Citrix Application Delivery Management 13.0

役割ベースのアクセス制御

Citrix ADM では、きめ細かなロールベースのアクセス制御(RBAC)が提供され、企業内の個々のユーザーのロールに基づいてアクセス権限を付与できます。ここでは、アクセスとはファイルの表示、作成、変更、削除などの特定のタスクを実行する能力のことです。役割は、社内でのユーザーの権限と責任に従って定義されます。たとえば、あるユーザーにはすべてのネットワーク操作の実行を許可し、別のユーザーはアプリケーションのトラフィックフローを監視して構成テンプレートの作成を補助できるようにします。

役割はポリシーで決定されます。ポリシーを作成した後に役割を作成し、各役割を1つまたは複数のポリシーにバインドし、役割をユーザーに割り当てます。役割は、ユーザーのグループに割り当てることもできます。

グループとは、共通の権限を持つユーザーの集まりです。たとえば、特定のデータセンターを管理している複数のユーザーを1つのグループに割り当てることができます。ロールは、特定の条件に基づいてユーザーまたはグループに付与される ID です。Citrix ADM では、役割とポリシーの作成はCitrix ADC RBAC機能に固有です。役割とポリシーは、企業のニーズが進展するにつれて簡単に作成、変更、または終了できます。各ユーザーの権限を個別に更新する必要はありません。

役割は機能ベースまたはリソースベースにすることができます。たとえば、SSL/セキュリティ管理者とアプリケーション管理者を考えてみましょう。SSL/セキュリティ管理者は、SSL 証明書の管理および監視機能への完全なアクセス権を持っている必要がありますが、システム管理操作には読み取り専用アクセス権が必要です。アプリケーション管理者は、スコープ内のリソースのみにアクセスできる必要があります。

例:

ADCグループ長であるクリスは、組織内のCitrix ADM スーパー管理者です。Chris は、セキュリティ管理者、アプリケーション管理者、ネットワーク管理者の 3 つの管理者ロールを作成します。

セキュリティ管理者のデイビットは、SSL証明書管理と監視への完全なアクセスが必要ですが、システム管理操作については読み取り専用アクセスにする必要があります。

アプリケーション管理者のスティーブは、特定のアプリケーションと特定の構成テンプレートのみのアクセスが必要です。

ネットワーク管理者のグレッグは、システムとネットワーク管理へのアクセスが必要です。

Chris は、ローカル、外部、またはマルチテナントであるかどうかにかかわらず、すべてのユーザーに RBAC を提供する必要があります。

Citrix ADM ユーザーは、ローカルで認証されるか、外部サーバー(RADIUS/LDAP/TACACS)を介して認証されます。RBAC設定は、採用される認証方法に関わらずすべてのユーザーに適用可能でなければなりません。

下図に、各種の管理者とほかのユーザーが持つ権限と社内での役割を示します。

ローカライズされた画像

制限事項

以下のCitrix ADM 機能では、RBACは完全にはサポートされていません。

  • Analytics -RBAC は、分析モジュールでは完全にサポートされていません。RBACのサポートはインスタンスレベルに制限されており、Web Insight、SSL Insight、Gateway Insight、HDX Insight、およびSecurity Insight分析モジュールのアプリケーションレベルでは適用されません。たとえば、以下のようなものです。

例 1: インスタンスベースの RBAC (サポート)

RBAC はインスタンスレベルでサポートされているため、少数のインスタンスを割り当てた管理者は、[ Web Insight ] > [ Instances] の下にあるインスタンスのみと、[ Web Insight ] > [ Applications] の下にある対応する仮想サーバーのみを表示できます。

例 2: アプリケーションベースの RBAC (サポートされていません)

いくつかのアプリケーションが割り当てられている管理者は、 **Web Insight > Applications の下ですべての仮想サーバーを表示できますが、アクセスすることはできません。これは、RBAC はアプリケーションレベルでサポートされていないためです。**

  • StyleBooks — RBACは、StyleBookでは完全にサポートされていません。

    • Citrix ADM では、スタイルブックと構成パックは別々のリソースとみなされます。アクセス権限(表示、編集、またはその両方)は、Stylebookと構成パックに個別または同時に提供できます。構成パックの表示権限または編集権限によって、ユーザーに対して暗黙的にStyleBookの表示が許可されます。StyleBookの表示は構成パックの詳細取得や新しい構成パックの作成に不可欠です。

    • 特定のStyleBookまたは構成パックのアクセス権はサポートされていません。
      例:インスタンスに構成パックがすでに存在する場合、ユーザーはそのインスタンスにアクセスできない場合でも、ターゲットのCitrix ADC インスタンスの構成を変更できます。

  • オーケストレーション -RBAC はオーケストレーションではサポートされていません。

役割ベースのアクセス制御