委派管理
概述
借助 Citrix Cloud™ 中的委派管理功能,您可以根据组织中所有管理员的角色配置其所需的访问权限。
默认情况下,管理员拥有完全访问权限。此设置允许访问 Citrix Cloud 中所有可用的客户管理和管理功能,以及所有订阅服务。要自定义管理员的访问权限:
- 为管理员在 Citrix Cloud 中的常规管理权限配置自定义访问权限。
- 为订阅服务配置自定义访问权限。在 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops™ 服务)中,您可以在邀请新管理员时配置自定义访问权限。您可以在以后更改管理员的访问权限。
有关显示管理员列表和定义访问权限的信息,请参阅管理管理员对 Citrix Cloud 的访问权限。
本文介绍如何在 Citrix DaaS 中配置自定义访问权限。
管理员、角色和作用域
委派管理使用三个概念来实现自定义访问:管理员、角色和作用域。
- Administrators(管理员):管理员代表通过其 Citrix Cloud 登录信息(通常是电子邮件地址)标识的用户。每个管理员都与一个或多个角色和作用域对相关联。
-
Roles(角色):角色代表一项工作职能,并具有与其关联的权限。这些权限允许执行 Citrix DaaS 独有的某些任务。例如,Delivery Group Administrator(交付组管理员)角色具有创建交付组和从交付组中删除桌面以及其他相关权限。管理员可以拥有多个角色。管理员可以是 Delivery Group Administrator(交付组管理员)和 Machine Catalog Administrator(计算机目录管理员)。
Citrix DaaS 提供了多个内置的自定义访问角色。您无法更改这些内置角色中的权限,也无法删除这些角色。
您可以创建自己的自定义访问角色,以满足组织的需要,并更详细地委派权限。使用自定义角色可以按操作或任务的粒度分配权限。只有当自定义角色未分配给管理员时,才能删除该角色。
您可以更改管理员拥有的角色。
角色始终与作用域配对。
-
Scopes(作用域):作用域表示对象的集合。作用域用于以与您的组织相关的方式对对象进行分组。对象可以存在于多个作用域中。
有一个内置作用域:All(全部),其中包含所有对象。Citrix Cloud 和 Help Desk Administrator(技术支持管理员)始终与 All(全部)作用域配对。这些管理员的作用域无法更改。
当您邀请(添加)此服务的管理员时,角色始终与作用域配对(默认情况下为 All(全部)作用域)。
您可以使用 Studio 创建和删除作用域。您可以在 Citrix Cloud 控制台中分配角色/作用域对。
Full access(完全访问权限)管理员不显示作用域。根据定义,这些管理员可以访问所有客户管理的 Citrix Cloud 和订阅服务对象。
内置角色和作用域
Citrix DaaS 具有以下内置角色。
-
Cloud Administrator(云管理员):可以执行管理 DaaS 的所有任务和操作。
可以在 Studio 中看到 Manage(管理)和 Monitor(监视)控制台。此角色始终与 All(全部)作用域结合使用。您无法更改作用域。
请勿混淆此角色的名称。自定义访问 Cloud Administrator(云管理员)无法执行 Citrix Cloud 级别的任务(Citrix Cloud 任务需要 Full access(完全访问权限))。
-
Read Only Administrator(只读管理员):可以查看指定作用域中的所有对象(除了全局信息),但不能更改任何内容。例如,具有 London 作用域的 Read Only Administrator(只读管理员)可以查看所有全局对象和 London 作用域中的任何对象(例如,London Delivery Groups)。但是,该管理员无法查看 New York 作用域中的对象(假设 London 和 New York 作用域不重叠)。
可以在 Studio 中看到 Manage(管理)和 Monitor(监视)控制台。
-
Help Desk Administrator(技术支持管理员):可以查看交付组,并管理与这些组关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。
可以在 Studio 中看到 Monitor(监视)控制台。无法看到 Manage(管理)控制台。此角色始终与 All(全部)作用域结合使用。您无法更改作用域。
-
Machine Catalog Administrator(计算机目录管理员):可以创建和管理计算机目录,并将计算机预配到其中。可以管理基础映像和安装软件,但不能将应用程序或桌面分配给用户。
可以在 Studio 中看到 Manage(管理)和 Monitor(监视)控制台。您可以更改作用域。
-
Delivery Group Administrator(交付组管理员):可以交付应用程序、桌面和计算机。还可以管理关联的会话。可以管理应用程序和桌面配置,例如策略和电源管理设置。
可以在 Studio 中看到 Manage(管理)和 Monitor(监视)控制台。您可以更改作用域。
Note:
要以 Delivery Group Administrator(交付组管理员)身份更改桌面的显示名称,您需要 Perform Machine Update(执行计算机更新)权限。此权限是必需的,因为更改显示名称涉及更新计算机属性。
-
Host Administrator(主机管理员):可以管理主机连接及其关联的资源设置。无法向用户交付计算机、应用程序或桌面。
可以在 Studio 中看到 Manage(管理)控制台。无法看到 Monitor(监视)控制台。您可以更改作用域。
-
Session Administrator(会话管理员):可以查看正在监视的交付组,并管理其关联的会话和计算机。
可以在 Studio 中看到 Monitor(监视)控制台。无法看到 Manage(管理)控制台。您无法更改作用域。
-
Full Monitor Administrator(完全监视管理员):可以执行监视 DaaS 的所有任务和操作。
可以在 Studio 中看到 Monitor(监视)控制台。无法看到 Manage(管理)控制台。您无法更改作用域。
-
Probe Agent Administrator(探测代理管理员):可以访问 Probe Agent API。
可以在 Studio 中看到 Manage(管理)和 Monitor(监视)控制台。对 Applications(应用程序)页面具有只读访问权限,但无法访问任何其他视图。
下表总结了 Citrix DaaS 中每个自定义访问角色可见的控制台选项卡,以及该角色是否可与自定义作用域一起使用。
| Custom access administrator role(自定义访问管理员角色) | Can see Manage console in Studio?(可以在 Studio 中看到 Manage(管理)控制台吗?) | Can see Monitor console in Studio?(可以在 Studio 中看到 Monitor(监视)控制台吗?) | Can role be used with custom scopes?(角色可以与自定义作用域一起使用吗?) |
|---|---|---|---|
| Cloud Administrator | Yes | Yes | No |
| Read Only Administrator | Yes | Yes | Yes |
| Help Desk Administrator | No | Yes | No |
| Machine Catalog Administrator | Yes | Yes | Yes |
| Delivery Group Administrator | Yes | Yes | Yes |
| Host Administrator | Yes | No | Yes |
| Session Administrator | No | Yes | No |
| Full Monitor Administrator | No | Yes | No |
| Probe Agent Administrator | Yes | Yes | No |
Note:
- 自定义访问管理员角色(Cloud Administrator(云管理员)和 Help Desk Administrator(技术支持管理员)除外)不适用于 Virtual Apps Essentials 和 Virtual Desktops Essentials。
- 自定义访问管理员角色(Cloud Administrator(云管理员)和 Full Monitor Administrator(完全监视管理员)除外)不适用于 Citrix DaaS Standard for Azure。
要查看与角色关联的权限:
- 登录 Citrix Cloud。
- 在 DaaS 磁贴中,单击 Manage(管理)以打开 Studio。
- 在左侧窗格中,选择 Manage > Administrators(管理 > 管理员)。
- 选择 Roles(角色)选项卡。
- 在中间窗格的上方选择一个角色。下部窗格中的 Role definition(角色定义)选项卡列出了类别和权限。选择一个类别以查看特定权限。Administrators(管理员)选项卡列出了已分配所选角色的管理员。
您需要的管理员数量
管理员的数量及其权限的粒度通常取决于部署的规模和复杂性。
- 在小型或概念验证部署中,一个或几个管理员执行所有操作。没有自定义访问委派。在这种情况下,每个管理员都具有 Full access(完全访问权限),该权限始终具有 All(全部)作用域。
- 在具有更多计算机、应用程序和桌面的大型部署中,需要更多的委派。一些管理员可能具有更具体的功能职责(角色)。例如,两个管理员具有 Full access(完全访问权限),而其他管理员是 Help Desk Administrator(技术支持管理员)。此外,管理员可能只管理某些对象组(作用域),例如特定部门中的计算机目录。在这种情况下,创建新的作用域,以及具有相应自定义访问角色和作用域的管理员。
管理员管理摘要
为 Citrix DaaS 设置管理员遵循以下顺序:
-
如果您希望管理员拥有内置角色以外的角色,请创建自定义角色。
-
如果您希望管理员拥有 All(全部)以外的作用域(并且允许为预期角色使用不同的作用域,并且尚未创建),请创建作用域。
-
在 Citrix Cloud 中,邀请管理员。如果您希望新管理员拥有默认 Full access(完全访问权限)以外的任何权限,请指定自定义访问角色和作用域对。
稍后,如果您想更改管理员的访问权限(角色和作用域),请参阅配置管理员的自定义访问权限。
添加管理员
要添加(邀请)管理员,请遵循将管理员添加到 Citrix Cloud 帐户中的指导。此处重复了该信息的一个子集。
Important:
请勿混淆“custom”(自定义)和“custom access”(自定义访问权限)的用法。
- 在 Citrix Cloud 控制台中为 Citrix DaaS 创建管理员和分配角色时,“custom access”(自定义访问权限)一词包括内置角色以及在服务的 Studio 界面中创建的任何其他自定义角色。
- 在服务的 Studio 界面中,“custom”(自定义)只是将该角色与内置角色区分开来。
添加管理员的一般工作流程如下:
-
登录 Citrix Cloud,然后选择左上角菜单中的 Identity and Access Management(身份和访问管理)。
-
在 Identity and Access Management(身份和访问管理)页面上,选择 Administrators(管理员)。Administrators(管理员)选项卡列出了帐户的所有当前管理员。
-
在 Administrators(管理员)选项卡上,选择您的身份类型,输入管理员的电子邮件地址,然后单击 Invite(邀请)。
- 如果您希望管理员拥有完全访问权限,请选择 Full access(完全访问权限)。这样,管理员可以访问 Citrix Cloud 和所有订阅服务中的所有客户管理员功能。
- 如果您希望管理员拥有有限访问权限,请选择 Custom access(自定义访问权限)。然后,您可以选择自定义访问角色和作用域对。这样,管理员在登录 Citrix Cloud 时就拥有预期的权限。
- 单击 Send Invite(发送邀请)。Citrix Cloud 会向该电子邮件地址发送邀请,并在管理员完成入职后将管理员添加到列表中。
收到电子邮件后,管理员单击 Sign In(登录)链接以接受邀请。
有关添加管理员的更多信息,请参阅管理 Citrix Cloud 管理员。
或者,转到 Studio 中的 Administrators > Administrators(管理员 > 管理员),然后单击 Add Administrator(添加管理员)。您将直接转到 Identity and Access Management > Administrators(身份和访问管理 > 管理员),该页面将在新的浏览器选项卡中打开。完成添加管理员后,关闭选项卡并返回控制台以继续执行其他配置任务。
创建和管理角色
当管理员创建或编辑角色时,他们只能启用自己拥有的权限。此控制可防止管理员创建具有比其当前权限更多权限的角色,然后将其分配给自己(或编辑已分配给他们的角色)。
自定义角色名称最多可包含 64 个 Unicode 字符。名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头、右箭头、管道符、左方括号或右方括号、左圆括号或右圆括号、引号和撇号。
角色描述最多可包含 256 个 Unicode 字符。
- 如果您尚未登录,请登录 Citrix Cloud。
- 在 DaaS 磁贴中,单击 Manage(管理)以打开 Studio。
- 在左侧窗格中,选择 Manage > Administrators(管理 > 管理员)。
- 选择 Roles(角色)选项卡。
-
按照您要完成的任务的说明进行操作:
- View role details(查看角色详细信息):在中间窗格中选择角色。中间窗格的下部列出了角色的对象类型和关联权限。选择一个类别以查看特定权限。下部窗格中的 Administrators(管理员)选项卡显示了当前拥有此角色的管理员列表。
-
Create a custom role(创建自定义角色):在操作栏中选择 Create Role(创建角色)。按如下方式配置设置:
- 输入名称和描述。
- 配置控制台访问权限。确定管理员可见的控制台。您可以不选择任何控制台。在这种情况下,具有该角色的管理员无法访问 Manage(管理)和 Monitor(监视),但可以通过 SDK 和 API 访问、查看或管理对象。
- 选择对象类型和权限。要授予对象类型完全访问权限,请选中其复选框。要以精细级别授予权限,请展开对象类型,然后选择 Read Only(只读)或该类型下 Manage(管理)中的单个对象。
- Copy a role(复制角色):在中间窗格中选择角色,然后在操作栏中选择 Copy Role(复制角色)。根据需要更改名称、描述、对象类型和权限。完成后,选择 Save(保存)。
- Edit a custom role(编辑自定义角色):在中间窗格中选择角色,然后在操作栏中选择 Edit Role(编辑角色)。根据需要更改名称、描述、对象类型和权限。您无法编辑内置角色。完成后,选择 Save(保存)。
- Delete a custom role(删除自定义角色):在中间窗格中选择角色,然后在操作栏中选择 Delete Role(删除角色)。出现提示时,确认删除。您无法删除内置角色。如果自定义角色已分配给管理员,则无法删除该角色。
创建和管理作用域
默认情况下,所有角色都具有其相关对象的 All(全部)作用域。例如,Delivery Group Administrator(交付组管理员)可以管理所有 Delivery Groups。对于某些管理员角色,您可以创建一个作用域,允许该管理员角色访问相关对象的子集。例如,您可能希望授予 Machine Catalog Administrator(计算机目录管理员)访问权限,使其只能访问包含特定类型计算机的目录,而不是所有目录。
- Full access(完全访问权限)管理员或自定义访问 Cloud Administrator(云管理员)可以为 Read Only Administrator(只读管理员)、Machine Catalog Administrator(计算机目录管理员)、Delivery Group Administrator(交付组管理员)和 Host Administrator(主机管理员)角色创建作用域。
- 无法为 Full access(完全访问权限)管理员创建作用域,也无法为 Cloud Administrator(云管理员)或 Help Desk Administrator(技术支持管理员)创建作用域。这些管理员始终具有 All(全部)作用域。
创建和管理作用域的规则:
- 作用域名称最多可包含 64 个 Unicode 字符。名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头或右箭头、管道符、左方括号或右方括号、左圆括号或右圆括号、引号和撇号。
- 作用域描述最多可包含 256 个 Unicode 字符。
- 当您复制或编辑作用域时,请记住从作用域中删除对象可能会使这些对象对管理员不可访问。如果编辑后的作用域与一个或多个角色配对,请确保您的作用域更新不会使任何角色/作用域对无法使用。
要创建和管理作用域:
- 登录 Citrix Cloud。
- 在 DaaS 磁贴中,单击 Manage(管理)以打开 Studio。
- 在左侧窗格中,选择左侧窗格中的 Manage > Administrators(管理 > 管理员)。
- 选择 Scopes(作用域)选项卡。
-
按照您要完成的任务的说明进行操作:
- View scope details(查看作用域详细信息):选择作用域。窗格的下部列出了具有该作用域的对象和管理员。
-
Create a scope(创建作用域):在操作栏中选择 Create Scope(创建作用域)。输入名称和描述。对象按类型列出,例如交付组和计算机目录。
- 要包含特定类型的所有对象(例如,所有交付组),请选中该对象类型的复选框。
-
要包含类型中的单个对象,请展开该类型,然后选中对象的复选框(例如,特定交付组)。
Note:
应用程序组、交付组或计算机目录以与 DaaS 中的管理相符的文件夹结构显示。您可以选择一个文件夹以选择其所有对象,或展开一个文件夹以选择特定对象。
- 要创建租户客户,请选中 Tenant scope(租户作用域)复选框。如果选中,您为作用域输入的名称就是租户名称。有关租户作用域的更多信息,请参阅租户管理。
完成后,选择 OK(确定)。
- Copy a scope(复制作用域):在中间窗格中选择作用域,然后在操作栏中选择 Copy Scope(复制作用域)。更改名称、描述。根据需要更改对象类型和对象。完成后,选择 Save(保存)。
- Edit a scope(编辑作用域):在中间窗格中选择作用域,然后在操作栏中选择 Edit Scope(编辑作用域)。根据需要更改名称、描述、对象类型和对象。完成后,选择 Save(保存)。
-
Delete a scope(删除作用域):在中间窗格中选择作用域,然后在操作栏中选择 Delete Scope(删除作用域)。出现提示时,确认删除。
如果作用域已分配给角色,则无法删除该作用域。如果您尝试这样做,错误消息会指示您没有权限。实际上,发生此错误是因为使用此作用域的角色/作用域对已分配给管理员。首先,删除使用它的所有管理员的角色/作用域对分配。然后删除 Studio 中的作用域。
创建作用域后,它将显示在 Citrix Cloud 控制台的 Custom access(自定义访问权限)列表中。然后,您可以在将角色分配给管理员时选择它。
例如,假设您创建了一个名为 CAD 的作用域,并选择了包含适用于 CAD 应用程序的计算机的目录。当您返回 Citrix Cloud 控制台并为某个角色选择 Edit scopes(编辑作用域)时,可用作用域列表将显示您之前创建的 CAD 作用域。
Cloud Administrator(云管理员)和 Help Desk Administrator(技术支持管理员)始终具有 All(全部)作用域,因此 CAD 作用域不适用于他们。
租户管理
使用 Studio,您可以在单个 Citrix DaaS 下创建互斥的租户。您可以通过在 Administrators > Scopes(管理员 > 作用域)中创建租户作用域并将相关的配置对象(例如计算机目录和交付组)与这些租户关联来实现此目的。因此,有权访问租户的管理员只能管理与该租户关联的对象。
此功能非常有用,例如,如果您的组织:
- 具有不同的业务孤岛(独立的部门或独立的 IT 管理团队)或
- 具有多个本地站点并希望在单个 Citrix DaaS 实例中保持相同的设置。
该界面允许您按名称筛选租户客户。默认情况下,该界面显示所有租户客户的信息。要显示特定租户的信息,请从右上角的列表中选择该租户。
创建租户客户
要创建租户客户,请在创建作用域时选择 Tenant scope(租户作用域)。通过选择此选项,您可以创建一个唯一的范围类型,该类型适用于在不同业务部门之间共享 Citrix DaaS 实例的场景——每个业务部门都独立于其他业务部门。创建租户作用域后,您无法更改作用域类型。
Scopes(作用域)选项卡显示所有作用域项目。常规作用域和租户作用域之间的唯一区别在于 Type(类型)列。空白列字段表示常规作用域。如果需要,您可以单击 Type(类型)列对作用域项目进行排序。
要查看附加到作用域的资源(对象),请在左侧窗格中选择 Administrators(管理员)。在 Scopes(作用域)选项卡上,选择作用域,然后在操作栏中选择 Edit Scope(编辑作用域)。
Tip:
租户属性在作用域级别分配。计算机目录、交付组、应用程序和连接从适用的作用域继承租户属性。
使用租户作用域时,请注意以下注意事项:
- 租户属性按以下顺序分配:Hosting > Machine Catalogs > Delivery Groups > Applications(托管 > 计算机目录 > 交付组 > 应用程序)。低级对象依赖于高级对象来继承租户属性。例如,在选择交付组时,您必须选择关联的托管和计算机目录。否则,交付组无法继承租户属性。
- 创建租户作用域后,您可以通过修改对象来编辑租户分配。当租户分配更改时,它仍然受限于必须分配给相同的租户或这些租户的子集。但是,当租户分配更改时,低级对象不会重新评估。请确保在更改租户分配时正确限制对象。例如,如果计算机目录可用于
TenantA和TenantB,则可以为TenantA创建一个交付组,为TenantB创建一个交付组。(TenantA和TenantB都与该计算机目录关联。)然后,您可以将计算机目录更改为仅与TenantA关联。因此,与TenantB关联的交付组将变为无效。
配置管理员的自定义访问权限
创建租户作用域后,为相应的管理员配置自定义访问权限。有关更多信息,请参阅配置管理员的自定义访问权限。Citrix Cloud 会向您指定的客户管理员发送邀请,并将其添加到列表中。当他们收到电子邮件时,他们单击 Sign In(登录)以接受邀请。当他们登录 Studio 时,他们会看到分配的角色和作用域对包含的资源。
有权访问租户的管理员只能管理与该租户关联的对象(例如,计算机目录、交付组)。
配置管理员的自定义访问权限
此功能允许您以与现有管理员或您邀请的管理员在组织中的角色相符的方式定义其访问权限。
您对访问权限所做的更改需要 5 分钟才能生效。退出 Studio 并重新登录会立即生效。在管理员在更改生效后仍在使用管理界面而未重新连接到该界面的情况下,当他们尝试访问不再具有权限的项目时,会出现警告。
默认情况下,当您邀请管理员时,他们拥有 Full access(完全访问权限)。Full access(完全访问权限)允许管理员管理所有订阅服务和所有 Citrix Cloud 操作(例如邀请更多管理员)。Citrix Cloud 部署至少需要一名具有 Full access(完全访问权限)的管理员。
您还可以在邀请管理员时授予 Custom access(自定义访问权限)。Custom access(自定义访问权限)允许管理员仅管理您指定的服务和操作。
当您在 Citrix DaaS 中创建角色或作用域时,它会显示在自定义访问权限列表中并可供选择。当您为管理员选择角色时,您可以根据需要修改作用域以反映管理员在组织中的角色。
要配置管理员的自定义访问权限:
- 登录 Citrix Cloud。选择左上角菜单中的 Identity and Access Management > Administrators(身份和访问管理 > 管理员)。
-
找到您要管理的管理员,选择省略号菜单,然后选择 Edit access(编辑访问权限)。
-
选择 Custom access(自定义访问权限)。
-
在 DaaS 下,选择或清除一个或多个角色旁边的复选标记。要修改与分配角色关联的作用域,请选择 Edit scopes(编辑作用域)。
默认情况下,每个选定角色都已选择所有作用域,如 All scopes(所有作用域)标签所示。
-
要为选定角色指定作用域,请选择 Custom Scope(自定义作用域),然后添加或删除相应的作用域。默认情况下,所有自定义作用域都添加到角色中。要删除作用域,请单击作用域上的 X 图标。
已删除且可添加到角色的作用域将显示在已添加作用域下方的列表中。要将作用域添加到角色,请选择作用域的加号图标。
-
完成选择作用域后,选择 Apply(应用)。
- 选择 Save(保存)以保存管理员的选定角色。
与本地 Citrix Virtual Apps™ and Desktops 的区别
如果您熟悉本地 Citrix Virtual Apps and Desktops 产品中的委派管理,Citrix DaaS 版本有几个不同之处。
在 Citrix Cloud 中:
- 管理员通过其 Citrix Cloud 登录信息而不是其 Active Directory 帐户进行标识。您可以为 Active Directory 个人创建角色/作用域对,但不能为组创建。
- 管理员在 Citrix Cloud 控制台中创建、配置和删除,而不是在 Citrix DaaS 中。
- 角色/作用域对在 Citrix Cloud 控制台中分配给管理员,而不是在 Citrix DaaS 中。
- 报告不可用。您可以在服务的 Studio 界面中查看管理员、角色和作用域信息。
-
自定义访问 Cloud Administrator(云管理员)类似于本地版本中的 Full Administrator(完全管理员)。两者都对正在使用的 Citrix Virtual Apps and Desktops 版本具有完全管理和监视权限。
但是,在 Citrix DaaS 中,没有名为 Full Administrator(完全管理员)的角色。请勿将 Citrix Cloud 中的“Full access”(完全访问权限)等同于本地 Citrix Virtual Apps and Desktops 中的“Full administrator”(完全管理员)。Citrix Cloud 中的 Full access(完全访问权限)涵盖平台级域、库、通知和资源位置,以及所有订阅服务。
更多信息
有关服务 Monitor(监视)节点中使用的管理员、角色和作用域的信息,请参阅委派管理和监视。