身份和访问管理
身份和访问管理定义了用于 Citrix Cloud 管理员和工作区订阅者的身份提供程序和帐户。
身份提供程序
Citrix Cloud 支持的身份提供程序可用于对 Citrix Cloud 管理员、工作区订阅者或两者进行身份验证。
| 身份提供程序 | 管理员身份验证 | 订阅者身份验证 |
|---|---|---|
| Citrix 身份提供程序 | 是 | 否 |
| 本地 Active Directory | 否 | 是 |
| Active Directory 加令牌 | 否 | 是 |
| Azure Active Directory | 是 | 是 |
| Citrix Gateway | 否 | 是 |
| Google Cloud Identity | 是 | 是 |
| Okta | 否 | 是 |
| SAML 2.0 | 是 | 是 |
默认情况下,Citrix Cloud 使用 Citrix 身份提供程序来管理您的 Citrix Cloud 帐户。Citrix 身份提供程序仅对 Citrix Cloud 管理员进行身份验证。
Citrix 身份提供程序
Citrix Cloud 包含内置的 Citrix 身份提供程序,用于在管理员登录时对其进行身份验证。在 Citrix Cloud 控制台中,Citrix 身份提供程序标记为 Citrix Identity。 如果您使用其他身份提供程序进行管理员身份验证,Citrix 建议在 Citrix 身份提供程序下至少拥有一名完全访问权限管理员。此条件可确保:
- 如果您的主要身份提供程序不可用,您将不会被锁定在 Citrix Cloud 帐户之外。
- 您可以访问您的 Citrix Cloud 帐户以执行某些在以其他身份提供程序(例如 Azure AD)登录时无法完成的操作。例如,如果 Azure AD 是您选择的身份提供程序,并且您需要重新建立 Azure AD 与 Citrix Cloud 之间的连接,则可以在使用 Citrix 身份提供程序登录后执行此任务。
移除 Citrix 身份提供程序
Citrix 身份提供程序默认连接到所有新的 Citrix Cloud 帐户。如果您选择不使用 Citrix 身份提供程序,则可以在需要时移除连接。例如,您可能选择移除此连接以符合您组织的安全和管理员管理策略。
移除此连接会禁用 Citrix 身份提供程序,使其无法用于对 Citrix Cloud 管理员进行身份验证。
在移除 Citrix 身份提供程序连接之前,您必须在 Citrix Cloud 中配置另一个身份提供程序。Citrix Cloud 不允许您在没有其他已配置身份提供程序的情况下移除此连接。
重要提示
如果您无法访问所选的身份提供程序,则必须联系 Citrix 支持以恢复您的 Citrix Cloud 帐户。此过程可能需要几天才能完成。
要移除 Citrix 身份提供程序连接:
- 在 Citrix Cloud 菜单中,选择身份和访问管理。
- 在身份验证选项卡上,找到 Citrix 身份提供程序。
-
单击省略号菜单,然后选择删除身份提供程序。
- 当系统提示您确认移除时,选择我理解删除此身份提供程序也会删除此身份提供程序在 Citrix Cloud 中的配置数据。
- 单击删除身份提供程序。
Citrix Federated Authentication Service
Citrix Cloud 还支持使用 Citrix Federated Authentication Service 为工作区订阅者提供单点登录访问。有关详细信息,请参阅以下文章:
- 将 FAS 连接到 Citrix Cloud:为工作区启用 Citrix Federated Authentication Service 单点登录
- Citrix Tech Zone:
管理员
管理员使用其身份访问 Citrix Cloud、执行管理活动以及安装 Citrix Cloud Connector。
Citrix 身份机制通过电子邮件地址和密码为管理员提供身份验证。管理员还可以使用其 My Citrix 凭据登录 Citrix Cloud。
多重身份验证
Citrix Cloud 为管理员和工作区订阅者提供多重身份验证方法。
对于管理员,登录 Citrix Cloud 时需要多重身份验证。管理员可以在注册其 Citrix Cloud 帐户时或在接受其他管理员的邀请后注册其设备。有关详细信息,请参阅以下文章:
对于工作区订阅者,当管理员配置 Active Directory 加令牌身份验证方法时,将启用多重身份验证。Active Directory 加令牌是 Citrix Workspace 的默认身份提供程序。配置后,订阅者将注册其设备以进行多重身份验证。有关详细信息,请参阅以下文章:
或者,您可以将 Azure AD 多重身份验证用于 Citrix Cloud 管理员和工作区订阅者。有关部署方法的详细信息,请参阅 Microsoft Azure MFA 部署方法。
添加新管理员
在帐户注册过程中,会创建一个初始管理员。作为初始管理员,您可以将其他管理员添加到您的 Citrix Cloud 帐户。这些新管理员可以使用其现有的 Citrix 帐户凭据,或者在需要时设置新帐户。您还可以微调所添加管理员的访问权限。设置这些权限可使访问级别与管理员在组织中的角色保持一致。
有关添加管理员和设置访问权限的详细信息,请参阅管理管理员访问权限。
重置密码
如果您忘记或想要重置密码,请在 Citrix Cloud 登录页面上单击忘记用户名或密码?。在您输入电子邮件地址或用户名以查找帐户后,Citrix 会向您发送一封包含重置密码链接的电子邮件。
Citrix 要求您在某些条件下重置密码,以帮助您确保帐户密码安全。有关这些条件的详细信息,请参阅更改密码。
注意:
将 customerservice@citrix.com 添加到您的允许电子邮件地址列表中,以确保 Citrix Cloud 电子邮件不会进入您的垃圾邮件或废纸篓文件夹。
移除管理员
您可以在管理员选项卡上从您的 Citrix Cloud 帐户中移除管理员。当您移除管理员时,他们将无法再登录 Citrix Cloud。
如果管理员在您移除帐户时已登录,则该管理员最多保持活动状态一分钟。之后,将拒绝访问 Citrix Cloud。
注意:
- 如果帐户中只有一个管理员,则无法移除该管理员。Citrix Cloud 要求每个客户帐户至少有一个管理员。
- Citrix Cloud Connector 不与管理员帐户关联。因此,即使您移除安装它们的管理员,Cloud Connector 也会继续运行。
订阅者
订阅者的身份定义了他们有权访问 Citrix Cloud 中的哪些服务。此身份来自资源位置中域内的 Active Directory 域帐户。将订阅者分配到库产品会授权订阅者访问该产品。
管理员可以在域选项卡上控制使用哪些域来提供这些身份。如果您计划使用来自多个林的域,请在每个林中安装至少两个 Citrix Cloud Connector。Citrix 建议至少使用两个 Citrix Cloud Connector 以维护高可用性环境。有关在 Active Directory 中部署 Cloud Connector 的详细信息,请参阅 Active Directory 中 Cloud Connector 的部署方案。
注意:
- 禁用域仅阻止选择新身份。它不会阻止订阅者使用已分配的身份。
- 每个 Citrix Cloud Connector 都可以枚举和使用其安装所在单个林中的所有域。
管理订阅者使用情况
您可以使用个人帐户或 Active Directory 组将订阅者添加到产品中。使用 Active Directory 组无需在将组分配给产品后通过 Citrix Cloud 进行管理。
当管理员从产品中移除单个订阅者或订阅者组时,这些订阅者将无法再访问该服务。有关从特定服务中移除订阅者的详细信息,请参阅 Citrix 产品文档网站上该服务的文档。
主要资源位置
主要资源位置是您指定为“最优先”的资源位置,用于您的域与 Citrix Cloud 之间的通信。对于您的主要资源位置,请选择具有与您的域具有最佳性能和连接的 Citrix Cloud Connector 的资源位置。将此资源位置设为您的主要资源位置可让您的用户快速登录 Citrix Cloud。
有关详细信息,请参阅选择主要资源位置。
更多信息
-
通过 Citrix 培训网站上的 Citrix 身份和身份验证简介培训课程,了解有关受支持身份提供程序的更多信息。
-
Citrix Tech Zone: