Citrix Application Delivery Management 13.0

基于角色的访问控制

Citrix ADM 提供了基于角色的细粒度访问控制 (RBAC),您可以根据企业内各个用户的角色授予访问权限。在此上下文中,访问是指能够执行特定任务,例如,查看、创建、修改或删除文件。角色是根据企业中用户的授权和职责进行定义。例如,可以允许一个用户执行所有网络操作,而另一个用户可以观察应用程序中的通信流以及协助创建配置模板。

角色由策略决定。创建策略后,即可创建角色、将每个角色绑定到一个或多个策略以及为用户分配角色。您还可以为用户组分配角色。

组是拥有共同权限的用户集合。例如,管理特定数据中心的用户可以分配到一个组。角色是根据特定条件授予用户或组的身份。在 Citrix ADM 中,创建角色和策略特定于 Citrix ADC 中的 RBAC 功能。可以根据企业逐步发展的需求轻松地创建、更改或停用角色和策略,而无需单独更新每个用户的权限。

角色可以基于功能,也可以基于资源。例如,假定一个 SSL/安全管理员和一个应用程序管理员。SSL/安全管理员必须对SSL 证书管理和监视功能具有完全访问权限,但对于系统管理操作必须具有只读访问权限。应用程序管理员应该只能访问范围内的资源。

示例:

ADC 集团负责人 Chris 是其组织中 Citrix ADM 的超级管理员。Chris 创建三个管理员角色:安全管理员、应用程序管理员和网络管理员。

安全管理员 David 对 SSL 证书管理和监视必须拥有完整访问权限,但对系统管理操作应该拥有只读访问权限。

应用程序管理员 Steve 需要只对特定应用程序和特定配置模板拥有访问权限。

网络管理员 Greg 需要访问系统和网络管理的权限。

Chris 还必须为所有用户提供 RBAC,而不管他们是本地、外部或多租户。

Citrix ADM 用户可以通过本地身份验证,也可以通过外部服务器(RADIUS/LDAP /TACAS)进行身份验证。RBAC 设置必须适用于所有用户,无论采用的身份验证方法是什么。

下图显示了管理员和其他用户拥有的权限以及他们在组织中的角色。

本地化后的图片

限制

以下 Citrix ADM 功能不完全支持 RBAC:

  • 分析-分析 模块中不完全支持 RBAC。在 Web Insight、SSL Insight、Gateway Insight、HDX Insight 和 Security Insight 分析模块中,RBAC 支持限于实例级别,不适用于应用程序级别。例如:

示例 1:基于实例的 RBAC(支持)

已分配了几个实例的管理员只能在 Web 智能分 析 > 实例下查看这些 **实 例,而且只能在 Web 智能分 **析 > 应 程序下查看相应的虚拟服务器,因为 RBAC 在实例级别受支持。

示例 2:基于应用程序的 RBAC(不支持)

已分配了几个应用程序的管理员可以在 Web Insight > 应用程 下查看所有虚拟服务器,但无法访问它们,因为 RBAC 在应用程序级别不受支持。

  • 样书 — 样书不完全支持 RBAC。

    • 在 Citrix ADM 中,样书和配置包被视为单独的资源。可以为样书和配置包单独或并行提供访问权限(查看和/或编辑)。对配置包的查看或编辑权限隐式允许用户查看样书,这对于获取配置包详细信息和创建新配置包必不可少。

    • 不支持特定样书或配置包的访问权限
      示例:如果实例上已有配置包,则用户可以修改目标 Citrix ADC 实例上的配置,即使他们没有该实例的访问权限也是如此。

  • 编排 -编排不支持 RBAC。

基于角色的访问控制