Citrix Application Delivery Management

Control de acceso basado en roles

Citrix ADM proporciona un control de acceso basado en roles (RBAC) detallado, con el que puede conceder permisos de acceso en función de las funciones de los usuarios individuales de su empresa. En este contexto, el acceso es la capacidad de realizar una tarea específica, como ver, crear, modificar o eliminar un archivo. Los roles se definen de acuerdo con la autoridad y responsabilidad de los usuarios dentro de la empresa. Por ejemplo, se puede permitir a un usuario realizar todas las operaciones de red, mientras que otro usuario puede observar el flujo de tráfico en las aplicaciones y ayudar a crear plantillas de configuración.

Los roles están determinados por las directivas. Después de crear directivas, puede crear roles, enlazar cada rol a una o varias directivas y asignar roles a los usuarios. También puede asignar roles a grupos de usuarios.

Un grupo es una colección de usuarios que tienen permisos en común. Por ejemplo, los usuarios que administran un centro de datos concreto se pueden asignar a un grupo. Un rol es una identidad concedida a usuarios o grupos en función de condiciones específicas. En Citrix ADM, la creación de roles y directivas es específica de la función RBAC en Citrix ADC. Los roles y las directivas se pueden crear, cambiar o interrumpir fácilmente a medida que evolucionan las necesidades de la empresa, sin tener que actualizar individualmente los privilegios de cada usuario.

Los roles pueden estar basados en entidades o en recursos. Por ejemplo, considere un administrador SSL/Security y un administrador de aplicaciones. Un administrador de SSL/Security debe tener acceso completo a las funciones de supervisión y administración de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema. Un administrador de aplicaciones debe poder tener acceso solo a los recursos dentro del ámbito.

Ejemplo:

Chris, el jefe del grupo ADC, es el superadministrador de Citrix ADM en su organización. Chris crea tres roles de administrador: Administrador de seguridad, administrador de aplicaciones y administrador de red.

David, el administrador de seguridad, debe tener acceso completo para la administración y supervisión de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema.

Steve, un administrador de aplicaciones, necesita acceso solo a aplicaciones específicas y a plantillas de configuración específicas.

Greg, un administrador de red, necesita acceso a la administración de sistemas y redes.

Chris también debe proporcionar RBAC para todos los usuarios, independientemente del hecho de que sean locales, externos o multiarrendatario.

Los usuarios de Citrix ADM pueden estar autenticados localmente o autenticados a través de un servidor externo (RADIUS/LDAP/TACACS). La configuración de RBAC debe ser aplicable a todos los usuarios independientemente del método de autenticación adoptado.

La imagen siguiente muestra los permisos que tienen los administradores y otros usuarios y sus roles en la organización.

Imagen localizada

Limitaciones

RBAC no es totalmente compatible con las siguientes funciones de Citrix ADM:

  • Analytics: RBAC no es totalmente compatible con los módulos de análisis. La compatibilidad con RBAC se limita al nivel de instancia y no es aplicable a nivel de aplicación en los módulos de análisis Web Insight, SSL Insight, Gateway Insight, HDX Insight y Security Insight. Por ejemplo:

Ejemplo 1: RBAC basado en instancias (compatible)

Un administrador al que se le hayan asignado algunas instancias solo puede ver esas instancias en Web Insight > Instancias y solo los servidores virtuales correspondientes en Web Insight > Aplicaciones, ya que RBAC se admite en el nivel de instancia.

Ejemplo 2: RBAC basado en aplicaciones (no compatible)

Un administrador al que se le hayan asignado algunas aplicaciones puede ver todos los servidores virtuales en Web Insight > Aplicaciones, pero no puede acceder a ellos, porque RBAC no es compatible a nivel de aplicaciones.

  • StyleBooks: RBAC no es totalmente compatible con StyleBooks.

    • En Citrix ADM, los Stylebooks y los paquetes de configuración se consideran recursos independientes. Los permisos de acceso, ya sea para ver, modificar o ambos, se pueden proporcionar para Stylebook y paquetes de configuración por separado o simultáneamente. Un permiso de vista o edición en los paquetes de configuración permite implícitamente al usuario ver los StyleBooks, lo cual es esencial para obtener los detalles del paquete de configuración y crear nuevos paquetes de configuración.

    • No se admite el permiso de acceso para Stylebook o paquetes de configuración específicos
      Ejemplo: Si ya hay un paquete de configuración en la instancia, los usuarios pueden modificar la configuración en una instancia de Citrix ADC de destino incluso si no tienen acceso a esa instancia.

  • Orquestación: RBAC no es compatible con Orchestration.

Control de acceso basado en roles