委派管理
概述
如果在 Citrix Cloud 中具有委派管理权限,则可以根据您的所有管理员在贵组织中的角色来配置其所需的访问权限。
默认情况下,管理员具有完全访问权限。此设置允许访问 Citrix Cloud 中的所有可用的客户管理功能以及所有订阅的服务。要自定义管理员的访问权限,请执行以下操作:
- 在 Citrix Cloud 中为管理员的常规管理权限配置自定义访问权限。
- 为订阅的服务配置自定义访问权限。在 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中,您可以在邀请新管理员时配置自定义访问权限。稍后可以更改管理员的访问权限。
有关显示管理员列表和定义访问权限的信息,请参阅管理管理员对 Citrix Cloud 的访问权限。
本文介绍如何在 Citrix DaaS 中配置自定义访问权限。
管理员、角色和作用域
委派管理对自定义访问权限使用三个概念:管理员、角色和作用域。
- 管理员: 管理员表示其 Citrix Cloud 登录标识的人员,通常为电子邮件地址。每个管理员均与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并且具有与其关联的权限。这些权限允许某些任务是 Citrix DaaS 的唯一任务。例如,交付组管理员角色具有创建交付组和从交付组中删除桌面的权限以及其他关联的权限。管理员可以有多个角色。管理员可以是交付组管理员和计算机目录管理员。
Citrix DaaS 提供几个内置的自定义访问角色。您不能更改这些内置角色中的权限,也不能删除这些角色。
您可以创建自己的自定义访问角色以满足贵组织的要求,并委派具有更多详细信息的权限。使用自定义角色可按照操作或任务的粒度来分配权限。只有在未将自定义角色分配给管理员时才能删除该角色。
可以更改管理员具有的角色。
角色始终与作用域配对。
-
作用域: 一个作用域代表一个对象集合。作用域用于以与贵组织相关的方式对对象进行分组。对象可以位于多个作用域中。
系统提供一个内置的作用域“全部”,其包含所有对象。Citrix Cloud 和技术支持管理员始终与“全部”作用域配对。无法为这些管理员更改该作用域。
当您邀请(添加)此服务的管理员时,角色始终与作用域(默认为“全部”作用域)配对。
您可以使用 Studio 创建和删除作用域。可以在 Citrix Cloud 控制台中分配角色/作用域对。
不显示完全访问权限管理员的作用域。根据定义,这些管理员可以访问所有客户管理的 Citrix Cloud 和订阅的服务对象。
内置角色和作用域
Citrix DaaS 具有以下内置角色。
-
云管理员: 可以执行可从 Citrix DaaS 启动的所有任务。
可以在 Studio 中查看管理和监视控制台。此角色始终与“全部”作用域结合使用。不能更改作用域。
请勿被此角色的名称混淆。具有自定义访问权限的云管理员无法执行 Citrix Cloud 级别的任务(Citrix Cloud 任务需要完全访问权限)。
-
只读权限管理员: 可以查看指定作用域内的所有对象(以及全局信息),但无法更改任何内容。例如,作用域为“伦敦”的只读权限管理员可以查看所有全局对象和所有伦敦作用域内的对象(例如,伦敦交付组)。但是,该管理员无法查看“纽约”作用域(假设“纽约”作用域和“伦敦”作用域无重叠)中的对象。
可以在 Studio 中查看管理和监视控制台。
-
技术支持管理员: 可以查看交付组,并可以管理与这些组关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。
可以在 Studio 中看到监视控制台。看不到管理控制台。此角色始终与“全部”作用域结合使用。不能更改作用域。
-
计算机目录管理员: 可以创建和管理计算机目录以及在其中预配计算机。可以管理基础映像并安装软件,但不可以向用户分配应用程序或桌面。
可以在 Studio 中查看监视和管理控制台。看不到显示器选项卡。可以更改作用域。
-
交付组管理员: 可以交付应用程序、桌面和计算机。还可以管理关联的会话。可以管理应用程序和桌面配置,例如策略和电源管理设置。
可以在 Studio 中查看监视和管理控制台。可以更改作用域。
注意:
要以交付组管理员的身份更改桌面的显示名称,您需要有“执行计算机更新”权限。此权限是必需的,因为更改显示名称涉及更新计算机属性。
-
主机管理员: 可以管理主机连接及其关联的资源设置。可以向用户交付计算机、应用程序或桌面。
可以在 Studio 中看到管理控制台。看不到显示器选项卡。可以更改作用域。
-
会话管理员: 可以查看正在监视的交付组并管理其关联的会话和计算机。
可以在 Studio 中看到监视控制台。看不到管理控制台。不能更改作用域。
-
完全权限管理员: 可以执行所有任务和操作。完全权限管理员始终与全部作用域结合。
可以在 Studio 中查看管理和监视控制台。此角色始终与全部作用域结合使用。不能更改作用域。
-
完全权限监视管理员: 对监视选项卡上的所有视图和命令具有完全访问权限。
可以在 Studio 中看到“监视”选项卡。看不到管理控制台。不能更改作用域。
-
探测代理管理员: 具有探测代理 API 的访问权限。
可以在 Studio 中查看监视和管理控制台。对应用程序页面具有只读访问权限,但不能访问任何其他视图。
下表汇总了 Citrix DaaS 中的每个自定义访问权限角色可见的控制台选项卡,以及该角色是否可用于自定义作用域。
自定义访问权限管理员角色 | 可以在控制台中看到管理控制台吗? | 是否可以在控制台中看到监视选项卡? | 角色是否可以与自定义作用域结合使用? |
---|---|---|---|
云管理员 | 是 | 是 | 否 |
只读权限管理员 | 是 | 是 | 是 |
技术支持管理员 | 否 | 是 | 否 |
计算机目录管理员 | 是 | 是 | 是 |
交付组管理员 | 是 | 是 | 是 |
主机管理员 | 是 | 否 | 是 |
会话管理员 | 否 | 是 | 否 |
完全权限管理员 | 是 | 是 | 否 |
完全权限监视管理员 | 否 | 是 | 否 |
Probe Agent 管理员 | 是 | 是 | 否 |
注意:
自定义访问管理员角色(云管理员和帮助台管理员除外)不适用于适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 、Virtual Apps Essentials 和 Virtual Desktops Essentials。
要查看与角色关联的权限,请执行以下操作:
- 登录 Citrix Cloud。
- 在 DaaS 磁贴中,单击管理打开 Studio。
- 在左侧窗格中,选择管理员。
- 选择角色选项卡。
-
在中上部窗格中选择一个角色。下部窗格中的角色定义选项卡列出了类别和权限。选择一个类别以查看特定的权限。管理员选项卡列出了已分配所选角色的管理员。
已知问题:“完全权限管理员”条目不显示完全访问权限 Citrix DaaS 管理员的正确权限集。
您需要多少管理员
管理员的数量及其权限的粒度通常取决于部署的规模和复杂性。
- 在小规模部署或概念证明部署中,一个或几个管理员便足以完成一切工作。没有自定义访问权限委派。在这种情况下,每个管理员都具有完全访问权限,它始终具有“全部”作用域。
- 在包含更多计算机、应用程序和桌面的较大规模部署中,需要更多委派。多个管理员的职责(角色)划分可能更为明确。例如,两个管理员具有完全访问权限,其他管理员则为技术支持管理员。此外,管理员可能仅管理特定的对象组(作用域),例如特定部门中的计算机目录。在这种情况下,请创建新作用域以及具有相应自定义访问角色和作用域的管理员。
管理员管理摘要
为 Citrix DaaS 设置管理员遵循以下顺序:
-
如果希望管理员具有完全权限管理员(涵盖 Citrix Cloud 中的所有订阅的服务)以外的角色或内置角色,请参阅创建自定义角色。
-
如果希望管理员具有“全部”以外的作用域(并且预期角色允许使用不同的作用域,但尚未创建),请创建作用域。
-
在 Citrix Cloud 中,邀请一个管理员。如果希望新管理员具有默认的完全访问权限以外的任何权限,请指定自定义访问权限角色和作用域对。
以后,如果要更改管理员的访问权限(角色和作用域),请参阅配置自定义访问权限。
添加管理员
要添加(邀请)管理员,请按照向 Citrix Cloud 帐户中添加管理员中的指导进行操作。本文中将重复使用该信息的一部分。
重要:
不要混淆“自定义”和“自定义访问权限”的用法。
- 在 Citrix Cloud 控制台中为 Citrix DaaS 创建管理员和分配角色时,“自定义访问权限”一词包括内置角色和在该服务的 Studio 界面中创建的任何其他自定义角色。
- 在该服务的 Studio 界面中,“自定义”只是将该角色与内置角色区分开来。
添加管理员的常规工作流程如下:
-
登录 Citrix Cloud,然后选择左上角菜单中的 Identity and Access Management(身份识别和访问管理)。
-
在 Identity and Access Management(身份识别和访问管理)页面上,选择 Administrators(管理员)。管理员选项卡列出了该帐户的所有当前管理员。
-
在“管理员”选项卡上,选择您的身份类型,输入管理员的电子邮件地址,然后单击“邀请”。
- 如果您希望管理员拥有完全访问权限,请选择完全访问权限。这样,管理员就可以访问 Citrix Cloud 和所有已订阅的服务中的所有客户管理员功能。
- 如果您希望管理员具有有限的访问权限,请选择自定义访问权限。然后,您可以选择自定义访问角色和作用域对。这样,管理员在登录 Citrix Cloud 时就具有预期的权限。
- 单击发送邀请。Citrix Cloud 向该电子邮件地址发送邀请,并在管理员完成入门后将管理员添加到列表中。
收到电子邮件后,管理员单击 Sign In(登录)链接以接受邀请。
有关添加管理员的详细信息,请参阅管理 Citrix Cloud 管理员。
或者,在 Studio 中前往“管理员”“管理员”,然后单击“添加管理员”。您将直接转到 Identity and Access Management(身份识别和访问管理)> Administrators(管理员),它将在新的浏览器选项卡中打开。在该位置添加管理员后,关闭选项卡并返回到控制台,继续执行您的其他配置任务。
创建和管理角色
管理员创建或编辑角色时,可以仅启用自己拥有的权限。此控制功能将阻止管理员创建具有超过其当前所拥有的权限的角色,然后将其分配给自己(或编辑已分配的角色)。
自定义角色名称最多可以包含 64 个 Unicode 字符。名称不能包含:反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左箭头、右箭头、竖线、左右方括号、左右圆括号、引号和单引号。
角色说明最多可以包含 256 个 Unicode 字符。
- 如果您尚未登录 Citrix Cloud ,请登录。
- 在 DaaS 磁贴中,单击管理。
- 在左侧窗格中,选择管理员。
- 选择角色选项卡。
-
按照要完成的任务的说明进行操作:
- 查看角色详细信息: 在中间窗格中选择角色。中间窗格下方列出了对象类型和角色的相关权限。在下方窗格中单击管理员选项卡,以显示当前具有此角色的管理员列表。
-
创建自定义角色: 在操作栏中选择创建角色。请按如下所示配置设置:
- 输入名称和说明。
- 配置控制台访问权限。确定管理员可以看到哪些控制台。您无需选择任何控制台即可继续。在这种情况下,具有该角色的管理员无法访问管理和监视,但可以通过 SDK 和 API 访问、查看或管理对象。
- 选择对象类型和权限。要授予对象类型的完全访问权限,请选中其复选框。要在粒度级别授予权限,请展开对象类型,然后在类型内的 Manage(管理)下选择 Read Only(只读)或单个对象。
- 复制角色: 在中间窗格中选择角色,然后在操作栏中选择复制角色。根据需要更改名称、说明、对象类型和权限。完成后,选择 Save(保存)。
- 编辑自定义角色: 在中间窗格中选择角色,然后在操作栏中选择编辑角色。根据需要更改名称、说明、对象类型和权限。无法编辑内置角色。完成后,选择 Save(保存)。
- 删除自定义角色: 在中间窗格中选择角色,然后在操作栏中选择删除角色。出现提示时,确认删除。无法删除内置角色。如果某个自定义角色分配给管理员,则无法删除该角色。
创建和管理作用域
默认情况下,所有角色都具有其相关对象的全部作用域。例如,交付组管理员可以管理所有交付组。对于某些管理员角色,您可以创建一个作用域,该作用域允许该管理员角色访问相关对象的子集。例如,您可能希望授予计算机目录管理员访问仅包含特定类型的计算机目录而非所有目录的权限。
- 完全访问权限管理员或自定义访问权限云管理员可以为“只读权限管理员”、“计算机目录管理员”、“交付组管理员”和“主机管理员”角色创建作用域。
- 无法为完全访问权限管理员创建作用域,也无法为云管理员或技术支持管理员创建作用域。这些管理员始终具有“全部”作用域。
创建和管理作用域的规则:
- 作用域名称最多可以包含 64 个 Unicode 字符。名称不能包含:反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左箭头或右箭头、竖线、左右方括号、左右圆括号、引号和单引号。
- 作用域说明最多可以包含 256 个 Unicode 字符。
- 在复制或编辑作用域时,请记住,从作用域中删除对象会导致管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会使任何角色/作用域对无法使用。
要创建和管理作用域,请执行以下操作:
- 登录 Citrix Cloud。
- 在 DaaS 磁贴中,单击管理。
- 在左窗格中,选择左窗格中的管理员。
- 选择作用域选项卡。
-
按照要完成的任务的说明进行操作:
- 查看作用域详细信息: 选择作用域。窗格的下部列出了具有该作用域的对象和管理员。
-
创建作用域: 在操作栏中选择创建作用域。输入名称和说明。这些对象按类型列出,例如交付组和计算机目录。
- 要包括特定类型的所有对象(例如,所有交付组),请选择对象类型对应的复选框。
-
要包括某种类型内的单个对象,请展开该类型,然后选择对象(例如,特定交付组)对应的交付组。
注意:
应用程序组、交付组或计算机目录以与 DaaS 中的管理保持一致的文件夹结构显示。您可以选择一个文件夹来选择其中的所有对象,也可以展开一个文件夹来选择特定的对象。
- 要创建租户客户,请选中租户作用域复选框。如果选中,为作用域输入的名称则为租户名称。有关租户作用域的详细信息,请参阅租户管理。
完成后,选择 OK(确定)。
- 复制作用域: 在中间窗格中选择作用域,然后在操作栏中选择复制作用域。更改名称、说明。根据需要更改对象类型和对象。完成后,选择 Save(保存)。
- 编辑作用域: 在中间窗格中选择作用域,然后在操作栏中选择编辑作用域。根据需要更改名称、说明、对象类型和对象。完成后,选择 Save(保存)。
-
删除作用域: 在中间窗格中选择作用域,然后在操作栏中选择删除作用域。出现提示时,确认删除。
如果某个作用域分配给某个角色,则无法删除该作用域。如果您尝试执行此操作,则将显示一条错误消息,指示您没有权限。事实上,出现错误的原因是使用此作用域的角色/作用域对分配给管理员。首先,删除所有使用该角色/作用域对的角色/作用域分配。然后在 Studio 中删除作用域。
创建作用域后,它会显示在 Citrix Cloud 控制台的 自定义访问 列表中。然后,您可以在向管理员分配角色时选择该角色。
例如,假设您创建了一个名为 CAD 的作用域,然后选择包含适合 CAD 应用程序的计算机的目录。当您返回 Citrix Cloud 控制台并选择 编辑角色作用域 时,可用作用域列表会显示您之前创建的 CAD 作用域。
云管理员和技术支持管理员始终具有“全部”作用域,因此,CAD 作用域不适用于这些管理员。
租户管理
使用 Studio,您可以在单个 Citrix DaaS 下创建互斥的租户。可以通过在管理员 > 作用域中创建租户作用域并将相关配置对象(例如计算机目录和交付组)与这些租户关联来实现这一目标。因此,具有租户访问权限的管理员只能管理与租户关联的对象。
例如,如果您的组织执行以下操作,则此功能非常有用:
- 有不同的业务孤岛(独立的部门或独立的 IT 管理团队)或
- 具有多个本地站点,并希望在单个 Citrix DaaS 实例中保持相同的设置。
该界面允许您按名称筛选租户客户。默认情况下,此界面显示有关所有租户客户的信息。要显示有关特定租户的信息,请从右上角的列表中选择该租户。
创建租户客户
要创建租户客户,请在创建作用域时选择租户作用域。通过选择该选项,您可以创建一个唯一的作用域类型,该类型适用于在不同业务部门之间共享 Citrix DaaS 实例的场景中的对象,这些业务部门中的每个业务部门都独立于其他业务部门。创建租户作用域后,无法更改作用域类型。
作用域选项卡显示所有作用域项目。常规作用域与租户作用域之间的唯一区别在于类型列。空白列字段表示常规作用域。如果需要,可以单击类型列对作用域项目进行排序。
要查看附加到作用域的资源(对象),请在左侧窗格中选择管理员。在作用域选项卡上,选择作用域,然后在操作栏中选择编辑作用域。
提示:
租户属性是在作用域级别分配的。计算机目录、交付组、应用程序和连接继承适用作用域中的租户属性。
使用租户作用域时,请注意以下注意事项:
- 租户属性按以下顺序分配:托管 > 计算机目录 > 交付组 > 应用程序。级别较低的对象依赖级别更高的对象以从中继承租户属性。例如,选择交付组时,必须选择关联的托管和计算机目录。否则,交付组将无法继承租户属性。
- 创建租户作用域后,可以通过修改对象来编辑租户分配。当租户分配发生变化时,它仍然受到以下约束的约束:必须将其分配给相同的租户或者这些租户的子集。但是,当租户分配发生变化时,不会重新评估级别较低的对象。在更改租户分配时,请确保对象受到适当的限制。例如,如果计算机目录适用于
TenantA
和TenantB
,则可以为TenantA
创建一个交付组,为TenantB
创建一个交付组。(TenantA
和TenantB
都与该计算机目录关联。)然后,您可以更改仅与TenantA
关联的计算机目录。因此,与TenantB
关联的交付组将变得无效。
为管理员配置自定义访问权限
创建租户作用域后,为各自的管理员配置自定义访问权限。有关详细信息,请参阅为管理员配置自定义访问权限。Citrix Cloud 向您指定的客户管理员发送邀请,并将其添加到列表中。收到电子邮件时,他们将单击 Sign In(登录)接受邀请。当他们登录 Studio 时,他们会看到分配的角色和作用域对包含的资源。
具有租户访问权限的管理员只能管理与租户关联的对象(例如,计算机目录、交付组)。
为管理员配置自定义访问权限
通过此功能,您可以通过与其在组织中的角色相一致的方式定义现有管理员或您邀请的管理员的访问权限。
您对访问权限所做的更改需要 5 分钟才能生效。退出 Studio 并重新登录会使更改立即生效。如果管理员在更改生效后仍使用管理界面而不重新连接到该控制台,则当其尝试访问不再具有权限的项目时,会显示一条警告。
默认情况下,当您邀请管理员时,这些管理员具有完全访问权限。完全访问权限允许管理员管理所有订阅的服务和所有 Citrix Cloud 操作(例如邀请更多管理员)。Citrix Cloud 部署至少需要一位具有完全访问权限的管理员。
您也可以在邀请管理员时授予自定义访问权限。自定义访问权限允许管理员仅管理您指定的服务和操作。
在 Citrix DaaS 中创建角色或作用域时,它会显示在自定义访问列表中并可以选择。为管理员选择角色时,可以根据需要修改作用域以反映管理员在组织中的角色。
要为管理员配置自定义访问权限,请执行以下操作:
- 登录 Citrix Cloud。选择左上角菜单中的 Identity and Access Management(身份识别和访问管理)> Administrators(管理员)。
-
找到要管理的管理员,选择省略号菜单,然后选择 Edit access(编辑访问权限)。
-
选择 Custom access(自定义访问权限)。
-
在 DaaS 下,选择或清除一个或多个角色旁边的复选标记。要修改与分配的角色关联的作用域,请选择 编辑作用域。
默认情况下,每个选定角色都选择了所有作用域,如所有作用域标签所示。
-
要为所选角色指定作用域,请选择 自定义作用域 ,然后添加或删除相应的作用域。默认情况下,所有自定义作用域都将添加到角色中。要移除作用域,请单击作用域上的 X 图标。
已移除但可以添加到角色的作用域显示在已添加的作用域下方的列表中。要向角色添加作用域,请选择作用域的加号图标。
-
选择完范围后,选择应用。
- 选择“保存”为管理员保存选定的角色。
与本地 Citrix Virtual Apps and Desktops 的区别
如果您熟悉本地 Citrix Virtual Apps and Desktops 产品中的委派管理,则会发现 Citrix DaaS 版本有几个不同之处。
在 Citrix Cloud 中:
- 管理员通过其 Citrix Cloud 登录名(而非 Active Directory 帐户)来识别。可以为 Active Directory 个人创建角色/作用域对,但不能创建组。
- 管理员是在 Citrix Cloud 控制台(而非 Citrix DaaS)中创建、配置和删除的。
- 角色/作用域对在 Citrix Cloud 控制台(而非 Citrix DaaS)中分配给管理员。
- 报告不可用。您可以在服务的 Studio 界面中查看管理员、角色和作用域信息。
-
自定义访问云管理员类似于本地版本中的完全权限管理员。两者都具有对正在使用的 Citrix Virtual Apps and Desktops 版本的完全管理和监视权限。
但是,在 Citrix DaaS 中,没有指定的完全权限管理员角色。请勿将 Citrix Cloud 中的“Full access”(完全访问权限)与本地 Citrix Virtual Apps and Desktops 中的“完全权限管理员”等同。Citrix Cloud 中的完全访问权限涵盖平台级别的域、库、通知和资源位置,以及所有订阅的服务。
与早期 Citrix DaaS 版本的差异
在发布扩展的自定义访问功能(2018 年 9 月)之前,有两个自定义访问管理员角色:完全权限管理员和技术支持管理员。当您的部署启用了委派管理(这是一项平台设置)时,这些角色将自动映射。
- 以前配置为自定义访问权限 Virtual Apps and Desktops(或 XenApp 和 XenDesktop)服务: 完全权限管理员的管理员现在为自定义访问权限云管理员。
- 以前配置为自定义访问权限 Virtual Apps and Desktops(或 XenApp 和 XenDesktop)服务: 技术支持管理员的管理员现在为自定义访问权限技术支持管理员。
更多信息
有关服务的监视控制台中使用的管理员、角色和作用域的信息,请参阅委派管理和监视。