Configurer le contrôle d’accès basé sur les rôles

Citrix Application Delivery Management (Citrix ADM) fournit un contrôle d’accès basé sur les rôles (RBAC) précis avec lequel vous pouvez accorder des autorisations d’accès en fonction des rôles des utilisateurs individuels au sein de votre entreprise.

Dans Citrix ADM, tous les utilisateurs sont ajoutés dans Citrix Cloud. En tant que premier utilisateur de votre organisation, vous devez d’abord créer un compte dans Citrix Cloud, puis vous connecter à l’interface graphique Citrix ADM avec les informations d’identification Citrix Cloud. Le rôle super administrateur vous est accordé et, par défaut, vous disposez de toutes les autorisations d’accès dans Citrix ADM. Par la suite, vous pouvez créer d’autres utilisateurs dans votre organisation dans Citrix Cloud.

Les utilisateurs créés ultérieurement et qui se connectent à Citrix ADM en tant qu’utilisateurs réguliers sont appelés administrateurs délégués. Par défaut, ces utilisateurs disposent de toutes les autorisations à l’exception des autorisations d’administration des utilisateurs. Toutefois, vous pouvez accorder des autorisations d’administration d’utilisateurs spécifiques à ces utilisateurs admin délégués. Vous pouvez le faire en créant des stratégies appropriées et en les affectant à ces utilisateurs délégués. Les autorisations d’administration des utilisateurs se trouvent sous Compte > Administration des utilisateurs. Pour plus d’informations sur l’attribution d’autorisations spécifiques, reportez-vous à la section Comment attribuer des autorisations supplémentaires aux utilisateurs admin délégués.

Pour plus d’informations sur la création de stratégies, de rôles, de groupes et sur la façon de lier les utilisateurs à des groupes, consultez les sections suivantes.

Exemple :

L’exemple suivant illustre comment RBAC peut être atteint dans Citrix ADM.

Chris, le chef de groupe ADC, est le super administrateur de Citrix ADM dans son organisation. Il crée trois rôles d’administrateur : administrateur de sécurité, administrateur d’application et administrateur réseau.

  • David, l’administrateur de la sécurité, doit avoir un accès complet pour la gestion et la surveillance des certificats SSL, mais doit avoir un accès en lecture seule pour les opérations d’administration du système.
  • Steve, administrateur d’applications, a besoin d’accéder uniquement à des applications spécifiques et uniquement à des modèles de configuration spécifiques.
  • Greg, administrateur réseau, a besoin d’un accès à l’administration du système et du réseau.
  • Chris doit également fournir un RBAC pour tous les utilisateurs, indépendamment du fait qu’ils sont locaux ou multilocataires.

L’image suivante montre les autorisations dont disposent les administrateurs et les autres utilisateurs et leurs rôles dans l’organisation.

Cas d'utilisation RBAC

Pour fournir un contrôle d’accès basé sur les rôles à ses utilisateurs, Chris doit d’abord ajouter des utilisateurs dans Citrix Cloud et seulement après cela, il peut voir les utilisateurs dans Citrix ADM. Chris doit créer des stratégies d’accès pour chacun des utilisateurs en fonction de leur rôle. Les stratégies d’accès sont étroitement liées aux rôles. Ainsi, Chris doit également créer des rôles, puis il doit créer des groupes car les rôles peuvent être attribués à des groupes uniquement et non à des utilisateurs individuels.

Access est la possibilité d’effectuer une tâche spécifique, telle que l’affichage, la création, la modification ou la suppression d’un fichier. Les rôles sont définis en fonction de l’autorité et de la responsabilité des utilisateurs au sein de l’entreprise. Par exemple, un utilisateur peut être autorisé à effectuer toutes les opérations réseau, tandis qu’un autre utilisateur peut observer le flux de trafic dans les applications et aider à créer des modèles de configuration.

Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous pouvez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles aux utilisateurs. Vous pouvez également affecter des rôles à des groupes d’utilisateurs. Un groupe est un ensemble d’utilisateurs qui ont des autorisations en commun. Par exemple, les utilisateurs qui gèrent un centre de données particulier peuvent être affectés à un groupe. Un rôle est une identité accordée aux utilisateurs en les ajoutant à des groupes spécifiques en fonction de conditions spécifiques. Dans Citrix ADM, la création de rôles et de stratégies est spécifique à la fonctionnalité RBAC dans Citrix ADC. Les rôles et les stratégies peuvent être facilement créés, modifiés ou supprimés au fur et à mesure que les besoins de l’entreprise évoluent, sans avoir à mettre à jour individuellement les privilèges de chaque utilisateur.

Les rôles peuvent être basés sur des entités ou sur des ressources. Par exemple, pensez à un administrateur SSL/sécurité et à un administrateur d’application. Un administrateur SSL/Security doit avoir un accès complet aux fonctionnalités de gestion et de surveillance des certificats SSL, mais doit avoir un accès en lecture seule pour les opérations d’administration du système. Les administrateurs d’applications ne peuvent accéder qu’aux ressources de leur champ d’application.

Par conséquent, dans votre rôle en tant que Chris, le super administrateur, effectuez les tâches d’exemple suivantes dans Citrix ADM pour configurer des stratégies d’accès, des rôles et des groupes d’utilisateurs pour David qui est l’administrateur de la sécurité dans votre organisation.

Configurer les utilisateurs sur Citrix ADM

En tant que super administrateur, vous pouvez créer plus d’utilisateurs en configurant des comptes pour eux dans Citrix Cloud et non dans Citrix ADM. Lorsque les nouveaux utilisateurs sont ajoutés à Citrix ADM, vous pouvez uniquement définir leurs autorisations en affectant les groupes appropriés à l’utilisateur.

Pour ajouter de nouveaux utilisateurs dans Citrix Cloud :

  1. Dans l’interface graphique Citrix ADM, cliquez sur l’icône Hamburger en haut à gauche, puis sélectionnez Gestion des identités et des accès.

    image localisée

  2. Sur la page Gestion des identités et des accès, sélectionnez l’onglet Administrateurs.

    Cet onglet répertorie les utilisateurs créés dans Citrix Cloud.

  3. Tapez l’adresse e-mail de l’utilisateur que vous souhaitez ajouter dans Citrix ADM, puis cliquez sur Inviter.

    image localisée

    Remarque

    L’utilisateur reçoit une invitation par e-mail de Citrix Cloud. L’utilisateur doit cliquer sur le lien fourni dans l’e-mail pour terminer le processus d’inscription en fournissant son nom complet et son mot de passe, puis ouvrir une session sur Citrix ADM à l’aide de ses informations d’identification.

  4. En tant qu’administrateur, vous ne voyez le nouvel utilisateur dans la liste Utilisateurs Citrix ADM qu’une fois que l’utilisateur se connecte à Citrix ADM.

Pour configurer des utilisateurs dans Citrix ADM :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration des utilisateurs > Utilisateurs.

  2. L’utilisateur s’affiche sur la page Utilisateurs.

    image localisée

  3. Vous pouvez modifier les privilèges accordés à l’utilisateur en le sélectionnant et en cliquant sur Modifier. Vous pouvez également modifier les autorisations de groupe sur la page Groupes sous le nœud Paramètres.

    Remarque

    -  Vos utilisateurs sont ajoutés dans Citrix ADM à partir de Citrix Cloud uniquement. Par conséquent, même si vous disposez d'autorisations d'administrateur, vous ne pouvez pas ajouter ou supprimer des utilisateurs dans l'interface graphique Citrix ADM. Vous pouvez uniquement modifier les autorisations de groupe. Les utilisateurs peuvent être ajoutés ou supprimés à partir de Citrix Cloud.
    
    -  Les détails de l'utilisateur apparaissent sur l'interface graphique du service uniquement après que l'utilisateur s'est connecté au Citrix ADM au moins une fois.
    

Configurer des stratégies d’accès sur Citrix ADM

Les stratégies d’accès définissent les autorisations. Une stratégie peut être appliquée à un groupe d’utilisateurs ou à plusieurs groupes en créant des rôles. Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous devez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles à des groupes d’utilisateurs. Citrix ADM propose cinq stratégies d’accès prédéfinies :

  • admin_policy. Octroie l’accès à tous les nœuds Citrix ADM. L’utilisateur dispose d’autorisations d’affichage et de modification, peut afficher tout le contenu Citrix ADM et peut effectuer toutes les opérations de modification. Autrement dit, l’utilisateur peut ajouter, modifier et supprimer des opérations sur les ressources.
  • AdminExceptSystem_Policy. Octroie l’accès aux utilisateurs pour tous les nœuds de l’interface graphique Citrix ADM, à l’exception de l’accès au nœud Paramètres.
  • readonly_policy. Octroie des autorisations en lecture seule. L’utilisateur peut afficher tout le contenu sur Citrix ADM, mais n’est pas autorisé à effectuer aucune opération.
  • appadmin_policy. Octroie des autorisations d’administration pour accéder aux fonctionnalités de l’application dans Citrix ADM. Un utilisateur lié à cette stratégie peut ajouter, modifier et supprimer des applications personnalisées et activer ou désactiver les services, les groupes de services et les différents serveurs virtuels, tels que la commutation de contenu, la redirection de cache et les serveurs virtuels HAProxy.
  • appreadonly_policy. Octroie une autorisation en lecture seule pour les fonctionnalités de l’application. Un utilisateur lié à cette stratégie peut afficher les applications, mais ne peut pas effectuer d’opérations d’ajout, de modification, de suppression, d’activation ou de désactivation.

Bien que vous ne puissiez pas modifier ces stratégies prédéfinies, vous pouvez créer vos propres stratégies (définies par l’utilisateur).

Auparavant, lorsque vous affectez des stratégies à des rôles et que vous liez les rôles à des groupes d’utilisateurs, vous pouvez fournir des autorisations pour les groupes d’utilisateurs au niveau du nœud dans l’interface graphique Citrix ADM. Par exemple, vous pouvez uniquement fournir des autorisations d’accès à l’ensemble du nœud d’équilibrage de charge. Vos utilisateurs avaient l’autorisation d’accéder à tous les sous-nœuds spécifiques à l’entité sous le nœud d’équilibrage de charge (par exemple, serveur virtuel, services, etc.) ou ils n’avaient pas l’autorisation d’accéder à un nœud sous l’équilibrage de charge.

Dans Citrix ADM 507.x build et versions ultérieures, la gestion des stratégies d’accès est étendue pour fournir des autorisations pour les sous-nœuds également. Les paramètres de stratégie d’accès peuvent être configurés pour tous les sous-nœuds tels que les serveurs virtuels, les services, les groupes de services et les serveurs.

Actuellement, vous pouvez fournir une telle autorisation d’accès de niveau granulaire uniquement pour les sous-nœuds sous nœud d’équilibrage de charge et également pour les sous-nœuds sous nœud GSLB.

Par exemple, en tant qu’administrateur, vous pouvez donner à l’utilisateur une autorisation d’accès pour afficher uniquement les serveurs virtuels, mais pas les services back-end, les groupes de services et les serveurs d’applications dans le nœud d’équilibrage de charge. Les utilisateurs auxquels une telle stratégie leur est assignée peuvent accéder uniquement aux serveurs virtuels.

Pour créer des stratégies d’accès définies par l’utilisateur :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration des utilisateurs > Stratégies d’accès.

  2. Cliquez sur Add.

  3. Dans la page Créer des stratégies d’accès, dans le champ Nom de la stratégie, entrez le nom de la stratégie et entrez la description dans le champ Description de la stratégie .

    Stratégies d'accès

    La section Autorisations répertorie toutes les fonctionnalités Citrix ADM, avec des options permettant de spécifier l’accès en lecture seule, l’activation/désactivation ou la modification.

    1. Cliquez sur l’icône (+) pour développer chaque groupe d’entités en plusieurs entités.

    2. Activez la case à cocher Autorisation en regard du nom de la fonction pour accorder des autorisations aux utilisateurs.

      • Affichage : cette option permet à l’utilisateur d’afficher la fonctionnalité dans Citrix ADM.

      • Activer-Désactiver : cette option n’est disponible que pour les fonctionnalités Network Functions qui permettent l’activation ou la désactivation de l’action sur Citrix ADM. L’utilisateur peut activer ou désactiver la fonctionnalité. De plus, l’utilisateur peut également effectuer l’action Interroger maintenant.

        Lorsque vous accordez l’autorisation Activer-Désactiver à un utilisateur, l’autorisation Afficher est également accordée. Vous ne pouvez pas désélectionner cette option.

      • Edit : Cette option accorde l’accès complet à l’utilisateur. L’utilisateur peut modifier la fonction et ses fonctions.

        Si vous accordez l’autorisation Modifier, les autorisations View et Enable-Disable sont accordées. Vous ne pouvez pas désélectionner les options sélectionnées automatiquement.

      Si vous activez la case à cocher de la fonction, elle sélectionne toutes les autorisations pour la fonction.

    Remarque

    Développer l’équilibrage de charge et GSLB pour afficher d’autres options de configuration.

    Dans l’image suivante, les options de configuration de la fonction d’équilibrage de charge ont des autorisations différentes :

    Configurer la stratégie

    L’autorisation Afficher est accordée à un utilisateur pour la fonctionnalité Serveurs virtuels. L’utilisateur peut afficher les serveurs virtuels d’équilibrage de charge dans Citrix ADM. Pour afficher les serveurs virtuels, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Serveurs virtuels.

    L’autorisation Activer-Désactiver est accordée à un utilisateur pour la fonctionnalité Services. Cette autorisation accorde également l’autorisation View. L’utilisateur peut activer ou désactiver les services liés à un serveur virtuel d’équilibrage de charge. En outre, l’utilisateur peut effectuer l’action de sondage maintenant sur les services. Pour activer ou désactiver des services, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Services.

    Remarque

    Si un utilisateur dispose de l’autorisation Activer-Désactiver, l’action d’activation ou de désactivation sur un service est restreinte dans la page suivante :

    1. Accédez à Réseaux > Fonctions réseau.

    2. Sélectionnez un serveur virtuel et cliquez sur Configurer.

    3. Sélectionnez la page Liaison du service serveur virtuel d’équilibrage de charge. Cette page affiche un message d’erreur si vous sélectionnez Activer ou Désactiver.

    L’autorisation Modifier est accordée à un utilisateur pour la fonctionnalité Groupes de services. Cette autorisation accorde l’accès complet où les autorisations Afficher et Activer-Désactiver sont accordées. L’utilisateur peut modifier les groupes de services liés à un serveur virtuel d’équilibrage de charge. Pour modifier des groupes de services, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Groupes de services.

  4. Cliquez sur Créer.

    Remarque

    Si vous sélectionnez Modifier, vous pouvez affecter en interne des autorisations dépendantes qui ne sont pas affichées comme activées dans la section Autorisations. Par exemple, lorsque vous activez les autorisations de modification pour la gestion des pannes, Citrix ADM fournit en interne l’autorisation de configurer un profil de messagerie ou de créer des configurations de serveur SMTP, afin que l’utilisateur puisse envoyer le rapport sous forme de courrier électronique.

Configurer des rôles sur Citrix ADM

Dans Citrix ADM, chaque rôle est lié à une ou plusieurs stratégies d’accès. Vous pouvez définir des relations un-à-un, un-à-plusieurs et plusieurs vers plusieurs entre les stratégies et les rôles. Vous pouvez lier un rôle à plusieurs stratégies et vous pouvez lier plusieurs rôles à une stratégie.

Par exemple, un rôle peut être lié à deux stratégies, l’une définissant les autorisations d’accès pour une entité et l’autre définissant les autorisations d’accès pour une autre entité. Une stratégie peut accorder l’autorisation d’ajouter des instances Citrix ADC dans Citrix ADM, et l’autre stratégie peut accorder l’autorisation de créer et de déployer StyleBooks et de configurer des instances Citrix ADC.

Lorsque plusieurs stratégies définissent les autorisations de mise à jour et de lecture seule pour une seule entité, les autorisations de mise à jour ont la priorité sur les autorisations de lecture seule.

Citrix ADM fournit cinq rôles prédéfinis :

  • admin_role. A accès à toutes les fonctionnalités Citrix ADM. (Ce rôle est lié à adminpolicy.)
  • AdminExceptSystem_Role. A accès à l’interface graphique Citrix ADM, à l’exception des autorisations Paramètres. (Ce rôle est lié à AdminExceptSystem_Policy)
  • readonly_role. Accès en lecture seule. (Ce rôle est lié à readonlypolicy.)
  • AppAdmin_role. Accès administratif uniquement aux fonctionnalités de l’application dans Citrix ADM. (Ce rôle est lié à AppAdminPolicy).
  • AppReadOnly_role. Accès en lecture seule aux fonctionnalités de l’application. (Ce rôle est lié à AppReadOnlyPolicy.)

Bien que vous ne puissiez pas modifier les rôles prédéfinis, vous pouvez créer vos propres rôles (définis par l’utilisateur).

Pour créer des rôles et leur attribuer des stratégies :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration des utilisateurs > Rôles.

  2. Cliquez sur Add.

  3. Dans la page Créer des rôles, dans le champ Nom du rôle, entrez le nom du rôle et indiquez la description dans le champ Description du rôle (facultatif).

  4. Dans la section Stratégies, ajoutez déplacer une ou plusieurs stratégies vers la liste Configurées .

    Remarque

    Les stratégies sont préfixées avec un ID de locataire (par exemple, maasdocfour) unique à tous les locataires.

    Configurer des rôles

    Remarque

    Vous pouvez créer une stratégie d’accès en cliquant sur Nouveau, ou vous pouvez accéder à Compte > Administration des utilisateurs > Stratégies d’accès, puis créer des stratégies.

  5. Cliquez sur Créer.

Configurer des groupes sur Citrix ADM

Dans Citrix ADM, un groupe peut avoir un accès au niveau des fonctionnalités et des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement aux instances Citrix ADC sélectionnées ; un autre groupe avec seulement quelques applications sélectionnées, etc.

Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans Citrix ADM.

Vous pouvez gérer un accès utilisateur dans Citrix ADM au niveau individuel des entités de fonction réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.

Citrix ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs en tant qu’entités de fonction réseau.

  • Serveur virtuel (Applications)  : équilibrage de charge (lb), GSLB, commutation de contexte (CS), redirection de cache (CR), authentification (Auth) et Citrix Gateway (vpn)

  • Services - Équilibrage de charge et services GSLB
  • Groupe de services - Équilibrage de charge et groupes de service GSLB
  • Serveurs - Serveurs d’équilibrage de charge

Pour créer un groupe :

  1. Dans Citrix ADM, accédez à Compte > Administration des utilisateurs > Groupes.

  2. Cliquez sur Add.

    La page Créer un groupe système s’affiche.

  3. Dans le champ Nom du groupe, entrez le nom du groupe.

  4. Dans le champ Description du groupe, saisissez une description de votre groupe. Donner une bonne description vous aide à comprendre le rôle et la fonction du groupe.

  5. Dans la section Rôles, déplacez un ou plusieurs rôles vers la liste Configuré .

    Remarque

    Les rôles sont préfixés avec un ID de locataire (par exemple, maasdocfour) unique à tous les locataires.

  6. Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles.

    Vous pouvez également accéder à Comptes > Administration des utilisateurs > Utilisateurs, puis créer ou modifier des utilisateurs.

    Configurer le groupe

  7. Cliquez sur Suivant.

  8. Dans l’onglet Paramètres d’autorisation, vous pouvez choisir des ressources parmi les catégories suivantes :

    • Groupes de mise à l’échelle automatique
    • Instances
    • Applications
    • Modèles de configuration
    • StyleBooks
    • Configpacks
    • Noms de domaines

    Catégories dans les paramètres d'autorisation

    Vous pouvez sélectionner des ressources spécifiques dans les catégories auxquelles les utilisateurs peuvent accéder.

    Groupes de mise à l’échelle automatique :

    Si vous souhaitez sélectionner les groupes d’échelle automatique spécifiques que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les groupes d’échelle automatique et cliquez sur Ajouter des groupes d’échelle automatique.

    2. Sélectionnez les groupes de mise à l’échelle automatique requis dans la liste et cliquez sur OK.

    Instances :

    Si vous souhaitez sélectionner les instances spécifiques que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Toutes les instances et cliquez sur Sélectionner les instances.

    2. Sélectionnez les instances requises dans la liste et cliquez sur OK.

      Sélectionner des instances

    Applications :

    La liste Choisir des applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.

    Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès utilisateur.

    Lorsque vous accordez l’accès d’un utilisateur à une application, l’utilisateur est autorisé à accéder uniquement à cette application, indépendamment de la sélection d’instance.

    Cette liste vous propose les options suivantes :

    • Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans Citrix ADM.

    • Toutes les applications des instances sélectionnées : cette option n’apparaît que si vous sélectionnez des instances dans la catégorie Toutes les instances. Il ajoute toutes les applications présentes sur l’instance sélectionnée.

    • Applications spécifiques : cette option vous permet d’ajouter les applications requises auxquelles les utilisateurs doivent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.

    • Sélectionner le type d’entité individuelle : Cette option vous permet de sélectionner un type spécifique d’entité de fonction réseau et les entités correspondantes.

      Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.

      L’ option Appliquer aux entités liées autorise égalementles entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également sur les entités liées, Citrix ADM autorise toutes les entités liées à l’application sélectionnée.

      Remarque

      Assurez-vous d’avoir sélectionné un seul type d’entité si vous souhaitez autoriser les entités liées.

    Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères de regex pour les groupes. L’expression regex spécifiée est conservée dans Citrix ADM. Pour ajouter une expression régulière, effectuez les opérations suivantes :

    1. Cliquez sur Ajouter une expression régulière.

    2. Spécifiez l’expression régulière dans la zone de texte.

      L’image suivante explique comment utiliser l’expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques  :

      image localisée

      L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle  :

      Types d'entités de fonction réseau

    Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône +.

    Remarque

    L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Serveurs et non à l’adresse IP du serveur.

    Si vous sélectionnez l’option Appliquer sur les entités liées également pour une entité découverte, l’utilisateur peut accéder automatiquement aux entités qui sont liées à l’entité découverte.

    L’expression régulière est stockée dans le système pour mettre à jour la portée d’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM met à jour l’étendue d’autorisation vers les nouvelles entités.

    Modèles de configuration :

    Si vous souhaitez sélectionner le modèle de configuration spécifique que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.

    2. Sélectionnez le modèle requis dans la liste et cliquez sur OK.

      Modèles de configuration

    StyleBooks:

    Si vous souhaitez sélectionner le StyleBook spécifique que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les StyleBooks et cliquez sur Ajouter un StyleBook au groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.

      Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.

      Si vous souhaitez utiliser une requête pour rechercher des StyleBooks, sélectionnez le volet Filtres personnalisés. Une requête est une chaîne de paires clé-valeur où les clés sont name, namespace, et version.

      Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des styleBooks qui répondent aux critères d’expression régulière pour les groupes.

      Par exemple,

      name=lb-mon OR namespace=com.citrix.adc.stylebooks OR version=1.0
      

      Appuyez sur Enter pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.

      Filtres personnalisés

      La requête enregistrée apparaît dans la requête Filtres personnalisés. En fonction de la requête enregistrée, l’ADM fournit l’accès utilisateur à ces StyleBooks.

    2. Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.

      Sélectionner des StyleBooks

      Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés. Les packs de configuration de ce StyleBook sont également inclus dans ce que l’utilisateur a accès.

    Configpacks :

    Si vous souhaitez sélectionner les packs de configuration spécifiques que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Toutes les configurations et cliquez sur Ajouter Configpack au groupe.

    2. Sélectionnez les packs de configuration requis dans la liste et cliquez sur OK.

      Sélectionner Configpack

      Vous pouvez sélectionner les packs de configuration requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe.

    Noms de domaine :

    Si vous souhaitez sélectionner le nom de domaine spécifique que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.

    2. Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.

  9. Cliquez sur Créer un groupe.

  10. Dans la section Affecter des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez l’utilisateur à la liste Configuré .

    Remarque

    Vous pouvez également ajouter de nouveaux utilisateurs en cliquant sur Nouveau.

    Attribuer des utilisateurs

  11. Cliquez sur Terminer.

Comment l’accès utilisateur change en fonction de la portée d’autorisation

Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.

Dans ce cas, ADM accorde à l’utilisateur l’accès aux applications en fonction de la portée d’autorisation spécifique.

Considérez un utilisateur affecté à un groupe doté de deux stratégies Police1 et Police2.

  • Policy-1 — Afficher uniquement les autorisations pour les applications.

  • Policy-2 — Afficher et modifier l’autorisation des applications.

Modifications d'accès utilisateur avec les étendues d'autorisation

L’utilisateur peut afficher les applications spécifiées dans la stratégie 1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.

Limitations

RBAC n’est pas entièrement pris en charge par les fonctionnalités Citrix ADM suivantes :

  • Analytics - RBAC n’est pas entièrement pris en charge par les modules d’analyse. La prise en charge du RBAC est limitée à un niveau d’instance et ne s’applique pas au niveau de l’application dans les modules d’analyse Gateway Insight, HDX Insight et Security Insight.
    • Exemple 1 : RBAC basé sur une instance (pris en charge). Un administrateur qui a reçu quelques instances peut voir uniquement ces instances sous HDX Insight > Périphériques, et uniquement les serveurs virtuels correspondants sous HDX Insight > Applications, car RBAC est pris en charge au niveau de l’instance.
    • Exemple 2 : RBAC basé sur l’application (non pris en charge). Un administrateur qui a reçu quelques applications peut voir tous les serveurs virtuels sous HDX Insight > Applications, mais ne peut pas y accéder, car RBAC n’est pas pris en charge au niveau des applications.
  • StyleBooks — RBAC n’est pas entièrement pris en charge pour StyleBooks.
    • Considérez une situation où plusieurs utilisateurs ont accès à un seul StyleBook mais disposent d’autorisations d’accès pour différentes instances Citrix ADC. Les utilisateurs peuvent créer et mettre à jour des packs de configuration sur leurs propres instances, mais pas sur d’autres instances, car ils n’ont pas accès à ces instances autres que les leurs. Mais ils peuvent toujours afficher les packs de configuration et les objets créés sur des instances Citrix ADC autres que les leurs.