Citrix Application Delivery Management 13.0

Configurer les groupes

Dans Citrix ADM, un groupe peut avoir un accès au niveau des fonctionnalités et des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement aux instances Citrix ADC sélectionnées ; un autre groupe avec seulement quelques applications sélectionnées, etc.

Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans Citrix ADM.

Vous pouvez gérer un accès utilisateur dans Citrix ADM au niveau individuel des entités de fonction réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.

Citrix ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs en tant qu’entités de fonction réseau.

  • Serveur virtuel (Applications)  : équilibrage de charge (lb), GSLB, commutation de contexte (CS), redirection de cache (CR), authentification (Auth) et Citrix Gateway (VPN)

  • Services - Équilibrage de charge et services GSLB
  • Groupe de services - Équilibrage de charge et groupes de service GSLB
  • Serveurs - Serveurs d’équilibrage de charge

Créer un groupe d’utilisateurs

  1. Dans Citrix ADM, accédez à Système > Administration des utilisateurs > Groupes.

  2. Cliquez sur Add.

    La page Créer un groupe système s’affiche.

  3. Dans le champ Nom du groupe, entrez le nom du groupe.

  4. Dans le champDescription du groupe, saisissez une description de votre groupe. Donner une bonne description du groupe vous aide à mieux comprendre le rôle et la fonction du groupe à un moment ultérieur.  

  5. Dans la section Rôles, ajoutez ou déplacez un ou plusieurs rôles dans la liste Configuré.

    Remarque Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles. Vous pouvez également accéder à Système > Administration des utilisateurs > Utilisateurs et créer ou modifier des utilisateurs.

    Créer un groupe système

  6. Cliquez sur Suivant.Dans l’onglet Paramètres d’autorisation, vous pouvez fournir des paramètres d’autorisation pour les ressources suivantes :

    • Groupes de mise à l’échelle automatique
    • Instances
    • Applications
    • Modèles de configuration
    • StyleBooks
    • Noms de domaines

    Catégories dans les paramètres d'autorisation

    Vous pouvez sélectionner des ressources spécifiques dans les catégories auxquelles les utilisateurs peuvent accéder.

    Groupes de mise à l’échelle automatique :

    Si vous souhaitez sélectionner les groupes de mise à l’échelle automatique spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les groupes d’échelle automatique et cliquez sur Ajouter des groupes d’échelle automatique.

    2. Sélectionnez les groupes de mise à l’échelle automatique requis dans la liste et cliquez sur OK.

    Instances :

    Si vous souhaitez sélectionner les instances spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Toutes les instances et cliquez sur Sélectionner les instances.

    2. Sélectionnez les instances requises dans la liste et cliquez sur OK.

      Sélectionner des instances

    Applications :

    La liste Choisir des applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.

    Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès utilisateur.

    Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, indépendamment de la sélection d’instance.

    Cette liste vous propose les options suivantes :

    • Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans Citrix ADM.

    • Toutes les applications des instances sélectionnées : cette option n’apparaît que si vous sélectionnez des instances dans la catégorie Toutes les instances. Il ajoute toutes les applications présentes sur l’instance sélectionnée.

    • Applications spécifiques : cette option vous permet d’ajouter les applications requises auxquelles les utilisateurs doivent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.

    • Sélectionner le type d’entité individuelle : Cette option vous permet de sélectionner un type spécifique d’entité de fonction réseau et les entités correspondantes.

      Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.

      L’option Appliquer aux entités liées autorise également les entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également aux entités liées, Citrix ADM autorise toutes les entités liées à l’application sélectionnée.

      Remarque

      Assurez-vous d’avoir sélectionné un seul type d’entité si vous souhaitez autoriser les entités liées.

    Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères de regex pour les groupes. L’expression regex spécifiée est conservée dans Citrix ADM. Pour ajouter une expression régulière, effectuez les opérations suivantes :

    1. Cliquez sur Ajouter une expression régulière.

    2. Spécifiez l’expression régulière dans la zone de texte.

      L’image suivante explique comment utiliser l’expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques  :

      Applications spécifiques

      L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle  :

      Types d'entités de fonction réseau

    Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône +.

    Remarque

    L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Serveurs et non à l’adresse IP du serveur.

    Si vous sélectionnez l’option Appliquer sur les entités liées également pour une entité découverte, un utilisateur peut accéder automatiquement aux entités qui sont liées à l’entité découverte.

    L’expression régulière est stockée dans le système pour mettre à jour la portée d’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM met à jour l’étendue d’autorisation vers les nouvelles entités.

    Modèles de configuration :

    Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.

    2. Sélectionnez le modèle requis dans la liste et cliquez sur OK.

      Ajouter des modèles de configuration

    StyleBooks:

    Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les StyleBooks et cliquez sur Ajouter un StyleBook au groupe.

    2. Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.

      Ajouter un groupe StyleBook

      Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés. Les packs de configuration de ce StyleBook sont également inclus dans ce que l’utilisateur a accès.

    Configpacks :

    Si vous souhaitez sélectionner les packs de configuration spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Toutes les configurations et cliquez sur Ajouter Configpack au groupe.

    2. Sélectionnez les packs de configuration requis dans la liste et cliquez sur OK.

      Sélectionner Configpack

      Vous pouvez sélectionner les packs de configuration requis lorsque vous créez des groupes et ajoutez les utilisateurs à ce groupe.

    Noms de domaine :

    Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.

    2. Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.

  7. Cliquez sur Créer un groupe.

  8. Dans la section Affecter des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez l’utilisateur à la liste Configuré.

    Remarque

    Vous pouvez également ajouter des utilisateurs en cliquant sur Nouveau.

    Exemple de création d'un groupe système

  9. Cliquez sur Terminer.

Gérer l’accès utilisateur sur plusieurs entités de fonction réseau

En tant qu’administrateur, vous pouvez gérer l’accès utilisateur au niveau individuel des entités de fonction réseau dans Citrix ADM. De plus, vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou à un groupe au niveau de l’entité à l’aide du filtre d’expression régulière.

Ce document décrit comment définir l’autorisation utilisateur au niveau de l’entité.

Avant de commencer, créez un groupe. Consultez Configurer des groupes sur Citrix ADM pour de plus amples informations.

Scénario d’utilisation :

Considérez un scénario où une ou plusieurs applications (serveurs virtuels) sont hébergées sur le même serveur. Un super administrateur (George) veut accorder à Steve (un administrateur d’application) l’accès uniquement à App1 et non au serveur d’hébergement.

Le tableau suivant illustre cet environnement, où Server-A héberge les applications App-1 et App-2.

Serveur hôte Application (serveur virtuel) Service Groupe de services
Serveur A App1 App-service-1 App-service-group-1
Serveur A App2 App-service-2 App-service-group-2

Remarque

Citrix ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs en tant qu’entités de fonction réseau. Le serveur virtuel de type d’entité est appelé une application.

Pour attribuer des autorisations utilisateur aux entités de fonction réseau, George définit l’autorisation utilisateur comme suit :

  1. Accédez à Compte > Administration des utilisateurs > Groupes et ajoutez un groupe.

  2. Dans l’onglet Paramètres d’autorisation, sélectionnez Choisir des applications.

  3. Choisissez Sélectionner un type d’entité individuel.

  4. Sélectionnez le type d’entité Toutes les applications et ajoutez l’entité App-1 dans la liste disponible.

  5. Cliquez sur Créer un groupe.

  6. Dans Affecter des utilisateurs, sélectionnez les utilisateurs qui ont besoin de l’autorisation. Pour ce scénario, George sélectionne le profil utilisateur de Steve.

  7. Cliquez sur Terminer.

Avec ce paramètre d’autorisation, Steve peut gérer uniquement App-1 et pas d’autres entités de fonction réseau.

Remarque

Assurez-vous que l’option Appliquer aux entités liées est également désactivée. Sinon, Citrix ADM accorde l’accès à toutes les entités de fonction réseau liées à App-1. En conséquence, accorde également l’accès au serveur d’hébergement.

Un super administrateur peut spécifier les expressions régulières (regex) pour chaque type d’entité. L’expression régulière est stockée dans le système pour mettre à jour l’étendue d’autorisation utilisateur. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM peut accorder dynamiquement aux utilisateurs l’accès aux entités de fonction réseau spécifiques.

Pour accorder des autorisations utilisateur de manière dynamique, le super administrateur peut ajouter des expressions régulières dans l’onglet Paramètres d’autorisation.

Dans ce scénario, George ajoute App* comme une expression régulière pour le type d’entité Applications et les applications qui correspondent aux critères de regex apparaissent dans la liste. Avec ce paramètre d’autorisation, Steve peut accéder à toutes les applications qui correspondent à l’App* expression régulière. Cependant, son accès est limité uniquement aux applications et non au serveur hébergé.

Comment l’accès utilisateur change en fonction de la portée d’autorisation

Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.

Dans ce cas, ADM accorde à l’utilisateur l’accès aux applications en fonction de la portée d’autorisation spécifique.

Considérez un utilisateur affecté à un groupe doté de deux stratégies Police1 et Police2.

  • Policy-1 — Afficher uniquement les autorisations pour les applications.

  • Policy-2 — Afficher et modifier l’autorisation des applications.

Modifications d'accès utilisateur avec les étendues d'autorisation

L’utilisateur peut afficher les applications spécifiées dans la stratégie 1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.

Mappage de RBAC lors de la mise à niveau de Citrix ADM de la version 12.0 vers les versions ultérieures

Lorsque vous mettez à niveau Citrix ADM de 12.0 à 13.0, vous ne voyez pas les options permettant de fournir des autorisations « lecture-écriture » ou « lecture » lors de la création de groupes. Ces autorisations ont été remplacées par « rôles et stratégies d’accès », ce qui vous donne plus de flexibilité pour fournir des autorisations basées sur les rôles aux utilisateurs. Le tableau suivant montre comment les autorisations de la version 12.0 sont mappées à la version 13.0 :

12.0 Autoriser les applications uniquement 13.0
admin read-write Faux admin
admin read-write Vrai appAdmin
admin read-only Faux readonly
admin read-only Vrai appReadonly