Citrix DaaS™

Amministrazione delegata

Panoramica

Con l’amministrazione delegata in Citrix Cloud™, è possibile configurare le autorizzazioni di accesso necessarie a tutti gli amministratori, in base al loro ruolo nell’organizzazione.

Per impostazione predefinita, gli amministratori dispongono di accesso completo. Questa impostazione abilita l’accesso a tutte le funzioni di amministrazione e gestione del cliente disponibili in Citrix Cloud, oltre a tutti i servizi sottoscritti. Per personalizzare l’accesso di un amministratore:

  • Configurare l’accesso personalizzato per le autorizzazioni di gestione generali di un amministratore in Citrix Cloud.
  • Configurare l’accesso personalizzato per i servizi sottoscritti. In Citrix DaaS (precedentemente servizio Citrix Virtual Apps and Desktops™), è possibile configurare l’accesso personalizzato quando si invita un nuovo amministratore. È possibile modificare l’accesso di un amministratore in un secondo momento.

Per informazioni sulla visualizzazione dell’elenco degli amministratori e sulla definizione delle autorizzazioni di accesso, vedere Gestire l’accesso degli amministratori a Citrix Cloud.

Questo articolo descrive come configurare l’accesso personalizzato in Citrix DaaS.

Amministratori, ruoli e ambiti

L’amministrazione delegata utilizza tre concetti per l’accesso personalizzato: amministratori, ruoli e ambiti.

  • Amministratori: un amministratore rappresenta una persona identificata dal proprio accesso a Citrix Cloud, che in genere è un indirizzo e-mail. Ogni amministratore è associato a una o più coppie ruolo e ambito.
  • Ruoli: un ruolo rappresenta una funzione lavorativa e ha autorizzazioni associate. Queste autorizzazioni consentono determinate attività uniche per Citrix DaaS. Ad esempio, il ruolo Amministratore di gruppo di consegna ha l’autorizzazione per creare un gruppo di consegna e rimuovere un desktop da un gruppo di consegna, oltre ad altre autorizzazioni associate. Un amministratore può avere più ruoli. Un amministratore potrebbe essere un Amministratore di gruppo di consegna e un Amministratore di catalogo macchine.

    Citrix DaaS offre diversi ruoli di accesso personalizzato predefiniti. Non è possibile modificare le autorizzazioni all’interno di questi ruoli predefiniti o eliminare tali ruoli.

    È possibile creare i propri ruoli di accesso personalizzato per soddisfare i requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. Utilizzare i ruoli personalizzati per allocare le autorizzazioni con la granularità di un’azione o un’attività. È possibile eliminare un ruolo personalizzato solo se non è assegnato a un amministratore.

    È possibile modificare i ruoli di un amministratore.

    Un ruolo è sempre associato a un ambito.

  • Ambiti: un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in un modo pertinente per l’organizzazione. Gli oggetti possono trovarsi in più di un ambito.

    Esiste un ambito predefinito: Tutti, che contiene tutti gli oggetti. Gli amministratori di Citrix Cloud e Help Desk sono sempre associati all’ambito Tutti. Tale ambito non può essere modificato per tali amministratori.

    Quando si invita (aggiunge) un amministratore per questo servizio, un ruolo è sempre associato a un ambito (per impostazione predefinita, l’ambito Tutti).

    È possibile creare ed eliminare ambiti utilizzando Studio. Si assegnano coppie ruolo/ambito nella console di Citrix Cloud.

    Un ambito non viene visualizzato per gli amministratori con accesso completo. Per definizione, tali amministratori possono accedere a tutti gli oggetti di Citrix Cloud e dei servizi sottoscritti gestiti dal cliente.

Ruoli e ambiti predefiniti

Citrix DaaS dispone dei seguenti ruoli predefiniti.

  • Amministratore Cloud: può eseguire tutte le attività e le operazioni per la gestione di DaaS.

    Può visualizzare le console Manage (Gestisci) e Monitor (Monitora) in Studio. Questo ruolo è sempre combinato con l’ambito Tutti. Non è possibile modificare l’ambito.

    Non lasciarsi confondere dal nome di questo ruolo. Un Amministratore Cloud con accesso personalizzato non può eseguire attività a livello di Citrix Cloud (le attività di Citrix Cloud richiedono l’accesso completo).

  • Amministratore di sola lettura: può visualizzare tutti gli oggetti negli ambiti specificati (oltre alle informazioni globali), ma non può modificare nulla. Ad esempio, un Amministratore di sola lettura con un ambito di Londra può visualizzare tutti gli oggetti globali e tutti gli oggetti nell’ambito di Londra (ad esempio, Gruppi di consegna di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito di New York (supponendo che gli ambiti di Londra e New York non si sovrappongano).

    Può visualizzare le console Manage (Gestisci) e Monitor (Monitora) in Studio.

  • Amministratore Help Desk: può visualizzare i gruppi di consegna e gestire le sessioni e le macchine associate a tali gruppi. Può visualizzare il catalogo macchine e le informazioni host per i gruppi di consegna monitorati. Può anche eseguire operazioni di gestione delle sessioni e di gestione dell’alimentazione delle macchine per le macchine in tali gruppi di consegna.

    Può visualizzare la console Monitor (Monitora) in Studio. Non può visualizzare la console Manage (Gestisci). Questo ruolo è sempre combinato con l’ambito Tutti. Non è possibile modificare l’ambito.

  • Amministratore di catalogo macchine: può creare e gestire cataloghi macchine e fornirvi le macchine. Può gestire le immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.

    Può visualizzare le console Manage (Gestisci) e Monitor (Monitora) in Studio. È possibile modificare l’ambito.

  • Amministratore di gruppo di consegna: può fornire applicazioni, desktop e macchine. Può anche gestire le sessioni associate. Può gestire le configurazioni di applicazioni e desktop, come criteri e impostazioni di gestione dell’alimentazione.

    Può visualizzare le console Manage (Gestisci) e Monitor (Monitora) in Studio. È possibile modificare l’ambito.

    Nota:

    Per modificare il nome visualizzato di un desktop come Amministratore di gruppo di consegna, è necessaria l’autorizzazione Perform Machine Update (Esegui aggiornamento macchina). Questa autorizzazione è necessaria perché la modifica del nome visualizzato implica l’aggiornamento della proprietà della macchina.

  • Amministratore host: può gestire le connessioni host e le relative impostazioni delle risorse. Non può fornire macchine, applicazioni o desktop agli utenti.

    Può visualizzare la console Manage (Gestisci) in Studio. Non può visualizzare la console Monitor (Monitora). È possibile modificare l’ambito.

  • Amministratore di sessione: può visualizzare i gruppi di consegna monitorati e gestire le sessioni e le macchine associate.

    Può visualizzare la console Monitor (Monitora) in Studio. Non può visualizzare la console Manage (Gestisci). Non è possibile modificare l’ambito.

  • Amministratore Monitor completo: può eseguire tutte le attività e le operazioni per il monitoraggio di DaaS.

    Può visualizzare la console Monitor (Monitora) in Studio. Non può visualizzare la console Manage (Gestisci). Non è possibile modificare l’ambito.

  • Amministratore agente di sondaggio: ha accesso alle API dell’agente di sondaggio.

    Può visualizzare le console Manage (Gestisci) e Monitor (Monitora) in Studio. Ha accesso di sola lettura alla pagina Applications (Applicazioni) ma non può accedere ad altre visualizzazioni.

La tabella seguente riassume quali schede della console sono visibili per ogni ruolo di accesso personalizzato in Citrix DaaS e se il ruolo può essere utilizzato con ambiti personalizzati.

Ruolo amministratore con accesso personalizzato Può visualizzare la console Manage (Gestisci) in Studio? Può visualizzare la console Monitor (Monitora) in Studio? Il ruolo può essere utilizzato con ambiti personalizzati?
Amministratore Cloud No
Amministratore di sola lettura
Amministratore Help Desk No No
Amministratore di catalogo macchine
Amministratore di gruppo di consegna
Amministratore host No
Amministratore di sessione No No
Amministratore Monitor completo No No
Amministratore agente di sondaggio No

Nota:

  • I ruoli di amministratore con accesso personalizzato (eccetto Amministratore Cloud e Amministratore Help Desk) non sono disponibili per Virtual Apps Essentials e Virtual Desktops Essentials.
  • I ruoli di amministratore con accesso personalizzato (eccetto Amministratore Cloud e Amministratore Monitor completo) non sono disponibili per Citrix DaaS Standard per Azure.

Per visualizzare le autorizzazioni associate a un ruolo:

  1. Accedere a Citrix Cloud.
  2. Nel riquadro DaaS, fare clic su Manage (Gestisci) per aprire Studio.
  3. Nel riquadro sinistro, selezionare Manage > Administrators (Gestisci > Amministratori).
  4. Selezionare la scheda Roles (Ruoli).
  5. Selezionare un ruolo nel riquadro centrale superiore. La scheda Role definition (Definizione ruolo) nel riquadro inferiore elenca le categorie e le autorizzazioni. Selezionare una categoria per visualizzare le autorizzazioni specifiche. La scheda Administrators (Amministratori) elenca gli amministratori a cui è stato assegnato il ruolo selezionato.

Quanti amministratori sono necessari

Il numero di amministratori e la granularità delle loro autorizzazioni dipendono generalmente dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o di prova, uno o pochi amministratori fanno tutto. Non esiste una delega di accesso personalizzato. In questo caso, ogni amministratore ha accesso completo, che ha sempre l’ambito Tutti.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessaria una maggiore delega. Diversi amministratori potrebbero avere responsabilità funzionali più specifiche (ruoli). Ad esempio, due hanno accesso completo e altri sono Amministratori Help Desk. Inoltre, un amministratore potrebbe gestire solo determinati gruppi di oggetti (ambiti), come i cataloghi macchine in un particolare reparto. In questo caso, creare nuovi ambiti, oltre ad amministratori con il ruolo e gli ambiti di accesso personalizzato appropriati.

Riepilogo della gestione degli amministratori

La configurazione degli amministratori per Citrix DaaS segue questa sequenza:

  1. Se si desidera che l’amministratore abbia un ruolo diverso da un ruolo predefinito, creare un ruolo personalizzato.

  2. Se si desidera che l’amministratore abbia un ambito diverso da Tutti (e un ambito diverso è consentito per il ruolo previsto e non è stato ancora creato), creare ambiti.

  3. Da Citrix Cloud, invitare un amministratore. Se si desidera che il nuovo amministratore abbia qualcosa di diverso dall’accesso completo predefinito, specificare una coppia ruolo e ambito di accesso personalizzato.

Successivamente, se si desidera modificare l’accesso di un amministratore (ruoli e ambito), vedere Configurare l’accesso personalizzato.

Aggiungere un amministratore

Per aggiungere (invitare) amministratori, seguire le istruzioni in Aggiungere amministratori a un account Citrix Cloud. Una parte di tali informazioni viene ripetuta qui.

Importante:

Non confondere l’uso di “personalizzato” e “accesso personalizzato”.

  • Quando si creano amministratori e si assegnano ruoli per Citrix DaaS nella console di Citrix Cloud, il termine “accesso personalizzato” include sia i ruoli predefiniti sia eventuali ruoli personalizzati aggiuntivi creati nell’interfaccia Studio del servizio.
  • Nell’interfaccia Studio del servizio, “personalizzato” differenzia semplicemente quel ruolo da un ruolo predefinito.

Il flusso di lavoro generale per l’aggiunta di amministratori è il seguente:

  1. Accedere a Citrix Cloud e quindi selezionare Identity and Access Management (Gestione identità e accessi) nel menu in alto a sinistra.

  2. Nella pagina Identity and Access Management (Gestione identità e accessi), selezionare Administrators (Amministratori). La scheda Administrators (Amministratori) elenca tutti gli amministratori correnti per l’account.

  3. Nella scheda Administrators (Amministratori), selezionare il tipo di identità, immettere l’indirizzo e-mail dell’amministratore e quindi fare clic su Invite (Invita).

  • Selezionare Full access (Accesso completo) se si desidera che l’amministratore abbia accesso completo. In questo modo, l’amministratore può accedere a tutte le funzioni di amministrazione e gestione del cliente in Citrix Cloud e in tutti i servizi sottoscritti.
  • Selezionare Custom access (Accesso personalizzato) se si desidera che l’amministratore abbia accesso limitato. È quindi possibile selezionare una coppia ruolo e ambito di accesso personalizzato. In questo modo, l’amministratore ha le autorizzazioni previste quando accede a Citrix Cloud.
  1. Fare clic su Send Invite (Invia invito). Citrix Cloud invia un invito all’indirizzo e-mail e aggiunge l’amministratore all’elenco dopo che l’amministratore ha completato l’onboarding.

Quando riceve l’e-mail, l’amministratore fa clic sul collegamento Sign In (Accedi) per accettare l’invito.

Per maggiori informazioni sull’aggiunta di amministratori, vedere Gestire gli amministratori di Citrix Cloud.

In alternativa, andare su Administrators > Administrators (Amministratori > Amministratori) in Studio e fare clic su Add Administrator (Aggiungi amministratore). Si viene reindirizzati direttamente a Identity and Access Management > Administrators (Gestione identità e accessi > Amministratori), che si apre in una nuova scheda del browser. Dopo aver terminato di aggiungere gli amministratori, chiudere la scheda e tornare alla console per continuare con le altre attività di configurazione.

Creare e gestire ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni che essi stessi possiedono. Questo controllo impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle che hanno attualmente e quindi di assegnarlo a se stessi (o di modificare un ruolo a cui sono già assegnati).

I nomi dei ruoli personalizzati possono contenere fino a 64 caratteri Unicode. I nomi non possono contenere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra, freccia destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette e apostrofo.

Le descrizioni dei ruoli possono contenere fino a 256 caratteri Unicode.

  1. Accedere a Citrix Cloud se non lo si è già fatto.
  2. Nel riquadro DaaS, fare clic su Manage (Gestisci) per aprire Studio.
  3. Nel riquadro sinistro, selezionare Manage > Administrators (Gestisci > Amministratori).
  4. Selezionare la scheda Roles (Ruoli).
  5. Seguire le istruzioni per l’attività che si desidera completare:

    • Visualizzare i dettagli del ruolo: selezionare il ruolo nel riquadro centrale. La parte inferiore del riquadro centrale elenca i tipi di oggetto e le autorizzazioni associate per il ruolo. Selezionare la scheda Administrators (Amministratori) nel riquadro inferiore per visualizzare un elenco di amministratori a cui è attualmente assegnato questo ruolo.
    • Creare un ruolo personalizzato: selezionare Create Role (Crea ruolo) nella barra delle azioni. Configurare le impostazioni come segue:

      • Immettere un nome e una descrizione.
      • Configurare l’accesso alla console. Determinare quali console sono visibili agli amministratori. È possibile procedere senza selezionare alcuna console. In tal caso, gli amministratori con il ruolo non possono accedere a Manage (Gestisci) e Monitor (Monitora) ma possono accedere, visualizzare o gestire oggetti tramite SDK e API.
      • Selezionare i tipi di oggetto e le autorizzazioni. Per concedere l’autorizzazione di accesso completo a un tipo di oggetto, selezionare la relativa casella di controllo. Per concedere l’autorizzazione a un livello granulare, espandere il tipo di oggetto e quindi selezionare Read Only (Sola lettura) o singoli oggetti in Manage (Gestisci) all’interno del tipo.

      Finestra di dialogo Crea ruolo

    • Copiare un ruolo: selezionare il ruolo nel riquadro centrale e quindi selezionare Copy Role (Copia ruolo) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario. Al termine, selezionare Save (Salva).
    • Modificare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi selezionare Edit Role (Modifica ruolo) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario. Non è possibile modificare un ruolo predefinito. Al termine, selezionare Save (Salva).
    • Eliminare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi selezionare Delete Role (Elimina ruolo) nella barra delle azioni. Quando richiesto, confermare l’eliminazione. Non è possibile eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se è assegnato a un amministratore.

Creare e gestire ambiti

Per impostazione predefinita, tutti i ruoli hanno l’ambito Tutti per i loro oggetti pertinenti. Ad esempio, un Amministratore di gruppo di consegna può gestire tutti i Gruppi di consegna. Per alcuni ruoli di amministratore, è possibile creare un ambito che consenta a tale ruolo di amministratore di accedere a un sottoinsieme degli oggetti pertinenti. Ad esempio, si potrebbe voler concedere a un Amministratore di catalogo macchine l’accesso solo ai cataloghi che contengono un certo tipo di macchine, anziché a tutti i cataloghi.

  • Gli amministratori con accesso completo o gli Amministratori Cloud con accesso personalizzato possono creare ambiti per i ruoli Amministratore di sola lettura, Amministratore di catalogo macchine, Amministratore di gruppo di consegna e Amministratore host.
  • Gli ambiti non possono essere creati per gli amministratori con accesso completo, né per gli Amministratori Cloud o gli Amministratori Help Desk. Tali amministratori hanno sempre l’ambito Tutti.

Regole per la creazione e la gestione degli ambiti:

  • I nomi degli ambiti possono contenere fino a 64 caratteri Unicode. I nomi non possono includere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette e apostrofo.
  • Le descrizioni degli ambiti possono contenere fino a 256 caratteri Unicode.
  • Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili a un amministratore. Se l’ambito modificato è associato a uno o più ruoli, assicurarsi che gli aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per creare e gestire ambiti:

  1. Accedere a Citrix Cloud.
  2. Nel riquadro DaaS, fare clic su Manage (Gestisci) per aprire Studio.
  3. Nel riquadro sinistro, selezionare Manage > Administrators (Gestisci > Amministratori) nel riquadro sinistro.
  4. Selezionare la scheda Scopes (Ambiti).
  5. Seguire le istruzioni per l’attività che si desidera completare:

    • Visualizzare i dettagli dell’ambito: selezionare l’ambito. La parte inferiore del riquadro elenca gli oggetti e gli amministratori che hanno tale ambito.
    • Creare un ambito: selezionare Create Scope (Crea ambito) nella barra delle azioni. Immettere un nome e una descrizione. Gli oggetti sono elencati per tipo, come gruppo di consegna e catalogo macchine.
      • Per includere tutti gli oggetti di un particolare tipo (ad esempio, tutti i gruppi di consegna), selezionare la casella di controllo per il tipo di oggetto.
      • Per includere singoli oggetti all’interno di un tipo, espandere il tipo e quindi selezionare le caselle di controllo per gli oggetti (ad esempio, gruppi di consegna specifici).

        Nota:

        I gruppi di applicazioni, i gruppi di consegna o i cataloghi macchine vengono visualizzati in strutture di cartelle che si allineano alla loro gestione in DaaS. È possibile selezionare una cartella per selezionare tutti i suoi oggetti o espandere una cartella per selezionare oggetti specifici.

      • Per creare un cliente tenant, selezionare la casella di controllo Tenant scope (Ambito tenant). Se selezionato, il nome immesso per l’ambito è il nome del tenant. Per maggiori informazioni sull’ambito tenant, vedere Gestione tenant.

      Al termine, selezionare OK.

      Finestra di dialogo Crea ambito

    • Copiare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Copy Scope (Copia ambito) nella barra delle azioni. Modificare il nome, la descrizione. Modificare i tipi di oggetto e gli oggetti, se necessario. Al termine, selezionare Save (Salva).
    • Modificare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Edit Scope (Modifica ambito) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti, se necessario. Al termine, selezionare Save (Salva).
    • Eliminare un ambito: selezionare l’ambito nel riquadro centrale e quindi selezionare Delete Scope (Elimina ambito) nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

      Non è possibile eliminare un ambito se è assegnato a un ruolo. Se si tenta di farlo, un messaggio di errore indica che non si dispone dell’autorizzazione. In realtà, l’errore si verifica perché la coppia ruolo/ambito che utilizza questo ambito è assegnata a un amministratore. Innanzitutto, rimuovere l’assegnazione della coppia ruolo/ambito per tutti gli amministratori che la utilizzano. Quindi eliminare l’ambito in Studio.

Dopo aver creato un ambito, questo appare nell’elenco Custom access (Accesso personalizzato) nella console di Citrix Cloud. È quindi possibile selezionarlo quando si assegna un ruolo a un amministratore.

Ad esempio, si supponga di creare un ambito denominato CAD e di selezionare i cataloghi che contengono macchine adatte per le applicazioni CAD. Quando si torna alla console di Citrix Cloud e si seleziona Edit scopes (Modifica ambiti) per un ruolo, l’elenco degli ambiti disponibili visualizza l’ambito CAD creato in precedenza.

L’Amministratore Cloud e l’Amministratore Help Desk hanno sempre l’ambito Tutti, quindi l’ambito CAD non si applica a loro.

Gestione tenant

Utilizzando Studio, è possibile creare tenant reciprocamente esclusivi in un’unica istanza di Citrix DaaS. Ciò si ottiene creando ambiti tenant in Administrators > Scopes (Amministratori > Ambiti) e associando oggetti di configurazione correlati, come cataloghi macchine e gruppi di consegna, a tali tenant. Di conseguenza, gli amministratori con accesso a un tenant possono gestire solo gli oggetti associati al tenant.

Questa funzionalità è utile, ad esempio, se l’organizzazione:

  • Ha diversi settori aziendali (divisioni indipendenti o team di gestione IT separati) o
  • Ha più siti on-premise e desidera mantenere la stessa configurazione in una singola istanza di Citrix DaaS.

L’interfaccia consente di filtrare i clienti tenant per nome. Per impostazione predefinita, l’interfaccia visualizza le informazioni su tutti i clienti tenant. Per visualizzare le informazioni su un tenant specifico, selezionare tale tenant dall’elenco nell’angolo in alto a destra.

Creare un cliente tenant

Per creare un cliente tenant, selezionare Tenant scope (Ambito tenant) durante la creazione di un ambito. Selezionando questa opzione, si crea un tipo di ambito univoco che si applica agli oggetti in scenari in cui si condivide un’istanza di Citrix DaaS tra diverse unità aziendali, ciascuna delle quali è indipendente dalle altre. Dopo aver creato un ambito tenant, non è possibile modificare il tipo di ambito.

Creare un cliente tenant

La scheda Scopes (Ambiti) visualizza tutti gli elementi dell’ambito. L’unica differenza tra ambiti regolari e ambiti tenant è nella colonna Type (Tipo). Un campo colonna vuoto indica un ambito regolare. È possibile fare clic sulla colonna Type (Tipo) per ordinare gli elementi dell’ambito, se necessario.

Per visualizzare le risorse (oggetti) allegate a un ambito, selezionare Administrators (Amministratori) nel riquadro sinistro. Nella scheda Scopes (Ambiti), selezionare l’ambito e quindi selezionare Edit Scope (Modifica ambito) nella barra delle azioni.

Suggerimento:

La proprietà tenant viene assegnata a livello di ambito. Cataloghi macchine, gruppi di consegna, applicazioni e connessioni ereditano la proprietà tenant dall’ambito applicabile.

Quando si utilizza un ambito tenant, tenere presenti le seguenti considerazioni:

  • La proprietà tenant viene assegnata nel seguente ordine: Hosting > Cataloghi macchine > Gruppi di consegna > Applicazioni. Gli oggetti di livello inferiore si basano su oggetti di livello superiore per ereditare la proprietà tenant. Ad esempio, quando si seleziona un gruppo di consegna, è necessario selezionare l’hosting e il catalogo macchine associati. In caso contrario, il gruppo di consegna non può ereditare la proprietà tenant.
  • Dopo aver creato un ambito tenant, è possibile modificare le assegnazioni tenant modificando gli oggetti. Quando un’assegnazione tenant viene modificata, è comunque soggetta al vincolo che deve essere assegnata agli stessi tenant o a un sottoinsieme di tali tenant. Tuttavia, gli oggetti di livello inferiore non vengono rivalutati quando le assegnazioni tenant cambiano. Assicurarsi che gli oggetti siano correttamente limitati quando si modificano le assegnazioni tenant. Ad esempio, se un catalogo macchine è disponibile per TenantA e TenantB, è possibile creare un gruppo di consegna per TenantA e uno per TenantB. (TenantA e TenantB sono entrambi associati a quel catalogo macchine.) È quindi possibile modificare il catalogo macchine in modo che sia associato solo a TenantA. Di conseguenza, il gruppo di consegna associato a TenantB diventa non valido.

Configurare l’accesso personalizzato per gli amministratori

Dopo aver creato gli ambiti tenant, configurare l’accesso personalizzato per i rispettivi amministratori. Per maggiori informazioni, vedere Configurare l’accesso personalizzato per un amministratore. Citrix Cloud invia un invito agli amministratori clienti specificati e li aggiunge all’elenco. Quando ricevono l’e-mail, fanno clic su Sign In (Accedi) per accettare l’invito. Quando accedono a Studio, visualizzano le risorse contenute nelle coppie ruolo e ambito assegnate.

Configurare l'accesso personalizzato per i clienti tenant

Gli amministratori con accesso a un tenant possono gestire solo gli oggetti (ad esempio, catalogo macchine, gruppo di consegna) associati al tenant.

Configurare l’accesso personalizzato per un amministratore

Questa funzionalità consente di definire le autorizzazioni di accesso degli amministratori esistenti o degli amministratori che si invitano in un modo che si allinea al loro ruolo nell’organizzazione.

Le modifiche apportate alle autorizzazioni di accesso richiedono 5 minuti per avere effetto. Disconnettersi da Studio e accedere nuovamente fa sì che le modifiche abbiano effetto immediatamente. Negli scenari in cui gli amministratori utilizzano ancora l’interfaccia di gestione dopo che le modifiche hanno avuto effetto senza riconnettersi ad essa, viene visualizzato un avviso quando tentano di accedere a elementi per i quali non hanno più le autorizzazioni.

Per impostazione predefinita, quando si invitano gli amministratori, questi hanno accesso completo. L’accesso completo consente all’amministratore di gestire tutti i servizi sottoscritti e tutte le operazioni di Citrix Cloud (come l’invito di altri amministratori). Una distribuzione di Citrix Cloud richiede almeno un amministratore con accesso completo.

È anche possibile concedere l’accesso personalizzato quando si invita un amministratore. L’accesso personalizzato consente all’amministratore di gestire solo i servizi e le operazioni specificati.

Quando si crea un ruolo o un ambito in Citrix DaaS, questo appare nell’elenco di accesso personalizzato e può essere selezionato. Quando si seleziona un ruolo per un amministratore, è possibile modificare gli ambiti in base alle esigenze per riflettere il ruolo dell’amministratore nell’organizzazione.

Per configurare l’accesso personalizzato per un amministratore:

  1. Accedere a Citrix Cloud. Selezionare Identity and Access Management (Gestione identità e accessi) > Administrators (Amministratori) nel menu in alto a sinistra.
  2. Individuare l’amministratore che si desidera gestire, selezionare il menu con i puntini di sospensione e selezionare Edit access (Modifica accesso).

    Menu Amministratore con Modifica accesso evidenziato

  3. Selezionare Custom access (Accesso personalizzato).

    Finestra di dialogo Modifica accesso con Accesso personalizzato evidenziato

  4. In DaaS, selezionare o deselezionare le caselle di controllo accanto a uno o più ruoli. Per modificare gli ambiti associati a un ruolo assegnato, selezionare Edit scopes (Modifica ambiti).

    Finestra di dialogo Modifica accesso con Modifica ambiti evidenziato

    Per impostazione predefinita, ogni ruolo selezionato ha tutti gli ambiti selezionati, come indicato dall’etichetta All scopes (Tutti gli ambiti).

  5. Per specificare gli ambiti per un ruolo selezionato, selezionare Custom Scope (Ambito personalizzato) e quindi aggiungere o rimuovere gli ambiti appropriati. Per impostazione predefinita, tutti gli ambiti personalizzati vengono aggiunti a un ruolo. Per rimuovere un ambito, fare clic sull’icona X sull’ambito.

    Finestra di dialogo Modifica accesso con icone X evidenziate

    Gli ambiti che sono stati rimossi e sono disponibili per essere aggiunti al ruolo appaiono in un elenco sotto gli ambiti già aggiunti. Per aggiungere un ambito al ruolo, selezionare l’icona più per l’ambito.

    Finestra di dialogo Modifica accesso con icone più evidenziate

  6. Al termine della selezione degli ambiti, selezionare Apply (Applica).

  7. Selezionare Save (Salva) per salvare i ruoli selezionati per l’amministratore.

Differenze rispetto a Citrix Virtual Apps™ e Desktops on-premise

Se si ha familiarità con l’amministrazione delegata nel prodotto Citrix Virtual Apps and Desktops on-premise, la versione Citrix DaaS presenta diverse differenze.

In Citrix Cloud:

  • Gli amministratori sono identificati dal loro login a Citrix Cloud, piuttosto che dal loro account Active Directory. È possibile creare coppie ruolo/ambito per singoli utenti di Active Directory, ma non per gruppi.
  • Gli amministratori vengono creati, configurati ed eliminati nella console di Citrix Cloud, piuttosto che in Citrix DaaS.
  • Le coppie ruolo/ambito vengono assegnate agli amministratori nella console di Citrix Cloud, piuttosto che in Citrix DaaS.
  • I report non sono disponibili. È possibile visualizzare le informazioni su amministratore, ruolo e ambito nell’interfaccia Studio del servizio.
  • L’Amministratore Cloud con accesso personalizzato è simile a un Amministratore completo nella versione on-premise. Entrambi hanno autorizzazioni complete di gestione e monitoraggio per la versione di Citrix Virtual Apps and Desktops in uso.

    Tuttavia, in Citrix DaaS, non esiste un ruolo di Amministratore completo denominato. Non equiparare “Accesso completo” in Citrix Cloud con “Amministratore completo” in Citrix Virtual Apps and Desktops on-premise. L’accesso completo in Citrix Cloud si estende ai domini a livello di piattaforma, alla libreria, alle notifiche e alle posizioni delle risorse, oltre a tutti i servizi sottoscritti.

Maggiori informazioni

Vedere Amministrazione e monitoraggio delegati per informazioni su amministratori, ruoli e ambiti utilizzati nel nodo Monitor del servizio.