Citrix DaaS

Amministrazione delegata

Panoramica

Con l’amministrazione delegata in Citrix Cloud, è possibile configurare le autorizzazioni di accesso di cui tutti gli amministratori hanno bisogno, in base al loro ruolo nella vostra organizzazione.

Per impostazione predefinita, gli amministratori hanno l’accesso completo. Questa impostazione consente l’accesso a tutte le funzioni di amministrazione e gestione dei clienti disponibili in Citrix Cloud, oltre a tutti i servizi in abbonamento. Per personalizzare l’accesso di un amministratore:

  • Configurare l’accesso personalizzato per le autorizzazioni di gestione generali di un amministratore in Citrix Cloud.
  • Configurare l’accesso personalizzato per i servizi in abbonamento. In Citrix DaaS (precedentemente chiamato servizio Citrix Virtual Apps and Desktops), è possibile configurare l’accesso personalizzato quando si invita un nuovo amministratore. È possibile modificare l’accesso di un amministratore in un secondo momento.

Per informazioni sulla visualizzazione dell’elenco degli amministratori e sulla definizione delle autorizzazioni di accesso, vedere Manage administrator access to Citrix Cloud.

Questo articolo descrive come configurare l’accesso personalizzato in Citrix DaaS.

Amministratori, ruoli e ambiti

L’amministrazione delegata utilizza tre concetti per l’accesso personalizzato: amministratori, ruoli e ambiti.

  • Amministratori: un amministratore rappresenta una persona identificata dall’accesso a Citrix Cloud, che in genere è un indirizzo e-mail. Ogni amministratore è associato a una o più coppie di ruoli e di ambiti.
  • Ruoli: un ruolo rappresenta una funzione lavorativa e a esso sono associate autorizzazioni. Queste autorizzazioni consentono determinate attività esclusive di Citrix DaaS. Ad esempio, il ruolo Delivery Group Administrator (Amministratore del gruppo di consegna) dispone dell’autorizzazione per creare un gruppo di consegna e rimuovere un desktop da un gruppo di consegna, oltre ad altre autorizzazioni associate. Un amministratore può avere più ruoli. Un amministratore può essere amministratore del gruppo di consegna e amministratore del catalogo di macchine.

    Citrix DaaS offre diversi ruoli di accesso personalizzati integrati. Non è possibile modificare le autorizzazioni all’interno di questi ruoli incorporati né eliminare tali ruoli.

    È possibile creare ruoli di accesso personalizzati per soddisfare i requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. Utilizzare ruoli personalizzati per allocare le autorizzazioni in base alla granularità di un’azione o di un’attività. È possibile eliminare un ruolo personalizzato solo se non è assegnato a un amministratore.

    È possibile modificare i ruoli di un amministratore.

    Un ruolo è sempre associato a un ambito.

  • Ambiti: un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in modo rilevante per l’organizzazione. Gli oggetti possono rientrare in più di un ambito.

    C’è un ambito incorporato: Tutto, che contiene tutti gli oggetti. Gli amministratori di Citrix Cloud e dell’Help Desk sono sempre associati all’ambito All. Tale ambito non può essere modificato per tali amministratori.

    Quando si invita (aggiunge) un amministratore per questo servizio, un ruolo viene sempre associato a un ambito (per impostazione predefinita, l’ambito Tutto).

    È possibile creare ed eliminare gli ambiti nell’interfaccia Manage > Full Configuration (Gestisci > Configurazione completa) del servizio. Assegnare coppie ruolo/ambito nella console Citrix Cloud.

    Un ambito non viene mostrato per gli amministratori con accesso completo. Per definizione, questi amministratori possono accedere a tutti gli oggetti Citrix Cloud e ai servizi in abbonamento gestiti dal cliente.

Ruoli e ambiti integrati

Citrix DaaS ha i seguenti ruoli integrati.

  • Amministratore cloud: può eseguire tutte le attività che possono essere avviate da Citrix DaaS.

    Può vedere le schede Manage (Gestisci) e Monitor nella console. Questo ruolo è sempre combinato con l’ambito All. Non è possibile modificare l’ambito.

    Non lasciarsi confondere dal nome di questo ruolo. Un amministratore cloud con accesso personalizzato non può eseguire attività a livello di Citrix Cloud (le attività Citrix Cloud richiedono l’accesso completo).

  • Read Only Administrator (Amministratore di sola lettura): può vedere tutti gli oggetti negli ambiti specificati (oltre alle informazioni globali), ma non può modificare nulla. Ad esempio, un amministratore di sola lettura con ambito Londra può vedere tutti gli oggetti globali e tutti gli oggetti che rientrano nell’ambito di Londra (ad esempio i gruppi di consegna di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito di New York (supponendo che gli ambiti Londra e New York non si sovrappongano).

    Può vedere la scheda Manage (Gestisci) nella console. Non può visualizzare la scheda Monitor. È possibile modificare l’ambito.

  • Help Desk Administrator (Amministratore dell’Help Desk): può visualizzare i gruppi di consegna e gestire le sessioni e i computer associati a tali gruppi. Può visualizzare il catalogo macchine e le informazioni sull’host per i gruppi di consegna che segue. Può inoltre eseguire operazioni di gestione delle sessioni e gestione dell’alimentazione della macchina per le macchine di tali gruppi di consegna.

    Può vedere la scheda Monitor nella console. Non può visualizzare la scheda Manage (Gestisci). Questo ruolo è sempre combinato con l’ambito All. Non è possibile modificare l’ambito.

  • Machine Catalog Administrator (Amministratore del catalogo macchine): può creare e gestire cataloghi di macchine ed effettuare il provisioning delle macchine al loro interno. Può gestire immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.

    Può vedere la scheda Manage (Gestisci) nella console. Non può visualizzare la scheda Monitor. È possibile modificare l’ambito.

  • Delivery Group Administrator (Amministratore del gruppo di consegna): può fornire applicazioni, desktop e macchine. Può anche gestire le sessioni associate. Può gestire le configurazioni di applicazioni e desktop, ad esempio criteri e impostazioni di risparmio energia.

    Può vedere la scheda Manage (Gestisci) nella console. Non può visualizzare la scheda Monitor. È possibile modificare l’ambito.

  • Host Administrator (Amministratore host): può gestire le connessioni host e le impostazioni delle risorse associate. Non può distribuire macchine, applicazioni o desktop agli utenti.

    Può vedere la scheda Manage (Gestisci) nella console. Non può visualizzare la scheda Monitor. È possibile modificare l’ambito.

  • Session Administrator (Amministratore di sessione): può visualizzare i gruppi di consegna monitorati e gestire le sessioni e i computer associati.

    Può vedere la scheda Monitor nella console. Non può visualizzare la scheda Manage (Gestisci). Non è possibile modificare l’ambito.

  • Full Administrator (Amministratore completo): può eseguire tutte le attività e le operazioni. Un amministratore completo viene sempre combinato con l’ambito All scope.

    Può vedere le schede Manage (Gestisci) e Monitor nella console. Questo ruolo è sempre combinato con All scope. Non è possibile modificare l’ambito.

  • Full Monitor Administrator (Amministratore monitor completo): ha pieno accesso a tutte le viste e i comandi della scheda Monitor.

    Può vedere la scheda Monitor nella console. Non può visualizzare la scheda Manage (Gestisci). Non è possibile modificare l’ambito.

  • Probe Agent Administrator (Amministratore Probe Agent): ha accesso alle API di Probe Agent.

    Può vedere la scheda Monitor nella console. Non può visualizzare la scheda Manage (Gestisci). Ha accesso in sola lettura alla pagina Applications (Applicazioni) ma non può accedere a nessun’altra visualizzazione.

Nella tabella seguente vengono riepilogate le schede della console visibili per ciascun ruolo di accesso personalizzato in Citrix DaaS e se il ruolo può essere utilizzato con ambiti personalizzati.

Ruolo di amministratore di accesso personalizzato Può vedere la scheda Manage (Gestisci) nella console? Può vedere la scheda Monitor nella console? Il ruolo può essere utilizzato con ambiti personalizzati?
Cloud Administrator (Amministratore cloud) No
Read Only Administrator (Amministratore di sola lettura) No
Help Desk Administrator (Amministratore dell’helpdesk) No No
Machine Catalog Administrator (Amministratore del catalogo macchine) No
Delivery Group Administrator (Amministratore di gruppo di consegna) No
Host Administrator (Amministratore host) No
Session Administrator (Amministratore della sessione) No No
Full Administrator (Amministratore completo) No
Full Monitor Administrator (Amministratore di Monitor completo) No No
Probe Agent Administrator (Amministratore di Probe Agent) No No

Nota:

I ruoli di amministratore degli accessi personalizzati (a eccezione di Cloud Administrator e Help Desk Administrator) non sono disponibili per Citrix Virtual Apps and Desktops Standard for Azure, Virtual Apps Essentials e Virtual Desktops Essentials.

Per visualizzare le autorizzazioni associate a un ruolo:

  1. Accedere a Citrix Cloud. Nel menu in alto a sinistra, selezionare My Services > DaaS (I miei servizi > DaaS).
  2. Da Manage > Full Configuration, selezionare Administrators nel riquadro a sinistra.
  3. Seleziona la scheda Roles.
  4. Selezionare un ruolo nel riquadro centrale in alto. La scheda Role definition (Definizione ruolo) nel riquadro inferiore elenca le categorie e le autorizzazioni. Selezionare una categoria per vedere le autorizzazioni specifiche. La scheda Administrators (Amministratori) elenca gli amministratori a cui è stato assegnato il ruolo selezionato.

    Problema noto: una voce Full Administrator (Amministratore completo) non visualizza il set corretto di autorizzazioni per un amministratore di Citrix DaaS ad accesso completo.

Quanti amministratori occorrono

Il numero di amministratori e la granularità delle autorizzazioni in genere dipendono dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o quelle prova di concetto, uno o pochi amministratori fanno tutto. Non esistono deleghe di accesso personalizzate. In questo caso, ogni amministratore ha accesso completo, che ha sempre l’ambito All.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessario delegare di più. Diversi amministratori potrebbero avere responsabilità funzionali (ruoli) più specifiche. Ad esempio, due hanno accesso completo e altri sono amministratori dell’helpdesk. Inoltre, un amministratore può gestire solo determinati gruppi di oggetti (ambiti), ad esempio i cataloghi di macchine di un particolare reparto. In questo caso, creare nuovi ambiti, oltre agli amministratori con il ruolo e gli ambiti di accesso personalizzati appropriati.

Riepilogo della gestione degli amministratori

La configurazione degli amministratori per Citrix DaaS segue questa sequenza:

  1. Se l’amministratore deve avere un ruolo diverso da quello di amministratore completo (che copre tutti i servizi in abbonamento di Citrix Cloud) o un ruolo integrato, creare un ruolo personalizzato.

  2. Se l’amministratore dovrà avere un ambito diverso da All (e un ambito diverso è consentito per il ruolo previsto e non è già stato creato), creare degli ambiti.

  3. Da Citrix Cloud, invitare un amministratore. Se si desidera che il nuovo amministratore abbia qualcosa di diverso dall’accesso completo predefinito, specificare una coppia di ruolo di accesso e ambito personalizzata.

In seguito, se si desidera modificare l’accesso di un amministratore (ruoli e ambito), vedere Configurare l’accesso personalizzato.

Aggiungere un amministratore

Per aggiungere (invitare) amministratori, seguire le indicazioni fornite in Add administrators to a Citrix Cloud account. Un sottoinsieme di tali informazioni viene ripetuto qui.

Importante:

Non confondere il modo in cui vengono utilizzati i termini “custom” (personalizzato) e “custom access” (accesso personalizzato).

  • Quando si creano amministratori e si assegnano ruoli per Citrix DaaS nella console Citrix Cloud, il termine “custom access” (accesso personalizzato) include sia i ruoli incorporati che eventuali ruoli personalizzati aggiuntivi creati nell’interfaccia Manage > Full Configuration del servizio.
  • Nell’interfaccia Manage > Full Configuration del servizio, “custom” differenzia semplicemente quel ruolo da un ruolo incorporato.

Il flusso di lavoro generale per l’aggiunta di amministratori è il seguente:

  1. Accedere a Citrix Cloud e selezionare Identity and Access Management nel menu in alto a sinistra.

  2. Nella pagina Identity and Access Management, selezionare Administrators. La scheda Administrators elenca tutti gli attuali amministratori dell’account.

  3. Nella scheda Administrators, selezionare il tipo di identità, inserire l’indirizzo email dell’amministratore, quindi fare clic su Invite.

  • Selezionare Full access se si desidera che l’amministratore abbia l’accesso completo. In questo modo, l’amministratore può accedere a tutte le funzioni di amministratore del cliente in Citrix Cloud e in tutti i servizi in abbonamento.
  • Selezionare Custom access se si desidera che l’amministratore abbia accesso limitato. È quindi possibile selezionare una coppia di ruolo di accesso e ambito personalizzata. In questo modo, l’amministratore dispone delle autorizzazioni previste per l’accesso a Citrix Cloud.
  1. Fare clic su Send Invite. Citrix Cloud invia un invito all’indirizzo e-mail e aggiunge l’amministratore all’elenco dopo che l’amministratore ha completato l’onboarding.

Quando riceve l’e-mail, l’amministratore fa clic sul collegamento Sign In per accettare l’invito.

Per ulteriori informazioni sull’aggiunta di amministratori, vedere Manage Citrix Cloud administrators.

In alternativa, passare a Manage > Full Configuration > Administrators > Administrators e fare clic su Add Administrator. Si passerà direttamente a Identity and Access Management > Administrators, che si apre in una nuova scheda del browser. Dopo aver completato l’aggiunta di amministratori, chiudere la scheda e tornare alla console per procedere alle altre attività di configurazione.

Creare e gestire ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni di cui dispongono essi stessi. Questo controllo impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle di cui dispongono attualmente e di assegnarlo a se stessi (o modificare un ruolo già assegnato).

I nomi di ruolo personalizzati possono contenere fino a 64 caratteri Unicode. I nomi non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette e apostrofo.

Le descrizioni dei ruoli possono contenere fino a 256 caratteri Unicode.

  1. Se non lo si è già fatto, accedere a Citrix Cloud. Nel menu in alto a sinistra, selezionare My Services > DaaS (I miei servizi > DaaS).
  2. Da Manage > Full Configuration, selezionare Administrators nel riquadro a sinistra.
  3. Seleziona la scheda Roles.
  4. Seguire le istruzioni per l’attività da completare:

    • Visualizzare i dettagli del ruolo: selezionare il ruolo nel riquadro centrale. Nella parte inferiore del riquadro centrale sono elencati i tipi di oggetto e le autorizzazioni associate al ruolo. Selezionare la scheda Administrators nel riquadro inferiore per visualizzare un elenco degli amministratori che attualmente dispongono di questo ruolo.
    • Creare un ruolo personalizzato: selezionare Create role nella barra delle azioni. Configurare le impostazioni come segue:

      • Immettere un nome e una descrizione.
      • Configurare l’accesso alla console. Determinare quali console sono visibili agli amministratori. È possibile procedere senza selezionare alcuna console. In tal caso, gli amministratori con quel ruolo non possono accedere a Manage e Monitor ma possono accedere, visualizzare o gestire gli oggetti tramite SDK e API.
      • Selezionare i tipi di oggetto e le autorizzazioni. Per concedere l’autorizzazione di accesso completo a un tipo di oggetto, selezionare la relativa casella di controllo. Per concedere l’autorizzazione a livello granulare, espandere il tipo di oggetto e quindi selezionare Read Only o singoli oggetti in Manage all’interno del tipo.

      Finestra di dialogo Create role

    • Copiare un ruolo: selezionare il ruolo nel riquadro centrale, quindi selezionare Copy Role nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze. Al termine, selezionare Save (Salva).
    • Modificare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi selezionare Edit Role nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze. Non è possibile modificare un ruolo incorporato. Al termine, selezionare Save (Salva).
    • Eliminare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi selezionare Delete Role nella barra delle azioni. Quando richiesto, confermare l’eliminazione. Non è possibile eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se è assegnato a un amministratore.

Creare e gestire ambiti

Per impostazione predefinita, tutti i ruoli hanno l’ambito All per gli oggetti rilevanti. Ad esempio, un Delivery Group Administrator (Amministratore di gruppo di consegna) può gestire tutti i Delivery Groups (Gruppi di consegna). Per alcuni ruoli di amministratore, è possibile creare un ambito che consenta a tale ruolo di amministratore di accedere a un sottoinsieme degli oggetti pertinenti. Ad esempio, si potrebbe voler dare a un Machine Catalog Administrator (Amministratore di catalogo macchine) l’accesso ai soli cataloghi che contengono un certo tipo di macchine, piuttosto che a tutti i cataloghi.

  • I Full Access Administrators (Amministratori con accesso completo) o i Cloud Administrators con accesso personalizzato possono creare ambiti per i ruoli Read Only Administrator (Amministratore di sola lettura), Machine Catalog Administrator (Amministratore catalogo macchine), Delivery Group Administrator (Amministratore di gruppo di consegna) e Host Administrator (Amministratore host).
  • Non possono essere creati ambiti né per i Full access administrators, né per i Cloud Administrator né gli Help Desk Administrators. Questi amministratori hanno sempre l’ambito All.

Regole per la creazione e la gestione degli ambiti:

  • I nomi di ambito possono contenere fino a 64 caratteri Unicode. I nomi non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette e apostrofo.
  • Le descrizioni degli ambiti possono contenere fino a 256 caratteri Unicode.
  • Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili a un amministratore. Se l’ambito modificato è associato a uno o più ruoli, assicurarsi che i propri aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per creare e gestire ambiti:

  1. Accedere a Citrix Cloud. Nel menu in alto a sinistra, selezionare My Services > DaaS (I miei servizi > DaaS).
  2. Da Manage > Full Configuration, selezionare Administrators nel riquadro a sinistra.
  3. Selezionare la scheda Scopes.
  4. Seguire le istruzioni per l’attività da completare:

    • Visualizzare dettagli dell’ambito: selezionare l’ambito. Nella parte inferiore del riquadro sono elencati gli oggetti e gli amministratori che hanno tale ambito.
    • Creare un ambito: selezionare Create scope nella barra delle azioni. Immettere un nome e una descrizione. Gli oggetti sono elencati per tipo, ad esempio gruppo di consegna e catalogo macchine.
      • Per includere tutti gli oggetti di un tipo particolare (ad esempio tutti i gruppi di consegna), selezionare la casella di controllo del tipo di oggetto.
      • Per includere singoli oggetti all’interno di un tipo, espandere il tipo e selezionare le caselle di controllo degli oggetti (ad esempio gruppi di consegna specifici).

        Nota:

        I gruppi di applicazioni, i gruppi di consegna o i cataloghi di macchine vengono visualizzati in strutture di cartelle allineate alla loro gestione in DaaS. È possibile selezionare una cartella per selezionare tutti i relativi oggetti o espandere una cartella per selezionare oggetti specifici.

      • Per creare un cliente tenant, selezionare la casella di controllo Tenant scope (Ambito tenant). Se viene selezionata, il nome immesso per l’ambito è il nome del tenant. Per ulteriori informazioni sull’ambito del tenant, vedere Gestione dei tenant.

      Al termine, selezionare OK.

      Finestra di dialogo Create Scope

    • Copiare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Copy Scope nella barra delle azioni. Cambiare il nome e/o la descrizione. Modificare i tipi di oggetto e gli oggetti in base alle esigenze. Al termine, selezionare Save (Salva).
    • Modificare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Edit Scope nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti in base alle esigenze. Al termine, selezionare Save (Salva).
    • Eliminare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Delete Scope nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

      Non è possibile eliminare un ambito se è assegnato a un ruolo. Se si tenta di farlo, un messaggio di errore indica che non si dispone dell’autorizzazione. In effetti, l’errore si verifica perché la coppia ruolo/ambito che utilizza questo ambito è assegnata a un amministratore. Innanzitutto, rimuovere l’assegnazione della coppia ruolo/ambito da tutti gli amministratori che la utilizzano. Quindi eliminare l’ambito nella console Manage.

Dopo aver creato un ambito, questo viene visualizzato nell’elenco di Custom access (Accesso personalizzato) nella console Citrix Cloud. È quindi possibile selezionarlo quando si assegna un ruolo a un amministratore.

Ad esempio, supponiamo di creare un ambito denominato CAD e di selezionare i cataloghi che contengono macchine adatte alle applicazioni CAD. Quando si torna alla console Citrix Cloud e si seleziona Edit scopes (Modifica ambiti) per un ruolo, l’elenco degli ambiti disponibili contiene l’ambito CAD creato in precedenza.

Il Cloud Administrator e l’Help Desk Administrator hanno sempre l’ambito All, quindi l’ambito CAD non si applica a loro.

Gestione dei tenant

Utilizzando l’interfaccia di gestione Full Management (Configurazione completa), è possibile creare tenant che si escludono a vicenda in un singolo Citrix DaaS. È possibile ottenere questo risultato creando ambiti tenant in Administrators > Scopes (Amministratori > Ambiti) e associando gli oggetti di configurazione correlati, ad esempio cataloghi macchine e gruppi di consegna, a tali tenant. Di conseguenza, gli amministratori con accesso a un tenant possono gestire solo gli oggetti associati al tenant.

Questa funzione è utile, ad esempio, se la propria organizzazione:

  • Dispone di silos aziendali diversi (divisioni indipendenti o team di gestione IT separati) o
  • Dispone di più siti locali e desidera mantenere la stessa configurazione in una singola istanza di Citrix DaaS.

L’interfaccia consente di filtrare i clienti tenant in base al nome. Per impostazione predefinita, l’interfaccia visualizza informazioni su tutti i clienti tenant. Per visualizzare le informazioni su un tenant specifico, selezionarlo dall’elenco nell’angolo in alto a destra.

Creare un cliente tenant

Per creare un cliente tenant, selezionare Tenant scope (Ambito tenant) durante la creazione di un ambito. Selezionando l’opzione, si crea un tipo di ambito univoco che si applica agli oggetti negli scenari in cui si condivide un’istanza Citrix DaaS tra diverse unità organizzative, ognuna delle quali è indipendente dalle altre. Dopo aver creato un ambito tenant, non è possibile modificare il tipo di ambito.

Creare un cliente tenant

La scheda Scopes (Ambiti) visualizza tutti gli elementi dell’ambito. L’unica differenza tra ambiti regolari e ambiti tenant è nella colonna Type (Tipo). Un campo colonna vuoto indica un ambito regolare. È possibile fare clic sulla colonna Type (Tipo) per ordinare gli elementi dell’ambito, se necessario.

Per visualizzare le risorse (oggetti) associate a un ambito, selezionare Administrators (Amministratori) nel riquadro di sinistra. Nella scheda Scopes (Ambiti), selezionare l’ambito, quindi selezionare Edit Scope (Modifica ambito) nella barra delle azioni.

Suggerimento:

La proprietà tenant viene assegnata a livello di ambito. I cataloghi di macchine, i gruppi di consegna, le applicazioni e le connessioni ereditano la proprietà del tenant dall’ambito applicabile.

Quando si utilizza un ambito tenant, tenere presente le seguenti considerazioni:

  • La proprietà del tenant viene assegnata nel seguente ordine: Hosting > Machine Catalogs > Delivery Groups > Applications (Hosting > Cataloghi di macchine > Gruppi di consegna > Applicazioni). Gli oggetti di livello inferiore si basano sugli oggetti di livello superiore da cui ereditare la proprietà tenant. Ad esempio, quando si seleziona un gruppo di consegna, è necessario selezionare l’hosting e il catalogo delle macchine associati. In caso contrario, il gruppo di consegna non può ereditare la proprietà tenant.
  • Dopo aver creato un ambito tenant, è possibile modificare le assegnazioni dei tenant modificando gli oggetti. Quando l’assegnazione di un tenant viene modificata, è ancora soggetta al vincolo in base al quale deve essere assegnata agli stessi tenant o a un sottoinsieme di tali tenant. Tuttavia, gli oggetti di livello inferiore non vengono rivalutati quando cambiano le assegnazioni dei tenant. Assicurarsi che gli oggetti siano limitati correttamente quando si modificano le assegnazioni dei tenant. Ad esempio, se un catalogo delle macchine è disponibile per TenantA e TenantB, è possibile creare un gruppo di consegna per TenantA e uno per TenantB (TenantA e TenantB sono entrambi associati a quel catalogo delle macchine). È quindi possibile modificare il catalogo delle macchine in modo che sia associato solo a TenantA. Di conseguenza, il gruppo di consegna associato a TenantB non è più valido.

Configurare l’accesso personalizzato per gli amministratori

Dopo aver creato gli ambiti tenant, configurare l’accesso personalizzato per i rispettivi amministratori. Per ulteriori informazioni, consultare Configurare l’accesso personalizzato per un amministratore. Citrix Cloud invia un invito agli amministratori dei clienti specificati e li aggiunge all’elenco. Quando ricevono l’e-mail, fanno clic su Sign In (Accedi) per accettare l’invito. Quando accedono all’interfaccia di gestione Full Configuration (Configurazione completa), vedono le risorse contenute nelle coppie di ruolo e ambito assegnate.

Configurare l'accesso personalizzato per i clienti tenant

Gli amministratori con accesso a un tenant possono gestire solo gli oggetti (ad esempio catalogo delle macchine, gruppo di consegna) associati al tenant.

Configurare l’accesso personalizzato per un amministratore

Questa funzione consente di definire le autorizzazioni di accesso degli amministratori esistenti o degli amministratori che si invitano in modo appropriato al loro ruolo nell’organizzazione.

Le modifiche apportate alle autorizzazioni di accesso richiedono 5 minuti per avere effetto. Scollegandosi dall’interfaccia di gestione Full Configuration e accedendo di nuovo, le modifiche abbiano effetto immediato. Negli scenari in cui gli amministratori utilizzano ancora l’interfaccia di gestione dopo che le modifiche sono diventate effettive senza riconnettersi a essa, viene visualizzato un avviso quando essi tentano di accedere agli elementi per i quali non dispongono più delle autorizzazioni.

Per impostazione predefinita, quando si invitano amministratori, questi hanno accesso completo. L’accesso completo consente all’amministratore di gestire tutti i servizi in abbonamento e tutte le operazioni Citrix Cloud (quale invitare più amministratori). Una distribuzione Citrix Cloud richiede almeno un amministratore con accesso completo.

È anche possibile concedere un accesso personalizzato quando si invita un amministratore. L’accesso personalizzato consente all’amministratore di gestire solo i servizi e le operazioni specificati.

Quando si crea un ruolo o un ambito in Citrix DaaS, questo viene visualizzato nell’elenco di accesso personalizzato e può essere selezionato. Quando si seleziona un ruolo per un amministratore, è possibile modificare gli ambiti in base come necessario in base al ruolo dell’amministratore nell’organizzazione.

Per configurare l’accesso personalizzato per un amministratore:

  1. Accedere a Citrix Cloud. Selezionare Identity and Access Management > Administrators nel menu in alto a sinistra.
  2. Individuare l’amministratore che si desidera gestire, selezionare il menu con i puntini di sospensione e selezionare Edit access.

    Menu dell'amministratore con Edit Access evidenziato

  3. Selezionare Custom access.

    Finestra di dialogo di modifica dell'accesso con l'opzione Custom Access evidenziata

  4. In DaaS, selezionare o deselezionare i segni di spunta accanto a uno o più ruoli. Per modificare gli ambiti associati a un ruolo assegnato, selezionare Edit scopes (Modifica ambiti).

    Finestra di dialogo di modifica dell'accesso con Edit Scopes evidenziato

    Per impostazione predefinita, ogni ruolo selezionato ha tutti gli ambiti selezionati, come indicato dall’etichetta All scopes (Tutti gli ambiti).

  5. Per specificare gli ambiti di un ruolo selezionato, selezionare Custom Scope (IAmbito personalizzato) e quindi aggiungere o rimuovere gli ambiti appropriati. Per impostazione predefinita, tutti gli ambiti personalizzati vengono aggiunti a un ruolo. Per rimuovere un ambito, fare clic sull’icona X sull’ambito.

    Finestra di dialogo di modifica dell'accesso con le icone X evidenziate

    Gli ambiti che sono stati rimossi e sono disponibili per essere aggiunti a un ruolo vengono visualizzati in un elenco sotto gli ambiti già aggiunti. Per aggiungere un ambito al ruolo, selezionare l’icona con il segno più dell’ambito.

    Finestra di dialogo di modifica dell'accesso con le icone più evidenziate

  6. Quando si è finito di selezionare gli ambiti, selezionare Apply.

  7. Selezionare Save per salvare i ruoli selezionati per l’amministratore.

Differenze rispetto a Citrix Virtual Apps and Desktops locale

Se si ha familiarità con l’amministrazione delegata nel prodotto Citrix Virtual Apps and Desktops on-premise, la versione di Citrix DaaS presenta diverse differenze.

In Citrix Cloud:

  • Gli amministratori sono identificati dal loro accesso Citrix Cloud, piuttosto che dal loro account Active Directory. È possibile creare coppie di ruolo/ambito per singoli utenti di Active Directory, ma non per gruppi.
  • Gli amministratori vengono creati, configurati ed eliminati nella console Citrix Cloud, anziché in Citrix DaaS.
  • Le coppie ruolo/ambito vengono assegnate agli amministratori nella console Citrix Cloud anziché in Citrix DaaS.
  • I report non sono disponibili. È possibile visualizzare le informazioni relative all’amministratore, al ruolo e all’ambito nell’interfaccia Manage > Full Configuration del servizio.
  • Il Cloud Administrator con accesso personalizzato è simile a un amministratore completo della versione locale. Entrambi dispongono di autorizzazioni complete di gestione e monitoraggio per la versione Citrix Virtual Apps and Desktops utilizzata.

    Tuttavia, in Citrix DaaS non esiste un ruolo Full Administrator (Amministratore completo) specifico. Non equiparare “Full access” di Citrix Cloud con “Full administrator” in Citrix Virtual Apps and Desktops locale. Full access in Citrix Cloud comprende i domini a livello di piattaforma, la libreria, le notifiche e le posizioni delle risorse, oltre a tutti i servizi in abbonamento.

Differenze rispetto alle versioni precedenti di Citrix DaaS

Prima del rilascio della funzionalità di accesso personalizzato estesa (settembre 2018), esistevano due ruoli di amministratore con accesso personalizzato: Full Administrator e Help Desk Administrator. Quando la distribuzione ha l’amministrazione delegata abilitata (che è un’impostazione della piattaforma), tali ruoli vengono mappati automaticamente.

  • Un amministratore precedentemente configurato come Virtual Apps and Desktops (o XenApp e XenDesktop) Service: Full Administrator con accesso personalizzato è ora un Cloud Administrator con accesso personalizzato.
  • Un amministratore precedentemente configurato come Virtual Apps and Desktops (o XenApp e XenDesktop) Service: Help Desk Administrator con accesso personalizzato è ora un Help Desk Administrator con accesso personalizzato.

Ulteriori informazioni

Vedere Amministrazione e monitoraggio delegati per informazioni su amministratori, ruoli e ambiti utilizzati nella console Monitor del servizio.