Citrix Application Delivery Management 13.0

グループの構成

Citrix ADM では、グループには機能レベルとリソースレベルのアクセス権の両方があります。たとえば、あるユーザーのグループが、選択したCitrix ADC インスタンスのみにアクセスしたり、少数のアプリケーションしかアクセスできない別のグループにアクセスしたりできます。

グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。Citrix ADM では、そのグループのすべてのユーザーに、同じアクセス権が割り当てられます。

Citrix ADM では、ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。エンティティレベルでユーザーまたはグループに特定のアクセス許可を動的に割り当てることができます。

Citrix ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。

  • 仮想サーバー(アプリケーション) -負荷分散(lb)、GSLB、コンテキストスイッチング(CS)、キャッシュリダイレクト(CR)、認証(Auth)、およびCitrix Gateway(VPN)

  • サービス -負荷分散とGSLBサービス
  • サービスグループ -負荷分散とGSLBサービスグループ
  • サーバ -負荷分散サーバ

ユーザーグループの作成

  1. Citrix ADM で、[ システム ]>[ ユーザー管理 ]>[ グループ]に移動します。

  2. [追加] をクリックします。

    システム・グループの作成 」ページが表示されます。

  3. [ グループ名 ] フィールドに、グループの名前を入力します。

  4. [グループの説明] フィールドに、グループの説明を入力します。グループについてよく説明すると、後でグループの役割と機能を理解しやすくなります。  

  5. [ ロール ] セクションで、1 つ以上のロールを [ 構成済み ] リストに追加または移動します。

    注: [ 使用可能 ] ボックスの一覧で、[ 新規 ] または [ 編集 ] をクリックし、ロールを作成または変更することができます。または、[ **システム ] > [ ユーザー管理] > [ユーザー ] に移動し、ユーザーを作成または変更することもできます。**

    システムグループの作成

  6. [ 次へ] をクリックします。[ 承認設定 ] タブでは、次のリソースの承認設定を指定できます。

    • AutoScaleグループ
    • インスタンス
    • アプリケーション
    • 構成テンプレート
    • StyleBook
    • ドメイン名

    承認設定のカテゴリ

    ユーザーがアクセスできるカテゴリから特定のリソースを選択することもできます。

    AutoScaleグループ:

    ユーザーが表示または管理できる特定の Autoscale グループを選択する場合は、次の手順を実行します。

    1. [ すべてのAutoScaleグループ ] チェックボックスをオフにし、[ AutoScaleグループの追加] をクリックします。

    2. リストから必要なAutoScaleグループを選択し、「 OK」をクリックします。

    インスタンス:

    ユーザーが表示または管理できる特定のインスタンスを選択する場合は、次の手順を実行します。

    1. [ すべてのインスタンス ] チェックボックスをオフにして、[ インスタンスを選択] をクリックします。

    2. リストから必要なインスタンスを選択し、「 OK」をクリックします。

      インスタンスを選択

    アプリケーション:

    「アプリケーションの選択」 リストでは、必要なアプリケーションへのアクセス権をユーザーに付与できます。

    インスタンスを選択せずに、アプリケーションへのアクセスを許可できます。アプリケーションは、ユーザーアクセスを許可するためにインスタンスから独立しているためです。

    アプリケーションへのアクセス権をユーザーに付与すると、インスタンスの選択に関係なく、そのアプリケーションのみにアクセスする権限が付与されます。

    このリストには、次のオプションがあります。

    • すべてのアプリケーション: このオプションはデフォルトで選択されています。これは、Citrix ADM に存在するすべてのアプリケーションを追加します。

    • [選択したインスタンスのすべてのアプリケーション]: このオプションは、[ すべてのインスタンス] カテゴリからインスタンスを 選択した場合にのみ表示されます。これは、選択したインスタンスに存在するすべてのアプリケーションを追加します。

    • 特定のアプリケーション: このオプションでは、ユーザーがアクセスできるように必要なアプリケーションを追加できます。「 アプリケーションの追加 」をクリックし、リストから必要なアプリケーションを選択します。

    • 個々のエンティティタイプを選択: このオプションでは、特定のタイプのネットワーク機能エンティティと対応するエンティティを選択できます。

      個々のエンティティを追加するか、必要なエンティティタイプの下にあるすべてのエンティティを選択して、ユーザーにアクセスを許可できます。

      [ バインドされたエンティティにも適用 ] オプションは、選択したエンティティタイプにバインドされているエンティティを承認します。たとえば、アプリケーションを選択して [ バインドされたエンティティにも適用]を選択すると、選択したアプリケーションにバインドされているすべてのエンティティがCitrix ADM によって承認されます。

      注記

      バインドされたエンティティを承認する場合は、エンティティタイプを 1 つだけ選択してください。

    正規表現を使用して、グループの正規表現条件を満たすネットワーク関数エンティティを検索して追加できます。指定した正規表現式は、Citrix ADM で保持されます。正規表現を追加するには、次の手順を実行します。

    1. [ 正規表現の追加] をクリックします。

    2. テキストボックスに正規表現を指定します。

      次の図は、「 特定のアプリケーション」オプションを選択した場合に、正規表現を使用してアプリケーション を追加する方法を示しています。

      特定のアプリケーション

      次の図は、[ 個々のエンティティタイプを選択] オプションを選択した場合に、正規表現を使用してネットワーク関数エンティティ を追加する方法を示しています。

      ネットワーク関数エンティティタイプ

    正規表現を追加する場合は、[ + ] アイコンをクリックします。

    注:**

    正規表現は、サーバーエンティティタイプのサーバー名にのみ一致し、サーバー IP アドレスには一致しません。**

    検出されたエンティティの [バインドされたエンティティにも適用 ] オプションを選択すると、ユーザーは検出されたエンティティにバインドされたエンティティに自動的にアクセスできます。

    正規表現は、認可スコープを更新するためにシステムに格納されています。新しいエンティティがエンティティタイプの正規表現と一致すると、Citrix ADM は新しいエンティティに認証スコープを更新します。

    構成テンプレート:

    ユーザが表示または管理できる特定の設定テンプレートを選択する場合は、次の手順を実行します。

    1. [ すべての構成テンプレート ] チェックボックスをオフにし、[ 構成テンプレートの追加] をクリックします。

    2. リストから目的のテンプレートを選択し、[ OK] をクリックします。

      構成テンプレートの追加

    スタイルブック:

    ユーザーが表示または管理できる特定のStyleBookを選択する場合は、次の手順を実行します。

    1. すべてのスタイルブック 」チェックボックスをオフにして、「 グループにスタイルブックを追加」をクリックします。

    2. リストから必要なStyleBookを選択し、「 OK」をクリックします。

      スタイルブックグループの追加

      グループを作成し、そのグループにユーザーを追加するときに、必要なStyleBookを選択できます。ユーザーが許可されたStyleBookを選択すると、依存するすべてのStyleBookも選択されます。そのStyleBookの設定パックは、ユーザーがアクセスできるものにも含まれています。

    コンフィグパック:

    ユーザーが表示または管理できる特定の構成パックを選択する場合は、次の手順を実行します。

    1. [ すべての構成 ] チェックボックスをオフにし、[ Configpack をグループに追加] をクリックします。

    2. リストから必要な構成パックを選択し、[ OK] をクリックします。

      構成パックの選択

      グループを作成し、そのグループにユーザーを追加するときに、必要な構成パックを選択できます。

    ドメイン名:

    ユーザーが表示または管理できる特定のドメイン名を選択する場合は、次の手順を実行します。

    1. [ すべてのドメイン名 ] チェックボックスをオフにし、[ ドメイン名の追加] をクリックします。

    2. リストから必要なドメイン名を選択し、[ OK] をクリックします。

  7. [Create Group] をクリックします。

  8. [ ユーザーの割り当て ] セクションで、[ 使用可能 ] リストでユーザーを選択し、[ 構成済み ] リストにユーザーを追加します。

    注:

    [ 新規作成] をクリックしてユーザーを追加することもできます。

    システムグループを作成する例

  9. [完了] をクリックします。

複数のネットワーク機能エンティティにわたるユーザーアクセスの管理

管理者は、Citrix ADM ネットワーク機能エンティティの個々のレベルでユーザーアクセスを管理できます。また、正規表現フィルターを使用して、エンティティレベルでユーザーまたはグループに特定のアクセス許可を動的に割り当てることができます。

このドキュメントでは、エンティティレベルでユーザ認可を定義する方法について説明します。

開始する前に、グループを作成します。詳しくは、「Citrix ADM でグループを構成する」を参照してください。

使用シナリオ:

1 つ以上のアプリケーション (仮想サーバー) が同じサーバー上でホストされているシナリオを考えてみましょう。スーパー管理者(George)は、Steve(アプリケーション管理者)にホスティングサーバーではなく、App1 へのアクセス権を付与したいと考えています。

次の表は、サーバー A がアプリケーション App-1 と App-2 をホストするこの環境を示しています。

ホスト サーバー アプリケーション(仮想サーバ) サービス サービスグループ
サーバ A App1 App-service-1 App-service-group-1
サーバ A App2 App-service-2 App-service-group-2

注:

Citrix ADM は、仮想サーバー、サービス、サービスグループ、およびサーバーをネットワーク機能エンティティとして扱います。エンティティタイプの仮想サーバーは、アプリケーションと呼ばれます。

ネットワーク機能エンティティにユーザ権限を割り当てるために、George はユーザ認可を次のように定義します。

  1. アカウント」>「ユーザー管理」>「グループ」 に移動し、グループを追加します。

  2. [ 承認設定 ] タブで、[アプリケーションの選択] を選択します。

  3. 個々のエンティティ・タイプの選択」を選択します

  4. [ すべてのアプリケーション ] エンティティタイプを選択し、使用可能なリストから App-1 エンティティを追加します。

  5. [Create Group] をクリックします。

  6. [ ユーザーの割り当て] で、権限を必要とするユーザーを選択します。このシナリオでは、George は Steve のユーザープロファイルを選択します。

  7. [完了] をクリックします。

この認証設定では、Steve は App-1 のみを管理でき、他のネットワーク機能エンティティは管理できません。

注記

バインドされたエンティティにも適用 」オプションをオフにします。それ以外の場合、Citrix ADM はApp-1にバインドされているすべてのネットワーク機能エンティティへのアクセスを許可します。その結果、はホスティングサーバーへのアクセスも許可します。

スーパー管理者は、エンティティタイプごとに正規表現 (regex) を指定できます。正規表現は、ユーザー認可スコープを更新するためにシステムに格納されています。新しいエンティティがエンティティタイプの正規表現と一致すると、Citrix ADM は特定のネットワーク機能エンティティへのアクセスを動的にユーザーに付与できます。

ユーザー権限を動的に付与するために、スーパー管理者は [ 承認設定 ] タブで正規表現を追加できます。

このシナリオでは、George は Applications エンティティタイプの正規表現としてApp*を追加し、正規表現条件に一致するアプリケーションがリストに表示されます。この認証設定により、Steve は App* 正規表現に一致するすべてのアプリケーションにアクセスできます。しかし、彼のアクセスは、ホストされたサーバーではなく、アプリケーションにのみ制限されます。

承認スコープに基づくユーザーアクセスの変更方法

管理者が異なるアクセスポリシー設定を持つグループにユーザーを追加すると、そのユーザーは複数の承認スコープとアクセスポリシーにマップされます。

この場合、ADM は、特定の認可スコープに応じて、アプリケーションへのユーザアクセスを許可します。

ポリシー 1 とポリシー 2 の 2 つのポリシーを持つグループに割り当てられているユーザを考えてみましょう。

  • Policy-1 :アプリケーションに対する権限のみを表示します。

  • ポリシー2 :アプリケーションに対する表示および編集権限。

承認スコープによるユーザーアクセスの変更

ユーザーは、Policy-1 で指定されたアプリケーションを表示できます。また、このユーザーは、Policy-2 で指定されたアプリケーションを表示および編集できます。Group-1 アプリケーションに対する編集アクセスは、Group-1 認可スコープにはないため、制限されます。

Citrix ADM を12.0以降のリリースにアップグレードするときのRBACのマッピング

Citrix ADM を12.0から13.0にアップグレードすると、グループの作成時に「読み取り/書き込み」または「読み取り」権限を指定するオプションが表示されません。これらの権限は「役割」と「アクセスポリシー」に置き換えられており、より柔軟に役割ベースの権限をユーザーに提供できます。次の表に、リリース 12.0 の権限がリリース 13.0 にどのようにマッピングされるかを示します。

12.0 アプリケーションのみ許可 13.0
admin read-write False admin
admin read-write True appAdmin
admin read-only False readonly
admin read-only True appReadonly