Citrix Application Delivery Management

配置组

在 Citrix Application Delivery Management (ADM) 中,组可以同时具有功能级和资源级访问权限。例如,一组用户可能只能访问选定的 Citrix ADC 实例;另一组用户只能访问选定的少数应用程序,依此类推。创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。该组中的所有用户都在 Citrix ADM 中分配相同的访问权限。  

要创建用户组并将角色分配给用户组:

  1. 在 Citrix ADM 中,导航到 系统 > 用户管理 >

  2. 单击添加

  3. 组名称 字段中,输入组的名称。

  4. 在 “组说明” 字段中,键入组的说明。提供组的良好描述有助于您以更好的方式了解组的作用和职能。  

  5. 在 “ 角色 ” 部分中,将一个或多个角色添加或移动到 “ 已配置 ” 列表中。

    注意:可用 列表下,您可以单击 建或 编辑 ,然后创建或修改角色。或者,您可以导航到 “ 系统 ” > “ 用户管理 ” > “用 ”,然后创建或修改用户。

    本地化后的图片

    注意

    您可以通过单击 “新建” 来创建角色,也可以导航到 “系统 ” > “用户管理” > “用 ”,然后从此屏幕创建新用户。

  6. 单击下一步。在 授权设置 选项卡上,您可以为以下四个组提供授权设置:

    • 实例

    • 应用程序

    • 配置模板

    • 样本

    默认情况下,您的用户可以访问上述所有组。您可以清除复选框并为其中每个组提供选择性访问权限。

    例如:

    • 您可以清除实例复选框,然后仅选择要向用户提供访问权限的必需实例。

    • 清除所有应用程序复选框并仅选择所需的应用程序和模板。将应用程序添加到 Citrix ADM 中的组时,可以使用正则表达式搜索和添加符合组的正则表达式条件的应用程序。绑定到这些组的用户只能访问那些特定的应用程序。指定的正则表达式将保留在 Citrix ADM 中。也就是说,Citrix ADM 允许将添加正则表达式文本框中提供的正则表达式存储在系统中,并在新应用程序满足此正则表达式时动态更新授权范围。将新应用程序添加到系统时,Citrix ADM 会将搜索条件应用于新应用程序,符合条件的应用程序将动态添加到组中。您不必手动将新应用程序添加到组中。这些应用程序在系统中动态更新,各自的组用户可以在 Citrix ADM 中的适当模块下看到应用程序。

    • 清除所有配置模板复选框以仅允许访问所需的模板。

    • 清除所有样书复选框,然后选择用户可以访问的所需样书。

      您可以在创建组并将用户添加到该组时选择所需的样本。当用户选择允许的样本时,也会选择所有相关样本。该样本的配置包也包含在用户有权访问的内容中。

      本地化后的图片

    • 清除 所有 DNS 域名 复选框,然后从列表中添加您希望用户访问的域名。

  7. 单击创建组

  8. 在 “ 分配用 户” 选项卡中,从 “ 用” 列表中选择用户,然后将用户添加到 “ 已配置 ” 列表中。例如,“dadmin”。

    本地化后的图片

    注意 您还可以通过单击 “新建” 来添加 用户。

  9. 单击完成

注意

作为 Citrix ADM 管理员,您可以根据 RBAC 中的访问策略设置向用户提供单个 ADM 模块 UI 的 “仅查看” 权限或 “查看和编辑” 权限。如果将用户分配到两个或多个组,也就是说,如果用户在内部映射到多个授权范围和多个访问策略,则 ADM 将所有这些组的权限合并起来并相应地授权用户。

例如,假设 User1 被分配给具有两个访问策略(P1 和 P2)的组。每个策略都有不同类型的权限。P1 拥有 “只读” 权限,而 P2 拥有 “查看和编辑” 权限。您希望用户在 P1 策略中查看一组应用程序,并在 P2 策略中编辑不同的应用程序集。但是,作为默认行为,Citrix ADM 将两种权限类型合并为用户分配 “查看和编辑” 权限。因此,您的用户现在将能够查看和编辑所有应用程序。

ADM 不支持这种可以为同一用户分配不同类型权限的使用案例。您只能为用户分配一种类型的权限。ADM 可以允许 User1 查看所有应用程序或选定的一组应用程序,也可以允许 User1 查看和编辑所有应用程序或选定的一组应用程序。

将 Citrix ADM 从 12.0 升级到 12.1 时的 RBAC 映射

将 Citrix ADM 从 12.0 升级到 12.1 时,您将看不到在创建组时提供 “读写” 或 “读取” 权限的选项。这些权限已替换为“角色和访问策略”,使用这些策略可以更加灵活地为用户提供基于角色的权限。下表显示了 12.0 版中的权限如何映射到版本 12.1:

12.0 仅允许应用程序 12.1
admin read-write False admin
admin read-write appAdmin
admin read-only False readonly
admin read-only appReadonly
配置组