Administration déléguée

Généralités

L’administration déléguée de Citrix Cloud vous permet de configurer les autorisations d’accès requises par tous vos administrateurs conformément à leur rôle dans votre organisation.

Par défaut, les administrateurs ont un accès complet. Cela permet d’accéder à toutes les fonctions d’administration et de gestion client disponibles dans Citrix Cloud, ainsi qu’à tous les services souscrits. Pour personnaliser l’accès d’un administrateur :

  • Configurez un accès personnalisé pour les autorisations de gestion générale d’un administrateur dans Citrix Cloud.
  • Configurez un accès personnalisé pour les services souscrits. Dans le service Citrix Virtual Apps and Desktops, vous pouvez configurer un accès personnalisé lorsque vous invitez un nouvel administrateur. Vous pouvez modifier l’accès d’un administrateur ultérieurement.

Des détails sur l’affichage de la liste des administrateurs et la définition des autorisations d’accès sont disponibles dans Ajouter des administrateurs à un compte Citrix Cloud.

Cet article explique comment configurer un accès personnalisé au service Citrix Virtual Apps and Desktops.

Administrateurs, rôles et étendues

L’administration déléguée utilise trois concepts pour l’accès personnalisé : les administrateurs, les rôles et les étendues.

  • Administrateurs : un administrateur représente une personne identifiée par sa connexion Citrix Cloud, qui est généralement une adresse électronique. Chaque administrateur est associé à une ou plusieurs paires rôle/étendue.
  • Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Ces autorisations permettent certaines tâches uniques au service. Par exemple, le rôle Administrateur du groupe de mise à disposition est autorisé à créer un groupe de mise à disposition et à supprimer un bureau d’un groupe de mise à disposition, et dispose d’autres autorisations associées. Un administrateur peut avoir plusieurs rôles. Un administrateur peut être Administrateur du groupe de mise à disposition et Administrateur du catalogue de machines.

    Le service offre plusieurs rôles intégrés avec accès personnalisé. (Vous ne pouvez pas créer d’autres rôles avec accès personnalisés.) Vous ne pouvez pas modifier les autorisations de ces rôles intégrés avec accès personnalisé, ni supprimer ces rôles. Vous pouvez modifier les rôles attribués à un administrateur.

    Un rôle est toujours associé à une étendue.

  • Étendues : une étendue représente une collection d’objets. Les étendues permettent de regrouper des objets de manière pertinente pour votre organisation. Les objets peuvent être dans plusieurs étendues.

    Il existe une étendue intégrée appelée « Tous » qui contient tous les objets. Les administrateurs Citrix Cloud et Service d’assistance sont toujours associés à l’étendue Tous. Cette étendue ne peut pas être modifiée pour ces administrateurs.

    Lorsque vous invitez (ajoutez) un administrateur pour ce service, un rôle est toujours associé à une étendue (par défaut, l’étendue Tous).

    Les étendues sont créées et supprimées depuis la console Studio. Les paires rôle/étendue sont affectées dans la console Citrix Cloud.

    Une étendue n’est pas affichée pour les administrateurs avec accès complet. Par définition, ces administrateurs ont accès à tous les objets de services d’abonnements et Citrix Cloud gérés par le client.

Étendues et rôles intégrés avec accès personnalisé

Le service a les rôles intégrés à accès personnalisé suivants.

  • Administrateur Cloud : peut effectuer toutes les tâches pouvant être lancées à partir du service.

    Peut voir les onglets Gérer et Surveiller dans la console. Ce rôle est toujours combiné à l’étendue Tous, vous ne pouvez pas modifier l’étendue.

    Le nom de ce rôle peut porter à confusion. Un administrateur cloud avec accès personnalisé ne peut pas effectuer de tâches de niveau Citrix Cloud (les tâches Citrix Cloud nécessitent un accès complet).

  • Administrateur en lecture seule : peut afficher tous les objets dans les étendues spécifiées (en plus des informations générales), mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux et les objets associés à Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d’objets dans l’étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas).

    Peut voir l’onglet Gérer dans la console, ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur du service d’assistance : peut afficher des groupes de mise à disposition et gérer les sessions et les machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d’hôte des groupes de mise à disposition en cours de surveillance. Peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition.

    Peut voir l’onglet Surveiller dans la console, ne peut pas voir l’onglet Gérer. Ce rôle est toujours combiné à l’étendue Tous, vous ne pouvez pas modifier l’étendue.

  • Administrateur du catalogue de machines : peut créer et gérer des catalogues de machines et y provisionner les machines. Peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs.

    Peut voir l’onglet Gérer dans la console, ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur du groupe de mise à disposition : peut mettre à disposition des applications, des bureaux et des machines. Peut également gérer les sessions associées. Il peut gérer les configurations d’applications et de bureaux, telles que les stratégies et les paramètres de gestion de l’alimentation.

    Peut voir l’onglet Gérer dans la console, ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur hôte : peut gérer les connexions hôtes et leurs paramètres de ressources associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs.

    Peut voir l’onglet Gérer dans la console, ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

Le tableau suivant récapitule les onglets de la console visibles pour chaque rôle avec accès personnalisé du service et indique si le rôle peut être utilisé avec des étendues personnalisées.

Rôle administrateur à accès personnalisé Peut voir l’onglet Gérer dans la console ? Peut voir l’onglet Surveiller dans la console ? Le rôle peut-il être utilisé avec des étendues personnalisées ?
Administrateur Cloud Oui Oui Non
Administrateur en lecture seule Oui Non Oui
Administrateur du service d’assistance Non Oui Non
Administrateur du catalogue de machines Oui Non Oui
Administrateur de groupe de mise à disposition Oui Non Oui
Administrateur d’hôte Oui Non Oui

Pour afficher les autorisations associées à un rôle :

  1. Connectez-vous à Citrix Cloud si vous ne l’avez pas déjà fait. Sélectionnez Mes services > Virtual Apps and Desktops dans le menu en haut à gauche. Sélectionnez l’onglet Gérer.
  2. Cliquez sur Configuration > Administrateurs dans le volet de navigation de Studio, puis cliquez sur l’onglet Rôles.
  3. Sélectionnez un rôle dans le volet central supérieur. L’onglet Définition du rôle dans le volet inférieur répertorie les catégories et les autorisations. Sélectionnez une catégorie pour voir les autorisations spécifiques. L’onglet Administrateurs répertorie les administrateurs auxquels le rôle sélectionné au-dessus a été attribué.

    Problème connu : une entrée Administrateur complet dans Studio n’affiche pas le jeu d’autorisations correct pour un administrateur de service à accès complet.

Nombre d’administrateurs dont vous avez besoin

En général, le nombre d’administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.

  • Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs ; il n’y a pas de délégation à accès personnalisé. Dans ce cas, chaque administrateur dispose d’un accès complet, qui a toujours l’étendue Tous.
  • Dans les déploiements plus importants avec plus d’ordinateurs, d’applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux ont un accès complet et les autres sont des administrateurs du service d’assistance. En outre, un administrateur peut ne gérer que certains groupes d’objets (étendues), tels que des catalogues de machines dans un certain département. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec le rôle à accès personnalisé et les étendues appropriés.

Résumé de la gestion des administrateurs

La configuration d’administrateurs supplémentaires pour le service suit cette séquence :

  1. Si vous souhaitez que le nouvel administrateur ait une étendue autre que Tous (et qu’une autre étendue est autorisée pour le rôle prévu mais qu’elle n’a pas encore été créée), créez des étendues dans Studio.
  2. Depuis Citrix Cloud, invitez un administrateur. Si vous souhaitez que le nouvel administrateur dispose d’un accès autre que l’accès complet par défaut, spécifiez une paire rôle/étendue personnalisée.

Plus tard, si vous voulez changer l’accès d’un administrateur, voir Configurer un accès personnalisé.

Inviter un administrateur

L’ajout d’administrateurs suit les instructions détaillées dans Ajouter des administrateurs à un compte Citrix Cloud. Un sous-ensemble de ces informations est repris ici.

  1. Après vous être connecté à Citrix Cloud, sélectionnez Gestion des identités et des accès à partir du menu supérieur gauche.

  2. Sur la page Gestion des identités et des accès, cliquez sur Administrateurs. L’écran présente les administrateurs actuels du compte.
  3. Cliquez sur Ajouter admin. de, puis sélectionnez votre méthode d’authentification. Entrez l’adresse e-mail de la personne. Vous pouvez également sélectionner une paire rôle/étendue.

    Si vous ne sélectionnez pas de paire rôle/étendue personnalisée, le nouvel administrateur se voit attribuer un accès complet par défaut. Cet accès comprend l’accès à toutes les fonctions d’administrateur client de Citrix Cloud et de tous les services souscrits.

    Si vous souhaitez que cet administrateur ait un accès plus limité, sélectionnez l’une des paires rôle/étendue à accès personnalisé. De cette manière, les nouveaux administrateurs ont les autorisations voulues lorsqu’ils se connectent pour la première fois à Citrix Cloud.

  4. Cliquez sur Inviter. Citrix Cloud envoie une invitation à l’adresse e-mail que vous avez spécifiée et ajoute l’administrateur à la liste.

    Lorsqu’un administrateur reçoit l’e-mail, il clique sur le lien Joindre pour accepter l’invitation.

Créer des étendues

Par défaut, tous les rôles ont l’étendue Tous pour leurs objets pertinents. Par exemple, un administrateur de groupe de mise à disposition peut gérer tous les groupes de mise à disposition. Pour certains rôles d’administrateur, vous pouvez créer une étendue permettant à ce rôle d’administrateur d’accéder à un sous-ensemble d’objets pertinents. Par exemple, vous pouvez souhaiter donner à un administrateur de catalogue de machines un accès aux catalogues contenant un certain type de machines uniquement, plutôt qu’à tous les catalogues.

  • Les administrateurs avec accès complet ou les administrateurs cloud avec accès personnalisé peuvent créer des étendues pour les rôles Administrateur en lecture seule, Administrateur du catalogue de machines, Administrateur du groupe de mise à disposition et Administrateur hôte.
  • Des étendues ne peuvent pas être créées pour les administrateurs avec accès complet, ni pour les administrateurs cloud ou les administrateurs du centre d’assistance, car ces administrateurs ont toujours l’étendue Tous.

Règles de création et de gestion des étendues :

  • Les noms d’étendue peuvent contenir jusqu’à 64 caractères Unicode. Les étendues ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche ou droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe.
  • Les descriptions d’étendues peuvent contenir jusqu’à 256 caractères unicode.
  • Lorsque vous copiez ou modifiez une étendue, n’oubliez pas que la suppression des objets dans l’étendue peut rendre ces objets inaccessibles à un administrateur. Si l’étendue modifiée est associée à un ou plusieurs rôles, assurez-vous que les mises à jour que vous apportez à l’étendue ne rendent pas une paire rôle/étendue inutilisable.

Pour créer une étendue :

  1. Connectez-vous à Citrix Cloud si vous ne l’avez pas déjà fait. Sélectionnez Mes services > Virtual Apps and Desktops dans le menu en haut à gauche. Sélectionnez l’onglet Gérer.
  2. Cliquez sur Configuration > Administrateurs dans le volet de navigation de Studio, puis cliquez sur l’onglet Étendues.
  3. Cliquez sur Créer une étendue dans le volet Actions. Entrez un nom et une description. Les objets sont répertoriés par type, tels que Groupe de mise à disposition et Catalogue de machines.

    • Pour inclure tous les objets d’un type particulier (par exemple, tous les groupes de mise à disposition), sélectionnez la case du type d’objet.

    • Pour inclure des objets individuels d’un type donné, développez le type, puis sélectionnez les cases des objets individuels (par exemple, des groupes de mise à disposition spécifiques).

  4. Une fois terminé, cliquez sur Enregistrer.

    Boîte de dialogue Créer une étendue

Une fois que vous avez créé une étendue dans Studio, elle apparaît dans la liste Accès personnalisé dans la console Citrix Cloud, associée au rôle approprié. Vous pouvez ensuite l’attribuer à un administrateur.

Par exemple, supposons que vous créez une étendue nommée CAO dans Studio, puis que vous sélectionnez les catalogues de machines contenant des machines adaptées aux applications de CAO. Lorsque vous revenez à la console Citrix Cloud, la liste des paires rôle/étendue à accès personnalisé au niveau du service contient désormais de nouvelles entrées (indiquées ci-dessous en gras) :

  • Administrateur Cloud, Tous
  • Administrateur du groupe de mise à disposition, Tous
  • Administrateur du groupe de mise à disposition, CAO
  • Administrateur du service d’assistance, Tous
  • Administrateur hôte, Tous
  • Administrateur hôte, CAO
  • Administrateur du catalogue de machines, Tous
  • Administrateur du catalogue de machines, CAO
  • Lecture seule, Tous
  • Lecture seule, CAO

L’administrateur Cloud et l’administrateur du centre d’assistance ont toujours l’étendue Tous, donc l’étendue CAO ne s’applique pas à eux.

Gérer les étendues

Après avoir créé une étendue, vous pouvez la copier, la modifier ou la supprimer de Studio.

Cliquez sur Configuration > Administrateurs dans le volet de navigation de Studio, puis cliquez sur l’onglet Étendues.

  • Copier une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Copier étendue dans le volet Actions. Entrez un nom et une description. Modifiez les types d’objets et les objets, si nécessaire.
  • Modifier une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Modifier l’étendue dans le volet Actions. Modifiez le nom, la description, les types d’objet et les objets, si nécessaire.
  • Supprimer une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Supprimer l’étendue dans le volet Actions. Lorsque vous y êtes invité, confirmez la suppression. Vous ne pouvez pas supprimer une étendue si elle est affectée à un rôle. Si vous tentez de le faire, un message d’erreur indique que vous ne disposez pas de l’autorisation. En fait, l’erreur se produit parce que la paire rôle/étendue qui utilise cette étendue est attribuée à un administrateur. Vous devez d’abord supprimer l’attribution de cette paire rôle/étendue pour tous les administrateurs qui l’utilisent. Ensuite, vous pouvez supprimer l’étendue dans Studio.

Configurer un accès personnalisé pour un administrateur

Par défaut, lorsque vous invitez des administrateurs, ils disposent d’un accès complet.

Rappel : l’accès complet permet à l’administrateur de gérer tous les services souscrits, ainsi que les opérations Citrix Cloud de l’administrateur client (telles que l’invitation d’administrateurs supplémentaires). Un déploiement Citrix Cloud nécessite au moins un administrateur avec un accès complet.

Pour configurer un accès personnalisé pour un administrateur :

  1. Connectez-vous à Citrix Cloud si vous ne l’avez pas déjà fait. Sélectionnez Gestion des identités et des accès > Administrateurs dans le menu en haut à gauche.
  2. Recherchez l’administrateur que vous souhaitez gérer, cliquez sur le menu d’ellipse et sélectionnez Modifier l’accès.
  3. Sélectionnez Accès personnalisé. Pour configurer un accès personnalisé spécifique à un service, sous Virtual Apps and Desktops, cochez ou décochez les cases en regard d’une ou de plusieurs paires de rôles et d’étendues dans la liste d’accès personnalisé.

    Si vous n’avez créé aucune étendue dans Studio ni affecté aucune à aucun rôle, tous les rôles de la liste Accès personnalisé ont l’étendue Tous. Par exemple, l’entrée rôle/étendue Administrateur du groupe de mise à disposition, Tous indique que le rôle a l’étendue Tous.

    Si vous avez créé une étendue dans Studio, elle apparaît dans la liste d’accès personnalisé du service et peut être sélectionnée. Par exemple, si vous avez créé une étendue nommée Catalog1, la liste d’accès personnalisé comprend une entrée Administrateur du catalogue de machines, Catalog1, en plus de l’entrée par défaut Administrateur du catalogue de machines, Tous.

  4. Si l’administrateur que vous modifiez dispose déjà d’un accès personnalisé et que vous souhaitez lui accorder un accès complet, sélectionnez Accès complet.
  5. Lorsque vous avez terminé, cliquez sur Enregistrer.

La capture d’écran suivante montre les rôles d’administrateur intégrés avec accès complet et accès personnalisé.

Affichage d'accès personnalisé

Différences par rapport à Citrix Virtual Apps and Desktops sur site

Si vous connaissez l’administration déléguée dans la version Citrix Virtual Apps and Desktops sur site, la version du service présente plusieurs différences.

Dans Citrix Cloud :

  • Les administrateurs sont identifiés par leur connexion Citrix Cloud, plutôt que par leur compte Active Directory. Vous pouvez créer des paires rôle/étendue pour des individus Active Directory, mais pas pour des groupes.
  • Les administrateurs sont créés, configurés et supprimés dans la console Citrix Cloud, plutôt que dans Studio.
  • Les paires rôle/étendue sont attribuées aux administrateurs dans la console Citrix Cloud, plutôt que dans Studio.
  • Les rôles personnalisés ne sont pas disponibles. (Ne confondez pas « accès personnalisé » avec la possibilité de créer des rôles personnalisés dans la version sur site.)
  • Les rapports ne sont pas disponibles. Vous pouvez afficher des informations sur l’administrateur, le rôle et l’étendue dans Studio.
  • L’accès personnalisé Administrateur Cloud est similaire à un administrateur complet dans la version locale. Les deux disposent d’autorisations complètes de gestion et de surveillance pour la version Citrix Virtual Apps and Desktops utilisée. Cependant, dans le service, il n’y a pas de rôle d’administrateur complet nommé. N’associez pas « accès complet » dans Citrix Cloud à « administrateur complet » dans Citrix Virtual Apps and Desktops sur site. L’accès complet dans Citrix Cloud s’étend aux domaines, à la bibliothèque, aux notifications et aux emplacements de ressources de la plate-forme, ainsi qu’à tous les services auxquels vous êtes abonné.

Différences par rapport aux versions de service antérieures

Avant la publication de la fonctionnalité d’accès personnalisé étendue dans le service (septembre 2018), il y avait deux rôles d’administrateur avec accès personnalisé : Administrateur complet et Administrateur du centre d’assistance. Lorsque l’administration déléguée est activée dans votre déploiement (ce qui correspond à un paramètre au niveau de la plate-forme), ces rôles sont automatiquement mappés.

  • Un administrateur qui était auparavant configuré en tant que Virtual Apps and Desktops (ou XenApp and XenDesktop) : Administrateur complet avec accès personnalisé est maintenant un Administrateur Cloud avec accès personnalisé.
  • Un administrateur qui était auparavant configuré en tant que Virtual Apps and Desktops (ou XenApp and XenDesktop) : Administrateur du centre d’assistance avec accès personnalisé est maintenant un Administrateur du centre d’assistance avec accès personnalisé.