Citrix Cloud

Administrar grupos de administradores

Puede agregar administradores a su cuenta de Citrix Cloud mediante grupos en Active Directory o Azure Active Directory (AD). A continuación, puede administrar los permisos de acceso a servicios para todos los administradores del grupo.

Requisitos previos de AD

Citrix Cloud permite la autenticación de grupos de AD a través de SAML 2.0. Antes de agregar miembros de sus grupos de administradores de AD a Citrix Cloud, debe configurar una conexión entre Citrix Cloud y su proveedor de SAML. Para obtener más información, consulte Conectar SAML como proveedor de identidades con Citrix Cloud.

Si ya tiene una conexión SAML en Citrix Cloud, debe conectar de nuevo su proveedor de SAML con Citrix Cloud antes de poder agregar grupos de administradores de AD. Si no conecta de nuevo SAML, es posible que no se puedan agregar grupos de administradores de AD. Para obtener más información, consulte Usar una conexión SAML existente para la autenticación del administrador.

Requisitos previos de Azure AD

El uso de la autenticación de grupos de Azure AD requiere la versión más reciente de la aplicación Azure AD para conectar su Azure AD a Citrix Cloud. Citrix Cloud adquirió esta aplicación cuando conectó su Azure AD por primera vez. Si conectó Azure AD a Citrix Cloud antes de mayo de 2019, es posible que Citrix Cloud no esté utilizando la aplicación más reciente para conectarse a Azure AD. Citrix Cloud no puede mostrar sus grupos de Azure AD si su cuenta no utiliza la aplicación más reciente.

Antes de usar los grupos de Azure AD en Citrix Cloud, lleve a cabo las siguientes tareas:

  1. Compruebe que está utilizando la aplicación más reciente para la conexión con Azure AD. Citrix Cloud muestra una notificación si no utiliza la aplicación más reciente.
  2. Si la aplicación debe actualizarse, vuelva a conectar su Azure AD a Citrix Cloud. Por el hecho de reconectarse a su Azure AD, usted concede permisos de solo lectura a nivel de aplicación a Citrix Cloud y permite a Citrix Cloud volver a conectarse a su Azure AD en su nombre. Durante la reconexión, se muestra una lista de estos permisos para que los revise. Para obtener más información sobre los permisos que Citrix Cloud solicita, consulte Permisos de Azure Active Directory para Citrix Cloud.

    Importante:

    Debe ser un administrador global en Azure AD para completar esta tarea. Además, debe haber iniciado sesión en Citrix Cloud con una cuenta de administrador con acceso total en el proveedor de identidades de Citrix. Si inicia sesión con sus credenciales de Azure AD, se produce un error en la reconexión. Si no tiene ningún administrador que utilice el proveedor de identidades de Citrix, puede agregar uno temporalmente para realizar esta tarea y, a continuación, eliminarlo.

Para verificar la conexión a Azure AD

  1. Inicie sesión en Citrix Cloud con una cuenta de administrador con acceso total en el proveedor de identidades de Citrix.
  2. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Autenticación.
  3. Busque Azure Active Directory. Aparece una notificación si Citrix Cloud debe actualizar la aplicación para su conexión con Azure AD.

    Mensaje de reconexión a Azure AD en la consola de Citrix Cloud

    Si Citrix Cloud ya utiliza la aplicación más reciente, no aparece ninguna notificación.

Para conectarse de nuevo a Azure AD

  1. En la notificación de Azure AD de la consola de Citrix Cloud, haga clic en el enlace de reconexión. Aparecerá una lista de los permisos de Azure solicitados.
  2. Revise los permisos y, a continuación, seleccione Aceptar.

Servicios y permisos disponibles

Estos servicios admiten permisos de acceso personalizados para grupos de administradores:

  • Citrix Application Delivery Management Service
  • Citrix DaaS
  • Workspace Environment Management Service

Solo puede asignar permisos de acceso personalizados para los servicios disponibles. Los permisos de acceso total no están disponibles.

Los grupos de administradores no tienen acceso a ningún otro servicio. Solo pueden administrar los servicios disponibles para los que tienen permiso de acceso.

Los cambios de permisos para un miembro del grupo de administradores que ya haya iniciado sesión surtirán efecto solo después de cerrar la sesión e iniciarla de nuevo.

Permisos resultantes para administradores con identidades de Citrix, AD y Azure AD

Cuando un administrador inicia sesión en Citrix Cloud, es posible que solo estén disponibles ciertos permisos si el administrador tiene tanto una identidad de Citrix (el proveedor de identidades predeterminado en Citrix Cloud) como una identidad de AD o Azure AD de un solo usuario o por grupo. En la tabla de esta sección se describen los permisos que están disponibles para cada combinación de estas identidades.

La Identidad de AD o Azure AD de un solo usuario se refiere a los permisos de AD o Azure AD que se conceden al administrador a través de una cuenta individual. La Identidad de AD o Azure AD por grupo se refiere a los permisos de AD o Azure AD que se conceden como miembro de un grupo de Azure AD.

Identidad de Citrix Identidad de AD o Azure AD de un solo usuario Identidad de AD o Azure AD por grupo Permisos disponibles tras la autenticación
X X   El administrador tiene permisos acumulados de ambas identidades después de una autenticación correcta con la identidad de Citrix o la identidad de Azure AD.
X   X Cada identidad se trata como una entidad independiente. Los permisos disponibles dependen de si el administrador se autentica con la identidad de Citrix o la identidad de Azure AD.
  X X El administrador tiene permisos acumulados de ambas identidades al autenticarse en Citrix Cloud con Azure AD.
X X X Al autenticarse con su identidad de Citrix, el administrador tiene permisos acumulados tanto de la identidad de Citrix como de la identidad de Azure AD de un solo usuario. Al autenticarse con Azure AD, el administrador tiene permisos acumulados de las tres identidades.

Experiencia en los inicios de sesión para administradores

Después de agregar un grupo de AD o Azure AD a Citrix Cloud y definir los permisos del servicio, los administradores del grupo simplemente inician sesión al seleccionar Iniciar sesión con mis credenciales de empresa en la página de inicio de sesión de Citrix Cloud al introducir la URL de inicio de sesión correspondiente a la cuenta (por ejemplo, https://citrix.cloud.com/go/mycompany). A diferencia de agregar administradores individuales, los administradores del grupo no reciben ninguna invitación explícita, por lo que no recibirán ningún correo electrónico de invitación para ser administradores de Citrix Cloud.

Después de iniciar sesión, los administradores seleccionan Administrar en el mosaico de servicio para acceder a la consola de administración del servicio.

Mosaico del launchpad con Citrix DaaS

Los administradores a los que se conceden permisos solo como miembros de grupos pueden acceder a la cuenta de Citrix Cloud mediante la URL de inicio de sesión correspondiente a la cuenta de Citrix Cloud.

Los administradores a los que se conceden permisos a través de una cuenta individual y como miembros de un grupo pueden elegir la cuenta de Citrix Cloud a la que quieren acceder. Si el administrador es miembro de varias cuentas de Citrix Cloud, puede seleccionar una cuenta de Citrix Cloud en el selector de clientes después de autenticarse correctamente.

Limitaciones

Acceso a funciones de plataforma y servicio

Las funciones de la plataforma Citrix Cloud descritas en Permisos de la consola no están disponibles para miembros de grupos de administradores.

Además, las funciones de Citrix DaaS que se basan en las prestaciones de la plataforma de Citrix Cloud, como la asignación de usuarios de la Distribución rápida, no están disponibles.

Impacto de varios grupos en el rendimiento de las aplicaciones

Citrix recomienda que un solo administrador no pertenezca a más de 20 grupos que se hayan agregado a Citrix Cloud. Es posible que, si pertenece a más grupos, degrade el rendimiento de las aplicaciones.

Impacto de varios grupos en la autenticación

Si se asigna un administrador por grupos a varios grupos de AD o Azure AD, es posible que la autenticación falle porque hay demasiados grupos. Este problema se produce debido a una limitación en la integración de Citrix Cloud en AD y Azure AD. Cuando el administrador intenta iniciar sesión, Citrix Cloud intenta comprimir la cantidad de grupos que se obtienen. Si Citrix Cloud no puede aplicar la compresión correctamente, no se pueden obtener todos los grupos y se produce un error en la autenticación.

Es posible que este problema también afecte a los usuarios que se autentican en Citrix Workspace a través de AD o Azure AD. Si un usuario pertenece a varios grupos, es posible que la autenticación falle porque hay demasiados grupos.

Para resolver este problema, revise la cuenta de administrador o de usuario y verifique que solo pertenezcan a los grupos que son necesarios para su rol en la organización.

No se pueden agregar grupos porque hay demasiados pares de roles y ámbitos asignados

Al agregar un grupo con varios pares de roles y ámbitos, es posible que se produzca un error que indica que el grupo no se puede crear. Este error se produce porque hay demasiados pares de roles y ámbitos asignados al grupo. Para resolver este error, divida los pares de roles y ámbitos en dos o más grupos y asigne los administradores a esos grupos.

Agregar un grupo de administradores a Citrix Cloud

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. Seleccione Agregar administrador/grupo.
  3. En Detalles del administrador, seleccione su Azure AD e inicie sesión en Azure, si fuera necesario. Seleccione Siguiente.
  4. Si usa AD, seleccione el dominio que quiere usar.
  5. Busque el grupo que quiere agregar y seleccione el grupo.
  6. En Establecer acceso, seleccione los roles que quiera asignar al grupo. Debe seleccionar al menos un rol.
  7. Cuando haya terminado, seleccione Guardar.

Modificar los permisos de servicio de un grupo de administradores

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. Busque el grupo de administradores que quiere administrar y, en el menú de puntos suspensivos, seleccione Modificar acceso. Grupo con el menú Modificar acceso seleccionado
  3. Seleccione o desmarque los pares de roles y ámbitos que necesite.
  4. Cuando haya terminado, seleccione Guardar.

Eliminar un grupo de administradores

  1. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Administradores.
  2. Busque el grupo de administradores que quiere administrar y, en el menú de puntos suspensivos, seleccione Eliminar grupo. Menú de puntos suspensivos con Eliminar grupo seleccionado

    Aparece un mensaje de confirmación. Mensaje de confirmación de eliminación de grupo

  3. Elija Entiendo que, al eliminar este grupo, los administradores de este grupo no podrán acceder a Citrix Cloud para confirmar que conoce las consecuencias de eliminar el grupo.
  4. Seleccione Eliminar.

Cambiar de cuenta de Citrix Cloud

Nota:

En esta sección se describe un caso que afecta únicamente a miembros de grupos de administradores de Azure AD.

De forma predeterminada, los miembros de grupos de administradores de Azure AD no pueden pasar de una cuenta de Citrix Cloud a otra a la que puedan acceder. Para estos administradores, la opción Cambiar cliente, que se muestra en la imagen siguiente, no aparece en el menú de usuario de Citrix Cloud.

Menú de usuario con el botón Cambiar cliente resaltado

Para habilitar esta opción de menú y permitir que los miembros de grupos de Azure AD pasen a otras cuentas de Citrix Cloud, debe vincular las cuentas entre las que quiere que se muevan.

La vinculación de cuentas de Citrix Cloud implica un enfoque radial. Antes de vincular cuentas, decida qué cuenta de Citrix Cloud actuará como la cuenta desde la que se acceda a las otras cuentas (el “centro”) y qué cuentas quiere que aparezcan en el selector de clientes (el “radio”).

Antes de vincular cuentas, asegúrese de cumplir con los siguientes requisitos:

  • Tiene permisos de acceso total en Citrix Cloud.
  • Tiene acceso al Entorno de scripting integrado (ISE) de Windows PowerShell.
  • Tiene los ID de cliente de las cuentas de Citrix Cloud que quiere vincular. El ID de cliente aparece en la esquina superior derecha de la consola de administración de cada cuenta. Consola de Citrix Cloud con ID de cliente resaltado
  • Tiene el token de portador de Citrix CWSAuth para la cuenta de Citrix Cloud que quiere vincular como cuenta central. Para obtener este token de portador, siga las instrucciones de CTX330675. Debe proporcionar esta información al vincular sus cuentas de Citrix Cloud.

Para vincular cuentas de Citrix Cloud

  1. Abra el ISE de PowerShell y pegue este script en el panel de trabajo:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links"
    
    $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers
    $allLinks = $resp.linkedCustomers + @("SpokeCustomerID")
    
    $body = @{"customers"=$allLinks}
    $bodyjson = $body | ConvertTo-Json
    
    $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json'
    Write-Host "Citrix Cloud Status Code: $($resp.RawContent)"
    <!--NeedCopy-->
    
  2. En la línea 4, sustituya CWSAuth bearer=XXXXXXX por su valor de CWSAuth (por ejemplo, CWSAuth bearer=AbCdef123Ghik…). Este valor es un hash largo que se parece a una clave de certificado.
  3. En la línea 6, sustituya HubCustomerID por el ID de cliente de la cuenta del centro.
  4. En la línea 9, sustituya SpokeCustomerID por el ID de cliente de la cuenta del centro.
  5. Ejecute el script.
  6. Repita los pasos del 3 al 5 para vincular cuentas adicionales como radios.

Para desvincular cuentas de Citrix Cloud

  1. Abra el ISE de PowerShell. Si el ISE de PowerShell ya está abierto, borre el contenido del panel de trabajo.
  2. Pegue este script en el panel de trabajo:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID"
    
    $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers
    Write-Host "Response: $($resp.RawContent)"
    <!--NeedCopy-->
    
  3. En la línea 4, sustituya CWSAuth bearer=xxxxxxx1 por su valor de CWSAuth (por ejemplo, CWSAuth bearer=AbCdef123Ghik…). Este valor es un hash largo que se parece a una clave de certificado.
  4. En la línea 6, sustituya HubCustomerID por el ID de cliente de la cuenta del centro.
  5. En la línea 6, sustituya SpokeCustomerID por el ID de cliente de la cuenta del centro.
  6. Ejecute el script.
  7. Repita los pasos del 4 al 6 para desvincular cuentas adicionales.