Citrix Application Delivery Management 13.0

配置组

在 Citrix ADM 中,组可以具有功能级别和资源级别的访问权限。例如,一组用户可能只能访问选定的 Citrix ADC 实例;另一组只能访问选定的几个应用程序,依此类推。

创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。该组中的所有用户都在 Citrix ADM 中分配相同的访问权限。

您可以在网络功能实体的各个级别管理 Citrix ADM 中的用户访问权限。您可以在实体级别动态为用户或组分配特定权限。

Citrix ADM 将虚拟服务器、服务、服务组和服务器视为网络功能实体。

  • 虚拟服务器(应用程序) -负载平衡 (lb)、GSLB、上下文切换 (CS)、缓存重定向 (CR)、身份验证 (Auth) 和 Citrix Gateway (VPN)

  • 服务 -负载平衡和 GSLB 服务
  • 服务组 -负载平衡和 GSLB 服务组
  • 服务器 -负载平衡服务器

创建用户组

  1. 在 Citrix ADM 中,导航到 系统 > 用户管理 >

  2. 单击添加

    此时将显示 创建系统组 页面。

  3. 组名称 字段中,输入组的名称。

  4. 在 “组说明” 字段中,键入组的说明。提供组的良好描述有助于您以更好的方式了解组的作用和职能。  

  5. 在 “ 角色 ” 部分中,将一个或多个角色添加或移动到 “ 已配置 ” 列表中。

    注意: 在 “可 ” 列表下,您可以单击 “ 建” 或 “ 编辑 ”,然后创建或修改角色。或者,您可以导航到 “ 系统 ” > “ 用户管理 ” > “用 ”,然后创建或修改用户。

    创建系统组

  6. 单击 “ 下一步”。在 “ 授权设置 ” 选项卡上,您可以为以下资源提供授权设置:

    • 自动缩放组
    • 实例
    • 应用程序
    • 配置模板
    • 样本
    • 域名

    授权设置中的类别

    您可能希望从用户可以访问的类别中选择特定资源。

    自动缩放组:

    如果要选择用户可以查看或管理的特定自动缩放组,请执行以下步骤:

    1. 清除 所有自动扩展组 复选框,然后单击 添加自动扩展组

    2. 从列表中选择所需的 “自动缩放” 组,然后单击 “ 确定”。

    实例:

    如果要选择用户可以查看或管理的特定实例,请执行以下步骤:

    1. 清除 所有实例 复选框,然后单击 选择实例

    2. 从列表中选择所需的实例,然后单击 “ 确定”。

      选择实例

    应用程序:

    选择应用程序” 列表允许您向用户授予所需应用程序的访问权限。

    您可以授予对应用程序的访问权限,而无需选择应用程序的实例。因为应用程序独立于其实例以授予用户访问权限。

    当您授予用户对应用程序的访问权限时,无论选择何种实例,用户都有权仅访问该应用程序。

    此列表为您提供以下选项:

    • 所有应用程序: 默认情况下选择此选项。它会添加 Citrix ADM 中存在的所有应用程序。

    • 所选实例的所有应用程序: 仅当您从 所有 实例” 类别中选择实例时,才会显示此选项。它会添加所选实例上存在的所有应用程序。

    • 特定应用程序: 此选项允许您添加希望用户访问的必需应用程序。单击 添加应用程序 ”,然后从列表中选择所需的应用程序。

    • 择单个实体类型: 此选项允许您选择特定类型的网络函数实体和相应实体。

      您可以添加单个实体,也可以选择所需实体类型下的所有实体,以向用户授予访问权限。

      应用于绑定实体也 ” 选项授权绑定到选定实体类型的实体。例如,如果选择某个应用程序并选择 “ 同时应用于绑定实体”,Citrix ADM 将授权绑定到所选应用程序的所有实体。

      注意:如果要授权绑定实体,请

      确保只选择了一个实体类型。

    您可以使用正则表达式搜索和添加满足组的正则表达式条件的网络函数实体。指定的正则表达式表达式将保留在 Citrix ADM 中。要添加正则表达式,请执行以下步骤:

    1. 单击 添加正则表达式

    2. 在文本框中指定正则表达式。

      下图说明了在选择 “ 特定应 用程序” 选项时如何使用正则表达式添加应用程序:

      特定应用程序

      下图说明了在选择 “选择单个实体类型” 选项时如何使用正则表达式添加网络函数实体

      网络函数实体类型

    如果要添加更多正则表达式,请单击 + 图标。

    注意

    正则表达式仅匹配服务器实体类型的 服务器 名称,而不匹配服务器 IP 地址。

    如果为发现的 实体选择了 “应用于绑定实体也 ” 选项,则用户可以自动访问绑定到发现实体的实体。

    正则表达式存储在系统中以更新授权范围。当新实体与其实体类型的正则表达式匹配时,Citrix ADM 会将授权范围更新为新实体。

    配置模板:

    如果要选择用户可以查看或管理的特定配置模板,请执行以下步骤:

    1. 清除 所有配置模板 复选框,然后单击 添加配置模板

    2. 从列表中选择所需的模板,然后单击 “ 确定”。

      添加配置模板

    样本:

    如果要选择用户可以查看或管理的特定样书,请执行以下步骤:

    1. 清除 所有样本 复选框,然后单击 将样本添加到组

    2. 从列表中选择所需的样本,然后单击 确定”。

      添加样书组

      您可以在创建组并将用户添加到该组时选择所需的样本。当用户选择允许的样本时,也会选择所有相关样本。该样本的配置包也包含在用户有权访问的内容中。

    配置包:

    如果要选择用户可以查看或管理的特定配置包,请执行以下步骤:

    1. 清除 所有配置 复选框,然后单击 将配置包添加到组

    2. 从列表中选择所需的配置包,然后单击 “ 确定”。

      选择配置包

      您可以在创建组并将用户添加到该组时选择所需的配置包。

    域名:

    如果要选择用户可以查看或管理的特定域名,请执行以下步骤:

    1. 清除 “ 所有域名 ” 复选框,然后单击 “ 添加域名”。

    2. 从列表中选择所需的域名,然后单击 “ 确定”。

  7. 单击创建组

  8. 在 “ 分配用 户” 部分,在 “ 用” 列表中选择用户,然后将用户添加到 “ 已配置 ” 列表中。

    注意

    您还可以通过单击 “ 新建” 来添加用户。

    创建系统组的示例

  9. 单击完成

跨多个网络功能实体管理用户访问

作为管理员,您可以在 Citrix ADM 中网络功能实体的各个级别管理用户访问。而且,您可以使用正则表达式过滤器在实体级别动态分配特定权限给用户或组。

本文档介绍如何在实体级别定义用户授权。

在开始之前,请创建一个组。有关详细信息,请参阅在 Citrix ADM 上配置组

使用方案:

考虑在同一台服务器上托管一个或多个应用程序(虚拟服务器)的情况。超级管理员(George)希望仅授予 Steve(应用程序管理员)对 Appp1 的访问权限,而不授予托管服务器的访问权限。

下表说明了此环境,其中服务器 A 承载应用程序应用程序 1 和应用程序-2。

主机服务器 应用程序(虚拟服务器) 服务 服务组
服务器 A App1 App-service-1 App-service-group-1
服务器 A App2 App-service-2 App-service-group-2

注意:

Citrix ADM 将虚拟服务器、服务、服务组和服务器视为网络功能实体。实体类型虚拟服务器称为应用程序。

要为网络功能实体分配用户权限,George 按如下方式定义用户授权:

  1. 导航到 “帐户” > “用户管理” > “组” ,然后添加组。

  2. 授权设置 选项卡中,选择选择应用程序。

  3. 选择 “选择单个实体类型”。

  4. 选择 “ 所有应用程序 ” 实体类型,然后从可用列表中添加 Appp-1 实体。

  5. 单击创建组

  6. 分配用户中,选择需要权限的用户。在这种情况下,乔治选择史蒂夫的用户配置文件。

  7. 单击完成

使用此授权设置,Steve 只能管理 Appp-1,而不能管理其他网络功能实体。

注意:

确保清除 “ 同时应用于绑定实体 ” 选项。否则,Citrix ADM 授予对绑定到 Appp-1 的所有网络功能实体的访问权限。因此,也授予对托管服务器的访问权限。

超级管理员可以为每个实体类型指定正则表达式 (正则表达式)。正则表达式存储在系统中以更新用户授权范围。当新实体与其实体类型的正则表达式匹配时,Citrix ADM 可以动态授予用户访问特定网络功能实体的权限。

要动态授予用户权限,超级管理员可以在 “ 授权设置 ” 选项卡中添加正则表达式。

在这种情况下,George 添加 App* 为应用程序实体类型的正则表达式,并且符合正则表达式条件的应用程序将显示在列表中。使用此授权设置,Steve 可以访问与 App* 正则表达式匹配的所有应用程序。但是,他的访问仅限于不对托管服务器的应用程序。

用户访问权限如何根据授权范围进行更改

当管理员将用户添加到具有不同访问策略设置的组时,该用户将被映射到多个授权作用域和访问策略。

在这种情况下,ADM 根据特定授权范围授予用户对应用程序的访问权限。

考虑分配给具有两个策略策略 1 和策略 2 的组的用户。

  • 策略 1 — 仅查看应用程序的权限。

  • 策略 2 — 查看和编辑应用程序权限。

具有授权范围的用户访问权限更改

用户可以查看策略 1 中指定的应用程序。此外,此用户还可以查看和编辑策略 2 中指定的应用程序。对组 1 应用程序的编辑访问受到限制,因为它不在组 1 授权范围内。

将 Citrix ADM 从 12.0 升级到更高版本时的 RBAC 映射

将 Citrix ADM 从 12.0 升级到 13.0 时,在创建组时看不到提供 “读写” 或 “读取” 权限的选项。这些权限已替换为“角色和访问策略”,使用这些策略可以更加灵活地为用户提供基于角色的权限。下表显示了 12.0 版中的权限如何映射到 13.0 版:

12.0 仅允许应用程序 13.0
admin read-write admin
admin read-write appAdmin
admin read-only readonly
admin read-only appReadonly