Administración delegada

Información general

Con la administración delegada de Citrix Cloud, puede configurar los permisos de acceso que todos sus administradores necesitarán en función del rol que desempeñan en la organización.

De forma predeterminada, los administradores tienen acceso total. Con lo que se permite el acceso a todas las funciones de administración y gestión de clientes que haya disponibles en Citrix Cloud, además de todos los servicios suscritos. Para adaptar el acceso de un administrador:

  • Configure un acceso personalizado a los permisos de administración generales de un administrador en Citrix Cloud.
  • Configure un acceso personalizado a los servicios suscritos. En Citrix Virtual Apps and Desktops Service, puede configurar un acceso personalizado cuando invite a un nuevo administrador. Puede cambiar más tarde el acceso de un administrador.

Dispone de información detallada sobre cómo ver la lista de administradores y definir los permisos de acceso en Agregar administradores a una cuenta de Citrix Cloud.

En este artículo se describe cómo configurar un acceso personalizado en Citrix Virtual Apps and Desktops Service.

Administradores, roles y ámbitos

En la administración delegada se utilizan tres conceptos para el acceso personalizado: los administradores, los roles y los ámbitos.

  • Administradores: Un administrador representa a una persona identificada por su inicio de sesión en Citrix Cloud, que generalmente es una dirección de correo electrónico. Cada administrador está asociado a uno o varios pares de rol y ámbito.
  • Roles: Un rol representa una función de trabajo a la que se han asociado permisos. Estos permisos permiten determinadas tareas que son exclusivas del servicio. Por ejemplo, el rol de administrador de grupos de entrega tiene permiso para crear un grupo de entrega o eliminar un escritorio que hubiera en un grupo de entrega, además de otros permisos asociados. Un administrador puede tener varios roles. Un administrador puede ser un administrador de grupo de entrega y un administrador de catálogo de máquinas.

    El servicio ofrece varios roles de acceso integrados y personalizados. (No puede crear otros roles de acceso personalizados.) No puede cambiar los permisos que concedan esos roles de acceso personalizados e integrados; tampoco puede eliminar esos roles. En cambio, sí puede cambiar los roles que tiene un administrador.

    Un rol siempre está emparejado con un ámbito.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera que sea relevante para la organización. Los objetos pueden estar en más de un ámbito.

    Hay un ámbito integrado: “Todo”, que contiene todos los objetos. A los administradores de Citrix Cloud y asistencia técnica siempre se les empareja con el ámbito Todo. Ese ámbito no se puede cambiar para esos administradores.

    Cuando invita (agrega) un administrador a este servicio, un rol siempre se empareja con un ámbito (de forma predeterminada, el ámbito Todo).

    Los ámbitos se crean y se eliminan desde la consola de Studio. En cambio, los pares de rol y ámbito se asignan desde la consola de Citrix Cloud.

    El ámbito no se muestra a los administradores de acceso total. Por definición, esos administradores tienen acceso a todos los objetos de Citrix Cloud y servicios suscritos que gestione el cliente.

Ámbitos y roles integrados de acceso personalizado

El servicio dispone de los siguientes roles integrados de acceso personalizado.

  • Administrador de Cloud: Puede realizar todas las tareas que se pueden iniciar desde el servicio.

    Puede ver las fichas Administrar y Supervisar en la consola. Este rol siempre se combina con el ámbito Todo; no se puede cambiar el ámbito.

    No se deje engañar por el nombre de este rol. Un administrador de Cloud con acceso personalizado no puede realizar tareas a nivel de Citrix Cloud (las tareas de Citrix Cloud requieren acceso total).

  • Administrador de solo lectura: Puede ver todos los objetos en los ámbitos especificados, así como información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con Ámbito = Londres puede ver todos los objetos globales y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de asistencia técnica: Puede ver los grupos de entrega, y administrar las sesiones y las máquinas asociadas a dichos grupos. Puede ver el catálogo de máquinas y la información del host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía en las máquinas de esos grupos de entrega.

    Puede ver la ficha Supervisar en la consola, pero no puede ver la ficha Administrar. Este rol siempre se combina con el ámbito Todo; no se puede cambiar el ámbito.

  • Administrador de catálogo de máquinas: Puede crear y administrar catálogos de máquinas, así como aprovisionar máquinas en ellos. Asimismo, este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones ni los escritorios a los usuarios.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de grupo de entrega: Puede entregar aplicaciones, escritorios y máquinas. También puede administrar las sesiones asociadas. Puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

  • Administrador de host: Puede administrar las conexiones de host y los parámetros de recursos que estas tengan asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    Puede ver la ficha Administrar en la consola, pero no puede ver la ficha Supervisar. El ámbito se puede cambiar.

En la siguiente tabla se ofrece un resumen de las fichas de consola que verá cada rol de acceso personalizado en el servicio, y se indica si el rol se puede usar con ámbitos personalizados.

Rol de administrador de acceso personalizado ¿Puede ver la ficha Administrar en la consola? ¿Puede ver la ficha Supervisar en la consola? ¿Se puede usar el rol con ámbitos personalizados?
Administrador de Cloud No
Administrador de solo lectura No
Administrador de asistencia técnica No No
Administrador de catálogo de máquinas No
Administrador de grupo de entrega No
Administrador de host No

Para ver los permisos asociados a un rol:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Mis servicios > Virtual Apps and Desktops en el menú superior izquierdo. Seleccione la ficha Administrar.
  2. Haga clic en Configuración > Administradores en el panel de navegación de Studio y luego haga clic en la ficha Roles.
  3. Seleccione un rol en el panel central superior. En la ficha Definición de rol situada en el panel inferior se muestra una lista de las categorías y los permisos existentes. Seleccione una categoría para ver los permisos específicos. En la ficha Administradores se ofrece una lista de los administradores a los que se les ha asignado el rol seleccionado.

    Problema conocido: una entrada de administrador total en Studio no muestra el conjunto correcto de permisos de un administrador con acceso total al servicio.

Cuántos administradores se necesitan

Por lo general, la cantidad de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, todas las tareas recaen en un administrador o un número reducido de ellos; no se delega nada con acceso personalizado. En este caso, todos los administradores tienen acceso total, que siempre tiene el ámbito Todo.
  • Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos tienen acceso total y los demás son administradores de asistencia técnica. Además, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas en un departamento concreto. En este caso, cree ámbitos y administradores con los ámbitos y los roles de acceso personalizado que sean adecuados.

Resumen de la gestión de administradores

En la configuración de administradores adicionales para el servicio se sigue esta secuencia de tareas:

  1. Si quiere que el nuevo administrador tenga un ámbito que no sea Todo (siempre que se permita otro ámbito para el rol en cuestión y aún no se haya creado), cree ámbitos en Studio.
  2. En Citrix Cloud, invite a un administrador. Si quiere que el nuevo administrador tenga algo que no sea el acceso total predeterminado, especifique un par personalizado de rol y ámbito.

Más adelante, si quiere cambiar el acceso de un administrador, consulte Configurar acceso personalizado.

Invitar a un administrador

Para agregar administradores, se sigue las instrucciones indicadas en Agregar administradores a una cuenta de Citrix Cloud. Un subconjunto de esa información se repite aquí.

  1. Después de iniciar sesión en Citrix Cloud, seleccione Administración de acceso e identidad en el menú.

  2. En la página Administración de acceso e identidad, haga clic en Administradores. En la pantalla se muestran los administradores actuales en la cuenta.
  3. Haga clic en Agregar administradores desde y, a continuación, seleccione su método de autenticación. Escriba la dirección de correo electrónico de la persona. Opcionalmente, seleccione un par de rol y ámbito.

    Si no selecciona un par personalizado de rol y ámbito, se asignará el acceso total al nuevo administrador de forma predeterminada. Ese acceso implica poder acceder a todas las funciones de administrador de clientes en Citrix Cloud y en todos los servicios suscritos.

    Si quiere que el administrador tenga un acceso más limitado, seleccione uno de los pares de ámbito y rol de acceso personalizado. De esa manera, los nuevos administradores tienen los permisos previstos cuando inician sesión en Citrix Cloud por primera vez.

  4. Haga clic en Invitar. Citrix Cloud envía una invitación a la dirección de correo electrónico especificada y agrega el administrador a la lista.

    Cuando el administrador recibe el mensaje de correo electrónico, tiene que hacer clic en el enlace Únase a Citrix Cloud para aceptar la invitación.

Crear ámbitos

De forma predeterminada, todos los roles tienen el ámbito Todo para sus objetos relevantes. Por ejemplo, un administrador de grupos de entrega puede administrar todos los grupos de entrega. Para algunos roles de administrador, puede crear un ámbito que permita a ese rol de administrador acceder a un subconjunto de los objetos relevantes. Por ejemplo, puede que le interese conceder a un administrador de catálogos de máquinas acceso únicamente a los catálogos que contienen un determinado tipo de máquinas, en lugar de a todos los catálogos.

  • Los administradores de acceso total o los administradores de Cloud de acceso personalizado pueden crear ámbitos para los roles Administrador de solo lectura, Administrador de catálogo de máquinas, Administrador de grupo de entrega y Administrador de host.
  • Los ámbitos no se pueden crear para los administradores de acceso total, ni se pueden crear para los administradores de Cloud o los administradores de asistencia técnica, porque esos administradores siempre tienen el ámbito Todo.

Reglas para crear y gestionar ámbitos:

  • Los nombres de los ámbitos pueden contener un máximo de 64 caracteres Unicode. Sin embargo, los nombres de los ámbitos no pueden contener estos caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), <> (flecha izquierda o derecha), | (barra vertical), [] (corchete izquierdo o derecho), () (paréntesis izquierdo o derecho), “ (comillas dobles) ni ‘ (apóstrofe).
  • Las descripciones de los ámbitos pueden contener un máximo de 256 caracteres Unicode.
  • Al copiar o modificar un ámbito, tenga en cuenta que eliminar objetos del ámbito puede tener como consecuencia que un administrador no pueda acceder a ellos. Si el ámbito modificado está emparejado con uno o varios roles, compruebe que los cambios que haga en el ámbito no hagan que la pareja de rol y ámbito quede inutilizable.

Para crear un ámbito:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Mis servicios > Virtual Apps and Desktops en el menú superior izquierdo. Seleccione la ficha Administrar.
  2. Haga clic en Configuración > Administradores en el panel de navegación de Studio y luego haga clic en la ficha Ámbitos.
  3. En el panel Acciones, haga clic en Crear ámbito. Escriba un nombre y una descripción. Los objetos se enumeran por tipo, como Grupo de entrega y Catálogo de máquinas.

    • Para incluir todos los objetos de un tipo concreto (por ejemplo, todos los grupos de entrega), marque la casilla correspondiente al tipo de objeto.

    • Para incluir objetos concretos que haya dentro de un tipo de objeto, expanda el tipo y, a continuación, marque las casillas de los objetos (por ejemplo, grupos de entrega concretos).

  4. Cuando haya terminado, haga clic en Guardar.

    Cuadro de diálogo Crear ámbito

Después de crear un ámbito en Studio, dicho ámbito aparece en la lista Acceso personalizado en la consola de Citrix Cloud, junto con su rol correspondiente. Entonces, puede asignarlo a un administrador.

Por ejemplo, supongamos que crea un ámbito en Studio llamado CAD y selecciona los catálogos de máquinas que contienen las máquinas indicadas para las aplicaciones CAD. Cuando vuelve a la consola de Citrix Cloud, la lista de los pares de rol y ámbito de acceso personalizado a nivel del servicio contiene nuevas entradas (que se muestran a continuación en negrita):

  • Administrador de Cloud,Todo
  • Administrador de grupo de entrega,Todo
  • Administrador de grupo de entrega,CAD
  • Administrador de asistencia técnica,Todo
  • Administrador de host,Todo
  • Administrador de host,CAD
  • Administrador de catálogo de máquinas,Todo
  • Administrador de catálogo de máquinas,CAD
  • Solo lectura,Todo
  • Solo lectura,CAD

El administrador de Cloud y el administrador de asistencia técnica siempre tienen el ámbito Todo, por lo que el ámbito CAD no se aplica a ellos.

Administrar ámbitos

Después de crear un ámbito, puede copiarlo, modificarlo o eliminarlo de Studio.

Haga clic en Configuración > Administradores en el panel de navegación de Studio y luego haga clic en la ficha Ámbitos.

  • Para copiar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Escriba un nombre y una descripción. Cambie los objetos y los tipos de objeto, según sea necesario.
  • Para modificar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Modificar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
  • Para eliminar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación. No se puede eliminar un ámbito si está asignado a un rol. Si lo intenta, aparecerá un mensaje de error para indicarle que no tiene permiso para hacerlo. De hecho, el error se produce porque el par de rol y ámbito que utiliza este ámbito está asignado a un administrador. Antes debe eliminar la asignación del par de rol y ámbito en todos los administradores que la utilicen. A continuación, puede eliminar el ámbito en Studio.

Configurar acceso personalizado para un administrador

De forma predeterminada, cuando invita a los administradores, estos tienen acceso total.

Recuerde: El acceso total permite al administrador gestionar todos los servicios suscritos, encargarse de las operaciones de administración y gestión de clientes de Citrix Cloud (como invitar a administradores adicionales). Una implementación de Citrix Cloud necesita al menos un administrador con acceso total.

Para configurar el acceso personalizado para un administrador:

  1. Inicie sesión en Citrix Cloud si aún no lo ha hecho. Seleccione Administración de acceso e identidad > Administradores en el menú superior izquierdo.
  2. Busque al administrador que quiere gestionar, haga clic en el menú de tres puntos y seleccione Modificar acceso.
  3. Seleccione Acceso personalizado. Para configurar un acceso personalizado específico del servicio, en Virtual Apps and Desktops, marque o desmarque las casillas situadas junto a uno o varios pares de rol y ámbito en la lista de acceso personalizado.

    Si no ha creado ningún ámbito en Studio ni lo ha asignado a un rol, todos los roles en la lista de acceso personalizado tendrán el ámbito Todo. Por ejemplo, la entrada de rol y ámbito Administrador de grupos de entrega,Todo indica que el rol tiene el ámbito Todo.

    Si ha creado un ámbito en Studio, este aparece en la lista de acceso personalizado para el servicio y se puede seleccionar. Por ejemplo, si creó un ámbito denominado Catálogo1, la lista de acceso personalizado incluye una entrada Administrador de catálogo de máquinas, Catálogo1, además de la entrada predeterminada Administrador de catálogo de máquinas,Todo.

  4. Si el administrador que está modificando ya tiene acceso personalizado y quiere otorgarle acceso total, seleccione Acceso completo.
  5. Haga clic en Guardar cuando haya terminado.

En la siguiente captura de pantalla se muestra el rol de acceso total y los roles de administrador integrados para el acceso personalizado.

Pantalla de acceso personalizado

Diferencias de Citrix Virtual Apps and Desktops local

Si conoce la administración delegada en la versión local de Citrix Virtual Apps and Desktops, la versión del servicio presenta varias diferencias.

En Citrix Cloud:

  • Se identifica a los administradores por su inicio de sesión en Citrix Cloud, en lugar de su cuenta de Active Directory. Puede crear pares de rol y ámbito para personas de Active Directory, pero no para grupos.
  • Los administradores se crean, configuran y eliminan en la consola de Citrix Cloud, en lugar de Studio.
  • Los pares de rol y ámbito se asignan a los administradores en la consola de Citrix Cloud, en lugar de Studio.
  • Los roles personalizados no están disponibles. (No confunda el “acceso personalizado” con la capacidad de crear roles personalizados en la versión local.)
  • Los informes no están disponibles. Puede ver la información de administrador, rol y ámbito en Studio.
  • El administrador de Cloud con acceso personalizado es similar a un administrador total en la versión local. Ambos tienen permisos totales de administración y supervisión para la versión de Citrix Virtual Apps and Desktops que se está utilizando. Sin embargo, en el servicio, no hay ningún rol de administrador total con nombre. No equipare el “Acceso completo” en Citrix Cloud con el “Administrador total” en Citrix Virtual Apps and Desktops local. El acceso completo en Citrix Cloud abarca los dominios a nivel de plataforma, la biblioteca, las notificaciones y las ubicaciones de recursos, además de todos los servicios suscritos.

Diferencias de versiones de servicio anteriores

Antes de la publicación de la funcionalidad expandida de acceso personalizado en el servicio (septiembre de 2018), había dos roles de administrador de acceso personalizado: administrador total y administrador de asistencia técnica. Cuando la implementación tiene habilitada la administración delegada (que es una configuración a nivel de plataforma), esos roles se asignan automáticamente.

  • Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador total ahora tiene un acceso personalizado Administrador de Cloud.
  • Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador de asistencia técnica ahora tiene un acceso personalizado Administrador de asistencia técnica.