身份识别和访问管理
身份和访问管理定义了 Citrix Cloud 管理员和工作区订阅者使用的身份提供者和帐户。
身份提供商
Citrix Cloud 支持的身份提供者可用于对 Citrix Cloud 管理员、工作区订阅者或两者进行身份验证。
| 身份提供者 | 管理员身份验证 | 用户认证 |
|---|---|---|
| Citrix 身份提供商 | 是 | 否 |
| 本地 Active Directory | 否 | 是 |
| Active Directory 加令牌 | 否 | 是 |
| Azure Active Directory | 是 | 是 |
| Citrix Gateway | 否 | 是 |
| Google Cloud Identity | 是 | 是 |
| Okta | 否 | 是 |
| SAML 2.0 | 是(仅限 AD 组) | 是 |
默认情况下,Citrix Cloud 使用 Citrix 身份提供商来管理您的 Citrix Cloud 帐户。 Citrix 身份提供商仅对 Citrix Cloud 管理员进行身份验证。
Citrix 身份提供商
Citrix Cloud 包含内置的 Citrix 身份提供程序,用于在管理员登录时对其进行身份验证。 在 Citrix Cloud 控制台中,Citrix 身份提供商标记为 Citrix Identity。 如果您使用其他身份提供程序进行管理员身份验证,Citrix 建议在 Citrix 身份提供程序下至少拥有一名具有完全访问权限的管理员。 此条件确保:
- 如果您的主要身份提供商不可用,您将不会被锁定在您的 Citrix Cloud 帐户之外。
- 您可以访问 Citrix Cloud 帐户来执行在其他身份提供商(例如 Azure AD)下登录时无法完成的某些操作。 例如,如果 Azure AD 是您选择的身份提供商,并且您需要重新启动 Azure AD 与 Citrix Cloud 之间的连接,则可以在使用 Citrix 身份提供商登录后执行此任务。
删除 Citrix 身份提供商
默认情况下,所有新的 Citrix Cloud 帐户都连接 Citrix 身份提供商。 如果您选择不使用 Citrix 身份提供程序,则可以根据需要删除连接。 例如,您可以选择删除此连接以符合组织的安全和管理员管理政策。
删除此连接将禁用 Citrix 身份提供程序,因此它不能用于验证 Citrix Cloud 管理员。
在删除 Citrix 身份提供商连接之前,您必须在 Citrix Cloud 中配置另一个身份提供商。 Citrix Cloud 不允许您在没有其他配置的身份提供商的情况下删除此连接。
重要的
如果您无法访问所选身份提供商,则必须联系 Citrix 支持来恢复您的 Citrix Cloud 帐户。 该过程可能需要几天的时间才能完成。
要删除 Citrix 身份提供商连接,请执行以下操作:
- 在 Citrix Cloud 菜单中,选择 Identity and Access Management(身份识别和访问管理)。
- 在 身份验证 选项卡上,找到 Citrix 身份提供商。
-
单击省略号菜单并选择 删除身份提供者。
- 当提示确认删除时,选择 我了解删除此身份提供程序也会删除 Citrix Cloud中此身份提供程序的配置数据。
- 单击 删除身份提供者。
Citrix 联合身份验证服务
Citrix Cloud 还支持使用 Citrix 联合身份验证服务为工作区订阅者提供单点登录访问。 有关更多信息,请参阅以下文章:
- 将 FAS 连接到 Citrix Cloud: 使用 Citrix 联合身份验证服务为工作区启用单点登录
- Citrix 技术区:
管理员
管理员使用他们的身份访问 Citrix Cloud、执行管理活动并安装 Citrix Cloud Connector。
Citrix 身份机制使用电子邮件地址和密码为管理员提供身份验证。 管理员还可以使用他们的 My Citrix 凭据登录 Citrix Cloud。
多因素身份验证
Citrix Cloud 为管理员和工作区订阅者提供多因素身份验证方法。
对于管理员,登录 Citrix Cloud 时需要进行多重身份验证。 管理员可以在登录 Citrix Cloud 帐户时或接受其他管理员的邀请后注册他们的设备。 有关详细信息,请参阅以下文章:
对于工作区订阅者,当管理员配置 Active Directory 加令牌身份验证方法时,就会启用多因素身份验证。 Active Directory plus 令牌是 Citrix Workspace 的默认身份提供者。 配置完成后,订阅者可以注册他们的设备以进行多因素身份验证。 有关详细信息,请参阅以下文章:
或者,您可以对 Citrix Cloud 管理员和工作区订阅者使用 Azure AD 多重身份验证。 有关部署方法的更多信息,请参阅 Microsoft Azure MFA 部署方法。
添加新管理员
在帐户入职过程中,将创建初始管理员。 作为初始管理员,您可以将其他管理员添加到您的 Citrix Cloud 帐户。 这些新管理员可以使用他们现有的 Citrix 帐户凭据,或者根据需要设置新帐户。 您还可以微调所添加的管理员的访问权限。 设置这些权限可让您将访问级别与组织中的管理员角色保持一致。
有关添加管理员和设置访问权限的更多信息,请参阅 管理管理员访问。
重置密码
如果您忘记或想要重置密码,请点击 忘记用户名或密码? 在 Citrix Cloud 登录页面上。 输入您的电子邮件地址或用户名来查找您的帐户后,Citrix 会向您发送一封电子邮件,其中包含重置密码的链接。
Citrix 要求您在特定条件下重置密码,以帮助您确保帐户密码的安全。 有关这些条件的更多信息,请参阅 更改密码。
注意:
将 customerservice@citrix.com 添加到您的允许电子邮件地址列表中,以确保 Citrix Cloud 电子邮件不会进入您的垃圾邮件或垃圾文件夹。
删除管理员
您可以在 管理员 选项卡上从 Citrix Cloud 帐户中删除管理员。 当您删除管理员时,他们将无法再登录 Citrix Cloud。
如果在删除帐户时管理员已登录,则管理员最多可保持活动状态一分钟。 随后,访问 Citrix Cloud 被拒绝。
注意:
- 如果帐户中只有一名管理员,则您无法删除该管理员。 Citrix Cloud 要求每个客户帐户至少有一名管理员。
- Citrix Cloud Connector 未链接到管理员帐户。 因此,即使您删除安装云连接器的管理员,云连接器仍会继续运行。
订阅者
订阅者的身份定义了他们在 Citrix Cloud 中可以访问的服务。 此身份来自资源位置内的域提供的 Active Directory 域帐户。 将订户分配到图书馆产品即授权订户访问该产品。
管理员可以在 域 选项卡上控制使用哪些域来提供这些身份。 如果您计划使用来自多个林的域,请在每个林中安装至少两个 Citrix Cloud Connector。 Citrix 建议至少使用两个 Citrix Cloud Connector 来维护高可用性环境。 有关在 Active Directory 中部署 Cloud Connector 的详细信息,请参阅 Active Directory 中 Cloud Connector 的部署场景。
注意:
- 禁用域只会阻止选择新的身份。 它不会阻止用户使用已经分配的身份。
- 每个 Citrix Cloud Connector 都可以枚举并使用其安装所在的单个林中的所有域。
管理订户使用情况
您可以使用个人帐户或 Active Directory 组将订阅者添加到产品中。 将组分配给产品后,使用 Active Directory 组不需要通过 Citrix Cloud 进行管理。
当管理员从产品中删除单个订户或一组订户时,这些订户将无法再访问该服务。 有关从特定服务中删除订阅者的详细信息,请参阅 Citrix 产品文档 网站上该服务的文档。
主要资源位置
主要资源位置是您指定为域与 Citrix Cloud 之间通信的“最优先”的资源位置。 对于您的主要资源位置,请选择具有最佳性能和与您的域的连接性的 Citrix Cloud Connector 的资源位置。 将此资源位置设为您的主要资源位置,使您的用户能够快速登录 Citrix Cloud。
有关更多信息,请参阅 选择主要资源位置。
更多信息
-
通过 Citrix 培训网站上的 Citrix 身份和身份验证简介 教育课程了解有关受支持的身份提供商的更多信息。
-
Citrix 技术区: