管理
管理员角色定义在 Citrix Secure Internet Access (CSIA) 服务中查看功能和执行各种活动的权限。
作为 Citrix Secure Internet Access 服务的一部分包含以下功能:
- 控制板。访问顶层报告。
- Web 网关。访问 Secure Web Gateway 服务。
- 报告和分析。访问更详细的报告。
- 位置和地理映射。访问云和网关节点的地理位置。
- 节点集合管理。访问节点集合管理功能。
- 许可。能够获取服务的许可详细信息。
- 用户管理。能够创建自定义角色并将自定义角色分配给其他管理员。
基于角色的访问控制
与 Citrix SD-WAN Orchestrator 一样,对 Citrix Secure Internet Access 服务资源的访问是根据分配给单个管理员的角色进行管理的。Citrix Secure Internet Access 服务的管理员用户可以分配四种访问权限级别:Customer-Master-Admin、Customer-Master-ReadOnly-Admin、Customer-No-Access 和 Customer-Master-ReadOnly-Admin-Privacy-Mode。
-
Customer-Master-Admin 级别是允许管理员执行以下操作的完全访问权限角色:
- 管理 Citrix Secure Internet Access 服务的所有功能。
- 向服务添加管理员。
- 从服务中删除管理员。
- 在客户网络中分配、编辑和删除角色。
- 创建自定义角色。
- Customer-Master-ReadOnly-Admin 级别是一个只读角色,仅允许管理员查看 Citrix Secure Internet Access 服务功能。
- Customer-No-Access 级别拒绝访问所有 Citrix Secure Internet Access 服务功能。
- Customer-Master-ReadOnly-Admin-Privacy-Mode 级别授予对所有 Citrix Secure Internet Access 服务功能的只读访问权限,但许可和用户设置除外。具有此角色的用户无法查看其帐户中其他管理员用户的列表、分配的角色或许可相关信息。
注意:
对于 Citrix Secure Internet Access 服务,角色是在 客户 级别分配的。对于 Citrix SD-WAN Orchestrator 服务,角色在 客户 级别和 提供商 级别分配。因此,Citrix SD-WAN Orchestrator 服务同时具有 Customer-Master-Admin 角色和 Provider-Master-Admin-All 角色可用。
要应用 RBAC,首先需要将用户作为管理员添加到 Citrix Cloud 服务。
向 Citrix Cloud 服务添加新用户
您可以使用 Citrix Cloud 中的身份和访问管理功能将管理员添加到 Citrix Secure Internet Access 服务。如果需要,新管理员可以使用其现有的 Citrix 帐户凭据或设置新帐户。
要添加新 管理员,请从 Citrix Cloud 主页上的菜单中选择身份和访问管理 ,然后按照用户界面上的提示进行操作。有关更多信息,请参阅 管理 Citrix Cloud 管理员。
系统会自动为您添加的任何新管理员分配对 Citrix Cloud 服务的完全访问权限。您可以在更精细的级别上编辑管理员可以查看和管理 Citrix Cloud 的哪些部分。
编辑新用户的访问权限
通过 Citrix 身份和访问管理添加新管理员后,您可以设置角色。
从针对您创建的帐户的操作列表中选择 编辑访问权限 ,然后选择 “完全访问权限”(对 Citrix Cloud 服务)或 “自定义访问权限”。
要授予对 Citrix Secure Internet Access 服务的完全访问权限,而不选择自定义的子功能(在 “ 自定义访问 ” > “ 常规管理” 下),请选择高级 完全访问权限 选项。
如果以下任一或两项都适用,请选择 自定义访问权限 :
- 您想要规范对 “ 常规管理” 下列出的子功能的访问权限。
- 具体而言,您想要规范对 Citrix Secure Internet Access 服务的访问级别。
如果选择 “ 自定义访问”,则需要与 常规管理 分开指定 “ 安全 Internet 访问” 的访问级别。此访问权限可以是:完全访问权限、只读访问权限、只读访问权限(隐私模式)或无访问权限。
分配了客户管理员: 完全访问权限的用户对 Citrix Secure Internet Access 服务的访问权限与高级完全访问权限选项(位于自定义访问权限上方)所授予的访问权限相同。选择客户管理员:完全访问权限可授予对 Citrix Secure Internet Access 服务功能的完全访问权限,同时还可以选择对常规管理下的子功能的不同访问级别。
重要
在 “ 安全上网接入 ” 下选中 一个 复选框或 不选中任何一个框。如果同时选中这两个框,则会向管理员授予最高级别的权限,这会带来安全风险。
分配了 “ 客户:只读访问权限 ” 的用户只能 查看 服务的功能。分配了 “ 客户:只读访问”(隐私模式) 的用户具有只读访问权限,可以查看除 许可 和 用户设置之外的所有服务功能。
如果两个选项都不选择,则用户将无法访问 Citrix Secure Internet Access 功能。
注意
如果管理员在身份和访问管理中被拒绝访问,则无法在 Citrix Secure Internet Access 服务中编辑管理员角色。要在 Citrix Secure Internet Access 服务中查看和编辑管理员,您必须在首次添加管理员时授予他们完全或只读访问权限。
重要
以后对用户访问权限进行的所有更改都必须在 Citrix Secure Internet Access 服务用户设置中进行。在身份和访问管理中编辑的管理员的现有权限不会发送到 Citrix Secure Internet Access 服务。在某些情况下,您可能需要删除管理员并重新邀请管理员。
设置用户角色
本节介绍如何进一步定义和管理管理员对 Citrix Secure Internet Access 服务功能的访问权限。
注意:
同时拥有 Citrix Secure Internet Access 服务订阅和 Citrix SD-WAN Orchestrator 服务订阅的客户共享管理 > 用户设置。
要编辑现有用户作为 Citrix Secure Internet Access 服务管理员的角色,请导航到管理 > 用户设置。您可以从预定义角色列表和自定义角色列表中分配角色。从其中一个菜单中选择适当的基于角色的访问权限,然后保存您的选择。
预定义的角色
客户级别有四个预定义的角色可用于 Citrix Secure Internet Access 服务:
- Customer-Master-Admin 角色(默认)允许管理员查看和编辑 Citrix Secure Internet Access 信息。
- Customer-Master-ReadOnly-Admin 角色允许管理员在没有编辑权限的情况下查看 Citrix Secure Internet Access 信息。
- Customer-No-Access 角色拒绝管理员访问 Citrix Secure Internet Access 服务功能。
- Customer-Master-ReadOnly-Admin-Privacy-Mode 级别授予对所有 Citrix Secure Internet Access 服务功能的只读访问权限,但许可和用户设置除外。具有此角色的用户无法查看其帐户中其他管理员用户的列表、分配的角色或许可相关信息
自定义角色
您可以根据对 Citrix Secure Internet Access 服务的各个功能的不同权限创建自定义角色。
要创建随后可分配给管理员的自定义管理员角色,请导航到 “ 管理 ” > “ 角色设置”。新建自定义角色表单允许您为Citrix Secure Internet Access 服务的各个功能选择不同的访问级别。
创建自定义角色后,该角色将显示在 “ 用户设置”的自定义角色列表中。
多个角色
如果用户是多个客户的管理员,则会在 Citrix Secure Internet Access 服务中为他们分配多个角色,并且可以在帐户之间切换。在这种情况下,用户可以根据每个帐户使用不同的角色。
要在角色之间切换,请选择屏幕右上角铃铛图标旁边的更改角色。
查看管理员详细信息
您可以查看所有管理员的角色和电子邮件地址。要查看管理员详细信息,请导航到 “ 管理 ” > “ 管理员”。
删除管理员
要从 Citrix Secure Internet Access 服务中删除管理员,请导航到 管理 > 管理员。选择要删除的帐户对应的删除按钮,然后选择 保存。
