管理管理员组
您可以使用 Active Directory、Azure Active Directory (AD) 或 Google Cloud Identity 中的组将管理员添加到您的 Citrix Cloud 帐户。 然后,您可以管理组中所有管理员的服务访问权限。
AD 先决条件
Citrix Cloud 支持通过 SAML 2.0 进行 AD 组身份验证。 在将 AD 管理员组的成员添加到 Citrix Cloud 之前,您需要配置 Citrix Cloud 和 SAML 提供商之间的连接。 有关更多信息,请参阅 将 SAML 作为身份提供商连接到 Citrix Cloud。
如果您在 Citrix Cloud 中已有 SAML 连接,则必须在添加 AD 管理员组之前将 SAML 提供程序重新连接到 Citrix Cloud。 如果不重新连接 SAML,添加 AD 管理员组可能会失败。 有关更多信息,请参阅 使用现有 SAML 连接进行管理员身份验证。
Azure AD 先决条件
使用 Azure AD 组身份验证需要最新版本的 Azure AD 应用程序来将 Azure AD 连接到 Citrix Cloud。 当您首次连接 Azure AD 时,Citrix Cloud 获取了此应用程序。 如果您在 2019 年 5 月之前将 Azure AD 连接到 Citrix Cloud,Citrix Cloud 可能不会使用最新的应用程序与 Azure AD 连接。 如果您的帐户未使用最新的应用程序,Citrix Cloud 将无法显示您的 Azure AD 组。
在 Citrix Cloud 中使用 Azure AD 组之前,请执行以下任务:
- 验证您是否正在使用最新的应用程序进行 Azure AD 连接。 如果您没有使用最新的应用程序,Citrix Cloud 将显示通知。
-
如果必须更新应用程序,请将 Azure AD 重新连接到 Citrix Cloud。 通过重新连接到您的 Azure AD,您向 Citrix Cloud 授予应用程序级只读权限,并允许 Citrix Cloud 代表您重新连接到您的 Azure AD。 重新连接期间,将显示这些权限的列表供您查看。 有关 Citrix Cloud 请求的权限的详细信息,请参阅 Citrix Cloud 的 Azure Active Directory 权限。
重要:
要完成此任务,您必须是 Azure AD 中的全局管理员。 此外,您必须使用 Citrix 身份提供商下的完全访问权限管理员帐户登录 Citrix Cloud。 如果您使用 Azure AD 凭据登录,重新连接将失败。 如果您没有任何使用 Citrix 身份提供程序的管理员,您可以临时添加一个管理员来执行此任务,然后将其删除。
验证与 Azure AD 的连接To verify your connection to Azure AD
- 使用 Citrix 身份提供商下的完全访问权限管理员帐户登录 Citrix Cloud。
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 身份验证。
-
找到 Azure Active Directory。 如果 Citrix Cloud 必须更新您的 Azure AD 连接的应用程序,则会出现通知。
如果 Citrix Cloud 已在使用最新的应用程序,则不会显示任何通知。
重新连接到 Azure AD
- 从 Citrix Cloud 控制台中的 Azure AD 通知中,单击 重新连接 链接。 显示请求的 Azure 权限的列表。
- 检查权限,然后选择 接受。
Google Cloud Identity
Citrix Cloud 支持通过 Google Cloud Identity 进行管理员组身份验证。 在将管理员组添加到 Citrix Cloud 之前,您必须配置 Citrix Cloud 与 Google Cloud Identity 之间的连接。 有关更多信息,请参阅 将 Google Cloud Identity 作为身份提供商连接到 Citrix Cloud。
支持的服务
以下服务支持管理员组的自定义访问权限:
- Citrix Analytics
- NetScaler 控制台
- Citrix DaaS
- 工作区环境管理服务
- 许可证使用情况洞察
支持的权限
您只能为 Citrix Cloud 平台支持的服务和某些功能分配自定义访问权限。 不支持完全访问权限。
对于 Citrix Cloud 平台功能,支持以下自定义访问权限:
- 域
- 许可
- 资源位置
- 支持票
- 系统日志
- 工作区配置
有关这些权限的更多信息,请参阅 控制台权限。
管理员组无权访问任何其他服务。 他们只能管理他们有权访问的支持的服务。
已登录的管理员组成员的权限更改仅在其退出并重新登录后才会生效。
具有 Citrix、AD、Azure AD 和 Google Cloud 身份的管理员的结果权限
当管理员登录 Citrix Cloud 时,如果管理员同时具有 Citrix 身份(Citrix Cloud 中的默认身份提供商)和通过 AD、Azure AD 或 Google Cloud Identity 具有的单个用户或基于组的身份,则可能仅具有某些权限。 本节中的表格描述了这些身份的每个组合可用的权限。
单用户身份 指的是通过个人帐户授予管理员的 AD、Azure AD 或 Google Cloud Identity 权限。 基于组的身份 指的是作为组成员授予的 AD、Azure AD 或 Google Cloud Identity 权限。
Citrix 身份 | 单用户 AD 或 Azure AD 身份 | 基于组的 AD 或 Azure AD 身份 | 单用户或基于群组的 Google Cloud Identity | 身份验证后可用的权限 |
---|---|---|---|---|
十 | 十 | 使用 Citrix 身份、AD 身份或 Azure AD 身份成功进行身份验证后,管理员将拥有两种身份的累积权限。 | ||
十 | 十 | 每个身份都被视为一个独立的实体。 可用的权限取决于管理员是否使用 Citrix 身份还是 Azure AD 身份进行身份验证。 | ||
十 | 十 | 每个身份都被视为一个独立的实体。 可用的权限取决于管理员是否使用 Citrix 身份还是 Google Cloud Identity 进行身份验证。 | ||
十 | 十 | 管理员在使用 AD 或 Azure AD 向 Citrix Cloud 进行身份验证时拥有两种身份的累积权限。 | ||
十 | 十 | 每个身份都被视为一个独立的实体。 可用的权限取决于管理员是否使用 Citrix 身份还是 Google Cloud Identity 进行身份验证。 | ||
十 | 十 | 每个身份都被视为一个独立的实体。 可用的权限取决于管理员是否使用 Citrix 身份还是 Google Cloud Identity 进行身份验证。 | ||
十 | 十 | 十 | 在使用其 Citrix 身份进行身份验证时,管理员拥有 Citrix 身份和单用户 Azure AD 身份的累积权限。 使用 Azure AD 进行身份验证时,管理员拥有所有三个身份的累积权限。 |
管理员的登录体验
将组添加到 Citrix Cloud 并定义服务权限后,组中的管理员只需在 Citrix Cloud 登录页面上选择 使用我的公司凭据登录 并输入其帐户的登录 URL 即可登录(例如, https://citrix.cloud.com/go/mycompany
)。 与添加单个管理员不同,组中的管理员并未明确受到邀请,因此他们不会收到任何接受成为 Citrix Cloud 管理员的邀请的电子邮件。
登录后,管理员从服务磁贴中选择 管理 以访问服务的管理控制台。
仅被授予组成员权限的管理员可以使用 Citrix Cloud 帐户的登录 URL 访问 Citrix Cloud 帐户。
通过个人帐户获得权限并作为组成员的管理员可以选择他们想要访问的 Citrix Cloud 帐户。 如果管理员是多个 Citrix Cloud 帐户的成员,他们可以在成功验证后从客户选择器中选择一个 Citrix Cloud 帐户。
已知问题
在 Active Directory 中重命名组后,新名称可能不会显示。 作为一种解决方法,删除 Citrix Identity and Access Management 中的旧组并添加重命名的组。
限制
访问平台和服务功能
管理员组成员无法获得以下 Citrix Cloud 平台功能的自定义访问权限:
- 图书馆
- 通知
- 安全客户端
有关可用权限的更多信息,请参阅本文中的 支持的权限 。
依赖于 Citrix Cloud 平台功能(例如快速部署用户分配)的 Citrix DaaS 功能不可用。
多个组对应用程序性能的影响
Citrix 建议单个管理员属于不超过 20 个已添加到 Citrix Cloud 的组。 加入大量群组可能会导致应用程序性能下降。
多个组对身份验证的影响
如果将基于组的管理员分配到 AD 或 Azure AD 中的多个组,则身份验证可能会失败,因为组数量太大。 此问题是由于 Citrix Cloud 与 AD 和 Azure AD 的集成存在限制而出现的。 当管理员尝试登录时,Citrix Cloud 会尝试压缩检索到的组的数量。 如果 Citrix Cloud 无法成功应用压缩,则无法检索所有组并且身份验证失败。
此问题可能还会影响通过 AD 或 Azure AD 向 Citrix Workspace 进行身份验证的用户。 如果用户属于多个组,则身份验证可能会因组数量过多而失败。
要解决此问题,请检查管理员或用户帐户,并验证他们是否仅属于组织中其角色所需的组。
由于分配的角色/范围对过多,添加组失败
添加具有多个角色/范围对的组时,可能会发生错误,表明无法创建该组。 发生此错误的原因是分配给该组的角色/范围对的数量太大。 要解决此错误,请将角色/范围对划分到两个或多个组之间,然后将管理员分配给这些组。
向 Citrix Cloud 添加管理员组
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 管理员。
- 选择 添加管理员/组。
- 在 管理员详细信息中,选择您想要使用的身份提供者。 如果选择了 Azure AD,请根据需要登录到您的 Azure。 选择下一步。
- 如果需要,请选择您想要使用的域。
- 搜索要添加的组并选择该组。
- 在 设置访问中,选择您想要分配给该组的角色。 您必须至少选择一个角色。
- 完成后,选择 保存。
修改管理员组的业务权限
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 管理员。
- 找到您想要管理的管理员组,然后从省略号菜单中选择 编辑访问。
- 根据需要选择或清除一个或多个角色和范围对旁边的复选标记。
- 完成后,选择 保存。
删除管理员组
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 管理员。
-
找到您要管理的管理员组,然后从省略号菜单中选择 删除组。
出现确认消息。
- 选择 我知道删除此组将阻止组中的管理员访问 Citrix Cloud。 确认您了解删除该群组的后果。
- 选择 删除。
在多个 Citrix Cloud 帐户之间切换
注意:
本节介绍仅影响 Azure AD 管理员组成员的场景。
默认情况下,Azure AD 管理员组的成员无法在他们可以访问的其他 Citrix Cloud 帐户之间切换。 对于这些管理员,下图所示的 更改客户 选项不会出现在 Citrix Cloud 用户菜单中。
要启用此菜单选项并允许 Azure AD 组成员在其他 Citrix Cloud 帐户之间切换,您必须链接要在其间切换的帐户。
链接 Citrix Cloud 帐户涉及中心辐射式方法。 在链接帐户之前,请确定哪个 Citrix Cloud 帐户将充当访问其他帐户的帐户(“中心”),以及您希望在客户选择器中列出的帐户(“辐条”)。
在关联帐户之前,请确保您满足以下要求:
- 您在 Citrix Cloud 中拥有完全访问权限。
- 您有权访问 Windows PowerShell 集成脚本环境 (ISE)。
- 您拥有要链接的 Citrix Cloud 帐户的客户 ID。 客户 ID 显示在每个帐户的管理控制台的右上角。
- 您拥有要链接为中心帐户的 Citrix Cloud 帐户的 Citrix CWSAuth 承载令牌。 要检索此承载令牌,请按照 CTX330675中的说明进行操作。 链接您的 Citrix Cloud 帐户时,您需要提供此信息。
链接 Citrix Cloud 帐户
-
打开 PowerShell ISE 并将以下脚本粘贴到工作窗格中:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links" $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers $allLinks = $resp.linkedCustomers + @("SpokeCustomerID") $body = @{"customers"=$allLinks} $bodyjson = $body | ConvertTo-Json $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json' Write-Host "Citrix Cloud Status Code: $($resp.RawContent)" <!--NeedCopy-->
- 在第 4 行,将
CWSAuth bearer=XXXXXXX
替换为您的 CWSAuth 值(例如,CWSAuth bearer=AbCdef123Ghik…
)。 该值是一个类似于证书密钥的长哈希值。 - 在第 6 行,将
HubCustomerID
替换为中心账户的客户 ID。 - 在第 9 行,将
SpokeCustomerID
替换为分支账户的客户 ID。 - 运行脚本。
- 重复步骤 3-5,将其他账户链接为辐条。
取消链接 Citrix Cloud 帐户
- 打开 PowerShell ISE。 如果 PowerShell ISE 已打开,请清除工作窗格。
-
将以下脚本粘贴到工作窗格中:
$headers = @{} $headers.Add("Accept","application/json") $headers.Add("Content-Type","application/json") $headers.Add("Authorization","CWSAuth bearer=XXXXXXX") $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID" $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers Write-Host "Response: $($resp.RawContent)" <!--NeedCopy-->
- 在第 4 行,将
CWSAuth bearer=xxxxxxx1
替换为您的 CWSAuth 值(例如,CWSAuth bearer=AbCdef123Ghik…
)。 该值是一个类似于证书密钥的长哈希值。 - 在第 6 行,将
HubCustomerID
替换为中心账户的客户 ID。 - 在第 6 行,将
SpokeCustomerID
替换为分支账户的客户 ID。 - 运行脚本。
- 重复步骤 4-6 以取消链接其他帐户。