Citrix Application Delivery Managementサービス

ロールベースのアクセス制御を構成する

Citrix Application Delivery Management(Citrix ADM)は、きめ細かな役割ベースのアクセス制御(RBAC)を提供します。RBAC(RBAC)を使用して、企業内の個々のユーザーの役割に基づいてアクセス許可を付与できます。

Citrix ADMでは、すべてのユーザーがCitrix Cloudに追加されます。組織の最初のユーザーとして、まずCitrix Cloudでアカウントを作成し、Citrix Cloudの資格情報を使用してCitrix ADM GUIにログオンする必要があります。スーパー管理者の役割が付与され、デフォルトでは、Citrix ADMのすべてのアクセス権が付与されます。後でCitrix Cloudで組織内に他のユーザーを作成できます。

後で作成され、通常のユーザーとしてCitrix ADMにログオンするユーザーは、委任された管理者と呼ばれます。これらのユーザーは、デフォルトで、ユーザー管理権限以外のすべての権限を持ちます。ただし、これらの委任された管理者ユーザーには、特定のユーザー管理アクセス許可を付与できます。適切なポリシーを作成し、これらの委任されたユーザーに割り当てることで、そのポリシーを実行できます。ユーザー管理権限は、[ アカウント ] > [ ユーザー管理] にあります。特定のアクセス許可を割り当てる方法の詳細については、「委任された管理者ユーザーに追加のアクセス許可を割り当てる方法」を参照してください。

ポリシー、ロール、グループの作成方法、およびユーザーをグループにバインドする方法の詳細については、次のセクションを参照してください。

例:

次の例は、Citrix ADMでRBACを実現する方法を示しています。

ADCグループ長であるクリスは、組織内のCitrix ADM スーパー管理者です。クリスはセキュリティ管理者、アプリケーション管理者、ネットワーク管理者という3つの管理者の役割を作成します。

  • セキュリティ管理者の David は、SSL 証明書の管理と監視のための完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。
  • アプリケーション管理者のスティーブは、特定のアプリケーションと特定の構成テンプレートのみのアクセスが必要です。
  • ネットワーク管理者のグレッグは、システムとネットワーク管理へのアクセスが必要です。
  • また、Chris は、ローカルまたは外部であるかどうかにかかわらず、すべてのユーザーに対して RBAC を提供する必要があります。

下図に、各種の管理者とほかのユーザーが持つ権限と社内での役割を示します。

RBAC の使用例

役割ベースのアクセス制御をユーザーに提供するには、まずCitrix Cloudにユーザーを追加する必要があります。その後、Citrix ADMでユーザーを表示できます。Chris は、ロールに応じて、各ユーザーのアクセスポリシーを作成する必要があります。アクセスポリシーは、ロールに緊密にバインドされています。したがって、Chris はロールも作成する必要があります。その後、ロールはグループにのみ割り当てられ、個々のユーザーには割り当てられないため、グループを作成する必要があります。

Access は、ファイルの表示、作成、変更、削除など、特定のタスクを実行する機能です。ロールは、企業内のユーザーの権限と責任に応じて定義されます。たとえば、1 人のユーザーがすべてのネットワーク操作の実行を許可し、別のユーザーはアプリケーションのトラフィックフローを監視し、構成テンプレートの作成に役立ちます。

ロールはポリシーによって決定されます。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ユーザーにロールを割り当てることができます。役割は、ユーザーのグループに割り当てることもできます。グループとは、共通の権限を持つユーザーの集まりです。たとえば、特定のデータセンターを管理している複数のユーザーを1つのグループに割り当てることができます。ロールは、特定の条件に基づいてユーザーを特定のグループに追加することによってユーザーに付与される ID です。Citrix ADM では、役割とポリシーの作成はCitrix ADC RBAC機能に固有です。役割とポリシーは、企業のニーズが進展するにつれて簡単に作成、変更、または終了できます。各ユーザーの権限を個別に更新する必要はありません。

役割は機能ベースまたはリソースベースにすることができます。たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。アプリケーション管理者は、スコープ内のリソースにのみアクセスできます。

したがって、スーパー管理者であるChris(スーパー管理者)のロールで、Citrix ADMで以下の例タスクを実行して、組織のセキュリティ管理者であるDavidのアクセスポリシー、役割、およびユーザーグループを構成します。

Citrix ADMでのユーザーの構成

スーパー管理者は、Citrix ADM ではなくCitrix Cloudでアカウントを構成することで、より多くのユーザーを作成できます。新しいユーザーがCitrix ADMに追加されると、そのユーザーに適切なグループを割り当てることによってのみ、ユーザーの権限を定義できます。

Citrix Cloudで新しいユーザーを追加するには:

  1. Citrix ADM GUIで、左上のハンバーガーアイコンをクリックし、[ アイデンティティとアクセスの管理]を選択します。

    Citrix Cloudでのアイデンティティとアクセス管理

  2. [ID とアクセス管理] ページで、[ 管理者 ] タブを選択します。

    このタブには、Citrix Cloudで作成されたユーザーが一覧表示されます。

  3. アイデンティティプロバイダーとしてCitrix Identityを選択します

  4. Citrix ADMに追加するユーザーの電子メールアドレスを入力し、[ 招待]をクリックします。

    ADM サービスを使用するようユーザーを招待する

    ユーザーは、Citrix Cloudから招待メールを受信します。ユーザーは、電子メールに記載されているリンクをクリックして、フルネームとパスワードを入力して登録プロセスを完了し、後で資格情報を使用してCitrix ADMにログオンする必要があります。

  5. 指定したユーザーの [ カスタムアクセス ] を選択します。

  6. Application Delivery Management」を選択します。

    このオプションでは、 デフォルトで管理者ロールが選択されます

    カスタムアクセス権を持つユーザーを ADM に招待する

  7. [招待を送信する] をクリックします。

管理者は、ユーザーがCitrix ADMにログオンした後にのみ、[Citrix ADMユーザー]の一覧に新しいユーザーが表示されます。

Citrix ADMでユーザーを構成するには:

  1. Citrix ADM GUIで、[ アカウント ]>[ ユーザー管理 ]>[ ユーザー]に移動します。

  2. ユーザーは [ユーザー] ページに表示されます。

    構成されたユーザー

  3. ユーザーを選択して編集をクリックすると、ユーザーに付与された権限を編集できます。[ 設定 ] ノードの下の [ グループ ] ページで、グループのアクセス許可を編集することもできます。

    -  ユーザーは、Citrix CloudからのみCitrix ADMに追加されます。したがって、管理者権限を持っていても、Citrix ADM GUIでユーザーを追加または削除することはできません。グループ権限のみを編集できます。Citrix Cloudからユーザーを追加または削除できます。
    
    -  ユーザーの詳細情報は、ユーザーがCitrix ADMに少なくとも1回ログオンした後にのみ、サービスGUIに表示されます。
    

Citrix ADMでのアクセスポリシーの構成

アクセスポリシーでは、権限が定義されます。ロールを作成すると、ポリシーを 1 つのユーザーグループまたは複数のグループに適用できます。ロールはポリシーによって決定されます。ポリシーを作成したら、ロールを作成し、各ロールを 1 つ以上のポリシーにバインドし、ロールをユーザグループに割り当てる必要があります。Citrix ADMには、5つの事前定義されたアクセスポリシーが用意されています。

  • admin_policy すべてのCitrix ADMノードへのアクセスを許可します。ユーザーには表示権限と編集権限があり、すべてのCitrix ADM コンテンツを表示でき、すべての編集操作を実行できます。つまり、ユーザーは、リソースに対する操作を追加、変更、および削除できます。
  • adminExceptSystem_policy. Citrix ADM GUIのすべてのノード([設定]ノードへのアクセスを除く)のユーザーにアクセス権を付与します。
  • readonly_policy。読み取り専用権限を付与します。ユーザーはCitrix ADM上のすべてのコンテンツを表示できますが、操作を実行する権限はありません。
  • appadmin_policy。Citrix ADM アプリケーション機能にアクセスするための管理権限を付与します。このポリシーにバインドされているユーザーは、カスタムアプリケーションを追加、変更、削除できるほか、サービス、サービスグループ、および各種仮想サーバー(コンテンツスイッチ、 キャッシュリダイレクト、およびHAProxy仮想サーバーなど)を有効または無効にできます。
  • appreadonly_policy。アプリケーション機能に対する読み取り専用権限を付与します。このポリシーにバインドされているユーザーはアプリケーションを表示できますが、追加、変更、削除、有効化、および無効化の操作は実行できません。

これらの定義済みポリシーは編集できませんが、独自の(ユーザ定義の)ポリシーを作成することはできます。

以前は、ポリシーを役割に割り当てて、その役割をユーザーグループにバインドすると、Citrix ADM GUIでノードレベルでユーザーグループのアクセス許可を提供できます。たとえば、負荷分散ノード全体へのアクセス許可のみを提供できます。ユーザーは、負荷分散ノードの下にあるすべてのエンティティ固有のサブノード(仮想サーバー、サービスなど)にアクセスする権限を持っているか、 負荷分散の下にあるノードにアクセスする権限を持っていませんでした

Citrix ADM 507.x以降のビルドバージョンでは、アクセスポリシー管理が拡張され、サブノードの権限も提供されます。アクセスポリシー設定は、仮想サーバ、サービス、サービスグループ、サーバなど、すべてのサブノードに対して構成できます。

現時点では、負荷分散ノードの下のサブノードと GSLB ノードの下のサブノードに対してのみ、このような詳細なレベルのアクセス許可を提供できます。

たとえば、管理者は、[Load Balancing] ノードのバックエンドサービス、サービスグループ、およびアプリケーションサーバーではなく、仮想サーバーを表示するためのアクセス権のみをユーザーに付与できます。このようなポリシーが割り当てられているユーザーは、仮想サーバーにのみアクセスできます。

ユーザー定義のアクセスポリシーを作成するには、次の手順を実行します。

  1. Citrix ADM GUIで、[ アカウント ]>[ ユーザー管理 ]>[ アクセスポリシー]に移動します。

  2. [追加] をクリックします。

  3. [ アクセスポリシーの作成 ] ページの [ ポリシー名 ] フィールドにポリシーの名前を入力し、[ポリシーの説明] フィールドに説明を入力します

    アクセスポリシー

    アクセス許可 ]セクションには、Citrix ADM のすべての機能が一覧表示され、読み取り専用、有効/無効化、または編集アクセス権を指定するためのオプションが表示されます。

    1. [+]アイコンをクリックして、各機能グループを複数の機能に展開します。

    2. 機能名の横にある [権限] チェックボックスをオンにして、ユーザーに権限を付与します。

      • 表示: このオプションを使用すると、ユーザーはCitrix ADM でこの機能を表示できます。

      • 有効/無効化: このオプションは、Citrix ADM で有効/無効のアクションを許可する ネットワーク機能 でのみ使用できます。ユーザーは、この機能を有効または無効にすることができます。また、ユーザーは [ 今すぐポーリング ] アクションを実行することもできます。

        ユーザーに「 有効/無効化 」権限を付与すると、「 表示 」権限も付与されます。このオプションの選択を解除することはできません。

      • 編集: このオプションは、ユーザーにフルアクセスを許可します。ユーザーはフィーチャーとその機能を変更できます。

        編集 権限を付与すると、 表示 権限と 有効化/無効 化権限の両方が付与されます。自動選択オプションの選択を解除することはできません。

      [機能] チェックボックスをオンにすると、その機能に対するすべての権限が選択されます。

    注:

    負荷分散とGSLBを展開して、より多くの構成オプションを表示します。

    次の図では、負荷分散機能の構成オプションに異なる権限があります。

    ポリシーの設定

    仮想サーバ 機能に対する 表示 権限は、ユーザーに付与されます。ユーザーは、Citrix ADM で負荷分散仮想サーバーを表示できます。仮想サーバーを表示するには、[ ネットワーク] > [ **ネットワーク 機能** ] > [ 負荷分散 ] に移動し、[ 仮想サーバー ] タブを選択します。

    サービス 機能の 有効化/無効化 権限は、ユーザーに付与されます。この権限は、 表示 権限も付与します。ユーザーは、負荷分散仮想サーバーにバインドされたサービスを有効または無効にすることができます。また、ユーザーはサービスに対して [ 今すぐポーリング ] アクションを実行できます。サービスを有効または無効にするには、[ ネットワーク] > [ **ネットワーク 機能** ] > [ 負荷分散 ] に移動し、[ サービス ] タブを選択します。

    :

    ユーザーが Enable-Disable アクセス許可を持っている場合、次のページで、サービスの有効化/無効化アクションが制限されます。

    1. [ ネットワーク ] > [ ネットワーク機能] に移動します。

    2. 仮想サーバを選択し、[ 構成]をクリックします。

    3. [ 負荷分散仮想サーバーサービスのバインド ] ページを選択します。 [ 有効] または [ ] を選択すると、このページにエラーメッセージが表示されます。

    編集 権限は、 サービスグループ 機能に対してユーザーに付与されます。このパーミッションは、「 表示 」および「 有効化」および「無効 化」のパーミッションが付与される完全なアクセスを付与します。ユーザーは、負荷分散仮想サーバーにバインドされているサービスグループを変更できます。サービスグループを編集するには、[ ネットワーク] > [ **ネットワーク 機能** ] > [ 負荷分散 ] に移動し、[ サービスグループ ] タブを選択します。

  4. [作成] をクリックします。

    [ 編集] を選択すると、[権限] セクションに有効として表示されない依存アクセス許可が内部的に割り当てられることがあります。たとえば、障害管理の編集権限を有効にすると、Citrix ADMは、メールプロファイルの構成またはSMTPサーバー設定の作成のためのアクセス許可を内部的に提供します。これにより、ユーザーはレポートをメールとして送信できます。

ユーザーにStyleBookパーミッションを付与する

アクセスポリシーを作成して、StyleBookのインポート、削除、ダウンロードなどの権限を付与できます。

注:

他のStyleBook権限を付与すると、表示権限は自動的に有効になります。

ユーザーへのStyleBookパーミッションの付与

Citrix ADMでの役割の構成

Citrix ADMでは、各役割は1つ以上のアクセスポリシーにバインドされます。ポリシーと役割には、1対1、1対多、多対多の関係を定義できます。1つの役割を複数のポリシーにバインドすることも、複数の役割を1つのポリシーにバインドすることもできます。

たとえば、ある機能のアクセス権を定義するポリシーと別の機能のアクセス権を定義する別のポリシーの2つのポリシーに、1つの役割をバインドできます。一方のポリシーは、Citrix ADMでCitrix ADCインスタンスを追加するアクセス許可を付与し、もう1つのポリシーでは、StyleBookを作成して展開し、Citrix ADCインスタンスを構成するためのアクセス許可を付与します。

1 つの機能に対して複数のポリシーで編集権限と読み取り専用権限が定義されている場合、編集権限は読み取り専用権限よりも優先されます。

Citrix ADMには、次の5つの事前定義された役割が用意されています。

  • admin_role。すべてのCitrix ADM 機能にアクセスできます。(このロールはadminpolicyにバインドされています)。
  • adminExceptSystem_Role。設定権限以外のCitrix ADM GUIにアクセスできる。(このロールは adminExceptSystem_Policy にバインドされています)
  • readonly_role。読み取り専用アクセスが設定されています(このロールはreadonlypolicyにバインドされています)。
  • appadmin_role。Citrix ADM アプリケーション機能にのみ管理者権限が付与されます。(この役割はappAdminPolicyにバインドされています)。
  • appreadonly_role。アプリケーション機能への読み取り専用アクセス権を持ちます。(この役割はappReadOnlyPolicyにバインドされています)。

定義済みのロールを編集することはできませんが、独自の (ユーザー定義) ロールを作成することはできます。

ロールを作成してポリシーを割り当てるには、次の手順に従います。

  1. Citrix ADM GUIで、[ アカウント ]>[ ユーザー管理 ]>[ ロール]に移動します。

  2. [追加] をクリックします。

  3. [ ロールの作成 ] ページの [ ロール名 ] フィールドにロールの名前を入力し、[ロールの説明] フィールドに説明を入力します (オプション)。

  4. [ ポリシー ] セクションで、1 つまたは複数のポリシーを [ 構成済み ] リストに追加します。

    ポリシーには、すべてのテナントに固有のテナント ID(maasdocfourなど)が事前に固定されています。

    役割の構成

    注:

    [ 新規] をクリックしてアクセスポリシーを作成するか、[ アカウント ] > [ ユーザー管理 ] > [ アクセスポリシー ] に移動してポリシーを作成できます。

  5. [作成] をクリックします。

Citrix ADMでのグループの構成

Citrix ADM では、グループには機能レベルとリソースレベルのアクセス権の両方があります。たとえば、あるユーザーのグループが、選択したCitrix ADC インスタンスのみにアクセスしたり、少数のアプリケーションしかアクセスできない別のグループにアクセスしたりできます。

グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。Citrix ADM では、そのグループのすべてのユーザーに、同じアクセス権が割り当てられます。

Citrix ADM では、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。エンティティレベルでユーザーまたはグループに特定のアクセス許可を動的に割り当てることができます。

Citrix ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。

  • 仮想サーバー(アプリケーション) :負荷分散(lb)、GSLB、コンテキストスイッチング(CS)、キャッシュリダイレクト(CR)、認証(Auth)、およびCitrix Gateway(vpn

  • サービス -負荷分散とGSLBサービス
  • サービスグループ -負荷分散とGSLBサービスグループ
  • サーバ -負荷分散サーバ

グループを作成するには、次の手順に従います。

  1. Citrix ADMで、[ アカウント ]>[ ユーザー管理 ]>[ グループ]に移動します。

  2. [追加] をクリックします。

    システム・グループの作成 」ページが表示されます。

  3. [ グループ名 ] フィールドに、グループの名前を入力します。

  4. [ グループの説明 ] フィールドに、グループの説明を入力します。適切な説明を提供することで、グループの役割と機能を理解するのに役立ちます。

  5. [ ロール ] セクションで、1 つまたは複数のロールを [ 構成済み ] リストに移動します。

    ロールには、すべてのテナントに固有のテナント ID(maasdocfourなど)が事前に固定されています。

  6. [ 使用可能 ] ボックスの一覧で、[ 新規 ] または [ 編集 ] をクリックし、ロールを作成または変更できます。

    または、[ アカウント ] > [ ユーザー管理 ] > [ ユーザー] に移動して、ユーザーを作成または変更することもできます。

    グループの構成

  7. [次へ] をクリックします。

  8. [ 認証設定 ] タブでは、次のカテゴリからリソースを選択できます。

    • AutoScaleグループ
    • インスタンス
    • アプリケーション
    • 構成テンプレート
    • IPAM プロバイダーとネットワーク
    • StyleBook
    • Configpacks
    • ドメイン名

    承認設定のカテゴリ

    ユーザーがアクセスできるカテゴリから特定のリソースを選択することもできます。

    AutoScaleグループ:

    ユーザーが表示または管理できる特定のAutoScaleグループを選択する場合は、次の手順に従います。

    1. [ すべてのAutoScaleグループ ] チェックボックスをオフにし、[ AutoScaleグループの追加] をクリックします。

    2. リストから必要なAutoScaleグループを選択し、「 OK」をクリックします。

    インスタンス:

    ユーザーが表示または管理できる特定のインスタンスを選択する場合は、次の手順を実行します。

    1. [ すべてのインスタンス ] チェックボックスをオフにして、[ インスタンスを選択] をクリックします。

    2. リストから必要なインスタンスを選択し、「 OK」をクリックします。

      インスタンスを選択

    アプリケーション:

    「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。

    インスタンスを選択せずに、アプリケーションへのアクセスを許可できます。アプリケーションは、ユーザーアクセスを許可するためにインスタンスから独立しているためです。

    アプリケーションへのアクセス権をユーザーに付与すると、インスタンスの選択に関係なく、そのアプリケーションのみにアクセスする権限が付与されます。

    このリストには、次のオプションがあります。

    • すべてのアプリケーション: このオプションはデフォルトで選択されています。これは、Citrix ADM に存在するすべてのアプリケーションを追加します。

    • [選択したインスタンスのすべてのアプリケーション]:このオプションは、[ すべてのインスタンス] カテゴリからインスタンスを 選択した場合にのみ表示されます。これは、選択したインスタンスに存在するすべてのアプリケーションを追加します。

    • 特定のアプリケーション: このオプションでは、ユーザーがアクセスできるように必要なアプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。

    • [ 個々のエンティティタイプを選択]: このオプションでは、ネットワーク機能エンティティと対応するエンティティの特定のタイプを選択できます。

      個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。

      [ バインドされたエンティティにも適用 ] オプションは、選択したエンティティタイプにバインドされているエンティティを承認します。たとえば、アプリケーションを選択し、[バインドされたエンティティにも適用 ] を選択すると、選択したアプリケーションにバインドされているすべてのエンティティがCitrix ADMによって承認されます。

      注記

      バインドされたエンティティを承認する場合は、エンティティタイプを 1 つだけ選択してください。

    正規表現を使用して、グループの正規表現条件を満たすネットワーク関数エンティティを検索して追加できます。指定した正規表現式は、Citrix ADM で保持されます。正規表現を追加するには、次の手順を実行します。

    1. [ 正規表現の追加] をクリックします。

    2. テキストボックスに正規表現を指定します。

      次の図は、「 特定のアプリケーション」オプションを選択した場合に、正規表現を使用してアプリケーション を追加する方法を示しています。

      正規表現を使用してアプリケーションを追加する

      次の図は、[ 個々のエンティティタイプを選択] オプションを選択した場合に、正規表現を使用してネットワーク関数エンティティ を追加する方法を示しています。

      ネットワーク関数エンティティタイプ

    正規表現を追加する場合は、[ + ] アイコンをクリックします。

    注:**

    正規表現は、サーバーエンティティタイプのサーバー名にのみ一致し、サーバー IP アドレスには一致しません。**

    検出されたエンティティの [バインドされたエンティティにも適用 ] オプションを選択すると、ユーザーは検出されたエンティティにバインドされたエンティティに自動的にアクセスできます。

    正規表現は、認可スコープを更新するためにシステムに格納されています。新しいエンティティがエンティティタイプの正規表現と一致すると、Citrix ADM は新しいエンティティに認証スコープを更新します。

    構成テンプレート:

    ユーザが表示または管理できる特定の設定テンプレートを選択する場合は、次の手順を実行します。

    1. [ すべての構成テンプレート ] チェックボックスをオフにし、[ 構成テンプレートの追加] をクリックします。

    2. リストから目的のテンプレートを選択し、[ OK] をクリックします。

      構成テンプレート

    IPAM プロバイダーとネットワーク:

    ユーザーが表示または管理できる特定の IPAM プロバイダーとネットワークを追加する場合は、次の手順を実行します。

    • プロバイダの追加 -[ すべてのプロバイダ ] チェックボックスをオフにし、[ プロバイダの追加] をクリックします。必要なプロバイダを選択し、 「OK」をクリックします。

    • ネットワークの追加 -[ すべてのネットワーク ] チェックボックスをオフにし、[ ネットワークの追加] をクリックします。必要なネットワークを選択し、[ OK]をクリックします。

    IPAM プロバイダーとネットワークの追加

    スタイルブック:

    ユーザーが表示または管理できる特定のStyleBookを選択する場合は、次の手順を実行します。

    1. すべてのスタイルブック 」チェックボックスをオフにして、「 グループにスタイルブックを追加」をクリックします。StyleBooks を個別に選択することも、フィルタクエリを指定して StyleBooks を承認することもできます。

      個々の StyleBooks を選択する場合は、「個別 StyleBooks」ペインから StyleBooks を選択し、「 選択内容の保存」をクリックします。

      クエリを使用してStyleBooksを検索する場合は、[ カスタムフィルタ ] ペインを選択します。クエリは、キーと値のペアの文字列です。キーは namenamespaceversionです。

      正規表現を値として使用して、グループの正規表現条件を満たすStyleBookを検索して追加することもできます。StyleBooksを検索するカスタムフィルタクエリは 、AndOrの両方をサポートしています。

      例:

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      このクエリは、次の条件を満たすStyleBookをリストします。

      • StyleBook名はlb-monまたはlbのいずれかです。
      • StyleBookの名前空間はcom.citrix.adc.stylebooksです。
      • StyleBook版は 1.0です。

      キー式に定義された値式の間でOr演算を使用します。

      例:

      • name=lb-mon|lbクエリは有効です。これは、名前lb-monまたはlbのいずれかを持つStyleBooksを返します 。
      • name=lb-mon | version=1.0 クエリは無効です。

      Enterを押して検索結果を表示し、[ クエリーの保存] をクリックします。

      カスタムフィルタ

      保存されたクエリが [ カスタムフィルタクエリー] に表示されます。保存されたクエリに基づいて、ADMはそれらのStyleBookへのユーザーアクセスを提供します。

    2. リストから必要なStyleBookを選択し、「 OK」をクリックします。

      StyleBooksを選択

      グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。

    コンフィグパック:

    Configpacksで、次のいずれかのオプションを選択します。

    • [すべての設定]: このオプションはデフォルトで選択されています。ADM にあるすべての構成パックが追加されます。

    • 選択したStyleBookのすべての構成: このオプションでは、選択したStyleBookのすべての構成パックが追加されます。

    • 特定の構成: このオプションでは、必要な構成パックを追加できます。

      構成パックを選択してください

      グループを作成し、そのグループにユーザーを追加するときに、必要な構成パックを選択できます。

    ドメイン名:

    ユーザーが表示または管理できる特定のドメイン名を選択する場合は、次の手順を実行します。

    1. [ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名の追加] をクリックします。

    2. リストから必要なドメイン名を選択し、[ OK] をクリックします。

  9. [Create Group] をクリックします。

  10. [ ユーザーの割り当て ] セクションで、[ 使用可能 ] ボックスの一覧でユーザーを選択し、[ 構成済み ] リストにユーザーを追加します。

    [ 新規] をクリックして、新しいユーザーを追加することもできます。

    ユーザーを割り当てる

  11. [完了] をクリックします。

承認スコープに基づくユーザーアクセスの変更方法

管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。

この場合、ADM は、特定の認可スコープに応じて、アプリケーションへのユーザアクセスを許可します。

ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。

  • Policy-1 :アプリケーションに対する権限のみを表示します。

  • ポリシー2 :アプリケーションに対する表示および編集権限。

承認スコープによるユーザーアクセスの変更

ユーザーは、Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。

制限事項

RBACは、次のCitrix ADM機能では完全にはサポートされていません。

  • 分析- RBAC は、分析モジュールによって完全にはサポートされていません。RBAC のサポートはインスタンスレベルに制限され、Gateway Insight、HDX Insight、Security Insight 分析モジュールのアプリケーションレベルでは適用されません。
    • 例 1: インスタンスベースの RBAC (サポート)。いくつかのインスタンスを割り当てられている管理者は、[HDX Insight] > [ **デバイス ] でそれらのインスタンスと [ HDX Insight] > [ Applications ] の下にある対応する仮想サーバーのみを表示できます。これは、RBAC がインスタンスレベルでサポートされているためです。**
    • 例 2: アプリケーションベースの RBAC (サポートされていません)。いくつかのアプリケーションが割り当てられている管理者は、[ **HDX Insight ] > [アプリケーション] の下にすべての仮想サーバーを表示できますが、それらにアクセスすることはできません。これは、RBAC はアプリケーションレベルではサポートされていません。**
  • StyleBooks — RBACは、StyleBookでは完全にサポートされていません。
    • 複数のユーザーが単一のStyleBookにアクセスできますが、異なるCitrix ADCインスタンスに対するアクセス権を持っている場合を考えます。ユーザーは、自分のインスタンス上で設定パックを作成および更新できますが、自分のインスタンス以外のインスタンスにはアクセスできないので、他のインスタンスでは設定パックを作成および更新できません。ただし、Citrix ADCインスタンス上で作成された構成パックとオブジェクトは、独自のもの以外のものでも表示できます。
ロールベースのアクセス制御を構成する