ユーザー管理
オンプレミス向けCitrix SD-WAN Orchestratorは、役割ベースのアクセス制御(RBAC)をサポートしています。RBAC は、個々のユーザーに割り当てられたロールに基づいて SD-WAN Orchestrator リソースへのアクセスを規制します。RBAC を使用すると、ユーザーはロールが要求するデータのみにアクセスでき、他のデータを制限できます。
役割は、オンプレミス向けCitrix SD-WAN Orchestratorのさまざまなアクティビティを表示および実行する権限を定義します。定義済みの役割のリストから役割をユーザーに割り当てることができます。
デフォルトでは、ユーザーアカウントはオンプレミス用 Citrix SD-WAN Orchestrator に作成され、ユーザー名は admin 、 パスワードはパスワードとして設定されます。ユーザーは、初回ログイン時にデフォルトのパスワードを変更するように求められます。
ローカルおよびリモートで認証できるユーザーを追加できます。リモートで認証されたユーザは、RADIUS または TACACS+ 認証サーバを通じて認証されます。
プロバイダの役割
次の表に、事前定義されたプロバイダーの役割を示します。
| プロバイダーロール | 説明 |
|---|---|
| プロバイダー-マスター-管理者-すべて | プロバイダーとそのすべての顧客情報を管理できる管理者 |
| プロバイダー-マスター-管理者-テナント | プロバイダーとその顧客情報の一部を管理できる管理者 |
| Provider-master-readonly-all | プロバイダーと顧客の情報のみを閲覧できる管理者 |
| プロバイダー-ネットワーク-管理者 (プレビュー) | ネットワーク関連情報の閲覧と編集のみができる管理者 |
| プロバイダー-セキュリティ-管理者 (プレビュー) | セキュリティ関連情報の閲覧と編集のみができる管理者 |
Provider-Master-Admin-Allロールは次のことを実行できます 。
- プロバイダーネットワークとカスタマーネットワークのユーザーにロールを割り当てる
- その他すべての管理者ロールの顧客へのアクセスを管理する
- 割り当てられたロールを編集または削除する
お客様の役割
次の表は、事前定義済みの顧客ロールを一覧表示しています。
| 役割 | 説明 |
|---|---|
| カスタマ-マスター/管理者 | 顧客情報を閲覧および編集できる顧客管理者 |
| カスタマーマスター-レディオンリー管理者 | 顧客情報のみを閲覧できる顧客管理者 |
| カスタマーネットワーク管理者 (プレビュー) | ネットワーク関連の情報のみを表示および編集できる顧客管理者 |
| 顧客-セキュリティ-管理者 (プレビュー) | セキュリティ関連情報のみを表示および編集できる顧客管理者 |
カスタマー-マスター-管理者の役割を持つユーザーは 、次の操作を実行できます。
- ユーザーを追加して顧客の役割を割り当てる
- 割り当てられたロールを編集または削除する
サポートロール
トラブルシューティングの目的で、お客様はサポートの役割を割り当て、サポートチームのメンバーが情報を表示および編集できるようにすることができます。サポートロールには、ロールの割り当て時に定義された有効期間があります。有効期間が終了すると、サポートユーザーは顧客情報にアクセスできなくなります。ただし、サポートユーザーの詳細は、[管理] > [ユーザー管理]の下に引き続き表示されます。必要に応じて、お客様の管理者はサポートロールの削除または有効期間の延長を行うことができます。
| 役割 | 説明 |
|---|---|
| カスタマーサポート-ReadWrite | 顧客情報を閲覧および編集できるサポートチームメンバー |
| カスタマーサポート-読み取り専用 | 顧客情報のみを閲覧できるサポートチームメンバー |
認証タイプ
オンプレミス向けCitrix SD-WAN Orchestratorは、次の種類の認証をサポートします。
- 単一要素認証:一要素認証は、ユーザーがオンプレミス向けCitrix SD-WAN Orchestratorにアクセスするための1つの認証方法を提供します。
- 二要素認証(TFA):二要素認証は、ユーザーがオンプレミス向けCitrix SD-WAN Orchestratorにアクセスするための2つの認証方法を提供します。これにより、ログインシーケンスに追加のセキュリティ層が導入されます。
一要素認証と二要素認証では、次の認証方法がサポートされています。
- ローカル:選択した場合、ユーザーはオンプレミス用 Citrix SD-WAN Orchestrator で構成されたパスワードを使用してアクセスする必要があります。
- RADIUS: 選択した場合、ユーザーは RADIUS サーバーのパスワードを使用してアクセスする必要があります。
- TACACS+: 選択した場合、ユーザーはTACACS+サーバーのパスワードを使用してアクセスする必要があります。
次の表は、ローカルで認証されるユーザーがサポートする一次認証方法と二次認証方法を示しています。
| プライマリ認証タイプ | 二次認証タイプ | ||
|---|---|---|---|
| 単一要素認証 | ローカル | - | |
| 2要素認証 | ローカル | RADIUS または TACACS+ | |
次の表は、リモート認証されるユーザーがサポートする一次認証方法と二次認証方法を示しています。
| プライマリ認証タイプ | 二次認証タイプ | ||
|---|---|---|---|
| 単一要素認証 | ローカル、RADIUS、または TACACS+ | - | |
| 2要素認証 | ローカル、RADIUS、または TACACS+ | RADIUS または TACACS+ | |
二要素認証が有効で 、RADIUS/TACACS+ サーバが二次認証タイプとして設定されている場合、ログインページに「 二次パスワード 」フィールドが表示されます。
ユーザーの追加
[ 管理 ] > [ ユーザー管理 ] に移動し、[ + 新規 ] をクリックし、次の詳細を入力して [ 追加] をクリックします。
- ユーザー名を入力します。
- 単一要素認証:ユーザーのログインに一次認証のみを有効にします。
- 二要素認証:ユーザーのログインに一次認証と二次認証の両方を有効にします。詳細については、「 リモート認証サーバー」を参照してください。
- 一次認証タイプ:ローカルまたはリモート認証サーバーのIPアドレスを選択します。
-
二次認証タイプ:リモート認証サーバーのIPアドレスを選択します。
注:
単一要素認証を選択した場合、「二次認証タイプ 」フィールドは灰色表示されます。
- 役割:使用可能な役割の一覧から役割を選択します。
- 顧客へのアクセスを拒否:(プロバイダーレベルのみで利用可能)。ユーザーを追加する際、プロバイダーは特定の顧客へのアクセスを拒否できます。
- 有効期限 (MM/DD/YYYY): サポートユーザーが顧客情報にアクセスできる日付。デフォルトの有効期間は、ロールが割り当てられた日付から 2 週間です。
- パスワードを入力します。パスワードの長さは 8 ~ 128 文字でなければなりません。
アクション列を使用して 、ユーザーロールの変更、パスワードの更新、認証タイプの編集を行うことができます。必要に応じてユーザーを削除することもできます。
制限事項
オンプレミス向けCitrix SD-WAN Orchestratorは、同じプロバイダーでの異なる顧客のユーザー名の重複をサポートしていません。このアクションを実行すると、 アカウント作成中にエラーというエラーメッセージが表示されます。
認証タイプを変更
ユーザーの認証タイプを 1 要素認証から 2 要素認証に、またはその逆に変更できます。
ユーザーの認証タイプを変更するには、「 アクション 」列で「 … 」をクリックし、「 認証サーバーの編集」をクリックします。
現在 1 段階認証を選択している場合は、2 要素認証に切り替えることができます。「 二要素認証 」をクリックし、「 二次認証タイプ 」ドロップダウンリストからリモートサーバーを選択します。[適用] をクリックします。
現在 2 段階認証を選択している場合は、2 次認証タイプのみを変更するか、一要素認証に切り替えるかを選択できます。
単一要素認証に切り替えるには、「 単一要素認証」をクリックします。[ 二次認証タイプ ] ドロップダウンリストは無効になり、[ 一次認証タイプ ] ドロップダウンリストのみが有効になります。
プライマリ認証タイプはユーザー作成時にのみ設定でき 、後で編集することはできません。
パスワードの変更
ローカルユーザーのパスワードを変更できます。ユーザーのパスワードを変更するには、「 アクション 」列で「 … 」をクリックし、「 ローカルパスワードの更新」をクリックします。
注:
パスワードを変更できるのはローカルユーザーのみです。リモートで認証されたユーザーの場合は、外部サーバーでパスワードを更新する必要があります。
ユーザーロールの変更
ユーザーロールを変更するには、 **アクション列の編集アイコンをクリックします** 。 ロールを選択し 、[ 適用] をクリックします。
注:
デフォルトの管理者ユーザーのロールは編集できません。
