seleccionadas automáticamente.

      Si activa la casilla de verificación entidad, se seleccionarán todos los permisos de la entidad.

    Nota

    Expanda Equilibrio de carga y GSLB para ver más opciones de configuración.

    En la imagen siguiente, las opciones de configuración de la función Equilibrio de carga tienen permisos diferentes:

    Configurar directiva

    El permiso Ver se concede a un usuario para la función Servidores virtuales. El usuario puede ver los servidores virtuales de equilibrio de carga en Citrix ADM. Para ver servidores virtuales, vaya a Redes > Funciones de red > Equilibrio de carga y seleccione la ficha Servidores virtuales.

    El permiso Habilitar-Inhabilitar se concede a un usuario para la función Servicios. Este permiso también concede el permiso Ver. El usuario puede habilitar o inhabilitar los servicios enlazados a un servidor virtual de equilibrio de carga. Además, el usuario puede realizar la acción de encuesta ahora en los servicios. Para habilitar o inhabilitar servicios, vaya a Redes > Funciones de red > Equilibrio de carga y seleccione la ficha Servicios.

    Nota

    Si un usuario tiene el permiso Habilitar-Inhabilitar, la acción Habilitar o inhabilitar en un servicio está restringida en la página siguiente:

    1. Vaya a Redes > Funciones de red.

    2. Seleccione un servidor virtual y haga clic en Configurar.

    3. Seleccione la página Enlace de Servicio de Servidor Virtual de Equilibrio de Carga. Esta página muestra un mensaje de error si selecciona Activar o Desactivar.

    El permiso Modificar se concede a un usuario para la función Grupos de servicios. Este permiso concede el acceso completo en el que se conceden los permisos Ver y Habilitar-Inhabilitar. El usuario puede modificar los grupos de servicios enlazados a un servidor virtual de equilibrio de carga. Para modificar grupos de servicios, vaya a Redes > Funciones de red > Equilibrio de carga y seleccione la ficha Grupos de servicios.

  4. Haga clic en Crear.

    Nota

    Si selecciona Modificar, puede asignar internamente permisos dependientes que no se muestran como habilitados en la sección Permisos. Por ejemplo, cuando habilita permisos de edición para la administración de errores, Citrix ADM proporciona internamente permisos para configurar un perfil de correo o para crear configuraciones de servidor SMTP, de modo que el usuario pueda enviar el informe como correo.

Configurar roles en Citrix ADM

En Citrix ADM, cada rol está enlazado a una o más directivas de acceso. Puede definir relaciones uno a uno, uno a varios y muchos a muchos entre directivas y roles. Puede enlazar un rol a varias directivas y puede enlazar varios roles a una directiva.

Por ejemplo, un rol puede estar enlazado a dos directivas, con una directiva que defina los permisos de acceso para una función y la otra que defina los permisos de acceso para otra función. Una directiva puede conceder permiso para agregar instancias de Citrix ADC en Citrix ADM, y la otra puede conceder permiso para crear e implementar StyleBooks y configurar instancias de Citrix ADC.

Cuando varias directivas definen los permisos de edición y de solo lectura para una única entidad, los permisos de edición tienen prioridad sobre los permisos de solo lectura.

Citrix ADM proporciona cinco roles predefinidos:

  • admin_role. Tiene acceso a todas las funciones de Citrix ADM. (Esta función está vinculada aadminpolicy.)
  • adminExceptSystem_role. Tiene acceso a la GUI de Citrix ADM excepto los permisos de Configuración. (Esta función está vinculada a adminExceptSystem_policy)
  • readonly_role. Tiene acceso de solo lectura. (Esta función está vinculada a readonlypolicy.)
  • appAdmin_role. Tiene acceso administrativo solo a las funciones de la aplicación en Citrix ADM. (Esta función está vinculada a appAdminPolicy).
  • appReadonly_role. Tiene acceso de solo lectura a las funciones de la aplicación. (Esta función está vinculada a appReadOnlyPolicy.)

Aunque no puede modificar los roles predefinidos, puede crear sus propios roles (definidos por el usuario).

Para crear roles y asignarles directivas:

  1. En la GUI de Citrix ADM, vaya a Cuenta > Administración de usuarios > Roles.

  2. Haga clic en Agregar.

  3. En la página Crear Roles, en el campo Nombre de Rol, escriba el nombre del rol y proporcione la descripción en el campo Descripción de rol (opcional).

  4. En la sección Directivas, agregue mover una o varias directivas a la lista Configurada.

    Nota

    Las directivas están prefijadas con un ID de arrendatario (por ejemplo,maasdocfour) que es único para todos los arrendatarios.

    Configurar roles

    Nota

    Puede crear una directiva de acceso haciendo clic en Nuevo o puede navegar a Cuenta > Administración de usuarios> Directivas de acceso y crear directivas.

  5. Haga clic en Crear.

Configurar grupos en Citrix ADM

En Citrix ADM, un grupo puede tener acceso tanto a nivel de entidad como a nivel de recursos. Por ejemplo, un grupo de usuarios puede tener acceso solo a instancias de Citrix ADC seleccionadas; otro grupo con solo unas pocas aplicaciones seleccionadas, etc.

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. A todos los usuarios de ese grupo se les asignan los mismos derechos de acceso en Citrix ADM.

Puede administrar el acceso de un usuario en Citrix ADM en el nivel individual de entidades de función de red. Puede asignar dinámicamente permisos específicos al usuario o grupo en el nivel de entidad.

Citrix ADM trata el servidor virtual, los servicios, los grupos de servicios y los servidores como entidades de función de red.

  • Servidor virtual (aplicaciones): Equilibrio de carga (lb), GSLB, conmutación de contexto (CS), redirección de caché (CR), autenticación (autenticación) y puerta de Citrix Gateway (vpn)

  • Servicios: Equilibrio de carga y servicios GSLB
  • Grupo de servicios: Equilibrio de carga y grupos de servicios GSLB
  • Servidores: Servidores de equilibrio de carga

Para crear un grupo:

  1. En Citrix ADM, vaya a Cuenta > Administración de usuarios > Grupos.

  2. Haga clic en Agregar.

    Aparecerá la página Crear Grupo de Sistema.

  3. En el campo **Nombre de grupo **, escriba el nombre del grupo.

  4. En el campo **Descripción del grupo **, escriba una descripción del grupo. Proporcionar una buena descripción le ayuda a comprender el papel y la función del grupo.

  5. En la sección Roles, mueva uno o varios roles a la lista Configurado.

    Nota

    Los roles están prefijados con un ID de arrendatario (por ejemplo,maasdocfour) que es único para todos los arrendatarios.

  6. En la lista Disponible, puede hacer clic en Nuevo o Modificar y crear o modificar roles.

    También puede navegar a Cuentas > Administración de usuarios > Usuarios y crear o modificar usuarios.

    Configurar grupo

  7. Haga clic en Siguiente.

  8. En la ficha Configuración de autorización, puede elegir recursos de las siguientes categorías:

    • Grupos de AutoScale
    • Instancias
    • Aplicaciones
    • Plantillas de configuración
    • StyleBooks
    • Paquetes de configuración
    • Nombres de dominios

    Categorías en la configuración de autorización

    Es posible que quiera seleccionar recursos específicos de las categorías a las que los usuarios pueden tener acceso.

    Grupos de AutoScale:

    Si desea seleccionar los grupos de AutoScale específicos que el usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todos los grupos de AutoScale y haga clic en Agregar grupos de AutoScale.

    2. Seleccione los grupos de Autoescala necesarios de la lista y haga clic en Aceptar.

    Instancias:

    Si quiere seleccionar las instancias específicas que el usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las instancias y haga clic en Seleccionar instancias.

    2. Seleccione las instancias necesarias de la lista y haga clic en Aceptar.

      Seleccionar instancias

    Aplicaciones:

    La lista Elegir aplicaciones permite conceder acceso a un usuario para las aplicaciones requeridas.

    Puede conceder acceso a las aplicaciones sin seleccionar sus instancias. Porque las aplicaciones son independientes de sus instancias para conceder acceso a los usuarios.

    Cuando se concede acceso de usuario a una aplicación, el usuario está autorizado a acceder solo a esa aplicación independientemente de la selección de instancia.

    Esta lista proporciona las siguientes opciones:

    • Todas las aplicaciones: Esta opción está seleccionada por defecto. Agrega todas las aplicaciones presentes en Citrix ADM.

    • Todas las aplicaciones de instancias seleccionadas: Esta opción solo aparece si selecciona instancias de la categoría Todas las instancias. Agrega todas las aplicaciones presentes en la instancia seleccionada.

    • Aplicaciones Específicas: Esta opción le permite agregar las aplicaciones necesarias a las que quiere que los usuarios accedan. Haga clic en Agregar aplicaciones y seleccione las aplicaciones necesarias de la lista.

    • Seleccionar Tipo de Entidad Individual: Esta opción le permite seleccionar el tipo específico de entidad de función de red y las entidades correspondientes.

      Puede agregar entidades individuales o seleccionar todas las entidades del tipo de entidad requerido para conceder acceso a un usuario.

      La opción Aplicar también en entidades enlazadas autoriza las entidades enlazadas al tipo de entidad seleccionado. Por ejemplo, si selecciona una aplicación y selecciona Aplicar también en entidades enlazadas, Citrix ADM autoriza todas las entidades enlazadas a la aplicación seleccionada.

      Nota

      Asegúrese de que solo ha seleccionado un tipo de entidad si quiere autorizar entidades enlazadas.

    Puede utilizar expresiones regulares para buscar y agregar las entidades de función de red que cumplan los criterios de expresión regular para los grupos. La expresión de expresiones regulares especificada persiste en Citrix ADM. Para agregar expresiones regulares, realice los siguientes pasos:

    1. Haga clic en Agregar expresión regular.

    2. Especifique la expresión regular en el cuadro de texto.

      En la siguiente imagen se explica cómo utilizar la expresión regular para agregar una aplicación cuando se selecciona la opción Aplicaciones específicas :

      Imagen localizada

      En la siguiente imagen se explica cómo utilizar la expresión regular para agregar entidades de función de red al elegir la opción Seleccionar el tipo de entidad individual :

      Tipos de entidad de función de red

    Si quiere agregar más expresiones regulares, haga clic en el icono +.

    Nota

    La expresión regular solo coincide con el nombre del servidor para el tipo de entidad Servidores y no con la dirección IP del servidor.

    Si selecciona la opción Aplicar también en entidades enlazadas para una entidad detectada, el usuario puede acceder automáticamente a las entidades enlazadas a la entidad detectada.

    La expresión regular se almacena en el sistema para actualizar el ámbito de autorización. Cuando las nuevas entidades coinciden con la expresión regular de su tipo de entidad, Citrix ADM actualiza el ámbito de autorización en las nuevas entidades.

    Plantillas de configuración:

    Si quiere seleccionar la plantilla de configuración específica que el usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las plantillas de configuración y haga clic en Agregar plantilla de configuración.

    2. Seleccione la plantilla necesaria de la lista y haga clic en Aceptar.

      Plantillas de configuración

    StyleBooks:

    Si quiere seleccionar el StyleBook específico que el usuario puede ver o administrar, realice los siguientes pasos:

    1. Desactive la casilla de verificación Todos los StyleBooks y haga clic en **Agregar StyleBook al grupo **. Puede seleccionar StyleBooks individuales o especificar una consulta de filtro para autorizar StyleBooks.

      Si desea seleccionar los StyleBooks individuales, seleccione los StyleBooks en el panel Individuales StyleBooks y haga clic en Guardar selección.

      Si desea utilizar una consulta para buscar StyleBooks, seleccione el panel Filtros personalizados. Una consulta es una cadena de pares clave-valor donde las claves sonname,namespace, yversion.

      También puede utilizar expresiones regulares como valores para buscar y agregar StyleBooks que cumplan los criterios de expresiones regulares para los grupos.

      Por ejemplo:

      name=lb-mon OR namespace=com.citrix.adc.stylebooks OR version=1.0
      

      PresioneEnter para ver los resultados de la búsqueda y haga clic en Guardar consulta.

      Filtros personalizados

      La consulta guardada aparece en la consulta de filtros personalizados. En función de la consulta guardada, el ADM proporciona acceso de usuario a esos StyleBooks.

    2. Seleccione los StyleBooks necesarios de la lista y haga clic en Aceptar.

      Seleccionar StyleBooks

      Puede seleccionar los StyleBooks necesarios cuando cree grupos y agregue usuarios a ese grupo. Cuando el usuario selecciona el StyleBook permitido, también se seleccionan todos los StyleBooks dependientes. Los paquetes de configuración de ese StyleBook también se incluyen en lo que el usuario tiene acceso.

    Paquetes de configuración:

    Si desea seleccionar los paquetes de configuración específicos que el usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las configuraciones y haga clic en **Agregar paquete de configuración al grupo **.

    2. Seleccione los paquetes de configuración necesarios de la lista y haga clic en Aceptar.

      Seleccionar paquete de configuración

      Puede seleccionar los paquetes de configuración necesarios al crear grupos y agregar usuarios a ese grupo.

    Nombres de dominio:

    Si quiere seleccionar el nombre de dominio específico que el usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todos los nombres de dominio y haga clic en Agregar nombre de dominio.

    2. Seleccione los nombres de dominio necesarios de la lista y haga clic en Aceptar.

  9. Haga clic en **Crear grupo **.

  10. En la sección Asignar usuarios, seleccione el usuario en la lista Disponible y agregue el usuario a la lista Configurado.

    Nota

    También puede agregar nuevos usuarios haciendo clic en Nuevo.

    Asignar usuarios

  11. Haga clic en Finalizar.

Cómo cambia el acceso de usuario en función del ámbito de autorización

Cuando un administrador agrega un usuario a un grupo que tiene diferentes configuraciones de directiva de acceso, el usuario se asigna a más de un ámbito de autorización y directivas de acceso.

En este caso, el ADM otorga al usuario acceso a las aplicaciones en función del ámbito de autorización específico.

Considere un usuario asignado a un grupo que tiene dos directivas de directiva 1 y directiva 2.

  • Policía-1: Solo permite ver los permisos para las aplicaciones.

  • Directiva 2: Permite ver y modificar permisos para las aplicaciones.

Cambios de acceso de usuario con ámbitos de autorización

El usuario puede ver las aplicaciones especificadas en la directiva 1. Además, este usuario puede ver y modificar las aplicaciones especificadas en la directiva 2. El acceso de edición a las aplicaciones Group-1 está restringido ya que no está en el ámbito de autorización Group-1.

Limitaciones

RBAC no es totalmente compatible con las siguientes funciones de Citrix ADM:

  • Analytics: RBAC no es totalmente compatible con los módulos de análisis. La compatibilidad con RBAC se limita a un nivel de instancia y no es aplicable a nivel de aplicación en los módulos de análisis Gateway Insight, HDX Insight y Security Insight.
    • Ejemplo 1: RBAC basado en instancias (compatible). Un administrador al que se le hayan asignado algunas instancias solo puede ver esas instancias en HDX Insight > Dispositivos y solo los servidores virtuales correspondientes en HDX Insight > Aplicaciones porque RBAC es compatible con el nivel de instancia.
    • Ejemplo 2: RBAC basado en aplicaciones (no compatible). Un administrador al que se le hayan asignado algunas aplicaciones puede ver todos los servidores virtuales bajo HDX Insight > Aplicaciones, pero no puede acceder a ellos, porque RBAC no se admite en el nivel de aplicaciones.
  • StyleBooks: RBAC no es totalmente compatible con StyleBooks.
    • Considere una situación en la que varios usuarios tengan acceso a un único StyleBook pero tengan permisos de acceso para diferentes instancias de Citrix ADC. Los usuarios pueden crear y actualizar paquetes de configuración en sus propias instancias, pero no en otras instancias, ya que no tienen acceso a esas instancias que no sean las suyas. Pero todavía pueden ver los paquetes de configuración y los objetos creados en instancias de Citrix ADC que no sean las suyas.

Configurar el control de acceso basado en roles