管理管理员对 Citrix Cloud 的访问权限
管理员是在 Citrix Cloud 控制台中进行管理的。根据用于对管理员进行身份验证的身份提供商,您可以单独添加管理员或使用组添加管理员。
登录 Citrix Cloud 时,所有管理员都必须使用令牌作为身份验证的第二个因素。添加管理员后,他们可以使用任何遵循 基于时间的一次性密码 标准的应用程序(例如 Citrix SSO)在多重身份验证中注册其设备并生成令牌。
添加新管理员
Citrix Cloud 支持以下身份提供商对管理员进行身份验证:
- Citrix 身份提供商:Citrix Cloud 中的默认身份提供商。仅支持添加个人管理员。
- Azure AD:支持单独或通过 AAD 组添加管理员。AAD 组中的管理员只能访问 Citrix DaaS。有关详细信息,请参阅管理管理员组。
- SAML 2.0:仅支持通过 AD 组添加管理员。有关更多信息,请参阅 将 SAML 作为身份提供商连接到 Citrix Cloud
添加新管理员将使用以下工作流:
- 选择要用于对管理员进行身份验证的身份提供商。
- 根据身份提供商的不同,邀请单个管理员或选择管理员所属的组。
- 指定与组织中管理员角色一致的访问权限。有关详细信息,请参阅本文中的 修改管理员权限 。
邀请个人管理员
添加个人管理员需要邀请他们加入您的 Citrix Cloud 帐户。添加管理员时,Citrix 会向他们发送邀请电子邮件。管理员必须先接受邀请,然后才能登录。您通过群组添加的管理员不会收到邀请,可以在添加邀请后立即登录。
邀请电子邮件从 cloud@citrix.com 发送,其中说明了如何访问帐户。该邀请自您发送之日起连续五天内有效。五天过后,邀请链接将过期。如果受邀管理员使用已过期的链接,Citrix Cloud 将显示一条消息,指示该链接无效。
Citrix Cloud 还会显示邀请的状态,以便您可以查看管理员是否接受邀请并登录到 Citrix Cloud。
注意
管理员帐户可以与最多 100 个客户帐户关联。如果管理员需要管理 100 多个客户帐户,则他们必须使用不同的电子邮件地址创建一个单独的管理员帐户来管理其他客户。或者,您可以将管理员从不再需要管理的客户帐户中删除。
邀请管理员
-
登录 Citrix Cloud,然后从菜单中选择 身份和访问管理 。
-
在 Identity and Access Management(身份识别和访问管理)页面上,选择 Administrators(管理员)。控制台将显示帐户中当前的所有管理员。
- 选择 添加管理员/组。
- 在 管理员详细信息中,选择要使用的身份提供商。如果使用 Azure AD,Citrix Cloud 可能会提示您先登录。
- 如果选择了 Citrix Identity,请输入用户的电子邮件地址,然后选择 下一步。
- 如果选择了 Azure Active Directory,请键入要添加的用户的名称,然后单击下一步。不支持邀请 AAD 访客用户。
- 在 设置访问权限中,为管理员配置相应的权限。完全访问权限 (默认情况下处于选中状态)允许控制所有 Citrix Cloud 功能和订阅的服务。自定义访问权限 允许控制您选择的功能和服务。
- 查看管理员详情。选择返回进行任何更改。
- 选择 发送邀请。Citrix Cloud 会向您指定的用户发送邀请,并将管理员添加到列表中。
重新发送邀请
要重新发送邀请,请从控制台最右侧的省略号菜单中选择重新发送邀请电子邮件。重新发送邀请不会影响邀请到期前的五天时限。
使用新的登录链接重新发送邀请
如果原始邀请电子邮件已过期,并且您要向管理员发送新的邀请电子邮件,请从 Citrix Cloud 中删除该管理员,然后再次邀请他们。
接受管理员邀请
如果您受邀加入 Citrix Cloud 帐户,Citrix 会向您发送一封电子邮件,其中包含该帐户的组织 ID 和客户名称。
要接受邀请,请单击登录。之后,将打开一个浏览器窗口。如果您还没有 Citrix Cloud 帐户,浏览器将显示一个页面,您可以在其中创建密码。如果您已有帐户,Citrix Cloud 会提示您使用现有密码登录。
添加管理员组
您可以使用 AD 组(用于 SAML 身份验证)或 Azure AD 组(用于 Azure AD 身份验证)添加管理员。有关详细信息,请参阅管理管理员组。
批准加入 Citrix Cloud 的请求
您可能会不时收到 Citrix Cloud 代表组织中想要以管理员身份加入您的 Citrix Cloud 帐户的某人发出的批准请求。
要批准这些请求,您可以邀请请求访问权限的人员成为管理员,如本文中的邀请个人管理员中所述。您 必须使用批准请求电子邮件中显示的相同电子邮件地址。
收到邀请后,请求访问权限的人员单击“登录”链接接受邀请。然后,该人可以为 Citrix Cloud 创建密码并登录到您的帐户。
有关如何生成批准请求的更多信息,请参阅如果帐户已经在使用中会发生什么?。
更改管理员的电子邮件地址
要更改 Citrix Cloud 的管理员电子邮件地址,Citrix 建议执行以下步骤:
- 使用您的 AD 中的新电子邮件地址创建一个新的管理员帐户。
- 将新帐户添加到 Citrix Cloud,如本文中的邀请管理员中所述。
如果从 Citrix Cloud 中移除管理员并更改 AD 中的电子邮件地址,则还必须使用以下步骤:
- 向 Citrix 技术支持打开支持票证,并请求手动删除现有委托人。
- 在票证详细信息中,包括旧的电子邮件地址或管理员帐户的 OID。
- 删除现有委托人后,将管理员帐户添加到 Citrix Cloud,如本文中的 邀请管理员 中所述。
如果未删除管理员帐户的现有委托人,则管理员在使用新电子邮件地址登录 Citrix Cloud 时会遇到错误。
有关更多信息,请参阅 Citrix 支持知识中心中的 CTX463477 。
修改管理员权限
将管理员添加到 Citrix Cloud 帐户时,您需要定义适合其在组织中的角色的管理员权限。默认情况下,为新管理员分配对所有 Citrix Cloud 帐户功能和可用服务的 完全访问权限 。如果要限制对管理控制台的某些区域或特定服务的访问权限,则可以定义 自定义访问权限。
只有具有完全访问权限的 Citrix Cloud 管理员才能为其他管理员定义权限。
要更改现有的管理员权限,请执行以下操作:
- 通过 https://citrix.cloud.com登录 Citrix Cloud。
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择管理员。
- 选择要管理的身份提供商:Citrix Identity(默认)、Active Directory(如果使用 SAML 作为身份提供程序)或 Azure AD(如果已连接)。
- 找到要管理的管理员或组,单击省略号按钮,然后选择 编辑访问权限。
- 要允许或禁止特定权限,请选择 自定义访问权限。要允许访问所有 Citrix Cloud 功能,请选择 完全访问权限。
- 要快速找到服务权限,请开始在搜索框中键入。Citrix Cloud 会在您键入时显示匹配的权限。例如,如果您开始键入“只读”,则会显示标题中包含“只读”的权限。搜索权限不区分大小写。
- 要定义 Citrix Cloud 管理控制台的自定义访问权限,请展开常规。
- 要为特定服务定义自定义访问权限,请展开该服务。
- 对于每种权限,请根据需要选中或取消选中复选框。
- 选择保存。
控制台权限
使用以下权限定义对 Citrix Cloud 管理控制台的自定义访问权限:
- 客户控制面板(仅限查看): 仅适用于 Citrix Service Provider (CSP)。授予 客户控制面板的视图访问权限。
- 域: 授予对 身份和访问管理 > 域选项卡的访问权限 。管理员可以通过从此选项卡下载 Citrix Cloud Connector 软件并将其安装在域中的服务器上来添加 Active Directory 域。
- 库: 授予对 库 控制台页面的访问权限。根据管理员有权访问的服务,管理员可以将 Citrix DaaS 交付组分配给用户,从 Endpoint Management 添加 Intune 托管应用程序,或者允许只读管理员查看 Secure Private Access 的应用程序详细信息。
- 许可: 授予对许可控制台页面的云服务和许可部署选项卡的访问权限。
- 通知: 授予对 通知 控制台页面的访问权限。管理员可以查看和关闭 Citrix Cloud 通知。
- 资源位置: 授予对 资源位置 控制台页面的访问权限。管理员可以 为 Citrix Workspace 单点登录添加新的资源位置和添加 FAS 服务器。他们还可以 添加连接器和管理连接器更新。
- 安全客户端: 授予对 身份和访问管理 > API 访问 > 安全客户端 选项卡的访问权限。管理员可以创建和管理自己的安全客户端,以便与 Citrix Cloud API配合使用。此权限不包括对 身份和访问管理 > API 访问 > 产品注册选项卡的访问权限 。只有完全访问权限的管理员才能访问产品注册选项卡。
- 系统日志: 授予对系统日志控制台页面的访问权限。管理员可以 查看系统日志事件 并将事件导出到 CSV 文件。
- 工作区配置: 授予对 工作区配置 控制台页面的访问权限。管理员可以更改身份验证方法、自定义工作区外观和行为、启用和禁用服务以及配置站点聚合。有关更多信息,请参阅 Citrix Workspace 产品文档。
注意:
要阻止访问 Citrix Cloud 管理控制台中的任何页面,请确保未选择该页面的所有自定义访问权限。例如,要隐藏“身份和访问管理”页面,请清除“域”和“安全客户端”权限。
更改设备以进行多重身份验证
如果您丢失了已注册的设备、想要在 Citrix Cloud 中使用其他设备或重置身份验证器应用程序,则可以在 Citrix Cloud 多重身份验证 (MFA) 中重新注册。
备注
- 更改设备会删除当前设备注册并生成新的身份验证器应用程序密钥。
- 如果您要使用与原始注册相同的身份验证器应用程序重新注册,请在重新注册之前从身份验证器应用程序中删除 Citrix Cloud 条目。完成重新注册后,此条目中显示的代码将不再起作用。如果您未在重新注册之前或之后删除此条目,则身份验证器应用程序会显示两个 Citrix Cloud 条目,代码不同,这可能会在登录 Citrix Cloud 时造成混淆。
- 如果您要使用新设备重新注册,但没有身份验证器应用程序,请从设备的应用商店下载并安装一个。为了获得更流畅的体验,Citrix 建议在重新注册设备之前安装身份验证器应用程序。
-
登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
如果您没有身份验证器应用程序,请点击 没有身份验证器应用程序? 并选择一种恢复方法来帮助您登录。根据选择的恢复方法,输入您收到的恢复代码或未使用的备份代码,然后选择 验证。
- 如果您是多个客户组织的管理员,请选择任何客户组织。
-
从右上角的菜单中,选择我的个人资料。
- 在 身份验证器应用程序中,选择 更改设备。
- 当系统提示您确认更改设备时,选择 是,更换设备。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。如果您没有身份验证器应用程序,请选择 没有身份验证器应用程序? 并选择一种恢复方法。根据您选择的恢复方法,输入您收到的验证码或恢复码或未使用的备用代码。选择验证。
- 如果您使用的是最初注册的设备和原始身份验证器应用程序,请从身份验证器应用程序中删除现有 Citrix Cloud 条目。
- 如果您正在注册新设备,但没有身份验证器应用程序,请从设备的应用商店下载一个。
- 在身份验证器应用程序中,使用设备扫描二维码或手动输入密钥。
- 从您的身份验证器应用程序中输入6位数的验证码,然后选择 验证码。
更换设备后,Citrix 强烈建议您检查“我的个人资料”页面中的验证方法是否为最新。
管理您的验证方法
重要:
为确保您的 Citrix Cloud 帐户保持安全,请使用准确的信息使您的验证方法保持最新。如果您无法访问身份验证器应用程序,则只有这些验证方法才能恢复对帐户的访问权限。
添加或更改您的辅助邮箱
- 登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
- 如果您是多个客户组织的管理员,请选择您最初在其中注册 MFA 的客户组织。
- 从右上角的菜单中,选择我的个人资料。
- 如果您尚未 添加辅助电子邮件地址,请在验证方法下的“恢复电子邮件”中,选择“添加辅助电子邮件”。如果您已添加辅助电子邮件地址,请选择更改辅助邮箱。
- 输入要使用的新电子邮件地址,然后选择保存。
生成新的备用码
您可以随时生成一组新的备用代码。使用备份代码时,Citrix Cloud 会记录已在“我的个人资料”页面中使用的号码。
生成新的备用代码后,请务必将它们存储在安全的地方。
- 登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
- 如果您是多个客户组织的管理员,请选择任何客户组织。
- 从右上角的菜单中,选择我的个人资料。
- 在验证方法下的备份代码中,选择生成新的备用代码(如果您之前未生成备用代码)。如果您之前生成了备用代码,请选择“替换备用代码”。
- 当系统提示您替换备用代码时,选择 是,替换。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。Citrix Cloud 会生成并显示一组新的备份代码。
- 选择 下载代码 将新代码下载为文本文件。然后,选择“我已保存这些代码”。
- 选择“关闭”。
更改您的辅助电话号码
- 登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
- 如果您是多个客户组织的管理员,请选择您最初注册了 MFA 的客户组织。
- 从右上角的菜单中,选择我的个人资料。
- 在“验证方法”下的“备 用手机”中,选择“更改备用电话”。
- 输入要使用的新电话号码,然后选择“保存”。
注意:
只有在 Citrix Endpoint Management (CEM) 管理员接受管理员邀请并单击 CEM 磁贴上的 管理 后,才能修改管理员的权限。与所有 Citrix Cloud 管理员一样,默认情况下,CEM 管理员具有完全访问权限。