管理管理员组
您可以使用 Active Directory 或 Azure Active Directory (AD) 中的组将管理员添加到您的 Citrix Cloud 帐户。然后,您可以管理组中所有管理员的服务访问权限。
AD 必备条件
Citrix Cloud 支持通过 SAML 2.0 进行 AD 组身份验证。在将 AD 管理员组的成员添加到 Citrix Cloud 之前,您需要配置 Citrix Cloud 和 SAML 提供商之间的连接。有关更多信息,请参阅 将 SAML 作为身份提供程序连接到 Citrix Cloud。
如果您在 Citrix Cloud 中已有 SAML 连接,则在添加 AD 管理员组之前,必须将 SAML 提供程序重新连接到 Citrix Cloud。如果不重新连接 SAML,添加 AD 管理员组可能会失败。有关更多信息,请参阅 使用现有 SAML 连接进行管理员身份验证。
Azure AD 必备
使用 Azure AD 组身份验证需要最新版本的 Azure AD 应用程序才能将 Azure AD 连接到 Citrix Cloud。Citrix Cloud 在您首次连接 Azure AD 时获得了此应用程序。如果您在 2019 年 5 月之前将 Azure AD 连接到 Citrix Cloud,则 Citrix Cloud 可能没有使用最新的应用程序与 Azure AD 进行连接。如果您的帐户未使用最新的应用程序,Citrix Cloud 将无法显示您的 Azure AD 组。
在 Citrix Cloud 中使用 Azure AD 组之前,请执行以下任务:
- 验证您使用的是最新的 Azure AD 连接应用程序。如果您未使用最新的应用程序,Citrix Cloud 将显示一条通知。
-
如果必须更新应用程序,请将您的 Azure AD 重新连接到 Citrix Cloud。通过重新连接到 Azure AD,可以向 Citrix Cloud 授予应用程序级只读权限,并允许 Citrix Cloud 代表您重新连接到您的 Azure AD。在重新连接期间,将显示这些权限的列表供您查看。有关 Citrix Cloud 请求的权限的更多信息,请参阅适用于 Citrix Cloud 的 Azure Active Directory 权限。
重要:
要完成此任务,您必须是 Azure AD 中的全局管理员。此外,您必须使用 Citrix 身份提供商下的完全访问管理员帐户登录 Citrix Cloud。如果使用 Azure AD 凭据登录,重新连接将失败。如果您没有任何管理员在使用 Citrix 身份提供程序,则可以临时添加一个管理员来执行此任务,然后再将其删除。
验证您与 Azure AD 的连接
- 使用 Citrix 身份提供商下的完全访问管理员帐户登录 Citrix Cloud。
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 身份验证。
-
找到 Azure Active Directory。如果 Citrix Cloud 必须为您的 Azure AD 连接更新应用程序,则会显示一条通知。
如果 Citrix Cloud 已在使用最新的应用程序,则不会显示任何通知。
重新连接到 Azure AD
- 在 Citrix Cloud 控制台中的 Azure AD 通知中,单击 重新连接 链接。此时将显示所请求的 Azure 权限的列表。
- 查看权限,然后选择 接受。
支持的服务和权限
以下服务支持管理员组的自定义访问权限:
- Citrix Application Delivery Management 服务
- Citrix DaaS
- Workspace Environment Management 服务
您只能为受支持的服务分配自定义访问权限。不支持完全访问权限。
管理员组无权访问任何其他服务。他们只能管理他们有权访问的受支持服务。
已登录的管理员组成员的权限更改只有在注销并再次登录后才会生效。
具有 Citrix、AD 和 Azure AD 身份的管理员的生成的权限
管理员登录 Citrix Cloud 时,如果管理员同时拥有 Citrix 身份(Citrix Cloud 中的默认身份提供商)和通过 AD 或 Azure AD 的单用户或基于组的身份,则只有某些权限才可用。本节中的表格描述了这些身份的每种组合可用的权限。
单用户 AD 或 Azure AD 身份 是指通过个人帐户授予管理员的 AD 或 Azure AD 权限。基于组的 AD 或 Azure AD 身份 是指作为 Azure AD 组的成员授予的 AD 或 Azure AD 权限。
| Citrix 身份 | 单用户 AD 或 Azure AD 标识 | 基于组的 AD 或 Azure AD 标识 | 身份验证后可用的权限 |
|---|---|---|---|
| X | X | 使用 Citrix 身份或 Azure AD 身份成功进行身份验证后,管理员具有两个身份的累积权限。 | |
| X | X | 每个身份都被视为一个独立的实体。可用权限取决于管理员是使用 Citrix 身份还是 Azure AD 身份进行身份验证。 | |
| X | X | 使用 Azure AD 向 Citrix Cloud 进行身份验证时,管理员具有两个身份的累积权限。 | |
| X | X | X | 使用其 Citrix 身份进行身份验证时,管理员拥有 Citrix 身份和单用户 Azure AD 身份的累积权限。使用 Azure AD 进行身份验证时,管理员拥有所有三个身份的累积权限。 |
管理员的登录体验
将 AD 或 Azure AD 组添加到 Citrix Cloud 并定义服务权限后,该组中的管理员只需 在 Citrix Cloud 登录页面上选择使用我的公司凭据 登录,然后输入帐户的登录 URL(例如 https://citrix.cloud.com/go/mycompany)即可登录。与添加个人管理员不同,群组中的管理员不会被明确邀请,因此他们不会收到任何接受成为 Citrix Cloud 管理员邀请的电子邮件。
登录后,管理员从服务磁贴中选择 管理 以访问服务的管理控制台。
仅作为组成员被授予权限的管理员可以使用 Citrix Cloud 帐户的登录 URL 访问 Citrix Cloud 帐户。
通过个人帐户授予权限并作为组成员的管理员可以选择他们要访问的 Citrix Cloud 帐户。如果管理员是多个 Citrix Cloud 帐户的成员,则可以在成功进行身份验证后从客户选取器中选择一个 Citrix Cloud 帐户。
限制
访问平台和服务功能
管理员组成员无法使用 控制台权限 中描述的 Citrix Cloud 平台功能。
此外,依赖于 Citrix Cloud 平台功能的 Citrix DaaS 功能(例如快速部署用户分配)不可用。
多个组对应用程序性能的影响
Citrix 建议单个管理员所属的组不超过 20 个,这些组已添加到 Citrix Cloud 中。如果组数量较多,则可能导致应用程序性能降低。
多个组对身份验证的影响
如果将基于组的管理员分配给 AD 或 Azure AD 中的多个组,则身份验证可能会失败,因为组的数量太大。出现此问题的原因是 Citrix Cloud 与 AD 和 Azure AD 的集成存在限制。当管理员尝试登录时,Citrix Cloud 会尝试压缩检索的组数。如果 Citrix Cloud 无法成功应用压缩,则无法检索所有组,并且身份验证将失败。
此问题还可能影响通过 AD 或 Azure AD 向 Citrix Workspace 进行身份验证的用户。如果用户属于多个组,则身份验证可能会失败,因为组的数量太大。
要解决此问题,请查看管理员或用户帐户,并验证他们是否仅属于其在组织中的角色所必需的组。
由于分配的角色/作用域对过多,添加组失败
添加具有多个角色/作用域对的组时,可能会出现错误,指示无法创建该组。出现此错误的原因是分配给该组的角色/作用域对的数量过大。要解决此错误,请在两个或多个组之间划分角色/作用域对,然后将管理员分配到这些组。
向 Citrix Cloud 添加管理员组
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择管理员。
- 选择 添加管理员/组。
- 在 管理员详细信息中,选择您的 Azure AD 并根据需要登录 Azure。选择下一步。
- 如果使用 AD,请选择要使用的域。
- 搜索要添加的组,然后选择该组。
- 在 设置访问权限中,选择要分配给组的角色。必须至少选择一个角色。
- 完成后,选择“保存”。
修改管理员组的服务权限
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择管理员。
- 找到要管理的管理员组,然后从省略号菜单中选择 编辑访问权限。
- 根据需要选择或清除一个或多个角色和作用域对旁边的复选标记。
- 完成后,选择“保存”。
删除管理员组
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择管理员。
-
找到要管理的管理员组,然后从省略号菜单中选择 删除组。
此时将显示一条确认消息。
- 选择 我明白删除此组将阻止该组中的管理员访问 Citrix Cloud。 以确认您已意识到删除该群组的后果。
- 选择删除。
在多个 Citrix Cloud 帐户之间切换
注意:
本节介绍仅影响 Azure AD 管理员组成员的方案。
默认情况下,Azure AD 管理员组的成员无法在他们可以访问的其他 Citrix Cloud 帐户之间切换。对于这些管理员,下图所示的“更改客户”选项不会显示在 Citrix Cloud 用户菜单中。
要启用此菜单选项并允许 Azure AD 组成员在其他 Citrix Cloud 帐户之间切换,必须关联要在其中进行更改的帐户。
关联 Citrix Cloud 帐户涉及一种中心辐射式方法。在关联帐户之前,请确定哪个 Citrix Cloud 帐户将用作访问其他帐户的帐户(“中心”),以及要在客户选取器中列出哪些帐户(“分支”)。
在关联帐户之前,请确保您满足以下要求:
- 您在 Citrix Cloud 中拥有完全访问权限。
- 您可以访问 Windows PowerShell 集成脚本环境 (ISE)。
- 您拥有要关联的 Citrix Cloud 帐户的客户 ID。客户 ID 显示在每个帐户的管理控制台右上角。
- 您拥有要作为中心帐户关联的 Citrix Cloud 帐户的 Citrix CWSAuth 不记名令牌。要检索此不记名令牌,请按照 CTX330675中的说明进行操作。在关联 Citrix Cloud 帐户时,您需要提供此信息。
关联 Citrix Cloud 帐户
-
打开 PowerShell ISE 并将以下脚本粘贴到工作窗格中:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links" $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers $allLinks = $resp.linkedCustomers + @("SpokeCustomerID") $body = @{"customers"=$allLinks} $bodyjson = $body | ConvertTo-Json $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json' Write-Host "Citrix Cloud Status Code: $($resp.RawContent)" <!--NeedCopy--> - 在第 4 行中,将
CWSAuth bearer=XXXXXXX替换为您的 CWSAuth 值(例如CWSAuth bearer=AbCdef123Ghik…)。此值是一个类似于证书密钥的长散列。 - 在第 6 行,
HubCustomerID替换为 Hub 帐户的客户 ID。 - 在第 9 行,
SpokeCustomerID替换为分支帐户的客户 ID。 - 运行脚本。
- 重复步骤 3-5,将其他帐户关联为分支帐户。
取消关联 Citrix Cloud 帐户
- 打开 PowerShell ISE。如果 PowerShell ISE 已经打开,请清除工作窗格。
-
将以下脚本粘贴到工作窗格中:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID" $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers Write-Host "Response: $($resp.RawContent)" <!--NeedCopy--> - 在第 4 行中,将
CWSAuth bearer=xxxxxxx1替换为您的 CWSAuth 值(例如CWSAuth bearer=AbCdef123Ghik…)。此值是一个类似于证书密钥的长散列。 - 在第 6 行,
HubCustomerID替换为 Hub 帐户的客户 ID。 - 在第 6 行,
SpokeCustomerID替换为分支帐户的客户 ID。 - 运行脚本。
- 重复步骤 4-6 以解除其他帐户的关联。