管理对 Citrix Cloud 的管理员访问权限
管理员通过 Citrix Cloud 控制台进行管理。根据用于验证管理员身份的身份提供程序,您可以单独添加管理员或使用组添加管理员。
所有管理员在登录 Citrix Cloud 时都必须使用令牌作为第二重身份验证因素。添加管理员后,他们可以将其设备注册到多重身份验证中,并使用任何遵循 基于时间的一次性密码 标准的应用程序(例如 Citrix SSO)生成令牌。
添加新管理员
Citrix Cloud 支持以下身份提供程序用于验证管理员身份:
- Citrix 身份提供程序:Citrix Cloud 中的默认身份提供程序。仅支持添加单个管理员。
- Azure AD:支持单独添加管理员以及通过 AAD 组添加管理员。有关详细信息,请参阅管理管理员组。
- SAML 2.0:支持单独添加管理员以及通过 AD 组添加管理员。有关详细信息,请参阅将 SAML 作为身份提供程序连接到 Citrix Cloud。
- Google:支持单独添加管理员以及通过 Google 组添加管理员。有关详细信息,请参阅 Google Cloud Identity。
添加新管理员使用以下工作流:
- 选择要用于验证管理员身份的身份提供程序。
- 根据身份提供程序,邀请单个管理员或选择管理员所属的组。
- 指定与管理员在组织中的角色相符的访问权限。有关详细信息,请参阅本文中的修改管理员权限。
邀请单个管理员
添加单个管理员涉及邀请他们加入您的 Citrix Cloud 帐户。添加管理员时,Citrix 会向他们发送一封邀请电子邮件。管理员必须接受邀请才能登录。通过组添加的管理员不会收到邀请,可以在添加后立即登录。
邀请电子邮件从 cloud@citrix.com 发送,并说明如何访问帐户。邀请自发送之日起连续五天内有效。五天后,邀请链接将过期。如果受邀管理员使用过期链接,Citrix Cloud 将显示一条消息,指示该链接无效。
Citrix Cloud 还会显示邀请状态,以便您查看管理员是否已接受邀请并登录 Citrix Cloud。
注意
管理员帐户最多可与 100 个客户帐户关联。如果管理员需要管理 100 个以上的客户帐户,他们必须创建具有不同电子邮件地址的单独管理员帐户来管理其他客户。或者,您可以将管理员从他们不再需要管理的客户帐户中删除。
邀请管理员
-
登录 Citrix Cloud,然后从菜单中选择“Identity and Access Management”(身份和访问管理)。
-
在“Identity and Access Management”(身份和访问管理)页面上,选择“Administrators”(管理员)。控制台显示帐户中的所有当前管理员。
- 选择“Add administrator/group”(添加管理员/组)。
- 在“Administrator details”(管理员详细信息)中,选择要使用的身份提供程序。如果使用 Azure AD,Citrix Cloud 可能会提示您先登录。
- 如果选择了“Citrix Identity”,请输入用户的电子邮件地址,然后选择“Next”(下一步)。
- 如果选择了“Azure Active Directory”,请输入要添加的用户的名称,然后单击“Next”(下一步)。不支持邀请 AAD 访客用户。
- 在“Set access”(设置访问权限)中,为管理员配置相应的权限。“Full access”(完全访问权限)(默认选中)允许控制所有 Citrix Cloud 功能和订阅服务。“Custom access”(自定义访问权限)允许控制您选择的功能和服务。
- 查看管理员详细信息。选择“Back”(返回)进行任何更改。
- 选择“Send invitation”(发送邀请)。Citrix Cloud 会向您指定的用户发送邀请,并将管理员添加到列表中。
重新发送邀请
要重新发送邀请,请从控制台最右侧的省略号菜单中选择“Resend Invite Email”(重新发送邀请电子邮件)。重新发送邀请不会影响邀请过期前的五天时间限制。
重新发送包含新登录链接的邀请
如果原始邀请电子邮件过期,您可以向管理员发送一封新邮件。执行以下步骤:
- 从 Citrix Cloud 中删除管理员:在“Administrators”(管理员)页面上,在列表中找到该管理员,然后从省略号菜单中选择“Delete Administrator”(删除管理员)。
- 等待几分钟,以确保 Citrix Cloud 完成删除。在某些情况下,在删除后立即再次邀请管理员可能会导致发送包含故障登录链接的邀请。
- 按照邀请管理员中的说明再次邀请管理员。
接受管理员邀请
如果您被邀请加入 Citrix Cloud 帐户,Citrix 会向您发送一封电子邮件,其中包含该帐户的组织 ID 和客户名称。
要接受邀请,请单击“Sign In”(登录)。之后,将打开一个浏览器窗口。如果您还没有 Citrix Cloud 帐户,浏览器会显示一个页面,您可以在其中创建密码。如果您已有帐户,Citrix Cloud 会提示您使用现有密码登录。
登录期间,系统可能会提示您注册多重身份验证。有关注册说明,请参阅设置多重身份验证。
添加管理员组
您可以使用 AD 组(用于 SAML 身份验证)、Azure AD 组(用于 Azure AD 身份验证)或 Google 组(用于 Google 身份验证)添加管理员。有关详细信息,请参阅管理管理员组。
批准加入 Citrix Cloud 的请求
您可能会不时收到来自 Citrix Cloud 的批准请求,代表您组织中希望作为管理员加入您的 Citrix Cloud 帐户的某个人。
要批准这些请求,您可以邀请请求访问权限的人员成为管理员,如本文中的邀请单个管理员所述。您必须使用批准请求电子邮件中显示的相同电子邮件地址。
收到邀请后,请求访问权限的人员单击“Sign in”(登录)链接以接受邀请。然后,该人员可以为 Citrix Cloud 创建密码并登录您的帐户。
有关如何生成批准请求的更多信息,请参阅如果帐户已在使用中会发生什么?。
更改您的电子邮件地址
您可以在 Citrix Cloud 中更改自己的电子邮件地址。您的新地址必须与用于多重身份验证 (MFA) 的恢复电子邮件地址不同。更改电子邮件地址时,Citrix Cloud 会向新地址发送一封验证电子邮件。验证后,Citrix Cloud 会将您注销,以便完成更改。几分钟后,您可以使用新的电子邮件地址再次登录。
-
从右上角菜单中,选择“My settings”(我的设置)。
- 在“Email address”(电子邮件地址)中,选择“Change email”(更改电子邮件)。
- 输入新的电子邮件地址,然后选择“Send verification email”(发送验证电子邮件)。
- 输入电子邮件中的 6 位验证码,然后选择“Verify and complete”(验证并完成)。
- 选择“Yes, change my email address”(是,更改我的电子邮件地址)以确认更改。
确认更改后,Citrix Cloud 会将您注销。几分钟后,您可以使用新的电子邮件地址再次登录。
修改管理员权限
将管理员添加到 Citrix Cloud 帐户时,您可以定义适合其在组织中角色的管理员权限。默认情况下,新管理员被分配对所有 Citrix Cloud 帐户功能和可用服务的完全访问权限。如果您想限制对管理控制台的某些区域或特定服务的访问,可以定义自定义访问权限。
只有具有完全访问权限的 Citrix Cloud 管理员才能定义其他管理员的权限。
要更改现有管理员权限:
- 登录 Citrix Cloud:https://citrix.cloud.com。
- 从 Citrix Cloud 菜单中,选择“Identity and Access Management”(身份和访问管理),然后选择“Administrators”(管理员)。
- 选择要管理的身份提供程序:Citrix Identity(默认)、Active Directory(如果使用 SAML 作为身份提供程序)或 Azure AD(如果已连接)。
-
找到要管理的管理员或组,单击省略号按钮,然后选择“Edit access”(编辑访问权限)。
- 要允许或禁止特定权限,请选择“Custom access”(自定义访问权限)。要允许访问所有 Citrix Cloud 功能,请选择“Full access”(完全访问权限)。
- 要快速查找服务权限,请在搜索框中开始键入。Citrix Cloud 会在您键入时显示匹配的权限。例如,如果您开始键入“read only”,则会显示标题中包含“read only”的权限。权限搜索不区分大小写。
-
要为 Citrix Cloud 管理控制台定义自定义访问权限,请展开“General”(常规)。
- 要为特定服务定义自定义访问权限,请展开该服务。
- 对于每个权限,根据需要选中或清除复选标记。
- 选择“Save”(保存)。
控制台权限
本节介绍 Citrix Cloud 管理控制台可用的自定义访问权限。有关特定服务的自定义访问权限的更多信息,请查阅该服务的文档。
- Customer Dashboard (View Only)(客户控制板(仅查看)):仅适用于 Citrix 服务提供商 (CSP)。授予对客户控制板的查看访问权限。
- Domains(域):授予对“Identity and Access Management”(身份和访问管理)>“Domains”(域)选项卡的访问权限。管理员可以通过从该选项卡下载 Citrix Cloud Connector 软件并将其安装到域中的服务器上来添加 Active Directory 域。
- Licensing(许可):授予对“Licensing”(许可)控制台页面的“Cloud Services”(云服务)和“Licensed Deployments”(许可部署)选项卡的访问权限。
- Notifications(通知):授予对“Notifications”(通知)控制台页面的访问权限。管理员可以查看和关闭 Citrix Cloud 通知。
- Resource Locations(资源位置):授予对“Resource Locations”(资源位置)控制台页面的访问权限。管理员可以添加新的资源位置并为 Citrix Workspace 单点登录添加 FAS 服务器。他们还可以管理连接器更新。
- Secure Client(安全客户端):授予对“Identity and Access Management”(身份和访问管理)>“API Access”(API 访问)>“Secure Clients”(安全客户端)选项卡的访问权限。管理员可以创建和管理自己的安全客户端,以用于 Citrix Cloud API。此权限不包括对“Identity and Access Management”(身份和访问管理)>“API Access”(API 访问)>“Product Registrations”(产品注册)选项卡的访问权限。只有完全访问权限的管理员才能访问“Product Registrations”(产品注册)选项卡。
- Support Tickets(支持票证):授予对“Support Tickets”(支持票证)控制台菜单选项和“Open a Ticket”(打开票证)帮助菜单选项的访问权限。选择其中任一选项会将管理员发送到 My Support 门户。有关详细信息,请参阅技术支持。
- System Log(系统日志):授予对“System Log”(系统日志)控制台页面的访问权限。管理员可以查看系统日志事件并将事件导出到 CSV 文件。
- Workspace Configuration(Workspace 配置):授予对“Workspace Configuration”(Workspace 配置)控制台页面的访问权限。管理员可以更改身份验证方法、自定义 Workspace 外观和行为、启用和禁用服务以及配置站点聚合。有关详细信息,请参阅 Citrix Workspace 产品文档。
- Workspace OAuth Clients (preview)(Workspace OAuth 客户端(预览版)):授予对“Identity and Access Management”(身份和访问管理)>“API Access”(API 访问)>“Workspace API”选项卡的访问权限。管理员可以创建和管理自己的 OAuth 客户端,以与 Citrix Workspace 平台 API 交互。OAuth 客户端专门用于 Workspace API,并包括创建自动过期私有客户端的选项。
注意:
建议谨慎分配“Workspace OAuth clients”自定义角色。与此角色关联的访问权限可能会使管理员能够访问 Workspace 平台上的最终用户资源(VDA 或应用程序)。另请务必注意,具有“Full access”(完全访问权限)的管理员将自动拥有与具有“Workspace OAuth clients”权限的管理员等效的访问权限。
管理您的主要 MFA 方法
要使用多重身份验证 (MFA) 登录 Citrix Cloud,您可以使用身份验证器应用程序或您的电子邮件地址。本节介绍如何更改 MFA 的设备注册或切换到不同的 MFA 方法。
更改 MFA 设备
如果您丢失了已注册的设备、想将其他设备与 Citrix Cloud 配合使用,或者重置了身份验证器应用程序,您可以重新注册 Citrix Cloud MFA。
注意
- 更改设备会删除当前设备注册并生成新的身份验证器应用程序密钥。
- 如果您使用与原始注册相同的身份验证器应用程序重新注册,请在重新注册之前从身份验证器应用程序中删除 Citrix Cloud 条目。完成重新注册后,此条目中显示的代码将不再有效。如果您在重新注册之前或之后不删除此条目,您的身份验证器应用程序将显示两个具有不同代码的 Citrix Cloud 条目,这可能会在登录 Citrix Cloud 时造成混淆。
- 如果您正在注册新设备且没有身份验证器应用程序,请从设备的应用程序商店下载并安装一个。为了获得更流畅的体验,Citrix 建议您在重新注册设备之前安装身份验证器应用程序。
-
登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
如果您没有身份验证器应用程序,请单击“Don’t have your authenticator app?”(没有您的身份验证器应用程序?)并选择一种恢复方法来帮助您登录。根据所选的恢复方法,输入您收到的恢复代码或未使用的备份代码,然后选择“Verify”(验证)。
- 如果您是多个客户组织的管理员,请选择任何客户组织。
-
从右上角菜单中,选择“My settings”(我的设置)。
-
在“Authenticator app”(身份验证器应用程序)中,选择“Add new device”(添加新设备)。
- 当系统提示您确认更改设备时,选择“Yes, change my device”(是,更改我的设备)。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。如果您没有身份验证器应用程序,请选择“Use a recovery method”(使用恢复方法)以使用您选择的恢复方法验证您的身份。根据您选择的恢复方法,输入您收到的验证码或恢复代码,或未使用的备份代码。选择“Verify and continue”(验证并继续)。
- 如果您使用的是最初注册的设备和原始身份验证器应用程序,请从身份验证器应用程序中删除现有的 Citrix Cloud 条目。
- 如果您正在注册新设备且没有身份验证器应用程序,请从设备的应用程序商店下载一个。
- 从您的身份验证器应用程序中,使用您的设备扫描 QR 码或手动输入密钥。
- 输入身份验证器应用程序中的 6 位验证码,然后选择“Verify code”(验证代码)。
更改设备后,Citrix 强烈建议您检查“My Profile”(我的个人资料)页面中的验证方法是否最新。
更改 MFA 方法
如果您使用身份验证器应用程序注册了 MFA,并且想切换到使用电子邮件地址,请注意,更改身份验证方法会删除您的设备注册。如果您想恢复使用身份验证器应用程序进行 MFA,则需要重新注册您的设备。
- 从 Citrix Cloud 控制台的右上角菜单中,选择“My settings”(我的设置)。
- 在“Multifactor Authentication (MFA)”(多重身份验证 (MFA))下,选择要切换到的身份验证方法。
- 如果切换到电子邮件 MFA:
- 选择“Yes, change to email”(是,更改为电子邮件)以确认您要更改 MFA 方法。
- 输入身份验证器应用程序中的代码或使用恢复方法来确认您的身份。
- 选择“Verify and continue”(验证并继续)以完成更改。
- 如果切换到身份验证器应用程序:
- 当系统提示时,输入 Citrix Cloud 发送到您电子邮件地址的验证码,然后选择“Verify and continue”(验证并继续)。或者,使用恢复方法来确认您的身份。
- 使用您的身份验证器应用程序,用设备的摄像头扫描 QR 码或输入字母数字密钥。
- 在“Verify your authenticator app”(验证您的身份验证器应用程序)下,输入身份验证器应用程序中的 6 位代码。
- 单击“Verify code”(验证代码)以完成设备注册。
管理您的 MFA 恢复方法
重要提示:
为确保您的 Citrix Cloud 帐户保持安全,请使您的验证方法与准确信息保持同步。如果您无法访问您的身份验证器应用程序或 MFA 电子邮件地址,这些验证方法是您恢复帐户访问权限的唯一方式。
添加或更改您的恢复电子邮件
- 从右上角菜单中,选择“My settings”(我的设置)。
- 在“Recovery methods”(恢复方法)下,在“Recovery email”(恢复电子邮件)中,如果您尚未添加恢复电子邮件地址,请选择“Add recovery email”(添加恢复电子邮件)。如果您已添加恢复电子邮件地址,请选择“Change recovery email”(更改恢复电子邮件)。
- 当系统提示时,输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码。
- 输入您要使用的新电子邮件地址,然后选择“Send verification email”(发送验证电子邮件)。此电子邮件地址必须与您用于 Citrix Cloud 帐户的电子邮件地址不同。Citrix Cloud 会向您输入的电子邮件地址发送一封验证电子邮件。
- 输入验证电子邮件中的代码,然后单击“Verify code and complete”(验证代码并完成)。
生成新的备份代码
您可以随时生成一组新的备份代码。当您使用备份代码时,Citrix Cloud 会在您的“My Profile”(我的个人资料)页面中记录已使用的数量。
生成新的备份代码后,请务必将其存储在安全的地方。
- 从右上角菜单中,选择“My settings”(我的设置)。
- 在“Recovery methods”(恢复方法)下,在“Backup codes”(备份代码)中,如果您以前没有生成过备份代码,请选择“Generate new backup codes”(生成新的备份代码)。如果您以前生成过备份代码,请选择“Replace backup codes”(替换备份代码)。
- 当系统提示您替换备份代码时,选择“Yes, replace my codes”(是,替换我的代码)。
- 通过输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码来验证您的身份。
- 选择“Verify and continue”(验证并继续)。Citrix Cloud 会生成并显示一组新的备份代码。
- 选择“Download codes”(下载代码)以下载您的新代码作为文本文件。然后,选择“I’ve stored my backup codes”(我已存储我的备份代码)。
- 选择“I’ve stored my backup codes”(我已存储我的备份代码)以完成备份代码的替换。
更改您的恢复电话号码
- 从右上角菜单中,选择“My settings”(我的设置)。
- 在“Recovery methods”(恢复方法)下,在“Recovery phone”(恢复电话)中,选择“Change recovery phone”(更改恢复电话)。
- 输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码。选择“Verify and continue”(验证并继续)。
- 输入您要使用的新电话号码。然后,重新输入电话号码以确认。
- 选择“Save recovery phone number”(保存恢复电话号码)。
注意:
只有在管理员接受了管理员邀请并单击 CEM 磁贴上的“Manage”(管理)后,您才能修改 Citrix Endpoint Management (CEM) 管理员的权限。与所有 Citrix Cloud 管理员一样,CEM 管理员默认拥有完全访问权限。