Citrix Application Delivery Management 服务

配置基于角色的访问控制

Citrix Application Delivery Management (Citrix ADM) 提供了精细的基于角色的访问控制 (RBAC),您可以根据企业中各个用户的角色授予访问权限。

在 Citrix ADM 中,将所有用户添加到 Citrix Cloud 中。作为组织的第一个用户,您必须先在 Citrix Cloud 中创建一个帐户,然后使用 Citrix Cloud 凭据登录到 Citrix ADM GUI。您将被授予超级管理员角色,默认情况下,您拥有 Citrix ADM 中的所有访问权限。稍后,您可以在 Citrix Cloud 中创建组织中的其他用户。

稍后创建并以常规用户身份登录到 Citrix ADM 的用户称为委派管理员。默认情况下,这些用户具有除用户管理权限之外的所有权限。但是,您可以向这些委派管理员用户授予特定用户管理权限。您可以通过创建适当的策略并将其分配给这些委派用户来实现这一目标。用户管理权限位于 户” > “用户管理。有关如何分配特定权限的详细信息,请参阅 如何为委派管理员用户分配额外的权限

以下各节提供了有关如何创建策略、角色、组以及如何将用户绑定到组的详细信息。

示例:

以下示例说明了如何在 Citrix ADM 中实现 RBAC。

ADC 集团负责人 Chris 是其组织中 Citrix ADM 的超级管理员。他创建三个管理员角色:安全管理员、应用程序管理员和网络管理员。

  • 安全管理员 David 对 SSL 证书管理和监视必须拥有完整访问权限,但对系统管理操作应该拥有只读访问权限。
  • 应用程序管理员 Steve 需要只对特定应用程序和特定配置模板拥有访问权限。
  • 网络管理员 Greg 需要访问系统和网络管理的权限。
  • Chris 还必须为所有用户提供 RBAC,无论他们是本地或多租户。

下图显示了管理员和其他用户拥有的权限以及他们在组织中的角色。

RBAC 使用案例

为了向用户提供基于角色的访问控制,Chris 必须首先在 Citrix Cloud 中添加用户,然后才能在 Citrix ADM 中查看用户。Chris 必须根据每个用户的角色为其创建访问策略。访问策略与角色紧密绑定。因此,Chris 还必须创建角色,然后他必须创建组,因为角色只能分配给组,而不能分配给单个用户。

访问是执行特定任务的能力,例如查看、创建、修改或删除文件。角色是根据企业内用户的权限和责任定义的。例如,可能允许一个用户执行所有网络操作,而另一个用户可以观察应用程序中的流量并帮助创建配置模板。

角色由策略决定。创建策略后,您可以创建角色、将每个角色绑定到一个或多个策略,并将角色分配给用户。您还可以为用户组分配角色。组是拥有共同权限的用户集合。例如,管理特定数据中心的用户可以分配到一个组。角色是通过根据特定条件将用户添加到特定组来授予用户的身份。在 Citrix ADM 中,创建角色和策略特定于 Citrix ADC 中的 RBAC 功能。可以根据企业逐步发展的需求轻松地创建、更改或停用角色和策略,而无需单独更新每个用户的权限。

角色可以基于功能,也可以基于资源。例如,假定一个 SSL/安全管理员和一个应用程序管理员。SSL/安全管理员对 SSL 证书管理和监视功能必须拥有完整访问权限,但对系统管理操作应该拥有只读访问权限。应用程序管理员只能访问其范围内的资源。

因此,在您作为超级管理员 Chris 的角色中,在 Citrix ADM 中执行以下示例任务,以便为您组织中的安全管理员 David 配置访问策略、角色和用户组。

在 Citrix ADM 上配置用户

作为超级管理员,您可以通过在 Citrix Cloud 中而不是在 Citrix ADM 中为用户配置帐户来创建更多用户。将新用户添加到 Citrix ADM 时,只能通过将相应的组分配给用户来定义其权限。

要在 Citrix Cloud 中添加新用户,请执行以下操作:

  1. 在 Citrix ADM GUI 中,单击左上角的汉堡包图标,然后选择 身份和访问管理

    本地化后的图片

  2. 在 “身份和访问管理” 页上,选择 “管理 选项卡。

    此选项卡列出了在 Citrix Cloud 中创建的用户。

  3. 键入要在 Citrix ADM 中添加的用户的电子邮件地址,然后单击 邀请

    本地化后的图片

    注意

    用户收到来自 Citrix Cloud 的电子邮件邀请。用户必须单击电子邮件中提供的链接,以完成注册过程,方法是提供用户的全名和密码,然后再使用其凭据登录到 Citrix ADM。

  4. 作为管理员,只有在用户登录到 Citrix ADM 之后,才能看到 Citrix ADM 用户列表中的新用户。

要在 Citrix ADM 中配置用户,请执行以下操作:

  1. 在 Citrix ADM GUI 中,导航至 户” > “用户管理 > “用

  2. 用户将显示在 “用 页面上。

    本地化后的图片

  3. 您可以通过选择用户并单击 “编辑” 来 编辑提供给用户的权限。您还可以在 “设置” 节点下的 “组” 页面上编辑组权限。

    注意

    -  您的用户只能从 Citrix Cloud 添加到 Citrix ADM 中。因此,即使您具有管理员权限,也无法在 Citrix ADM GUI 中添加或删除用户。您只能编辑组权限。可以从 Citrix Cloud 中添加或删除用户。
    
    -  只有在用户登录到 Citrix ADM 至少一次后,用户详细信息才会显示在服务 GUI 上。
    

在 Citrix ADM 上配置访问策略

访问策略定义权限。通过创建角色,可以将策略应用于用户组或多个组。角色由策略决定。创建策略后,您必须创建角色,将每个角色绑定到一个或多个策略,并将角色分配给用户组。Citrix ADM 提供了五个预定义的访问策略:

  • 管理政策。授予对所有 Citrix ADM 节点的访问权限。用户具有查看和编辑权限,可以查看所有 Citrix ADM 内容,并可以执行所有编辑操作。也就是说,用户可以添加、修改和删除对资源的操作。
  • 管理例外系统策略。授予用户对 Citrix ADM GUI 中所有节点的访问权限,但对 “设置” 节点的访问权限除外。
  • 只准备策略。授予只读权限。用户可以查看 Citrix ADM 上的所有内容,但无权执行任何操作。
  • 应用程序策略。授予用于访问 Citrix ADM 中应用程序功能的管理权限。绑定到此策略的用户可以添加、修改和删除自定义应用程序,并可以启用或禁用服务、服务组和各种虚拟服务器,例如,内容交换、缓存重定向和 HAProxy 虚拟服务器。
  • 制定策略。授予对应用程序功能的只读权限。绑定到此策略的用户可以查看应用程序,但不能执行任何添加、修改或删除、启用或禁用操作。

尽管您无法编辑这些预定义策略,但您可以创建自己的(用户定义的)策略。

此前,当您为角色分配策略并将角色绑定到用户组时,您可以在 Citrix ADM GUI 中为节点级别的用户组提供权限。例如,您可能只提供对整个负载平衡节点的访问权限。您的用户有权访问负载平衡节点下的所有特定于实体的子节点(例如,虚拟服务器、服务和其他),或者他们没有访问负载平衡下的任何节点的权限。

在 Citrix ADM 507.x 版本和更高版本中,访问策略管理也被扩展为子节点提供权限。可以为所有子节点(如虚拟服务器、服务、服务组和服务器)配置访问策略设置。

目前,您只能为负载平衡节点下的子节点和 GSLB 节点下的子节点提供这样的粒度级别访问权限。

例如,作为管理员,您可能希望向用户授予仅查看虚拟服务器的访问权限,而不是在负载平衡节点中查看后端服务、服务组和应用程序服务器的访问权限。具有此类策略分配给他们的用户只能访问虚拟服务器。

要创建用户定义的访问策略,请执行以下操作:

  1. 在 Citrix ADM GUI 中,导航至 户” > “用户管理 > 访问策 略”。

  2. 单击添加

  3. 创建访问策 略” 页上的 策略名称 字段中,输入策略的名称,然后在 策略描述” 字段中输入描述

    访问策略

    权限 部分列出了所有 Citrix ADM 功能,以及用于指定只读、启用禁用或编辑访问的选项。

    1. 单击 (+) 图标将每个功能组展开为多个功能。

    2. 选中功能名称旁边的权限复选框以向用户授予权限。

      • 查看: 此选项允许用户查看 Citrix ADM 中的功能。

      • 启用-禁用: 此选项仅适用于允许在 Citrix ADM 上启用或禁用操作的 网络功能 功能。用户可以启用或禁用该功能。而且,用户还可以执行 “立 即投票 操作。

        向用户授予 “ 启用-禁用” 权限时,也会授予 “ 查看 ” 权限。您不能取消选择此选项。

      • 编辑: 此选项授予用户的完全访问权限。用户可以修改功能及其功能。

        如果授予 “编辑” 权限,则会同时授予 查看 权限和 启用-禁用 权限。您不能取消选择自动选择的选项。

      如果选中功能复选框,则会选择该功能的所有权限。

    注意:

    展开负载平衡和 GSLB 以查看更多配置选项。

    在下图中,负载平衡功能的配置选项具有不同的权限:

    配置策略

    “查 ” 权限授予用户使用 虚拟服务器 功能。用户可以在 Citrix ADM 中查看负载平衡虚拟服务器。要查看虚拟服务器,请导航到 “网 > 网络功能 > 负载平衡 ”,然后选择 虚拟服务器 选项卡。

    向用户授予 服务 功能的 启用-禁 用权限。此权限还授予 “查 ” 权限。用户可以启用或禁用绑定到负载平衡虚拟服务器的服务。此外,用户可以对服务执行 立即投票 操作。要启用或禁用服务,请导航到 “网络” > 网 **络 功能** > 负载平衡 ”,然后选择 服务 选项卡。

    注意

    如果用户具有 “ 启用-禁 用” 权限,则对服务的启用或禁用操作将在以下页面中受到限制:

    1. 导航到 “ 网络 ” > “ 网络功能”。

    2. 选择虚拟服务器,然后单击 配置

    3. 选择 “负 载平衡虚拟服务器服务绑定 ” 页。如果选择 或 “禁用”, 此页将显示一条错误消息。

    编辑” 权限授予用户使用 “ 服务组 ” 功能。此权限授予授予 查看启用-禁用” 权限的完全访问权限。用户可以修改绑定到负载平衡虚拟服务器的服务组。要编辑服务组,请导航到 “网 > 网络功能 > 负载平衡 ”,然后选择 服务组 选项卡。

  4. 单击创建

    注意

    选择 “编辑” 可能会在内部分配未在 “权限” 部分显示为启用的相关权限。例如,当您启用故障管理的编辑权限时,Citrix ADM 会在内部提供配置邮件配置文件或创建 SMTP 服务器设置的权限,以便用户可以以邮件形式发送报告。

在 Citrix ADM 上配置角色

在 Citrix ADM 中,每个角色都绑定到一个或多个访问策略。您可以在策略与角色之间定义一对一、一对多和多对多关系。您可以将一个角色绑定到多个策略,也可以将多个角色绑定到一个策略。

例如,一个角色可能绑定到两个策略,其中一个策略定义对一个功能的访问权限,另一个策略定义对另一个功能的访问权限。一个策略可能授予在 Citrix ADM 中添加 Citrix ADC 实例的权限,另一个策略可能授予创建和部署样本以及配置 Citrix ADC 实例的权限。

当多个策略为单个功能定义编辑和只读权限时,编辑权限的优先级高于只读权限。

Citrix ADM 提供了五个预定义角色:

  • 管理员角色。可以访问所有 Citrix ADM 功能。(此角色绑定到 adminpolicy。)
  • 管理员例外系统角色。除了 “设置” 权限之外,可以访问 Citrix ADM GUI。(此角色绑定到管理员除外系统策略)
  • 只读角色。拥有只读访问权限。(此角色绑定到 readonlypolicy。)
  • 应用程序管理员角色。仅对 Citrix ADM 中的应用程序功能具有管理访问权限。(此角色绑定到 appAdminPolicy。)
  • -角色。具有对应用程序功能的只读访问权限。(此角色绑定到 appReadOnlyPolicy。)

虽然无法编辑预定义角色,但您可以创建自己的(用户定义的)角色。

要创建角色并为其分配策略,请执行以下操作:

  1. 在 Citrix ADM GUI 中,导航至 户” > “用户管理 > 角色

  2. 单击添加

  3. 创建角色 页上的 角色名称 字段中,输入角色的名称,然后在 角色描述” 字段中提供描述 (可选)。

  4. 策略 部分中,添加将一个或多个策略移动到 已配置 列表中。

    注意

    这些策略是预先固定的租户 ID(例如, maasdocfour),该 ID 对于所有租户都是唯一的。

    配置角色

    注意

    您可以通过单击 建” 来创建访问策略,也可以导航到 户” > “用户管理” > 访问策略”,然后创建策略。

  5. 单击创建

在 Citrix ADM 上配置组

在 Citrix ADM 中,组可以具有功能级别和资源级别的访问权限。例如,一组用户可能只能访问选定的 Citrix ADC 实例;另一组只能访问选定的几个应用程序,依此类推。

创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。该组中的所有用户都在 Citrix ADM 中分配相同的访问权限。

您可以在网络功能实体的各个级别管理 Citrix ADM 中的用户访问权限。您可以在实体级别动态为用户或组分配特定权限。

Citrix ADM 将虚拟服务器、服务、服务组和服务器视为网络功能实体。

  • 虚拟服务器(应用程序) - 负载平衡 (lb)、GSLB、上下文切换 (CS)、缓存重定向 (CR)、身份验证 (Auth) 和 Citrix Gateway (vpn)

  • 服务 -负载平衡和 GSLB 服务
  • 服务组 -负载平衡和 GSLB 服务组
  • 服务器 -负载平衡服务器

要创建组,请执行以下操作:

  1. 在 Citrix ADM 中,导航至 户” > “用户管理 >

  2. 单击添加

    此时将显示 创建系统组 页面。

  3. 组名称 字段中,输入组的名称。

  4. 组描述 字段中,键入组的描述。提供良好的描述可帮助您了解组的作用和功能。

  5. 角色 部分中,将一个或多个角色移动到 已配置 列表。

    注意

    这些角色是预先固定的租户 ID(例如, maasdocfour),该 ID 对于所有租户都是唯一的。

  6. 在 “可用” 列表中,您可以单击 **新 建” 或 编辑 ”,然后创建或修改角色。**

    或者,您可以导航到 户” > “用户管理 > “用 ”,然后创建或修改用户。

    配置组

  7. 单击下一步

  8. 授权设置 选项卡中,您可以从以下类别中选择资源:

    • 自动缩放组
    • 实例
    • 应用程序
    • 配置模板
    • 样本
    • 配置包
    • 域名

    授权设置中的类别

    您可能希望从用户可以访问的类别中选择特定资源。

    自动缩放组:

    如果要选择用户可以查看或管理的特定自动缩放组,请执行以下步骤:

    1. 清除所有 AutoScale 组复选框,然后单击添加 AutoScale 组

    2. 从列表中选择所需的 “自动缩放” 组,然后单击 “ 确定”。

    实例:

    如果要选择用户可以查看或管理的特定实例,请执行以下步骤:

    1. 清除 所有实例 复选框,然后单击 选择实例

    2. 从列表中选择所需的实例,然后单击 “ 确定”。

      选择实例

    应用程序:

    选择应用程序” 列表允许您向用户授予所需应用程序的访问权限。

    您可以授予对应用程序的访问权限,而无需选择应用程序的实例。因为应用程序独立于其实例以授予用户访问权限。

    当您授予用户对应用程序的访问权限时,无论选择何种实例,用户都有权仅访问该应用程序。

    此列表为您提供以下选项:

    • 所有应用程序: 默认情况下选择此选项。它会添加 Citrix ADM 中存在的所有应用程序。

    • 所选实例的所有应用程序: 仅当您从 所有 实例” 类别中选择实例时,才会显示此选项。它会添加所选实例上存在的所有应用程序。

    • 特定应用程序: 此选项允许您添加希望用户访问的必需应用程序。单击 添加应用程序 ”,然后从列表中选择所需的应用程序。

    • 择单个实体类型: 此选项允许您选择特定类型的网络函数实体和相应实体。

      您可以添加单个实体,也可以选择所需实体类型下的所有实体,以向用户授予访问权限。

      应用于绑定实体也 ” 选项授权绑定到选定实体类型的实体。例如,如果选择某个应用程序并选择 还应用于绑定的实体 ”,Citrix ADM 将授权绑定到所选应用程序的所有实体。

      注意:如果要授权绑定实体,请

      确保只选择了一个实体类型。

    您可以使用正则表达式搜索和添加满足组的正则表达式条件的网络函数实体。指定的正则表达式表达式将保留在 Citrix ADM 中。要添加正则表达式,请执行以下步骤:

    1. 单击 添加正则表达式

    2. 在文本框中指定正则表达式。

      下图说明了在选择 “ 特定应 用程序” 选项时如何使用正则表达式添加应用程序:

      本地化后的图片

      下图说明了在选择 “选择单个实体类型” 选项时如何使用正则表达式添加网络函数实体

      网络函数实体类型

    如果要添加更多正则表达式,请单击 + 图标。

    注意

    正则表达式仅匹配服务器实体类型的 服务器 名称,而不匹配服务器 IP 地址。

    如果为发现的 实体选择了 “应用于绑定实体也 ” 选项,则用户可以自动访问绑定到发现实体的实体。

    正则表达式存储在系统中以更新授权范围。当新实体与其实体类型的正则表达式匹配时,Citrix ADM 会将授权范围更新为新实体。

    配置模板:

    如果要选择用户可以查看或管理的特定配置模板,请执行以下步骤:

    1. 清除 所有配置模板 复选框,然后单击 添加配置模板

    2. 从列表中选择所需的模板,然后单击 “ 确定”。

      配置模板

    样本:

    如果要选择用户可以查看或管理的特定样本,请执行以下步骤:

    1. 清除 所有样本 复选框,然后单击 将样本添加到组。您可以选择单个样书,也可以指定筛选器查询来授权样书。

      如果要选择单个样书,请从 “单个样书” 窗格中选择 样书 ,然后单击 “ 保存选择”。

      如果要使用查询搜索样书,请选择 “ 自定义筛选器 ” 窗格。查询是键值对的字符串,其中键为 namenamespace``、和 version

      您还可以使用正则表达式作为值来搜索和添加符合组正则表达式条件的样书。

      例如,

      name=lb-mon OR namespace=com.citrix.adc.stylebooks OR version=1.0
      

      Enter 查看搜索结果,然后单击 保存查询

      自定义筛选器

      保存的查询将显示在 “ 自定义筛选器查询” 中。根据已保存的查询,ADM 为用户提供对这些样书的访问权限。

    2. 从列表中选择所需的样本,然后单击 确定”。

      选择样书

      您可以在创建组并将用户添加到该组时选择所需的样本。当用户选择允许的样本时,也会选择所有相关样本。该样本的配置包也包含在用户有权访问的内容中。

    配置包:

    如果要选择用户可以查看或管理的特定配置包,请执行以下步骤:

    1. 清除 所有配置 复选框,然后单击 将配置包添加到组

    2. 从列表中选择所需的配置包,然后单击 “ 确定”。

      选择配置包

      您可以在创建组并将用户添加到该组时选择所需的配置包。

    域名:

    如果要选择用户可以查看或管理的特定域名,请执行以下步骤:

    1. 清除 “ 所有域名 ” 复选框,然后单击 “ 添加域名”。

    2. 从列表中选择所需的域名,然后单击 “ 确定”。

  9. 单击创建组

  10. 分配用 户” 部分,在 用” 列表中选择用户,然后将用户添加到 已配置 列表。

    注意

    您还可以通过单击 “新建” 来添加 用户。

    分配用户

  11. 单击完成

用户访问权限如何根据授权范围进行更改

当管理员将用户添加到具有不同访问策略设置的组时,该用户将被映射到多个授权作用域和访问策略。

在这种情况下,ADM 根据特定授权范围授予用户对应用程序的访问权限。

考虑分配给具有两个策略策略 1 和策略 2 的组的用户。

  • 策略 1 — 仅查看应用程序的权限。

  • 策略 2 — 查看和编辑应用程序权限。

具有授权范围的用户访问权限更改

用户可以查看策略 1 中指定的应用程序。此外,此用户还可以查看和编辑策略 2 中指定的应用程序。对组 1 应用程序的编辑访问受到限制,因为它不在组 1 授权范围内。

限制

以下 Citrix ADM 功能不完全支持 RBAC:

  • 分析-分析模块不完全支持 RBAC。RBAC 支持仅限于实例级别,不适用于 Gateway Insight、HDX Insight 和 Security Insight 模块中的应用程序级别。
    • 示例 1:基于实例的 RBAC(支持)。分配了几个实例的管理员只能在 HDX Insight > 设备下查看这些实例,并且只能查看 HDX Insight > 应用程序下的相应虚拟服务器,因为实例级别支持 RBAC。
    • 示例 2:基于应用程序的 RBAC(不支持)。分配了几个应用程序的管理员可以在 HDX Insight > 应用程序下查看所有虚拟服务器,但无法访问这些服务器,因为应用程序级别不支持 RBAC。
  • 样本 - 样本不完全支持 RBAC。
    • 考虑一种情况,即多个用户可以访问单个样本,但对不同的 Citrix ADC 实例具有访问权限。用户可以在自己的实例上创建和更新配置包,但不能在其他实例上创建和更新配置包,因为他们无权访问这些实例以外的其他实例。但是,他们仍然可以查看在 Citrix ADC 实例上创建的配置包和对象,而不是它们自己的实例。

配置基于角色的访问控制