Administración de usuarios
Citrix SD-WAN Orchestrator for On-premises admite el control de acceso basado en roles (RBAC). El RBAC regula el acceso a los recursos de SD-WAN Orchestrator según las funciones asignadas a los usuarios individuales. RBAC permite a los usuarios acceder únicamente a los datos que su rol exige y restringe cualquier otro dato.
Un rol define los permisos para ver y realizar diversas actividades en Citrix SD-WAN Orchestrator for On-premises. Puede asignar un rol a un usuario de la lista de funciones predefinidas.
De forma predeterminada, se crea una cuenta de usuario en Citrix SD-WAN Orchestrator for On-premises con el nombre de usuario admin y la contraseña configurados como contraseña. Se pide al usuario que cambie la contraseña predeterminada durante el inicio de sesión inicial.
Puede agregar usuarios que se puedan autenticar de forma local y remota. Los usuarios que se autentican de forma remota se autentican a través de los servidores de autenticación RADIUS o TACACS+.
Funciones de proveedor
En la tabla siguiente se enumeran las funciones de proveedor predefinidas.
| Función de proveedor | Descripción |
|---|---|
| Provider-Master-Admin-All | Un administrador que puede administrar el proveedor y toda la información de sus clientes |
| Provider-Master-Admin-Tenant | Un administrador que puede administrar el proveedor y un subconjunto de la información de sus clientes |
| Provider-Master - Solo lectura - Todo | Un administrador que solo puede ver la información del proveedor y del cliente |
| Provider-Network-Admin (versión preliminar) | Un administrador que solo puede ver y modificar la información relacionada con la red |
| Provider-Security-Admin (versión preliminar) | Un administrador que solo puede ver y modificar la información relacionada con la seguridad |
La función Provider-Master-Admin-All puede realizar lo siguiente:
- Asignar roles a usuarios en la red de proveedores y clientes
- Administrar el acceso a los clientes para todos los demás roles de administrador
- Modificar o eliminar roles asignados
Funciones del cliente
En la siguiente tabla se enumeran las funciones de cliente predefinidas:
| Rol | Descripción |
|---|---|
| Customer-Master-Admin | Un administrador de clientes que puede ver y modificar la información del cliente |
| Customer-Master-ReadOnly-Admin | Un administrador de clientes que solo puede ver la información del cliente |
| Customer-Network-Admin (versión preliminar) | Un administrador de clientes que solo puede ver y modificar información relacionada con la red |
| Customer-Security-Admin (versión preliminar) | Un administrador de clientes que solo puede ver y modificar la información relacionada con la seguridad |
Un usuario con la función Customer-Master-Admin puede realizar lo siguiente:
- Agregar usuarios y asignar funciones de clientes
- Modificar o eliminar roles asignados
Funciones de soporte
Para solucionar problemas, los clientes pueden asignar funciones de soporte y ofrecer a los miembros del equipo de soporte la posibilidad de ver y modificar su información. Los roles de soporte tienen un período de validez que se define al asignar el rol. Una vez que finaliza el período de validez, el usuario de soporte pierde el acceso a la información del cliente. Sin embargo, los detalles del usuario de soporte siguen apareciendo en Administración > Administración de usuarios. Según la necesidad, el administrador del cliente puede eliminar o ampliar la validez de la función de soporte.
| Rol | Descripción |
|---|---|
| Soporte del cliente y lectura de escritura | Un miembro del equipo de soporte que puede ver y modificar la información del cliente |
| Soporte del cliente: Solo lectura | Un miembro del equipo de soporte que solo puede ver la información del cliente |
Tipos de autenticación
Citrix SD-WAN Orchestrator for On-premises admite los siguientes tipos de autenticación:
- Autenticaciónde factor único: La autenticación de factor único presenta un método de autenticación para obtener acceso a Citrix SD-WAN Orchestrator for On-premises para los usuarios.
- Autenticación de dos factores (TFA): La autenticación de dos factores presenta dos métodos de autenticación para que los usuarios puedan acceder a Citrix SD-WAN Orchestrator for On-premises. Introduce una capa adicional de seguridad en la secuencia de inicio de sesión.
Se admiten los siguientes métodos de autenticación para la autenticación de un solo factor y de dos factores:
- Local: Cuando se selecciona, el usuario debe usar la contraseña configurada en Citrix SD-WAN Orchestrator for On-premises para obtener acceso.
- RADIUS: Cuando se selecciona, el usuario debe usar la contraseña del servidor RADIUS para obtener acceso.
- TACACS+: Cuando se selecciona, los usuarios deben usar la contraseña del servidor TACACS+ para obtener acceso.
En la siguiente tabla se enumeran los métodos de autenticación principales y secundarios compatibles con los usuarios que se autentican localmente:
| Tipo de autenticación principal | Tipo de autenticación secundaria | ||
|---|---|---|---|
| autenticación de un solo factor | Locales | - | |
| Autenticación de dos factores | Locales | RADIUS o TACACS+ | |
En la siguiente tabla se enumeran los métodos de autenticación principales y secundarios compatibles con los usuarios que se autentican de forma remota:
| Tipo de autenticación principal | Tipo de autenticación secundaria | ||
|---|---|---|---|
| autenticación de un solo factor | Local, RADIUS o TACACS+ | - | |
| Autenticación de dos factores | Local, RADIUS o TACACS+ | RADIUS o TACACS+ | |
Si la autenticación de dos factores está habilitada y los servidores RADIUS/TACACS+ están configurados como un tipo de autenticación secundario, el campo Contraseña secundaria estará visible en la página de inicio de sesión.
Agregar un usuario
Vaya a Administración > Administración de usuarios > haga clic en + Nuevo > Introduzca los siguientes detalles > haga clic en Agregar.
- Introduzca el nombre de usuario.
- Autenticación de factor único: Solo habilita la autenticación principal para iniciar sesión de los usuarios.
- Autenticación de dos factores: Permite la autenticación principal y secundaria para iniciar sesión a los usuarios. Para obtener más información, consulte Servidores de autenticación remota.
- Tipo de autenticación principal: Seleccione Local o la dirección IP del servidor de autenticación remota.
-
Tipo de autenticación secundaria: Seleccione la dirección IP del servidor de autenticación remota.
NOTA
El campo Tipo de autenticación secundaria aparece atenuado si se selecciona la autenticación de un solo factor.
- Función: Seleccione una función de la lista de funciones disponibles.
- Denegar el acceso a los clientes: (Disponible solo al nivel de proveedor). Al agregar usuarios, los proveedores pueden denegar el acceso a clientes específicos.
- Fecha de caducidad (MM/DD/YYYY): fecha hasta la cual el usuario de soporte tiene acceso a la información del cliente. El período de validez predeterminado es de dos semanas a partir de la fecha en que se asigna el rol.
- Introduzca la contraseña. La longitud de la contraseña debe estar entre 8 y 128 caracteres.
Mediante la columna Acciones, puede cambiar el rol de usuario, actualizar la contraseña y modificar el tipo de autenticación. También puede eliminar el usuario si es necesario.
Limitación
Citrix SD-WAN Orchestrator for On-premises no admite la duplicación de nombres de usuario de un cliente diferente en el mismo proveedor. Cuando se realiza esta acción, aparece el mensaje de error Error al crear la cuenta.
Cambiar el tipo de autenticación
Puede cambiar el tipo de autenticación de un usuario de una autenticación de un solo factor a una autenticación de dos factores y viceversa.
Para cambiar el tipo de autenticación de un usuario, en la columna Acciones, haga clic en … y, a continuación, en Modificar servidor de autenticación.
Si actualmente ha seleccionado Autenticación de factor único, puede cambiar a la autenticación de dos factores. Haga clic en Autenticación de dos factores y seleccione el servidor remoto en la lista desplegable Tipo de autenticación secundaria. Haga clic en Aplicar.
Si actualmente ha seleccionado la autenticación de dos factores, puede elegir cambiar solo el tipo de autenticación secundaria o cambiar a la autenticación de factor único.
Para cambiar a la autenticación de un solo factor, haga clic en Autenticaciónde La lista desplegable del tipo de autenticación secundaria se inhabilita y solo se habilita la lista desplegable del tipo de autenticación principal.
Eltipo de autenticación principal solo se puede configurar en el momento de la creación del usuario y no se puede modificar más adelante.
Cambiar contraseña
Puede cambiar la contraseña de los usuarios locales. Para cambiar la contraseña de un usuario, en la columna Acciones, haga clic en … y actualice la contraseña local.
NOTA
Solo puede modificar la contraseña para los usuarios locales. Para los usuarios autenticados de forma remota, debe actualizar la contraseña en el servidor externo.
Cambiar rol de usuario
Para cambiar el rol del usuario, haga clic en el icono Modificar de la columna Acciones. Seleccione un rol y haga clic en Aplicar.
NOTA
No puede modificar el rol del usuario administrador predeterminado.
