Citrix Application Delivery Management

Configurar grupos

En Citrix ADM, un grupo puede tener acceso tanto a nivel de entidad como a nivel de recursos. Por ejemplo, un grupo de usuarios puede tener acceso solo a instancias de Citrix ADC seleccionadas; otro grupo con solo unas pocas aplicaciones seleccionadas, etc.

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso de nivel de aplicación al grupo y asignar usuarios al grupo. A todos los usuarios de ese grupo se les asignan los mismos derechos de acceso en Citrix ADM.

Puede administrar el acceso de un usuario en Citrix ADM en el nivel individual de entidades de función de red. Puede asignar dinámicamente permisos específicos al usuario o grupo en el nivel de entidad.

Citrix ADM trata el servidor virtual, los servicios, los grupos de servicios y los servidores como entidades de función de red.

  • Servidor virtual (aplicaciones): Equilibrio de carga (lb), GSLB, conmutación de contexto (CS), redirección de caché (CR), autenticación (Auth) y puerta de Citrix Gateway (VPN)

  • Servicios: Equilibrio de carga y servicios GSLB
  • Grupo de servicios: Equilibrio de carga y grupos de servicios GSLB
  • Servidores: Servidores de equilibrio de carga

Crear un grupo de usuarios

  1. En Citrix ADM, vaya a Sistema > Administración de usuarios > Grupos.

  2. Haga clic en Agregar.

    Aparecerá la página Crear Grupo de Sistema.

  3. En el campo Nombre de grupo, escriba el nombre del grupo.

  4. En el campoDescripción del grupo, escriba una descripción del grupo. Proporcionar una buena descripción del grupo le ayuda a comprender mejor el papel y la función del grupo en un momento posterior.  

  5. En la sección Roles, agregue o mueva uno o más roles a la lista Configurado.

    Nota En la lista Disponible, puede hacer clic en Nuevo o Modificar y crear o modificar roles. También puede navegar a Sistema > Administración de usuarios > Usuarios y crear o modificar usuarios.

    Crear grupo de sistema

  6. Haga clic en Siguiente.En la ficha Configuración de autorización, puede proporcionar la configuración de autorización para los siguientes recursos:

    • Grupos de Autoscale
    • Instancias
    • Aplicaciones
    • Plantillas de configuración
    • StyleBooks
    • Nombres de dominios

    Categorías en la configuración de autorización

    Es posible que quiera seleccionar recursos específicos de las categorías a las que los usuarios pueden tener acceso.

    Grupos de Autoscale:

    Si quiere seleccionar los grupos de Autoscale específicos que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todos los grupos de Autoscale y haga clic en Agregar grupos de Autoscale.

    2. Seleccione los grupos de Autoscale necesarios de la lista y haga clic en Aceptar.

    Instancias:

    Si quiere seleccionar las instancias específicas que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las instancias y haga clic en Seleccionar instancias.

    2. Seleccione las instancias necesarias de la lista y haga clic en Aceptar.

      Seleccionar instancias

    Aplicaciones:

    La lista Elegir aplicaciones permite conceder acceso a un usuario para las aplicaciones requeridas.

    Puede conceder acceso a las aplicaciones sin seleccionar sus instancias. Porque las aplicaciones son independientes de sus instancias para conceder acceso a los usuarios.

    Cuando se concede a un usuario acceso a una aplicación, el usuario está autorizado a acceder solo a esa aplicación independientemente de la selección de instancia.

    Esta lista proporciona las siguientes opciones:

    • Todas las aplicaciones: Esta opción está seleccionada por defecto. Agrega todas las aplicaciones presentes en Citrix ADM.

    • Todas las aplicaciones de instancias seleccionadas: Esta opción solo aparece si selecciona instancias de la categoría Todas las instancias. Agrega todas las aplicaciones presentes en la instancia seleccionada.

    • Aplicaciones Específicas: Esta opción le permite agregar las aplicaciones necesarias a las que quiere que los usuarios accedan. Haga clic en Agregar aplicaciones y seleccione las aplicaciones necesarias de la lista.

    • Seleccionar Tipo de Entidad Individual: Esta opción le permite seleccionar un tipo específico de entidad de función de red y entidades correspondientes.

      Puede agregar entidades individuales o seleccionar todas las entidades del tipo de entidad requerido para conceder acceso a un usuario.

      La opción Aplicar también en entidades enlazadas autoriza las entidades enlazadas al tipo de entidad seleccionado. Por ejemplo, si selecciona una aplicación y selecciona Aplicar también en entidades enlazadas, Citrix ADM autoriza todas las entidades enlazadas a la aplicación seleccionada.

      Nota

      Asegúrese de que solo ha seleccionado un tipo de entidad si quiere autorizar entidades enlazadas.

    Puede utilizar expresiones regulares para buscar y agregar las entidades de función de red que cumplan los criterios de expresión regular para los grupos. La expresión de expresiones regulares especificada persiste en Citrix ADM. Para agregar expresiones regulares, realice los siguientes pasos:

    1. Haga clic en Agregar expresión regular.

    2. Especifique la expresión regular en el cuadro de texto.

      En la siguiente imagen se explica cómo utilizar la expresión regular para agregar una aplicación cuando se selecciona la opción Aplicaciones específicas :

      Aplicaciones específicas

      En la siguiente imagen se explica cómo utilizar la expresión regular para agregar entidades de función de red al elegir la opción Seleccionar el tipo de entidad individual :

      Tipos de entidad de función de red

    Si quiere agregar más expresiones regulares, haga clic en el icono +.

    Nota

    La expresión regular solo coincide con el nombre del servidor para el tipo de entidad Servidores y no con la dirección IP del servidor.

    Si selecciona la opción Aplicar también en entidades enlazadas para una entidad detectada, un usuario puede acceder automáticamente a las entidades enlazadas a la entidad detectada.

    La expresión regular se almacena en el sistema para actualizar el ámbito de autorización. Cuando las nuevas entidades coinciden con la expresión regular de su tipo de entidad, Citrix ADM actualiza el ámbito de autorización en las nuevas entidades.

    Plantillas de configuración:

    Si quiere seleccionar la plantilla de configuración específica que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las plantillas de configuración y haga clic en Agregar plantilla de configuración.

    2. Seleccione la plantilla necesaria de la lista y haga clic en Aceptar.

      Agregar plantillas de configuración

    StyleBooks:

    Si quiere seleccionar el StyleBook específico que un usuario puede ver o administrar, realice los siguientes pasos:

    1. Desactive la casilla de verificación Todos los StyleBooks y haga clic en Agregar StyleBook al grupo.

    2. Seleccione los StyleBooks necesarios de la lista y haga clic en Aceptar.

      Agregar grupo StyleBook

      Puede seleccionar los StyleBooks necesarios cuando cree grupos y agregue usuarios a ese grupo. Cuando el usuario selecciona el StyleBook permitido, también se seleccionan todos los StyleBooks dependientes. Los paquetes de configuración de ese StyleBook también se incluyen en lo que el usuario tiene acceso.

    Paquetes de configuración:

    Si quiere seleccionar los paquetes de configuración específicos que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todas las configuraciones y haga clic en Agregar paquete de configuración al grupo.

    2. Seleccione los paquetes de configuración necesarios de la lista y haga clic en Aceptar.

      Seleccionar paquete de configuración

      Puede seleccionar los paquetes de configuración necesarios al crear grupos y agregar usuarios a ese grupo.

    Nombres de dominio:

    Si quiere seleccionar el nombre de dominio específico que un usuario puede ver o administrar, lleve a cabo los siguientes pasos:

    1. Desactive la casilla de verificación Todos los nombres de dominio y haga clic en Agregar nombre de dominio.

    2. Seleccione los nombres de dominio necesarios de la lista y haga clic en Aceptar.

  7. Haga clic en Crear grupo.

  8. En la sección Asignar usuarios, seleccione el usuario en la lista Disponible y agregue el usuario a la lista Configurado.

    NotaTambién

    puede agregar usuarios haciendo clic en Nuevo.

    Ejemplo para crear un grupo de sistema

  9. Haga clic en Finalizar.

Administrar el acceso de los usuarios a través de varias entidades de función de red

Como administrador, puede administrar el acceso de los usuarios en el nivel individual de las entidades de función de red en Citrix ADM. Además, puede asignar dinámicamente permisos específicos al usuario o a un grupo en el nivel de entidad mediante el filtro de expresiones regulares.

Este documento describe cómo definir la autorización de usuario en el nivel de entidad.

Antes de comenzar, cree un grupo. Consulte Configurar grupos en Citrix ADM para obtener más información.

Caso de uso:

Considere un caso en el que una o más aplicaciones (servidores virtuales) estén alojadas en el mismo servidor. Un superadministrador (George) quiere conceder a Steve (un administrador de aplicaciones) acceso solo a App1 y no al servidor de alojamiento.

La siguiente tabla ilustra este entorno, donde Server-A aloja las aplicaciones App-1 y App-2.

Servidor host Aplicación (servidor virtual) Servicio Grupo de servicios
Servidor A App1 App-service-1 App-service-group-1
Servidor A App2 App-service-2 App-service-group-2

Nota

Citrix ADM trata el servidor virtual, los servicios, los grupos de servicios y los servidores como entidades de función de red. El servidor virtual de tipo de entidad se conoce como una aplicación.

Para asignar permisos de usuario a entidades de función de red, George define la autorización de usuario de la siguiente manera:

  1. Vaya a Cuenta > Administración de usuarios > Grupos y agregue un grupo.

  2. En la ficha Configuración de autorización, seleccione Elegir aplicaciones.

  3. Seleccione Seleccionar tipo de entidad individual.

  4. Seleccione el tipo de entidad Todas las aplicaciones y agregue la entidad App-1 de la lista disponible.

  5. Haga clic en Crear grupo.

  6. En Asignar usuarios, seleccione los usuarios que requieran el permiso. Para este caso, George selecciona el perfil de usuario de Steve.

  7. Haga clic en Finalizar.

Con esta configuración de autorización, Steve puede administrar solo App-1 y no otras entidades de función de red.

Nota

Asegúrese de que la opción Aplicar también en entidades enlazadas está desactivada. De lo contrario, Citrix ADM concede acceso a todas las entidades de función de red enlazadas a App-1. Como resultado, también concede acceso al servidor de alojamiento.

Un superadministrador puede especificar las expresiones regulares (expresiones regulares) para cada tipo de entidad. La expresión regular se almacena en el sistema para actualizar el ámbito de autorización de usuario. Cuando las nuevas entidades coinciden con la expresión regular de su tipo de entidad, Citrix ADM puede conceder dinámicamente a los usuarios acceso a las entidades de función de red específicas.

Para conceder permisos de usuario dinámicamente, el superadministrador puede agregar expresiones regulares en la ficha Configuración de autorización.

En este caso, George agregaApp* como una expresión regular para el tipo de entidad Aplicaciones y las aplicaciones que coinciden con los criterios de expresión regular aparecen en la lista. Con esta configuración de autorización, Steve puede acceder a todas las aplicaciones que coinciden con laApp* expresión regular. Sin embargo, su acceso está limitado solo a las aplicaciones, no al servidor alojado.

Cómo cambia el acceso de usuario en función del ámbito de autorización

Cuando un administrador agrega un usuario a un grupo que tiene diferentes configuraciones de directiva de acceso, el usuario se asigna a más de un ámbito de autorización y directivas de acceso.

En este caso, el ADM otorga al usuario acceso a las aplicaciones en función del ámbito de autorización específico.

Considere un usuario asignado a un grupo que tiene dos directivas de directiva 1 y directiva 2.

  • Policía-1: Solo permite ver los permisos para las aplicaciones.

  • Directiva 2: Permite ver y modificar permisos para las aplicaciones.

Cambios de acceso de usuario con ámbitos de autorización

El usuario puede ver las aplicaciones especificadas en la directiva 1. Además, este usuario puede ver y modificar las aplicaciones especificadas en la directiva 2. El acceso de edición a las aplicaciones Group-1 está restringido ya que no está en el ámbito de autorización Group-1.

Asignación de RBAC al actualizar Citrix ADM de 12.0 a versiones posteriores

Cuando actualiza Citrix ADM de 12.0 a 13.0, no ve las opciones para proporcionar permisos de “lectura-escritura” o “lectura” mientras crea grupos. Estos permisos se han reemplazado por “roles y directivas de acceso”, que le dan más flexibilidad para proporcionar permisos basados en roles a los usuarios. La tabla siguiente muestra cómo se asignan los permisos de la versión 12.0 a la versión 13.0:

12.0 Permitir solo aplicaciones 13.0
administrador de lectura-escritura Falso admin
administrador de lectura-escritura True appAdmin
admin de solo lectura Falso readonly
admin de solo lectura True appReadonly