Citrix Application Delivery Management service

Configurer le contrôle d’accès basé sur les rôles

Citrix Application Delivery Management (Citrix ADM) fournit un contrôle d’accès basé sur les rôles (RBAC), qui vous permet d’accorder des autorisations d’accès en fonction des rôles des utilisateurs individuels au sein de votre entreprise.

Dans Citrix ADM, tous les utilisateurs sont ajoutés dans Citrix Cloud. En tant que premier utilisateur de votre organisation, vous devez d’abord créer un compte dans Citrix Cloud, puis vous connecter à l’interface utilisateur graphique Citrix ADM avec les informations d’identification Citrix Cloud. Vous disposez du rôle super administrateur et, par défaut, vous disposez de toutes les autorisations d’accès dans Citrix ADM. Plus tard, vous pouvez créer d’autres utilisateurs dans votre organisation dans Citrix Cloud.

Les utilisateurs qui sont créés ultérieurement et qui se connectent à Citrix ADM en tant qu’utilisateurs réguliers sont appelés administrateurs délégués. Ces utilisateurs, par défaut, disposent de toutes les autorisations, à l’exception des autorisations d’administration des utilisateurs. Toutefois, vous pouvez accorder des autorisations d’administration utilisateur spécifiques à ces utilisateurs admin délégués. Vous pouvez le faire en créant des stratégies appropriées et en les affectant à ces utilisateurs délégués. Les autorisations d’administration des utilisateurs se trouvent dans Compte > Administration des utilisateurs . Pour plus d’informations sur l’attribution d’autorisations spécifiques, reportez-vous à la sectionComment attribuer des autorisations supplémentaires à des utilisateurs d’administration délégués.

Pour plus d’informations sur la création de stratégies, de rôles, de groupes et sur la façon de lier les utilisateurs à des groupes, consultez les sections suivantes.

Exemple :

L’exemple suivant illustre comment le RBAC peut être réalisé dans Citrix ADM.

Chris, le chef du groupe ADC, est le super administrateur de Citrix ADM dans son organisation. Il crée trois rôles d’administrateur : administrateur de sécurité, administrateur d’application et administrateur réseau.

  • David, l’administrateur de la sécurité, doit disposer d’un accès complet pour la gestion et la surveillance des certificats SSL, mais doit disposer d’un accès en lecture seule pour les opérations d’administration système.
  • Steve, administrateur d’applications, a besoin d’accéder uniquement à des applications spécifiques et uniquement à des modèles de configuration spécifiques.
  • Greg, administrateur réseau, a besoin d’un accès à l’administration du système et du réseau.
  • Chris doit également fournir RBAC à tous les utilisateurs, indépendamment du fait qu’ils soient locaux ou externes.

L’image suivante montre les autorisations dont disposent les administrateurs et les autres utilisateurs et leurs rôles dans l’organisation.

Cas d'utilisation RBAC

Pour fournir un contrôle d’accès basé sur le rôle à ses utilisateurs, Chris doit d’abord ajouter des utilisateurs dans Citrix Cloud et seulement après cela, il peut voir les utilisateurs dans Citrix ADM. Chris doit créer des stratégies d’accès pour chacun des utilisateurs en fonction de leur rôle. Les stratégies d’accès sont étroitement liées aux rôles. Ainsi, Chris doit également créer des rôles, puis il doit créer des groupes car les rôles peuvent être attribués à des groupes uniquement et non à des utilisateurs individuels.

L’accès est la possibilité d’effectuer une tâche spécifique, telle que l’affichage, la création, la modification ou la suppression d’un fichier. Les rôles sont définis en fonction de l’autorité et de la responsabilité des utilisateurs au sein de l’entreprise. Par exemple, un utilisateur peut être autorisé à effectuer toutes les opérations réseau, tandis qu’un autre utilisateur peut observer le flux de trafic dans les applications et aider à créer des modèles de configuration.

Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous pouvez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles aux utilisateurs. Vous pouvez également affecter des rôles à des groupes d’utilisateurs. Un groupe est une collection d’utilisateurs qui ont des autorisations en commun. Par exemple, les utilisateurs qui gèrent un centre de données particulier peuvent être affectés à un groupe. Un rôle est une identité accordée aux utilisateurs en les ajoutant à des groupes spécifiques en fonction de conditions spécifiques. Dans Citrix ADM, la création de rôles et de stratégies est spécifique à la fonctionnalité RBAC dans Citrix ADC. Les rôles et les stratégies peuvent être facilement créés, modifiés ou abandonnés au fur et à mesure que les besoins de l’entreprise évoluent, sans avoir à mettre à jour individuellement les privilèges de chaque utilisateur.

Les rôles peuvent être basés sur des entités ou sur des ressources. Par exemple, considérez un administrateur SSL/Security et un administrateur d’application. Un administrateur SSL/Security doit avoir un accès complet aux fonctionnalités de gestion et de surveillance des certificats SSL, mais doit avoir un accès en lecture seule pour les opérations d’administration système. Les administrateurs d’applications sont en mesure d’accéder uniquement aux ressources comprises dans leur champ d’application.

Par conséquent, dans votre rôle de Chris, le super administrateur, exécutez les exemples de tâches suivants dans Citrix ADM pour configurer les stratégies d’accès, les rôles et les groupes d’utilisateurs pour David qui est l’administrateur de sécurité de votre organisation.

Configurer les utilisateurs sur Citrix ADM

En tant que super administrateur, vous pouvez créer plus d’utilisateurs en configurant des comptes pour eux dans Citrix Cloud et non dans Citrix ADM. Lorsque les nouveaux utilisateurs sont ajoutés à Citrix ADM, vous ne pouvez définir leurs autorisations qu’en affectant les groupes appropriés à l’utilisateur.

Pour ajouter de nouveaux utilisateurs dans Citrix Cloud :

  1. Dans l’interface graphique Citrix ADM, cliquez sur l’icône Hamburger en haut à gauche, puis sélectionnez Gestion des identités et des accès.

    Gestion des identités et des accès dans Citrix Cloud

  2. Dans la page Gestion des identités et des accès, sélectionnez l’onglet Administrateurs .

    Cet onglet répertorie les utilisateurs créés dans Citrix Cloud.

  3. Sélectionnez Citrix Identity en tant que fournisseur d’identité.

  4. Tapez l’adresse e-mail de l’utilisateur que vous souhaitez ajouter dans Citrix ADM, puis cliquez sur Inviter.

    Inviter un utilisateur à utiliser le service ADM

    Remarque

    L’utilisateur reçoit une invitation par e-mail de Citrix Cloud. L’utilisateur doit cliquer sur le lien fourni dans l’e-mail pour terminer le processus d’inscription en fournissant son nom complet et son mot de passe, puis ouvrir une session sur Citrix ADM à l’aide de ses informations d’identification.

  5. Sélectionnez Accès personnalisé pour l’utilisateur spécifié.

  6. Sélectionnez Gestion de la livraison des applications.

    Cette option sélectionne le rôle Administrateur par défaut.

    Inviter les utilisateurs disposant d'un accès personnalisé à ADM

  7. Cliquez sur Envoyer invitation.

En tant qu’administrateur, vous ne voyez le nouvel utilisateur dans la liste des utilisateurs Citrix ADM qu’après que l’utilisateur se connecte à Citrix ADM.

Pour configurer des utilisateurs dans Citrix ADM :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration de l’utilisateur > Utilisateurs.

  2. L’utilisateur s’affiche sur la page Utilisateurs .

    Utilisateurs configurés

  3. Vous pouvez modifier les privilèges accordés à l’utilisateur en sélectionnant l’utilisateur et en cliquant sur Modifier. Vous pouvez également modifier les autorisations de groupe sur la page Groupes sous le nœud Paramètres.

    Remarque

    -  Les utilisateurs sont ajoutés dans Citrix ADM à partir de Citrix Cloud uniquement. Par conséquent, même si vous disposez d'autorisations d'administrateur, vous ne pouvez pas ajouter ou supprimer des utilisateurs dans l'interface graphique Citrix ADM. Vous ne pouvez modifier que les autorisations de groupe. Les utilisateurs peuvent être ajoutés ou supprimés de Citrix Cloud.
    
    -  Les détails de l'utilisateur apparaissent sur l'interface graphique du service uniquement après que l'utilisateur s'est connecté à Citrix ADM au moins une fois.
    

Configurer les stratégies d’accès sur Citrix ADM

Les stratégies d’accès définissent les autorisations. Une stratégie peut être appliquée à un groupe d’utilisateurs ou à plusieurs groupes en créant des rôles. Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous devez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles à des groupes d’utilisateurs. Citrix ADM propose cinq stratégies d’accès prédéfinies :

  • admin_policy. Octroi l’accès à tous les nœuds Citrix ADM. L’utilisateur dispose à la fois des autorisations d’affichage et de modification, peut afficher tout le contenu Citrix ADM et peut effectuer toutes les opérations de modification. Autrement dit, l’utilisateur peut ajouter, modifier et supprimer des opérations sur les ressources.
  • AdminExceptSystem_Policy. Octroi l’accès aux utilisateurs pour tous les nœuds dans l’interface graphique Citrix ADM, à l’exception de l’accès au nœud Paramètres.
  • readonly_policy. Octroi des autorisations en lecture seule. L’utilisateur peut afficher tout le contenu sur Citrix ADM mais n’est pas autorisé à effectuer des opérations.
  • appadmin_policy. Octroi des autorisations d’administration pour accéder aux fonctionnalités de l’application dans Citrix ADM. Un utilisateur lié à cette stratégie peut ajouter, modifier et supprimer des applications personnalisées, et peut activer ou désactiver les services, les groupes de services et les différents serveurs virtuels, tels que la commutation de contenu, la redirection de cache et les serveurs virtuels HAProxy.
  • appreadonly_policy. Octroi des autorisations en lecture seule pour les fonctionnalités de l’application. Un utilisateur lié à cette stratégie peut afficher les applications, mais ne peut pas effectuer d’opérations d’ajout, de modification ou de suppression, d’activation ou de désactivation.

Bien que vous ne puissiez pas modifier ces stratégies prédéfinies, vous pouvez créer vos propres stratégies (définies par l’utilisateur).

Auparavant, lorsque vous attribuez des stratégies aux rôles et lié les rôles à des groupes d’utilisateurs, vous pouvez fournir des autorisations pour les groupes d’utilisateurs au niveau du nœud dans l’interface graphique Citrix ADM. Par exemple, vous pouvez uniquement fournir des autorisations d’accès à l’intégralité du nœud d’équilibrage de charge. Vos utilisateurs avaient l’autorisation d’accéder à tous les sous-nœuds spécifiques à l’entité sous le nœud d’équilibrage de charge (par exemple, serveur virtuel, services, etc.) ou ils n’avaient pas l’autorisation d’accéder à un nœud sous Équilibrage de charge.

Dans Citrix ADM 507.x build et versions ultérieures, la gestion des stratégies d’accès est étendue pour fournir également des autorisations pour les sous-nœuds. Les paramètres de stratégie d’accès peuvent être configurés pour tous les sous-nœuds tels que les serveurs virtuels, les services, les groupes de services et les serveurs.

Actuellement, vous pouvez fournir une telle autorisation d’accès de niveau granulaire uniquement pour les sous-nœuds situés sous un nœud d’équilibrage de charge ainsi que pour les sous-nœuds sous le nœud GSLB.

Par exemple, en tant qu’administrateur, vous pouvez accorder à l’utilisateur une autorisation d’accès uniquement pour afficher les serveurs virtuels, mais pas les services back-end, les groupes de services et les serveurs d’applications dans le nœud d’équilibrage de charge. Les utilisateurs auxquels une telle stratégie leur est attribuée ne peuvent accéder qu’aux serveurs virtuels.

Pour créer des stratégies d’accès définies par l’utilisateur :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration de l’utilisateur > Stratégies d’accès.

  2. Cliquez sur Ajouter.

  3. Dans la page Créer des stratégies d’accès, dans le champ Nom de la stratégie, entrez le nom de la stratégie et entrez la description dans le champ Description de la stratégie .

    Stratégies d'accès

    La section Autorisations répertorie toutes les fonctionnalités Citrix ADM, avec des options permettant de spécifier l’accès en lecture seule, activer-désactiver ou modifier.

    1. Cliquez sur l’icône (+) pour développer chaque groupe d’entités en plusieurs entités.

    2. Activez la case à cocher Autorisation en regard du nom de la fonction pour accorder des autorisations aux utilisateurs.

      • Affichage : Cette option permet à l’utilisateur d’afficher la fonctionnalité dans Citrix ADM.

      • Enable-Disable : cette option est disponible uniquement pour les fonctionnalités Fonctions réseau qui permettent d’activer ou de désactiver l’action sur Citrix ADM. L’utilisateur peut activer ou désactiver la fonctionnalité. Et, un utilisateur peut également effectuer l’action Sondage maintenant.

        Lorsque vous accordez l’autorisation Activer-Désactiver à un utilisateur, l’autorisation Afficher est également accordée. Vous ne pouvez pas désélectionner cette option.

      • Modifier : Cette option accorde l’accès complet à l’utilisateur. L’utilisateur peut modifier la fonction et ses fonctions.

        Si vous accordez l’autorisation Modifier, les autorisations View et Enable-Disable sont accordées. Vous ne pouvez pas désélectionner les options sélectionnées automatiquement.

      Si vous activez la case à cocher Fonction, elle sélectionne toutes les autorisations pour la fonctionnalité.

    Remarque

    Développez l’équilibrage de charge et GSLB pour afficher d’autres options de configuration.

    Dans l’image suivante, les options de configuration de la fonctionnalité d’équilibrage de charge disposent d’autorisations différentes :

    Configurer la stratégie

    L’autorisation View est accordée à un utilisateur pour la fonctionnalité Serveurs virtuels . L’utilisateur peut afficher les serveurs virtuels d’équilibrage de charge dans Citrix ADM. Pour afficher les serveurs virtuels, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Serveurs virtuels .

    L’autorisation Enable-Disable est accordée à un utilisateur pour la fonctionnalité Services . Cette autorisation accorde également l’autorisation View . L’utilisateur peut activer ou désactiver les services liés à un serveur virtuel d’équilibrage de charge. En outre, l’utilisateur peut effectuer l’action Sondage Now sur les services. Pour activer ou désactiver des services, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Services.

    Remarque

    Si un utilisateur dispose de l’autorisation Enable-Disable, l’action d’activation ou de désactivation sur un service est restreinte dans la page suivante :

    1. Accédez à Réseaux > Fonctions réseau.

    2. Sélectionnez un serveur virtuel et cliquez sur Configurer.

    3. Sélectionnez la page Liaison de service de serveur virtuel d’équilibrage de charge. Cette page affiche un message d’erreur si vous sélectionnez Activer ou Désactiver .

    L’autorisation Modifier est accordée à un utilisateur pour la fonctionnalité Groupes de services . Cette autorisation accorde l’accès complet lorsque les autorisations View et Enable-Disable sont accordées. L’utilisateur peut modifier les groupes de services liés à un serveur virtuel d’équilibrage de charge. Pour modifier des groupes de services, accédez à Réseaux > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Groupes de services .

  4. Cliquez sur Créer.

    Remarque

    Si vous sélectionnez Modifier, vous pouvez affecter en interne des autorisations dépendantes qui ne sont pas affichées comme activées dans la section Autorisations. Par exemple, lorsque vous activez les autorisations de modification pour la gestion des erreurs, Citrix ADM fournit en interne l’autorisation de configurer un profil de messagerie ou de créer des configurations de serveur SMTP, afin que l’utilisateur puisse envoyer le rapport sous la forme d’un courrier électronique.

Accorder des autorisations StyleBook aux utilisateurs

Vous pouvez créer une stratégie d’accès pour accorder des autorisations StyleBook telles que l’importation, la suppression, le téléchargement, etc.

Remarque

L’autorisation Afficher est automatiquement activée lorsque vous accordez d’autres autorisations StyleBook.

Accorder des autorisations StyleBook à l'utilisateur

Configurer les rôles sur Citrix ADM

Dans Citrix ADM, chaque rôle est lié à une ou plusieurs stratégies d’accès. Vous pouvez définir des relations un-à-un, un-à-plusieurs et plusieurs-à-plusieurs entre les stratégies et les rôles. Vous pouvez lier un rôle à plusieurs stratégies et vous pouvez lier plusieurs rôles à une stratégie.

Par exemple, un rôle peut être lié à deux stratégies, l’une définissant les autorisations d’accès pour une entité et l’autre définissant les autorisations d’accès pour une autre entité. Une stratégie peut accorder l’autorisation d’ajouter des instances Citrix ADC dans Citrix ADM, et l’autre peut accorder l’autorisation de créer et de déployer un StyleBook et de configurer des instances Citrix ADC.

Lorsque plusieurs stratégies définissent les autorisations de mise à jour et de lecture seule pour une entité unique, les autorisations de mise à jour ont la priorité sur les autorisations de lecture seule.

Citrix ADM fournit cinq rôles prédéfinis :

  • rôleadmin_role. A accès à toutes les fonctionnalités Citrix ADM. (Ce rôle est lié à adminpolicy.)
  • Rôle AdminExceptSystem_Admin. A accès à l’interface utilisateur graphique Citrix ADM, à l’exception des autorisations Paramètres. (Ce rôle est lié à AdminExceptSystem_Policy)
  • readonly_role. Accès en lecture seule. (Ce rôle est lié à readonlypolicy.)
  • Rôle AppAdmin_. Dispose d’un accès administratif uniquement aux fonctionnalités de l’application dans Citrix ADM. (Ce rôle est lié à AppAdminPolicy).
  • AppreAdonly_Rôle. A un accès en lecture seule aux fonctionnalités de l’application. (Ce rôle est lié à AppreadOnlyPolicy.)

Bien que vous ne puissiez pas modifier les rôles prédéfinis, vous pouvez créer vos propres rôles (définis par l’utilisateur).

Pour créer des rôles et leur attribuer des stratégies :

  1. Dans l’interface graphique Citrix ADM, accédez à Compte > Administration de l’utilisateur > Rôles.

  2. Cliquez sur Ajouter.

  3. Dans la page Créer des rôles, dans le champ Nom du rôle, entrez le nom du rôle et indiquez la description dans le champ Description du rôle (facultatif).

  4. Dans la section Stratégies, ajoutez déplacer une ou plusieurs stratégies vers la liste Configurées .

    Remarque

    Les stratégies sont préfixées avec un ID de locataire (par exemple, maasdocfour) unique à tous les locataires.

    Configurer les rôles

    Remarque

    Vous pouvez créer une stratégie d’accès en cliquant sur Nouveau, ou vous pouvez accéder à Compte> Administration des utilisateurs> Stratégies d’accès,puis créer des stratégies.

  5. Cliquez sur Créer.

Configurer des groupes sur Citrix ADM

Dans Citrix ADM, un groupe peut avoir un accès au niveau des fonctionnalités et des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement aux instances Citrix ADC sélectionnées ; un autre groupe avec seulement quelques applications sélectionnées, etc.

Lorsque vous créez un groupe, vous pouvez attribuer des rôles au groupe, fournir un accès au groupe au niveau de l’application et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans Citrix ADM.

Vous pouvez gérer un accès utilisateur dans Citrix ADM au niveau individuel des entités de fonction réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.

Citrix ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs en tant qu’entités de fonction réseau.

  • Serveur virtuel (Applications)  : équilibrage de charge (lb), GSLB, commutation de contexte (CS), redirection du cache (CR), authentification (Auth) et Citrix Gateway (vpn)

  • Services - Équilibrage de charge et services GSLB
  • Groupe de services : équilibrage de charge et groupes de services GSLB
  • Serveurs - Serveurs d’équilibrage de charge

Pour créer un groupe :

  1. Dans Citrix ADM, accédez à Compte > Administration des utilisateurs > Groupes .

  2. Cliquez sur Ajouter.

    La page Créer un groupe de systèmes s’affiche.

  3. Dans le champ Nom du groupe, entrez le nom du groupe.

  4. Dans le champ Description du groupe, saisissez une description de votre groupe. Fournir une bonne description vous aide à comprendre le rôle et la fonction du groupe.

  5. Dans la section Rôles, déplacez un ou plusieurs rôles vers la liste Configuré .

    Remarque

    Les rôles sont préfixés avec un ID de locataire (par exemple, maasdocfour) unique à tous les locataires.

  6. Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles.

    Vous pouvez également accéder à Comptes > Administration des utilisateurs > Utilisateurs, puis créer ou modifier des utilisateurs.

    Configurer le groupe

  7. Cliquez sur Suivant.

  8. Dans l’onglet Paramètres d’autorisation, vous pouvez choisir des ressources parmi les catégories suivantes :

    • Groupes de mise à l’échelle automatique
    • Instances
    • Applications
    • Modèles de configuration
    • Fournisseurs et réseaux IPAM
    • StyleBooks
    • Configpacks
    • Noms de domaine

    Catégories dans les paramètres d'autorisation

    Vous pouvez sélectionner des ressources spécifiques parmi les catégories auxquelles les utilisateurs peuvent accéder.

    Groupes de mise à l’échelle automatique :

    Si vous souhaitez sélectionner les groupes de mise à l’Autoscale spécifiques que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les groupes d’échelle automatique et cliquez sur Ajouter des groupes d’échelle automatique .

    2. Sélectionnez les groupes de mise à l’échelle automatique requis dans la liste et cliquez sur OK.

    Instances :

    Si vous souhaitez sélectionner les instances spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Toutes les instances et cliquez sur Sélectionner les instances .

    2. Sélectionnez les instances requises dans la liste et cliquez sur OK.

      Sélectionner des instances

    Applications :

    La liste Choisir des applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.

    Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès utilisateur.

    Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, indépendamment de la sélection d’instance.

    Cette liste vous offre les options suivantes :

    • Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans Citrix ADM.

    • Toutes les applications des instances sélectionnées : cette option n’apparaît que si vous sélectionnez des instances dans la catégorie Toutes les instances . Il ajoute toutes les applications présentes sur l’instance sélectionnée.

    • Applications spécifiques : cette option vous permet d’ajouter les applications requises auxquelles les utilisateurs doivent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.

    • Sélectionner un type d’entité individuelle : Cette option vous permet de sélectionner le type spécifique d’entité de fonction réseau et les entités correspondantes.

      Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.

      L’ option Appliquer sur les entités liées autorise égalementles entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également sur les entités liées, Citrix ADM autorise toutes les entités liées à l’application sélectionnée.

      Remarque

      Assurez-vous d’avoir sélectionné un seul type d’entité si vous souhaitez autoriser des entités liées.

    Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères d’expression rationnelle pour les groupes. L’expression regex spécifiée est conservée dans Citrix ADM. Pour ajouter une expression régulière, effectuez les opérations suivantes :

    1. Cliquez sur Ajouter une expression régulière.

    2. Spécifiez l’expression régulière dans la zone de texte.

      L’image suivante explique comment utiliser l’expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques  :

      Utiliser des expressions régulières pour ajouter des applications

      L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle  :

      Types d'entités de fonction réseau

    Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône + .

    Remarque

    L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Serveurset non à l’adresse IP du serveur.

    Si vous sélectionnez l’option Appliquer sur les entités liées également pour une entité découverte, un utilisateur peut accéder automatiquement aux entités qui sont liées à l’entité découverte.

    L’expression régulière est stockée dans le système pour mettre à jour l’étendue de l’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM met à jour la portée d’autorisation vers les nouvelles entités.

    Modèles de configuration :

    Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration .

    2. Sélectionnez le modèle requis dans la liste et cliquez sur OK.

      Modèles de configuration

    Fournisseurs et réseaux IPAM :

    Si vous souhaitez ajouter les fournisseurs et réseaux IPAM spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    • Ajouter des fournisseurs - Désactivez la case à cocher Tous les fournisseurs et cliquez sur Ajouter des fournisseurs. Vous pouvez sélectionner les fournisseurs requis et cliquer sur OK.

    • Ajouter des réseaux - Désactivez la case à cocher Tous les réseaux et cliquez sur Ajouter des réseaux. Vous pouvez sélectionner les réseaux requis et cliquer sur OK.

    Ajouter des fournisseurs et des réseaux IPAM

    StyleBooks:

    Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les StyleBooks et cliquez sur Ajouter un StyleBook au groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.

      Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.

      Si vous souhaitez utiliser une requête pour rechercher des StyleBooks, sélectionnez le volet Filtres personnalisés. Une requête est une chaîne de paires clé-valeur où les clés sont name, namespace et version.

      Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des StyleBooks répondant aux critères de regex pour les groupes. Une requête de filtre personnalisée pour rechercher StyleBooks prend en charge les opérateurs And et Or.

      Exemple :

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      Cette requête répertorie les StyleBooks qui remplissent les conditions suivantes :

      • Le nom de StyleBook est lb-mon ou lb.
      • L’espace de noms StyleBook est com.citrix.adc.stylebooks.
      • La version StyleBook est 1.0.

      Utilisez un opérateur Or entre des expressions de valeur définie à l’expression clé.

      Exemple :

      • La requête name=lb-mon|lb est valide. Il renvoie les StyleBooks ayant un nom lb-mon ou lb.
      • La requête name=lb-mon | version=1.0 n’est pas valide.

      Appuyez sur Enter pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.

      Filtres personnalisés

      La requête enregistrée apparaît dans la requête Filtres personnalisés. En fonction de la requête enregistrée, l’ADM fournit aux utilisateurs l’accès à ces livres StyleBooks.

    2. Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.

      Sélectionner des StyleBooks

      Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés.

    Configpacks :

    Dans Configpacks, sélectionnez l’une des options suivantes :

    • Toutes les configurations : Cette option est sélectionnée par défaut. Il ajoute tous les packs de configuration qui sont dans ADM.

    • Toutes les configurations des StyleBooks sélectionnés : Cette option ajoute tous les packs de configuration du StyleBook sélectionné.

    • Configurations spécifiques : Cette option vous permet d’ajouter les packs de configuration requis.

      Sélectionner un pack de configuration

      Vous pouvez sélectionner les packs de configuration requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe.

    Noms de domaine :

    Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les noms de domaine et cliquez sur Ajouter un nom de domaine .

    2. Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.

  9. Cliquez sur Créer un groupe.

  10. Dans la section Affecter des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez l’utilisateur à la liste Configuré .

    Remarque

    Vous pouvez également ajouter de nouveaux utilisateurs en cliquant sur Nouveau.

    Attribuer des utilisateurs

  11. Cliquez sur Terminer.

Comment l’accès utilisateur change en fonction de la portée d’autorisation

Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.

Dans ce cas, ADM accorde à l’utilisateur l’accès aux applications en fonction de la portée d’autorisation spécifique.

Considérez un utilisateur qui est affecté à un groupe doté de deux stratégies Stratégie-1 et Stratégie-2.

  • Policy-1 — Affiche uniquement les autorisations pour les applications.

  • Policy-2 — Afficher et modifier l’autorisation des applications.

Modifications d'accès utilisateur avec les étendues d'autorisation

L’utilisateur peut afficher les applications spécifiées dans la stratégie 1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.

Limitations

Le RBAC n’est pas entièrement pris en charge par les fonctionnalités Citrix ADM suivantes :

  • Analytics - Le RBAC n’est pas entièrement pris en charge par les modules analytiques. La prise en charge RBAC est limitée à un niveau d’instance et ne s’applique pas au niveau de l’application dans les modules d’analyse Gateway Insight, HDX Insight et Security Insight.
    • Exemple 1 : RBAC basé sur l’instance (pris en charge). Un administrateur qui a reçu quelques instances peut voir uniquement ces instances sous HDX Insight > Périphériques, et uniquement les serveurs virtuels correspondants sous HDX Insight > Applications, car RBAC est pris en charge au niveau de l’instance.
    • Exemple 2 : RBAC basé sur l’application (non pris en charge). Un administrateur qui a reçu quelques applications peut voir tous les serveurs virtuels sous HDX Insight > Applications, mais ne peut pas y accéder, car RBAC n’est pas pris en charge au niveau des applications.
  • StyleBooks — Le RBAC n’est pas entièrement pris en charge pour StyleBooks.
    • Considérez une situation dans laquelle plusieurs utilisateurs ont accès à un seul StyleBook mais ont des autorisations d’accès pour différentes instances de Citrix ADC. Les utilisateurs peuvent créer et mettre à jour des packs de configuration sur leurs propres instances, mais pas sur d’autres instances car ils n’ont pas accès à ces instances autres que les leurs. Mais ils peuvent toujours afficher les packs de configuration et les objets créés sur des instances Citrix ADC autres que les leurs.