Administración delegada

Información general

Con la administración delegada de Citrix Cloud, puede configurar los permisos de acceso que todos sus administradores necesitarán en función del rol que desempeñan en la organización.

De forma predeterminada, los administradores tienen acceso total. Con lo que se permite el acceso a todas las funciones de administración y gestión de clientes que haya disponibles en Citrix Cloud, además de todos los servicios suscritos. Para adaptar el acceso de un administrador:

  • Configure un acceso personalizado a los permisos de administración generales de un administrador en Citrix Cloud.
  • Configure un acceso personalizado a los servicios suscritos. En Citrix Virtual Apps and Desktops Service, puede configurar un acceso personalizado cuando invite a un nuevo administrador. Puede cambiar más tarde el acceso de un administrador.

Dispone de información detallada sobre cómo ver la lista de administradores y definir los permisos de acceso en Agregar administradores a una cuenta de Citrix Cloud.

En este artículo se describe cómo configurar un acceso personalizado en Citrix Virtual Apps and Desktops Service.

Administradores, roles y ámbitos

En la administración delegada se utilizan tres conceptos para el acceso personalizado: los administradores, los roles y los ámbitos.

  • Administradores: Un administrador representa a una persona identificada por su inicio de sesión en Citrix Cloud, que generalmente es una dirección de correo electrónico. Cada administrador está asociado a uno o varios pares de rol y ámbito.
  • Roles: Un rol representa una función de trabajo a la que se han asociado permisos. Estos permisos permiten determinadas tareas que son exclusivas del servicio. Por ejemplo, el rol de administrador de grupos de entrega tiene permiso para crear un grupo de entrega o eliminar un escritorio que hubiera en un grupo de entrega, además de otros permisos asociados. Un administrador puede tener varios roles. Un administrador puede ser un administrador de grupo de entrega y un administrador de catálogo de máquinas.

    El servicio ofrece varios roles de acceso integrados y personalizados. No puede cambiar los permisos en esos roles integrados, ni tampoco eliminar esos roles.

    Se pueden crear roles de acceso personalizados para satisfacer las exigencias de la empresa y delegar permisos con mayor flexibilidad. Utilice los roles personalizados para asignar permisos a la granularidad de una acción o tarea. Solo puede eliminar un rol personalizado si no está asignado a un administrador.

    En cambio, sí puede cambiar los roles que tiene un administrador.

    Un rol siempre está emparejado con un ámbito.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera que sea relevante para la organización. Los objetos pueden estar en más de un ámbito.

    Hay un ámbito integrado: “Todo”, que contiene todos los objetos. A los administradores de Citrix Cloud y asistencia técnica siempre se les empareja con el ámbito Todo. Ese ámbito no se puede cambiar para esos administradores.

    Cuando invita (agrega) un administrador a este servicio, un rol siempre se empareja con un ámbito (de forma predeterminada, el ámbito Todo).

    Los ámbitos se crean y se eliminan desde la consola Administrar del servicio. En cambio, los pares de rol y ámbito se asignan desde la consola de Citrix Cloud.

    El ámbito no se muestra a los administradores de acceso total. Por definición, esos administradores tienen acceso a todos los objetos de Citrix Cloud y servicios suscritos que gestione el cliente.

Roles y ámbitos integrados

El servicio dispone de los siguientes roles integrados.

  • Administrador de Cloud: Puede realizar todas las tareas que se pueden iniciar desde el servicio.

    Puede ver las fichas Administrar y Supervisar en la consola. Este rol siempre se combina con el ámbito Todo; no se puede cambiar el ámbito.

    No se deje engañar por el nombre de este rol. Un administrador de Cloud con acceso personalizado no puede realizar tareas a nivel de Citrix Cloud (las tareas de Citrix Cloud requieren acceso total).

  • Administrador de solo lectura: Puede ver todos los objetos en los ámbitos especificados, así como información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con Ámbito = Londres puede ver todos los objetos globales y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de asistencia técnica: Puede ver los grupos de entrega, y administrar las sesiones y las máquinas asociadas a dichos grupos. Puede ver el catálogo de máquinas y la información del host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía en las máquinas de esos grupos de entrega.

    Puede ver la ficha Supervisar en la consola, pero no puede ver la ficha Administrar. Este rol siempre se combina con el ámbito Todo; no se puede cambiar el ámbito.

  • Administrador de catálogo de máquinas: Puede crear y administrar catálogos de máquinas, así como aprovisionar máquinas en ellos. Asimismo, este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones ni los escritorios a los usuarios.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de grupo de entrega: Puede entregar aplicaciones, escritorios y máquinas. También puede administrar las sesiones asociadas. Puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de host: Puede administrar las conexiones de host y los parámetros de recursos que estas tengan asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

En la siguiente tabla se ofrece un resumen de las fichas de consola que verá cada rol de acceso personalizado en el servicio, y se indica si el rol se puede usar con ámbitos personalizados.

Rol de administrador de acceso personalizado ¿Puede ver la ficha Administrar en la consola? ¿Puede ver la ficha Supervisar en la consola? ¿Se puede usar el rol con ámbitos personalizados?
Administrador de Cloud No
Administrador de solo lectura No
Administrador de asistencia técnica No No
Administrador de catálogos de máquinas No
Administrador de grupos de entrega No
Administrador de host No

Para ver los permisos asociados a un rol:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Mis servicios > Virtual Apps and Desktops en el menú superior izquierdo. Seleccione la ficha Administrar.
  2. Haga clic en Configuración > Administradores en el panel de navegación y luego haga clic en la ficha Roles.
  3. Seleccione un rol en el panel central superior. En la ficha Definición de rol situada en el panel inferior se muestra una lista de las categorías y los permisos existentes. Seleccione una categoría para ver los permisos específicos. En la ficha Administradores se ofrece una lista de los administradores a los que se les ha asignado el rol seleccionado.

    Problema conocido: una entrada de administrador total en la consola Administrar no muestra el conjunto correcto de permisos de un administrador con acceso total al servicio.

Cuántos administradores se necesitan

Por lo general, la cantidad de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, un administrador o un número reducido de ellos puede hacer cualquier cosa. No hay delegación de acceso personalizada. En este caso, todos los administradores tienen acceso total, que siempre tiene el ámbito Todo.
  • Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos tienen acceso total y los demás son administradores de asistencia técnica. Asimismo, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas en un departamento concreto. En este caso, cree ámbitos y administradores con los ámbitos y los roles de acceso personalizado que sean adecuados.

Resumen de la gestión de administradores

En la configuración de administradores para el servicio se sigue esta secuencia de tareas:

  1. Si desea que el nuevo administrador tenga un rol distinto de un administrador total (que cubre todos los servicios suscritos en Citrix Cloud) o un rol integrado, cree un rol personalizado
  2. Si quiere que el nuevo administrador tenga un ámbito que no sea Todo (siempre que se permita otro ámbito para el rol en cuestión y aún no se haya creado), cree ámbitos.
  3. Desde Citrix Cloud, invite a un administrador. Si quiere que el nuevo administrador tenga algo que no sea el acceso total predeterminado, especifique un par personalizado de rol y ámbito.

Más adelante, si desea cambiar el acceso de un administrador (roles y ámbito), consulte Configurar el acceso personalizado.

Invitar a un administrador

La incorporación de administradores sigue las instrucciones detalladas en Agregar administradores a una cuenta de Citrix Cloud. Un subconjunto de esa información se repite aquí.

Importante:

No confunda los conceptos “personalizado” y “acceso personalizado”.

  • Al crear administradores y asignar roles para el servicio en la consola de Citrix Cloud, el término “acceso personalizado” incluye tanto los roles integrados como cualquier otro rol personalizado que se haya creado en la consola Administrar del servicio.
  • En la consola Administrar del servicio, “personalizado” simplemente diferencia ese rol de un rol integrado.

Para agregar e invitar a un administrador:

  1. Después de iniciar sesión en Citrix Cloud, seleccione Administración de acceso e identidad en el menú superior izquierdo.

  2. En la página Administración de acceso e identidad, haga clic en Administradores. En la pantalla se muestran los administradores actuales en la cuenta.
  3. Haga clic en Agregar administradores desde y, a continuación, seleccione su método de autenticación. Escriba la dirección de correo electrónico de la persona. Opcionalmente, seleccione un par de rol y ámbito.

    Si no selecciona un par de rol y ámbito personalizado, al nuevo administrador se le concederá acceso total de forma predeterminada. Esa configuración implica poder acceder a todas las funciones de administrador de clientes en Citrix Cloud y en todos los servicios suscritos.

    Si quiere que el administrador tenga un acceso más limitado, seleccione un par de ámbito y rol de acceso personalizado. De esa manera, los nuevos administradores tienen los permisos previstos cuando inician sesión en Citrix Cloud por primera vez.

  4. Haga clic en Invitar. Citrix Cloud envía una invitación a la dirección de correo electrónico especificada y agrega al administrador a la lista.

    Cuando el administrador recibe el mensaje de correo electrónico, tiene que hacer clic en el enlace Únase a Citrix Cloud para aceptar la invitación.

Crear y gestionar roles

Cuando los administradores crean o editan un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto impide que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o editen un rol que ya tienen asignado).

Los nombres de los roles pueden contener un máximo de 64 caracteres Unicode. No pueden contener los siguientes caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), <> (flecha izquierda o derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), () (paréntesis izquierdo o derecho), “ (comillas dobles) ni ‘ (apóstrofe).

Las descripciones de los roles pueden contener un máximo de 256 caracteres Unicode.

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Mis servicios > Virtual Apps and Desktops en el menú superior izquierdo. Seleccione la ficha Administrar.
  2. Haga clic en Configuración > Administradores en el panel de navegación, y, a continuación, haga clic en la ficha Roles en el panel central superior.
  3. Siga las instrucciones correspondientes a la tarea que desea completar:

    • Ver información detallada de un rol: selecciónelo en el panel central. La parte inferior del panel central muestra los tipos de objeto y los permisos asociados con el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que actualmente tienen ese rol.
    • Crear un rol personalizado: haga clic en Crear nuevo rol en el panel Acciones. Escriba un nombre y una descripción. Seleccione los tipos de objeto y los permisos pertinentes. Haga clic en Guardar cuando haya terminado.

      Cuadro de diálogo para creación de nuevos roles

    • Copiar un rol: selecciónelo en el panel central y, a continuación, haga clic en Copiar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario. Haga clic en Guardar cuando haya terminado.
    • Modificar un rol personalizado: selecciónelo en el panel central y, a continuación, haga clic en Modificar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario. Los roles integrados no se pueden modificar. Haga clic en Guardar cuando haya terminado.
    • Eliminar un rol personalizado: selecciónelo en el panel central y, a continuación, haga clic en Eliminar rol en el panel Acciones. Cuando se le solicite, confirme la eliminación. Los roles integrados no pueden eliminarse. No se puede eliminar un rol personalizado si está asignado a un administrador.

Crear y gestionar ámbitos

De forma predeterminada, todos los roles tienen el ámbito Todo para sus objetos relevantes. Por ejemplo, un administrador de grupos de entrega puede administrar todos los grupos de entrega. Para algunos roles de administrador, puede crear un ámbito que permita a ese rol de administrador acceder a un subconjunto de los objetos relevantes. Por ejemplo, puede que le interese conceder a un administrador de catálogos de máquinas acceso únicamente a los catálogos que contienen un determinado tipo de máquinas, en lugar de a todos los catálogos.

  • Los administradores de acceso total o los administradores de Cloud de acceso personalizado pueden crear ámbitos para los roles Administrador de solo lectura, Administrador de catálogo de máquinas, Administrador de grupo de entrega y Administrador de host.
  • Los ámbitos no se pueden crear para los administradores de acceso total, ni se pueden crear para los administradores de Cloud o los administradores de asistencia técnica, porque esos administradores siempre tienen el ámbito Todo.

Reglas para crear y gestionar ámbitos:

  • Los nombres de los ámbitos pueden contener un máximo de 64 caracteres Unicode. Sin embargo, los nombres de los ámbitos no pueden contener estos caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), <> (flecha izquierda o derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), () (paréntesis izquierdo o derecho), “ (comillas dobles) ni ‘ (apóstrofe).
  • Las descripciones de los ámbitos pueden contener un máximo de 256 caracteres Unicode.
  • Al copiar o modificar un ámbito, tenga en cuenta que eliminar objetos del ámbito puede tener como consecuencia que un administrador no pueda acceder a ellos. Si el ámbito modificado está emparejado con uno o varios roles, compruebe que los cambios que haga en el ámbito no hagan que la pareja de rol y ámbito quede inutilizable.

Para crear y administrar ámbitos:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Mis servicios > Virtual Apps and Desktops en el menú superior izquierdo. Seleccione la ficha Administrar.
  2. Haga clic en Configuración > Administradores en el panel de navegación, y, a continuación, haga clic en la ficha Ámbitos en el panel central superior.
  3. Siga las instrucciones correspondientes a la tarea que desea completar:

    • Ver información detallada de un ámbito: selecciónelo en el panel central. La parte inferior del panel central muestra los tipos de objeto y los permisos asociados con el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que actualmente tienen ese rol.
    • Crear un ámbito: haga clic en Crear ámbito en el panel Acciones. Escriba un nombre y una descripción. Los objetos se enumeran por tipo, como Grupo de entrega y Catálogo de máquinas.
      • Para incluir todos los objetos de un tipo concreto (por ejemplo, todos los grupos de entrega), marque la casilla correspondiente al tipo de objeto.
      • Para incluir objetos concretos que haya dentro de un tipo de objeto, expanda el tipo y, a continuación, marque las casillas de los objetos (por ejemplo, grupos de entrega concretos).

      Haga clic en Guardar cuando haya terminado.

      Cuadro de diálogo Crear ámbito

    • Para copiar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Cambie el nombre o la descripción. Cambie los objetos y los tipos de objeto, según sea necesario. Haga clic en Guardar cuando haya terminado.
    • Para modificar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Modificar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario. Haga clic en Guardar cuando haya terminado.
    • Para eliminar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación.

      No se puede eliminar un ámbito si está asignado a un rol. Si lo intenta, aparecerá un mensaje de error para indicarle que no tiene permiso para hacerlo. De hecho, el error se produce porque el par de rol y ámbito que utiliza este ámbito está asignado a un administrador. En primer lugar, elimine la asignación del par de rol y ámbito en todos los administradores que la utilicen. A continuación, elimine el ámbito en la consola Administrar.

Después de crear un ámbito, dicho ámbito aparece en la lista Acceso personalizado en la consola de Citrix Cloud, junto con su rol correspondiente. Entonces, puede asignarlo a un administrador.

Por ejemplo, supongamos que crea un ámbito llamado CAD y selecciona los catálogos de máquinas que contienen las máquinas indicadas para las aplicaciones CAD. Cuando vuelve a la consola de Citrix Cloud, la lista de los pares de rol y ámbito de acceso personalizado a nivel del servicio contiene nuevas entradas (que se muestran en negrita):

  • Administrador de Cloud,Todo
  • Administrador de grupo de entrega,Todo
  • Administrador de grupo de entrega,CAD
  • Administrador de asistencia técnica,Todo
  • Administrador de host,Todo
  • Administrador de host,CAD
  • Administrador de catálogo de máquinas,Todo
  • Administrador de catálogo de máquinas,CAD
  • Solo lectura,Todo
  • Solo lectura,CAD

El administrador de Cloud y el administrador de asistencia técnica siempre tienen el ámbito Todo, por lo que el ámbito CAD no se aplica a ellos.

Configurar acceso personalizado para un administrador

De forma predeterminada, cuando invita a los administradores, estos tienen acceso total.

Recuerde: El acceso total permite al administrador gestionar todos los servicios suscritos, encargarse de las operaciones de administración y gestión de clientes de Citrix Cloud (como invitar a otros administradores). Una implementación de Citrix Cloud necesita al menos un administrador con acceso total.

Para configurar el acceso personalizado para un administrador:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Administración de acceso e identidad > Administradores en el menú superior izquierdo.
  2. Busque al administrador que quiere gestionar, haga clic en el menú de tres puntos y seleccione Modificar acceso.
  3. Seleccione Acceso personalizado. Para configurar un acceso personalizado específico del servicio, en Virtual Apps and Desktops, marque o desmarque las casillas situadas junto a uno o varios pares de rol y ámbito en la lista de acceso personalizado.

    Si no ha creado ningún ámbito ni lo ha asignado a un rol, todos los roles en la lista de acceso personalizado tendrán el ámbito Todo. Por ejemplo, la entrada de rol y ámbito Administrador de grupos de entrega,Todo indica que el rol tiene el ámbito Todo.

    Al crear un rol o ámbito, este aparece en la lista de acceso personalizado para el servicio y se puede seleccionar. Por ejemplo, si creó un ámbito denominado Catálogo1, la lista de acceso personalizado incluye una entrada Administrador de catálogo de máquinas, Catálogo1, además de la entrada predeterminada Administrador de catálogo de máquinas,Todo.

  4. Si el administrador que está modificando ya tiene acceso personalizado y quiere otorgarle acceso total, seleccione Acceso completo.
  5. Haga clic en Guardar cuando haya terminado.

En la siguiente captura de pantalla se muestra el rol de acceso total y los roles de administrador integrados para el acceso personalizado.

Pantalla de acceso personalizado

Diferencias de Citrix Virtual Apps and Desktops local

Si conoce la administración delegada en la versión local de Citrix Virtual Apps and Desktops, la versión del servicio presenta varias diferencias.

En Citrix Cloud:

  • Se identifica a los administradores por su inicio de sesión en Citrix Cloud, en lugar de su cuenta de Active Directory. Puede crear pares de rol y ámbito para personas de Active Directory, pero no para grupos.
  • Los administradores se crean, configuran y eliminan en la consola de Citrix Cloud, en lugar de la consola Administrar del servicio (Studio).
  • Los pares de rol y ámbito se asignan a los administradores en la consola de Citrix Cloud, en lugar de la consola Administrar del servicio (Studio).
  • Los informes no están disponibles. Puede ver la información de administrador, rol y ámbito en la consola Administrar.
  • El administrador de Cloud con acceso personalizado es similar a un administrador total en la versión local. Ambos tienen permisos totales de administración y supervisión para la versión de Citrix Virtual Apps and Desktops que se está utilizando. Sin embargo, en el servicio, no hay ningún rol de administrador total con nombre. No equipare el “Acceso completo” en Citrix Cloud con el “Administrador total” en Citrix Virtual Apps and Desktops local. El acceso completo en Citrix Cloud abarca los dominios a nivel de plataforma, la biblioteca, las notificaciones y las ubicaciones de recursos, además de todos los servicios suscritos.

Diferencias de versiones de servicio anteriores

Antes de la publicación de la funcionalidad expandida de acceso personalizado (septiembre de 2018), había dos roles de administrador de acceso personalizado: administrador total y administrador de asistencia técnica. Cuando la implementación tiene habilitada la administración delegada (que es una configuración de la plataforma), esos roles se asignan automáticamente.

  • Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador total ahora tiene un acceso personalizado Administrador de Cloud.
  • Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador de asistencia técnica ahora tiene un acceso personalizado Administrador de asistencia técnica.

Más información

Consulte Administración delegada y supervisión para obtener información acerca de los administradores, roles y ámbitos utilizados en la consola Supervisar del servicio.