管理对 Citrix Cloud 的管理员访问权限
管理员通过 Citrix Cloud 控制台进行管理。根据您用于验证管理员身份的身份提供程序,您可以单独添加管理员或使用组添加管理员。
所有管理员在登录 Citrix Cloud 时都必须使用令牌作为第二重身份验证因素。添加管理员后,他们可以将其设备注册到多重身份验证中,并使用任何遵循基于时间的一次性密码标准的应用程序(例如 Citrix SSO)生成令牌。
添加新管理员
Citrix Cloud 支持以下身份提供程序用于验证管理员身份:
- Citrix 身份提供程序:Citrix Cloud 中的默认身份提供程序。仅支持添加单个管理员。
- Azure AD:支持单独添加管理员以及通过 AAD 组添加管理员。有关详细信息,请参阅管理管理员组。
- SAML 2.0:支持单独添加管理员以及通过 AD 组添加管理员。有关详细信息,请参阅将 SAML 作为身份提供程序连接到 Citrix Cloud
- Google:支持单独添加管理员以及通过 Google 组添加管理员。有关详细信息,请参阅 Google Cloud Identity
添加新管理员使用以下工作流程:
- 选择要用于验证管理员身份的身份提供程序。
- 根据身份提供程序,邀请单个管理员或选择管理员所属的组。
- 指定与管理员在组织中的角色相符的访问权限。有关详细信息,请参阅本文中的修改管理员权限。
邀请单个管理员
添加单个管理员涉及邀请他们加入您的 Citrix Cloud 帐户。当您添加管理员时,Citrix 会向他们发送一封邀请电子邮件。管理员必须接受邀请才能登录。通过组添加的管理员不会收到邀请,可以在添加后立即登录。
邀请电子邮件从 cloud@citrix.com 发送,并说明如何访问帐户。邀请自发送之日起连续五天内有效。五天后,邀请链接将过期。如果受邀管理员使用过期链接,Citrix Cloud 将显示一条消息,指示该链接无效。
Citrix Cloud 还会显示邀请状态,以便您查看管理员是否已接受邀请并登录到 Citrix Cloud。
注意
管理员帐户最多可与 100 个客户帐户关联。如果管理员需要管理 100 多个客户帐户,他们必须创建具有不同电子邮件地址的单独管理员帐户来管理其他客户。或者,您可以从管理员不再需要管理的客户帐户中删除该管理员。
邀请管理员
-
登录 Citrix Cloud,然后从菜单中选择身份和访问管理。
-
在身份和访问管理页面上,选择管理员。控制台显示帐户中的所有当前管理员。
- 选择添加管理员/组。
- 在管理员详细信息中,选择要使用的身份提供程序。如果使用 Azure AD,Citrix Cloud 可能会首先提示您登录。
- 如果选择了 Citrix Identity,请输入用户的电子邮件地址,然后选择下一步。
- 如果选择了 Azure Active Directory,请键入要添加的用户的名称,然后单击下一步。不支持邀请 AAD 访客用户。
- 在设置访问权限中,为管理员配置适当的权限。完全访问权限(默认选中)允许控制所有 Citrix Cloud 功能和订阅服务。自定义访问权限允许控制您选择的功能和服务。
- 查看管理员详细信息。选择返回以进行任何更改。
- 选择发送邀请。Citrix Cloud 会向您指定的用户发送邀请,并将管理员添加到列表中。
重新发送邀请
要重新发送邀请,请从控制台最右侧的省略号菜单中选择重新发送邀请电子邮件。重新发送邀请不会影响邀请过期前的五天时间限制。
重新发送带有新登录链接的邀请
如果原始邀请电子邮件过期,您可以向管理员发送一封新邮件。执行以下步骤:
- 从 Citrix Cloud 中删除管理员:在管理员页面上,在列表中找到该管理员,然后从省略号菜单中选择删除管理员。
- 等待几分钟,确保 Citrix Cloud 完成删除。在某些情况下,在删除后立即再次邀请管理员可能会导致发送带有故障登录链接的邀请。
- 按照邀请管理员中的说明再次邀请管理员。
接受管理员邀请
如果您被邀请加入 Citrix Cloud 帐户,Citrix 会向您发送一封电子邮件,其中包含该帐户的组织 ID 和客户名称。
要接受邀请,请单击登录。之后,将打开一个浏览器窗口。如果您还没有 Citrix Cloud 帐户,浏览器会显示一个页面,您可以在其中创建密码。如果您已有帐户,Citrix Cloud 会提示您使用现有密码登录。
登录期间,系统可能会提示您注册多重身份验证。有关注册说明,请参阅设置多重身份验证。
添加管理员组
您可以使用 AD 组(用于 SAML 身份验证)、Azure AD 组(用于 Azure AD 身份验证)或 Google 组(用于 Google 身份验证)添加管理员。有关详细信息,请参阅管理管理员组。
批准加入 Citrix Cloud 的请求
您可能会不时收到来自 Citrix Cloud 的批准请求,代表您组织中希望以管理员身份加入您的 Citrix Cloud 帐户的某人。
要批准这些请求,您可以邀请请求访问的人员成为管理员,如本文中的邀请单个管理员所述。您必须使用批准请求电子邮件中显示的相同电子邮件地址。
收到邀请后,请求访问的人员单击登录链接以接受邀请。然后,该人员可以为 Citrix Cloud 创建密码并登录到您的帐户。
有关如何生成批准请求的详细信息,请参阅如果帐户已在使用中会发生什么?。
更改您的电子邮件地址
您可以在 Citrix Cloud 中更改自己的电子邮件地址。您的新地址必须与用于多重身份验证 (MFA) 的恢复电子邮件地址不同。更改电子邮件地址时,Citrix Cloud 会向新地址发送一封验证电子邮件。验证后,Citrix Cloud 会将您注销,以便完成更改。几分钟后,您可以使用新电子邮件地址再次登录。
-
从右上角菜单中,选择我的设置。
- 在电子邮件地址中,选择更改电子邮件。
- 输入新的电子邮件地址,然后选择发送验证电子邮件。
- 输入电子邮件中的 6 位验证码,然后选择验证并完成。
- 选择是,更改我的电子邮件地址以确认更改。
确认更改后,Citrix Cloud 会将您注销。几分钟后,您可以使用新电子邮件地址再次登录。
修改管理员权限
当您将管理员添加到您的 Citrix Cloud 帐户时,您将定义适合其在组织中角色的管理员权限。默认情况下,新管理员被分配对所有 Citrix Cloud 帐户功能和可用服务的_完全访问权限_。如果您想限制对管理控制台的某些区域或特定服务的访问,您可以定义_自定义访问权限_。
只有具有完全访问权限的 Citrix Cloud 管理员才能为其他管理员定义权限。
要更改现有管理员权限:
- 登录 Citrix Cloud:https://citrix.cloud.com。
- 从 Citrix Cloud 菜单中,选择身份和访问管理,然后选择管理员。
- 选择要管理的身份提供程序:Citrix Identity(默认)、Active Directory(如果使用 SAML 作为身份提供程序)或 Azure AD(如果已连接)。
-
找到要管理的管理员或组,单击省略号按钮,然后选择编辑访问权限。
- 要允许或禁止特定权限,请选择自定义访问权限。要允许访问所有 Citrix Cloud 功能,请选择完全访问权限。
- 要快速查找服务权限,请在搜索框中开始键入。Citrix Cloud 会在您键入时显示匹配的权限。例如,如果您开始键入“read only”,则会显示标题中包含“read only”的权限。权限搜索不区分大小写。
-
要为 Citrix Cloud 管理控制台定义自定义访问权限,请展开常规。
- 要为特定服务定义自定义访问权限,请展开该服务。
- 对于每个权限,根据需要选中或清除复选标记。
- 选择保存。
控制台权限
本节介绍 Citrix Cloud 管理控制台可用的自定义访问权限。有关特定服务的自定义访问权限的详细信息,请查阅该服务的文档。
- 客户仪表板(仅限查看):仅适用于 Citrix 服务提供商 (CSP)。授予对客户仪表板的查看访问权限。
- 域:授予对身份和访问管理 > 域选项卡的访问权限。管理员可以通过从此选项卡下载 Citrix Cloud Connector 软件并将其安装到域中的服务器上来添加 Active Directory 域。
- 许可:授予对许可控制台页面的云服务和许可部署选项卡的访问权限。
- 通知:授予对通知控制台页面的访问权限。管理员可以查看和关闭 Citrix Cloud 通知。
- 资源位置:授予对资源位置控制台页面的访问权限。管理员可以添加新的资源位置并为 Citrix Workspace 单点登录添加 FAS 服务器。他们还可以管理连接器更新。
- 安全客户端:授予对身份和访问管理 > API 访问 > 安全客户端选项卡的访问权限。管理员可以创建和管理自己的安全客户端,以便与 Citrix Cloud API 配合使用。此权限不包括对身份和访问管理 > API 访问 > 产品注册选项卡的访问权限。只有完全访问权限的管理员才能访问产品注册选项卡。
- 支持票证:授予对支持票证控制台菜单选项和打开票证帮助菜单选项的访问权限。选择其中任一选项会将管理员发送到 My Support 门户。有关详细信息,请参阅技术支持。
- 系统日志:授予对系统日志控制台页面的访问权限。管理员可以查看系统日志事件并将事件导出到 CSV 文件。
- Workspace 配置:授予对Workspace 配置控制台页面的访问权限。管理员可以更改身份验证方法、自定义 Workspace 外观和行为、启用和禁用服务以及配置站点聚合。有关详细信息,请参阅 Citrix Workspace 产品文档。
- Workspace OAuth 客户端(预览版):授予对身份和访问管理 > API 访问 > Workspace API 选项卡的访问权限。管理员可以创建和管理自己的 OAuth 客户端,以便与 Citrix Workspace 平台 API 交互。OAuth 客户端专门用于 Workspace API,并包括创建自动过期私有客户端的选项。
注意:
建议谨慎分配 Workspace OAuth 客户端自定义角色。与此角色关联的访问权限可能使管理员能够访问 Workspace 平台上的最终用户资源(VDA 或应用程序)。另请务必注意,具有完全访问权限的管理员将自动拥有与具有 Workspace OAuth 客户端权限的管理员等效的访问权限。
管理您的主要 MFA 方法
要使用多重身份验证 (MFA) 登录 Citrix Cloud,您可以使用身份验证器应用程序或电子邮件地址。本节介绍如何更改 MFA 的设备注册或切换到不同的 MFA 方法。
更改 MFA 设备
如果您丢失了已注册的设备、想将其他设备与 Citrix Cloud 配合使用或重置了身份验证器应用程序,您可以重新注册 Citrix Cloud MFA。
注意
- 更改设备会删除当前设备注册并生成新的身份验证器应用程序密钥。
- 如果您使用与原始注册相同的身份验证器应用程序重新注册,请在重新注册之前从身份验证器应用程序中删除 Citrix Cloud 条目。完成重新注册后,此条目中显示的代码将不再有效。如果您在重新注册之前或之后未删除此条目,您的身份验证器应用程序将显示两个具有不同代码的 Citrix Cloud 条目,这可能会在登录 Citrix Cloud 时造成混淆。
- 如果您正在注册新设备且没有身份验证器应用程序,请从设备的应用程序商店下载并安装一个。为了获得更流畅的体验,Citrix 建议您在重新注册设备之前安装身份验证器应用程序。
-
登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
如果您没有身份验证器应用程序,请单击没有您的身份验证器应用程序?并选择一种恢复方法来帮助您登录。根据所选的恢复方法,输入您收到的恢复代码或未使用的备份代码,然后选择验证。
- 如果您是多个客户组织的管理员,请选择任何客户组织。
-
从右上角菜单中,选择我的设置。
-
在身份验证器应用程序中,选择添加新设备。
- 当系统提示您确认更改设备时,选择是,更改我的设备。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。如果您没有身份验证器应用程序,请选择使用恢复方法以您选择的恢复方法验证您的身份。根据您选择的恢复方法,输入您收到的验证码或恢复代码,或未使用的备份代码。选择验证并继续。
- 如果您使用的是最初注册的设备和原始身份验证器应用程序,请从身份验证器应用程序中删除现有的 Citrix Cloud 条目。
- 如果您正在注册新设备且没有身份验证器应用程序,请从设备的应用程序商店下载一个。
- 从您的身份验证器应用程序中,使用您的设备扫描 QR 码或手动输入密钥。
- 输入身份验证器应用程序中的 6 位验证码,然后选择验证代码。
更改设备后,Citrix 强烈建议您检查“我的配置文件”页面中的验证方法是否为最新。
更改 MFA 方法
如果您使用身份验证器应用程序注册了 MFA,并且想要切换到使用电子邮件地址,请注意,更改身份验证方法会删除您的设备注册。如果您想恢复使用身份验证器应用程序进行 MFA,则需要重新注册您的设备。
- 从 Citrix Cloud 控制台的右上角菜单中,选择我的设置。
- 在多重身份验证 (MFA) 下,选择要切换到的身份验证方法。
- 如果切换到电子邮件 MFA:
- 选择是,更改为电子邮件以确认您要更改 MFA 方法。
- 输入身份验证器应用程序中的代码或使用恢复方法确认您的身份。
- 选择验证并继续以完成更改。
- 如果切换到身份验证器应用程序:
- 出现提示时,输入 Citrix Cloud 发送到您电子邮件地址的验证码,然后选择验证并继续。或者,使用恢复方法确认您的身份。
- 使用您的身份验证器应用程序,用设备的摄像头扫描 QR 码或手动输入字母数字密钥。
- 在验证您的身份验证器应用程序下,输入身份验证器应用程序中的 6 位代码。
- 单击验证代码以完成设备注册。
管理您的 MFA 恢复方法
重要提示:
为确保您的 Citrix Cloud 帐户保持安全,请使您的验证方法保持最新且信息准确。如果您无法访问身份验证器应用程序或 MFA 电子邮件地址,这些验证方法是您恢复帐户访问权限的唯一方式。
添加或更改您的恢复电子邮件
- 从右上角菜单中,选择我的设置。
- 在恢复方法下的恢复电子邮件中,如果您尚未添加恢复电子邮件地址,请选择添加恢复电子邮件。如果您已添加恢复电子邮件地址,请选择更改恢复电子邮件。
- 出现提示时,输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码。
- 输入您要使用的新电子邮件地址,然后选择发送验证电子邮件。此电子邮件地址必须与您用于 Citrix Cloud 帐户的电子邮件地址不同。Citrix Cloud 会向您输入的电子邮件地址发送一封验证电子邮件。
- 输入验证电子邮件中的代码,然后单击验证代码并完成。
生成新的备份代码
您可以随时生成一组新的备份代码。当您使用备份代码时,Citrix Cloud 会在您的“我的配置文件”页面中记录已使用的数量。
生成新的备份代码后,请务必将其存储在安全的地方。
- 从右上角菜单中,选择我的设置。
- 在恢复方法下的备份代码中,如果您之前没有生成过备份代码,请选择生成新的备份代码。如果您之前生成过备份代码,请选择替换备份代码。
- 当系统提示您替换备份代码时,选择是,替换我的代码。
- 通过输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码来验证您的身份。
- 选择验证并继续。Citrix Cloud 会生成并显示一组新的备份代码。
- 选择下载代码以下载您的新代码作为文本文件。然后,选择我已存储我的备份代码。
- 选择我已存储我的备份代码以完成备份代码的替换。
更改您的恢复电话号码
- 从右上角菜单中,选择我的设置。
- 在恢复方法下的恢复电话中,选择更改恢复电话。
- 输入身份验证器应用程序中的验证码或发送到您电子邮件地址的代码。选择验证并继续。
- 输入您要使用的新电话号码。然后,重新输入电话号码以确认。
- 选择保存恢复电话号码。
注意:
只有在管理员接受了管理员邀请并单击 CEM 磁贴上的管理后,您才能修改 Citrix Endpoint Management (CEM) 管理员的权限。与所有 Citrix Cloud 管理员一样,CEM 管理员默认具有完全访问权限。