Konfiguration der rollenbasierten Zugriffskontrolle
NetScaler ADM bietet eine fein abgestimmte, rollenbasierte Zugriffssteuerung (RBAC), mit der Sie Zugriffsberechtigungen basierend auf den Rollen einzelner Benutzer in Ihrem Unternehmen erteilen können.
In NetScaler ADM werden alle Benutzer in Citrix Cloud hinzugefügt. Als erster Benutzer Ihrer Organisation müssen Sie zuerst ein Konto in Citrix Cloud erstellen und sich dann mit den Citrix Cloud-Anmeldeinformationen an der NetScaler ADM GUI anmelden. Sie haben die Super-Admin-Rolle und standardmäßig verfügen Sie über alle Zugriffsberechtigungen in NetScaler ADM. Später können Sie andere Benutzer in Ihrer Organisation in Citrix Cloud erstellen.
Benutzer, die später erstellt werden und sich als reguläre Benutzer bei NetScaler ADM anmelden, werden als delegierte Administratoren bezeichnet. Diese Benutzer haben standardmäßig alle Berechtigungen außer Benutzeradministrationsberechtigungen. Sie können diesen delegierten Administratorbenutzern jedoch bestimmte Benutzeradministrationsberechtigungen erteilen. Sie können dies tun, indem Sie entsprechende Richtlinien erstellen und diese diesen delegierten Benutzern zuweisen. Die Benutzeradministrationsberechtigungen befinden sich unter Einstellungen > Benutzer und Rollen. Weitere Informationen zum Zuweisen bestimmter Berechtigungen finden Sie unter So weisen Sie delegierten Administratorbenutzern zusätzliche Berechtigungen zu.
Weitere Informationen zum Erstellen von Richtlinien, Rollen und Gruppen sowie zum Binden der Benutzer an Gruppen finden Sie in den folgenden Abschnitten.
Beispiel:
Das folgende Beispiel zeigt, wie RBAC in NetScaler ADM erreicht werden kann.
Chris, der Leiter der ADC-Gruppe, ist der Superadministrator von NetScaler ADM in seiner Organisation. Er erstellt drei Administratorrollen: Sicherheitsadministrator, Anwendungsadministrator und Netzwerkadministrator.
- David, der Sicherheitsadministrator, muss über vollständigen Zugriff auf die Verwaltung und Überwachung von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für den Systemverwaltungsbetrieb verfügen.
- Steve, ein Anwendungsadministrator, benötigt nur Zugriff auf bestimmte Anwendungen und nur bestimmte Konfigurationsvorlagen.
- Greg, ein Netzwerkadministrator, benötigt Zugriff auf System- und Netzwerkadministration.
- Chris muss auch RBAC für alle Benutzer bereitstellen, unabhängig davon, dass sie lokal oder extern sind.
Das folgende Bild zeigt die Berechtigungen, die Administratoren und andere Benutzer haben und ihre Rollen in der Organisation.
Um seinen Benutzern eine rollenbasierte Zugriffssteuerung zu bieten, muss Chris zuerst Benutzer in Citrix Cloud hinzufügen und erst danach kann er die Benutzer in NetScaler ADM sehen. Chris muss je nach Rolle Zugriffsrichtlinien für jeden Benutzer erstellen. Zugriffsrichtlinien sind eng an Rollen gebunden. Chris muss also auch Rollen erstellen, und dann muss er Gruppen erstellen, da Rollen nur Gruppen und nicht einzelnen Benutzern zugewiesen werden können.
Zugriff ist die Fähigkeit, eine bestimmte Aufgabe auszuführen, z. B. eine Datei anzuzeigen, zu erstellen, zu ändern oder zu löschen. Rollen werden entsprechend der Autorität und Verantwortung der Benutzer innerhalb des Unternehmens definiert. Beispielsweise kann ein Benutzer alle Netzwerkoperationen ausführen, während ein anderer Benutzer den Verkehrsfluss in Anwendungen beobachten und beim Erstellen von Konfigurationsvorlagen helfen kann.
Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien können Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzern Rollen zuweisen. Sie können auch Benutzergruppen Rollen zuweisen. Eine Gruppe ist eine Sammlung von Benutzern, die über gemeinsame Berechtigungen verfügen. Beispielsweise können Benutzer, die ein bestimmtes Rechenzentrum verwalten, einer Gruppe zugewiesen werden. Eine Rolle ist eine Identität, die Benutzern gewährt wird, indem sie bestimmten Gruppen basierend auf bestimmten Bedingungen hinzugefügt werden. In NetScaler ADM ist das Erstellen von Rollen und Richtlinien spezifisch für die RBAC-Funktion in NetScaler. Rollen und Richtlinien können einfach erstellt, geändert oder eingestellt werden, wenn sich die Anforderungen des Unternehmens entwickeln, ohne dass die Berechtigungen für jeden Benutzer individuell aktualisiert werden müssen.
Rollen können feature- oder ressourcenbasiert sein. Stellen Sie sich beispielsweise einen SSL-/Sicherheitsadministrator und einen Anwendungsadministrator vor. Ein SSL/Security-Administrator muss über vollständigen Zugriff auf die Verwaltungs- und Überwachungsfunktionen von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für Systemadministrationsvorgänge verfügen. Anwendungsadministratoren können nur auf die Ressourcen in ihrem Geltungsbereich zugreifen.
Führen Sie daher in Ihrer Rolle als Chris, der Superadministrator, die folgenden Beispielaufgaben in NetScaler ADM aus, um Zugriffsrichtlinien, Rollen und Benutzergruppen für David zu konfigurieren, der der Sicherheitsadministrator in Ihrer Organisation ist.
Konfigurieren von Benutzern auf NetScaler ADM
Als Superadministrator können Sie mehr Benutzer erstellen, indem Sie Konten für sie in Citrix Cloud und nicht in NetScaler ADM konfigurieren. Wenn die neuen Benutzer zu NetScaler ADM hinzugefügt werden, können Sie ihre Berechtigungen nur definieren, indem Sie dem Benutzer die entsprechenden Gruppen zuweisen.
So fügen Sie neue Benutzer in Citrix Cloud hinzu:
-
Klicken Sie in der NetScaler ADM-Benutzeroberfläche oben links auf das Hamburger-Symbol und wählen Sie Identity and Access Managementaus.
-
Wählen Sie auf der Seite Identitäts- und Zugriffsverwaltung die Registerkarte Administratoren aus.
Auf dieser Registerkarte werden die Benutzer aufgeführt, die in Citrix Cloud erstellt wurden.
-
Wählen Sie den Identitätsanbieter aus der Liste aus.
-
Citrix Identity: Geben Sie die E-Mail-Adresse des Benutzers ein, den Sie in NetScaler ADM hinzufügen möchten, und klicken Sie auf Einladen.
Hinweis
Der Benutzer erhält eine E-Mail-Einladung von Citrix Cloud. Der Benutzer muss auf den in der E-Mail bereitgestellten Link klicken, um den Registrierungsvorgang abzuschließen, indem er seinen vollständigen Namen und sein Kennwort angeben und sich später mit seinen Anmeldeinformationen bei NetScaler ADM anmelden.
-
Azure Active Directory (AD): Diese Option wird nur angezeigt, wenn Ihr Azure AD mit Citrix Cloud verbunden ist. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud. Wenn Sie diese Option auswählen, um Benutzer oder Gruppen einzuladen, können Sie nur Benutzerdefinierten Zugriff für den ausgewählten Benutzer oder die ausgewählte Gruppe angeben. Die Benutzer können sich mit ihren Azure AD-Anmeldeinformationen bei NetScaler ADM anmelden. Außerdem müssen Sie keine Citrix Identity für die Benutzer erstellen, die Teil des ausgewählten Azure AD sind. Wenn ein Benutzer zur eingeladenen Gruppe hinzugefügt wird, müssen Sie keine Einladung für den neu hinzugefügten Benutzer senden. Dieser Benutzer kann mit den Azure AD-Anmeldeinformationen auf NetScaler ADM zugreifen.
-
-
Wählen Sie Benutzerdefinierter Zugriff für den angegebenen Benutzer oder die angegebene Gruppe.
-
Wählen Sie Management für die Anwendungsbereitstellungaus.
Diese Option listet die in NetScaler ADM erstellten Benutzergruppen auf. Wählen Sie die Gruppe aus, zu der Sie den Benutzer hinzufügen möchten.
Citrix-Identität Azure AD Klicken Sie auf Einladung senden. Klicken Sie auf Admin-Gruppehinzufügen.
Als Administrator sehen Sie den neuen Benutzer erst in der Liste der NetScaler ADM-Benutzer, nachdem sich der Benutzer bei NetScaler ADM angemeldet hat.
So konfigurieren Sie Benutzer in NetScaler ADM:
-
Navigieren Sie in der NetScaler ADM GUI zu Einstellungen > Benutzer und Rollen > Benutzer.
-
Der Benutzer wird auf der Seite Benutzer angezeigt.
-
Sie können die Berechtigungen bearbeiten, die dem Benutzer zur Verfügung gestellt werden, indem Sie den Benutzer auswählen und auf Bearbeitenklicken. Sie können Gruppenberechtigungen auch auf der Seite Gruppen unter dem Knoten Einstellungen bearbeiten.
Hinweis
-
Die Benutzer werden in NetScaler ADM nur aus der Citrix Cloud hinzugefügt. Obwohl Sie über Administratorberechtigungen verfügen, können Sie daher keine Benutzer in der NetScaler ADM-Benutzeroberfläche hinzufügen oder löschen. Sie können nur die Gruppenberechtigungen bearbeiten. Benutzer können in der Citrix Cloud hinzugefügt oder gelöscht werden.
-
Die Benutzerdetails werden erst auf der Dienst-GUI angezeigt, nachdem sich der Benutzer mindestens einmal am NetScaler ADM angemeldet hat.
-
Konfigurieren von Zugriffsrichtlinien auf NetScaler ADM
Zugriffsrichtlinien definieren Berechtigungen. Eine Richtlinie kann auf eine Benutzergruppe oder auf mehrere Gruppen angewendet werden, indem Rollen erstellt werden. Rollen werden durch Richtlinien bestimmt. Nach dem Erstellen von Richtlinien müssen Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzergruppen Rollen zuweisen. NetScaler ADM bietet fünf vordefinierte Zugriffsrichtlinien:
- admin_policy. Gewährt Zugriff auf alle NetScaler ADM-Knoten. Der Benutzer verfügt sowohl über Ansichts- als auch über Bearbeitungsberechtigungen, kann alle NetScaler ADM-Inhalte anzeigen und alle Bearbeitungsvorgänge ausführen. Das heißt, der Benutzer kann Vorgänge für die Ressourcen hinzufügen, ändern und löschen.
- adminExceptSystem_policy. Gewährt Benutzern Zugriff auf alle Knoten in der NetScaler ADM GUI, mit Ausnahme des Zugriffs auf den Knoten Einstellungen.
- readonly_policy. Gewährt schreibgeschützte Berechtigungen. Der Benutzer kann den gesamten Inhalt in NetScaler ADM anzeigen, ist jedoch nicht berechtigt, Vorgänge auszuführen.
- appadmin_policy. Gewährt Administratorberechtigungen für den Zugriff auf die Anwendungsfunktionen in NetScaler ADM. Ein an diese Richtlinie gebundener Benutzer kann benutzerdefinierte Anwendungen hinzufügen, ändern und löschen und die Dienste, Dienstgruppen und die verschiedenen virtuellen Server aktivieren oder deaktivieren, z. B. Content Switching und Cache-Umleitung.
- appreadonly_policy. Gewährt schreibgeschützte Berechtigung für Anwendungsfunktionen. Ein an diese Richtlinie gebundener Benutzer kann die Anwendungen anzeigen, aber keine Vorgänge zum Hinzufügen, Ändern, Löschen, Aktivieren oder Deaktivieren ausführen.
Obwohl Sie diese vordefinierten Richtlinien nicht bearbeiten können, können Sie eigene (benutzerdefinierte) Richtlinien erstellen.
Früher, wenn Sie Rollen Richtlinien zugewiesen und die Rollen an Benutzergruppen gebunden haben, können Sie in der NetScaler ADM-GUI Berechtigungen für die Benutzergruppen auf Knotenebene bereitstellen. Beispielsweise können Sie nur Zugriffsberechtigungen für den gesamten Load Balancing-Knoten bereitstellen. Ihre Benutzer hatten die Berechtigung, auf alle entitätsspezifischen Unterknoten unter dem Load Balancing-Knoten (z. B. virtuelle Server, Dienste und andere) zuzugreifen, oder sie hatten keine Berechtigung, auf einen Knoten unter Load Balancingzuzugreifen.
In NetScaler ADM 507.x Build und höheren Versionen wurde die Verwaltung der Zugriffsrichtlinien erweitert, um auch Berechtigungen für Unterknoten bereitzustellen. Zugriffsrichtlinieneinstellungen können für alle Unterknoten wie virtuelle Server, Dienste, Dienstgruppen und Server konfiguriert werden.
Derzeit können Sie eine solche Zugriffsberechtigung auf granularer Ebene nur für Unterknoten unter einem Load Balancing-Knoten und auch für Unterknoten unter dem GSLB-Knoten erteilen.
Beispielsweise möchten Sie als Administrator dem Benutzer eine Zugriffsberechtigung erteilen, um nur virtuelle Server anzuzeigen, jedoch nicht die Back-End-Dienste, Dienstgruppen und Anwendungsserver im Knoten Lastenausgleich. Die Benutzer, denen eine solche Richtlinie zugewiesen ist, können nur auf die virtuellen Server zugreifen.
So erstellen Sie benutzerdefinierte Zugriffsrichtlinien:
-
Navigieren Sie in der NetScaler ADM GUI zu Einstellungen > Benutzer und Rollen > Zugriffsrichtlinien.
-
Klicken Sie auf Hinzufügen.
-
Geben Sie auf der Seite Zugriffsrichtlinien erstellen im Feld Richtlinienname den Namen der Richtlinie und die Beschreibung in das Feld Richtlinienbeschreibung ein.
Im Abschnitt Berechtigungen werden alle NetScaler ADM-Funktionen mit Optionen zum Angeben von schreibgeschütztem Zugriff, Aktivieren/Deaktivieren oder Bearbeiten aufgeführt.
-
Klicken Sie auf das Symbol (+), um jede Feature-Gruppe in mehrere Features zu erweitern.
-
Aktivieren Sie das Kontrollkästchen Berechtigung neben dem Feature-Namen, um den Benutzern Berechtigungen zu erteilen.
-
Ansicht: Mit dieser Option kann der Benutzer das Feature in NetScaler ADM anzeigen.
-
Aktivieren-Deaktivieren: Diese Option ist nur für die Netzwerkfunktionsfunktionen verfügbar, die das Aktivieren oder Deaktivieren von Aktionen in NetScaler ADM ermöglichen. Benutzer können die Funktion aktivieren oder deaktivieren. Und Benutzer können auch die Aktion Jetzt abfragen ausführen.
Wenn Sie einem Benutzer die Berechtigung zum Aktivieren und Deaktivieren erteilen, wird auch die Berechtigung Anzeigen erteilt. Sie können diese Option nicht deaktivieren.
-
Bearbeiten: Diese Option gewährt dem Benutzer vollen Zugriff. Der Benutzer kann das Feature und seine Funktionen ändern.
Wenn Sie die Berechtigung Bearbeiten erteilen, werden sowohl die Berechtigungen Anzeigen als auch Aktivieren/Deaktivieren gewährt. Sie können die Auswahl der automatisch ausgewählten Optionen nicht aufheben.
Wenn Sie das Kontrollkästchen Feature aktivieren, werden alle Berechtigungen für das Feature ausgewählt.
-
Hinweis: Erweitern Sie
Load Balancing und GSLB, um weitere Konfigurationsoptionen anzuzeigen.
In der folgenden Abbildung haben die Konfigurationsoptionen der Load Balancing-Funktion unterschiedliche Berechtigungen:
Die View-Berechtigung wird einem Benutzer für die Funktion Virtuelle Server erteilt. Benutzer können die virtuellen Lastausgleichsserver in NetScaler ADM anzeigen. Um virtuelle Server anzuzeigen, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Virtuelle Server aus.
Die Berechtigung Aktivieren-Deaktivieren wird einem Benutzer für die Funktion Dienste gewährt. Mit dieser Berechtigung wird auch die View-Berechtigung erteilt. Benutzer können die Dienste aktivieren oder deaktivieren, die an einen virtuellen Lastausgleichsserver gebunden sind. Außerdem kann der Benutzer eine Jetzt abfragen-Aktion für Dienste ausführen. Um Dienste zu aktivieren oder zu deaktivieren, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Dienste aus.
Hinweis
Wenn ein Benutzer über die Berechtigung Enable-Disableverfügt, ist die Aktion zum Aktivieren oder Deaktivieren für einen Dienst auf der folgenden Seite eingeschränkt:
-
Navigieren Sie zu Infrastruktur > Netzwerkfunktionen.
-
Wählen Sie einen virtuellen Server aus, und klicken Sie auf Konfigurieren.
-
Wählen Sie die Seite Load Balancing Virtual Server Service Binding . Auf dieser Seite wird eine Fehlermeldung angezeigt, wenn Sie Aktivieren oder Deaktivierenauswählen.
Die Berechtigung Bearbeiten wird einem Benutzer für die Funktion Dienstgruppen erteilt. Diese Berechtigung gewährt den vollen Zugriff, bei dem die Berechtigungen Anzeigen und Enable-Disable gewährt werden. Benutzer können die Dienstgruppen ändern, die an einen virtuellen Lastausgleichsserver gebunden sind. Um Dienstgruppen zu bearbeiten, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Dienstgruppen aus.
-
-
Klicken Sie auf Erstellen.
Hinweis
Wenn Sie Bearbeiten auswählen, können intern abhängige Berechtigungen zugewiesen werden, die im Abschnitt Berechtigungen nicht als aktiviert angezeigt werden. Wenn Sie beispielsweise Bearbeitungsberechtigungen für die Fehlerverwaltung aktivieren, stellt NetScaler ADM intern die Berechtigung zum Konfigurieren eines E-Mail-Profils oder zum Erstellen von SMTP-Serverkonfigurationen bereit, damit der Benutzer den Bericht als E-Mail senden kann.
Erteilen von StyleBook-Berechtigungen für Benutzer
Sie können eine Zugriffsrichtlinie erstellen, um StyleBook-Berechtigungen wie Importieren, Löschen, Herunterladen und mehr zu erteilen.
Hinweis
Die Anzeigeberechtigung wird automatisch aktiviert, wenn Sie andere StyleBook-Berechtigungen erteilen.
Konfigurieren von Rollen auf NetScaler ADM
In NetScaler ADM ist jede Rolle an eine oder mehrere Zugriffsrichtlinien gebunden. Sie können Eins-zu-Eins-, Eins-zu-Viele- und Viele-zu-Viele-Beziehungen zwischen Richtlinien und Rollen definieren. Sie können eine Rolle an mehrere Richtlinien binden, und Sie können mehrere Rollen an eine Richtlinie binden.
Beispielsweise kann eine Rolle an zwei Richtlinien gebunden sein, wobei eine Richtlinie Zugriffsberechtigungen für ein Feature und die andere Richtlinie Zugriffsberechtigungen für ein anderes Feature definiert. Eine Richtlinie kann die Berechtigung zum Hinzufügen von NetScaler-Instanzen in NetScaler ADM erteilen, und die andere Richtlinie kann die Berechtigung zum Erstellen und Bereitstellen eines StyleBook und zum Konfigurieren von NetScaler-Instanzen erteilen.
Wenn mehrere Richtlinien die Bearbeitungs- und Schreibschutzberechtigungen für ein einzelnes Feature definieren, haben die Bearbeitungsberechtigungen Priorität gegenüber schreibgeschützten Berechtigungen.
NetScaler ADM bietet fünf vordefinierte Rollen:
-
admin_role. Hat Zugriff auf alle NetScaler ADM-Funktionen. (Diese Rolle ist gebunden an
adminpolicy
.) - adminExceptSystem_role. Hat Zugriff auf die NetScaler ADM GUI mit Ausnahme der Einstellungsberechtigungen. (Diese Rolle ist an adminExceptSystem_policy gebunden)
-
readonly_role. Schreibgeschützter Zugriff. (Diese Rolle ist gebunden an
readonlypolicy
.) - appAdmin_role. Hat administrativen Zugriff nur auf die Anwendungsfunktionen in NetScaler ADM. (Diese Rolle ist an appAdminPolicy gebunden).
- appReadonly_role. Hat nur Lesezugriff auf die Anwendungsfunktionen. (Diese Rolle ist an appReadOnlyPolicy gebunden.)
Sie können die vordefinierten Rollen zwar nicht bearbeiten, aber Sie können Ihre eigenen (benutzerdefinierten) Rollen erstellen.
So erstellen Sie Rollen und weisen ihnen Richtlinien zu:
-
Navigieren Sie in der NetScaler ADM GUI zu Einstellungen > Benutzer und Rollen > Rollen.
-
Klicken Sie auf Hinzufügen.
-
Geben Sie auf der Seite Rollen erstellen im Feld Rollenname den Namen der Rolle ein und geben Sie die Beschreibung in das Feld Rollenbeschreibung ein (optional).
-
Fügen Sie im Abschnitt Richtlinien eine oder mehrere Richtlinien zur Liste Konfiguriert hinzu.
Hinweis
Den Richtlinien wird eine Mandanten-ID vorangestellt (z. B.
maasdocfour
), die für alle Mandanten eindeutig ist.Hinweis:
Sie können eine Zugriffsrichtlinie erstellen, indem Sie auf Neuklicken, oder Sie können zu Einstellungen > Benutzer und Rollen > Zugriffsrichtlinien navigieren und Richtlinien erstellen.
-
Klicken Sie auf Erstellen.
Konfigurieren von Gruppen auf NetScaler ADM
In NetScaler ADM kann eine Gruppe sowohl auf Feature- als auch auf Ressourcenebene zugreifen. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte NetScaler-Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.
Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in NetScaler ADM dieselben Zugriffsrechte zugewiesen.
Sie können einen Benutzerzugriff in NetScaler ADM auf der einzelnen Ebene von Netzwerkfunktionsentitäten verwalten. Sie können dem Benutzer oder der Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen.
NetScaler ADM behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktions-Entitäten.
-
Virtueller Server (Anwendungen) - Load Balancing (
lb
), GSLB, Context Switching (CS
), Cache-Umleitung (CR
), Authentifizierung (Auth
) und NetScaler Gateway (vpn
) - Services - Lastenausgleich und GSLB-Dienste
- Dienstgruppe — Load Balancing und GSLB-Dienstgruppen
- Server — Load Balancing-Server
So erstellen Sie eine Gruppe:
-
Navigieren Sie in NetScaler ADM zu Einstellungen > Benutzer und Rollen > Gruppen.
-
Klicken Sie auf Hinzufügen.
Die Seite Systemgruppe erstellen wird angezeigt.
-
Geben Sie im Feld Gruppenname den Namen der Gruppe ein.
-
Geben Sie im Feld Gruppenbeschreibung eine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung hilft Ihnen, die Rolle und Funktion der Gruppe zu verstehen.
-
Verschieben Sie im Abschnitt Rollen eine oder mehrere Rollen in die Liste Konfiguriert .
Hinweis
Den Rollen wird eine Mandanten-ID vorangestellt (z. B.
maasdocfour
), die für alle Mandanten eindeutig ist. -
In der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern.
Alternativ können Sie zu Einstellungen > Benutzer und Rollen > Benutzernavigieren und Benutzer erstellen oder ändern.
-
Klicken Sie auf Weiter.
-
Auf der Registerkarte Autorisierungseinstellungen können Sie Ressourcen aus den folgenden Kategorien auswählen:
- Autoscale-Gruppen
- Instanzen
- Anwendungen
- Konfigurationsvorlagen
- IPAM-Anbieter und Netzwerke
- StyleBooks
- Configpacks
- Domain-Namen
Möglicherweise möchten Sie bestimmte Ressourcen aus den Kategorien auswählen, auf die Benutzer Zugriff haben können.
Autoscale-Gruppen:
Wenn Sie die spezifischen Autoscale-Gruppen auswählen möchten, die der Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen, und klicken Sie auf AutoScale-Gruppen hinzufügen.
-
Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.
Instanzen:
Wenn Sie die spezifischen Instanzen auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Deaktivieren Sie das Kontrollkästchen Alle Instanzen und klicken Sie auf Instanzen auswählen.
-
Wählen Sie die erforderlichen Instanzen aus der Liste aus und klicken Sie auf OK.
Anwendungen:
In der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.
Sie können Anwendungen Zugriff gewähren, ohne deren Instanzen auszuwählen. Weil Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.
Wenn Sie einem Benutzer Zugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.
Diese Liste bietet Ihnen die folgenden Optionen:
-
Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die im NetScaler ADM vorhanden sind.
-
Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen aus der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen hinzu, die auf der ausgewählten Instanz vorhanden sind.
-
Bestimmte Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.
-
Einzelner Entitätstyp auswählen: Mit dieser Option können Sie den spezifischen Typ der Netzwerkfunktionsentität und die entsprechenden Entitäten auswählen.
Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.
Die Option Auch auf gebundene Entitäten anwenden autorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und auch Auf gebundene Entitäten anwenden auswählen, autorisiert NetScaler ADM alle Entitäten, die an die ausgewählte Anwendung gebunden sind.
Hinweis
Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.
Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsentitäten zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in NetScaler ADM beibehalten. Führen Sie die folgenden Schritte aus, um reguläre Ausdrücke hinzuzufügen:
-
Klicken Sie auf Regulären Ausdruck hinzufügen.
-
Geben Sie den regulären Ausdruck im Textfeld an.
In der folgenden Abbildung wird erläutert, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:
In der folgenden Abbildung wird erläutert, wie Sie regulären Ausdruck verwenden, um Netzwerkfunktionsobjekte hinzuzufügen, wenn Sie die Option Individuelle Entitätstyp auswählen auswählen:
Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol + .
Hinweis:
Der reguläre Ausdruck stimmt nur mit dem Servernamen für den Entitätstyp Server überein und nicht mit der IP-Adresse des Servers.
Wenn Sie die Option Auch auf gebundene Entitäten anwenden für eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.
Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten mit dem regulären Ausdruck ihres Entitätstyps übereinstimmen, aktualisiert NetScaler ADM den Autorisierungsbereich auf die neuen Entitäten.
Vorlagen für die Konfiguration:
Wenn Sie die spezifische Konfigurationsvorlage auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Deaktivieren Sie das Kontrollkästchen Alle Konfigurationsvorlagen und klicken Sie auf Konfigurationsvorlage hinzufügen.
-
Wählen Sie die gewünschte Vorlage aus der Liste aus und klicken Sie auf OK.
IPAM-Anbieter und Netzwerke:
Wenn Sie die spezifischen IPAM-Anbieter und -Netzwerke hinzufügen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Anbieter hinzufügen - Deaktivieren Sie das Kontrollkästchen Alle Anbieter und klicken Sie auf Anbieter hinzufügen. Sie können die erforderlichen Anbieter auswählen und auf OKklicken.
-
Netzwerke hinzufügen - Deaktivieren Sie das Kontrollkästchen Alle Netzwerke und klicken Sie auf Netzwerke hinzufügen. Sie können die erforderlichen Netzwerke auswählen und auf OKklicken.
StyleBooks:
Wenn Sie das spezifische StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Deaktivieren Sie das Kontrollkästchen Alle StyleBooks, und klicken Sie auf StyleBook zu Gruppe hinzufügen. Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.
Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im Bereich Einzelne StyleBooks aus und klicken Sie auf Auswahl speichern.
Wenn Sie eine Abfrage zum Durchsuchen von StyleBooks verwenden möchten, wählen Sie den Bereich Benutzerdefinierte Filter aus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, wobei Schlüssel
name
,namespace
undversion
sind.Sie können reguläre Ausdrücke auch als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die Regex-Kriterien für die Gruppen erfüllen. Eine benutzerdefinierte Filterabfrage zum Durchsuchen von StyleBooks unterstützt sowohl die Operation
And
als auchOr
.Beispiel:
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
Diese Query listet die StyleBooks auf, die die folgenden Bedingungen erfüllen:
- StyleBook-Name ist entweder
lb-mon
oderlb
. - StyleBook Namespace ist
com.citrix.adc.stylebooks
. - StyleBook-Version ist
1.0
.
Verwenden Sie eine
Or
-Operation zwischen Werteausdrücken, die für den Schlüsselausdruck definiert ist.Beispiel:
- Die Abfrage
name=lb-mon|lb
ist gültig. Es gibt die StyleBooks zurück, die einen Namenlb-mon
oderlb
haben. - Die Abfrage
name=lb-mon | version=1.0
ist ungültig.
Drücken Sie
Enter
, um die Suchergebnisse anzuzeigen, und klicken Sie auf Abfrage speichern.Die gespeicherte Abfrage wird in der Abfrage “ Benutzerdefinierte Filter”angezeigt. Basierend auf der gespeicherten Abfrage bietet NetScaler ADM Benutzerzugriff auf diese StyleBooks.
- StyleBook-Name ist entweder
-
Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.
Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt.
Konfigurationspakete:
Wählen Sie in Configpacks eine der folgenden Optionen aus:
-
Alle Konfigurationen: Diese Option ist standardmäßig ausgewählt. Es ermöglicht Benutzern, alle Konfigurationen in ADM zu verwalten.
-
Alle Konfigurationen der ausgewählten StyleBooks: Diese Option fügt alle Konfigurationspakete des ausgewählten StyleBooks hinzu.
-
Spezifische Konfigurationen: Mit dieser Option können Sie spezifische Konfigurationen für jedes StyleBook hinzufügen.
-
Alle von der Benutzergruppe erstellten Konfigurationen: Mit dieser Option können Benutzer nur auf Konfigurationen zugreifen, die von Benutzern derselben Gruppe erstellt wurden.
Sie können die entsprechenden Config Packs auswählen, wenn Sie Gruppen erstellen und dieser Gruppe Benutzer zuweisen.
Domainnamen:
Wenn Sie den spezifischen Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:
-
Deaktivieren Sie das Kontrollkästchen Alle Domainnamen und klicken Sie auf Domainnamen hinzufügen.
-
Wählen Sie die erforderlichen Domänennamen aus der Liste aus und klicken Sie auf OK.
-
Klicken Sie auf Gruppe erstellen.
-
Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus und fügen Sie ihn der Liste Konfiguriert hinzu.
Hinweis
Sie können auch neue Benutzer hinzufügen, indem Sie auf Neuklicken.
-
Klicken Sie auf Fertig stellen.
Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert
Wenn ein Administrator einen Benutzer zu einer Gruppe hinzufügt, die über unterschiedliche Zugriffsrichtlinieneinstellungen verfügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.
In diesem Fall gewährt NetScaler ADM dem Benutzer abhängig vom spezifischen Autorisierungsbereich Zugriff auf Anwendungen.
Stellen Sie sich einen Benutzer vor, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.
-
Policy-1 — Nur Berechtigungen für Anwendungen anzeigen.
-
Policy-2 — Anzeigen und Bearbeiten der Berechtigung für Anwendungen.
Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter den Autorisierungsbereich der Gruppe 1 fällt.
Einschränkungen
RBAC wird von den folgenden NetScaler ADM-Funktionen nicht vollständig unterstützt:
- Analytics - RBAC wird von den Analysemodulen nicht vollständig unterstützt. Die RBAC-Unterstützung ist auf Instanzebene beschränkt und gilt nicht auf Anwendungsebene in den Analysemodulen Gateway Insight, HDX Insight und Security Insight.
- Beispiel 1: Instanzbasierte RBAC (unterstützt). Ein Administrator, dem einige Instanzen zugewiesen wurden, kann nur diese Instanzen unter HDX Insight > Geräteund nur die entsprechenden virtuellen Server unter HDX Insight > Applications sehen, da RBAC auf Instanzebene unterstützt wird.
- Beispiel 2: Anwendungsbasierte RBAC (nicht unterstützt). Ein Administrator, dem einige Anwendungen zugewiesen wurden, kann alle virtuellen Server unter HDX Insight > Anwendungen sehen, aber nicht darauf zugreifen, da RBAC auf Anwendungsebene nicht unterstützt wird.
- StyleBooks — RBAC wird für StyleBooks nicht vollständig unterstützt.
- Stellen Sie sich eine Situation vor, in der mehrere Benutzer Zugriff auf ein einzelnes StyleBook haben, jedoch Zugriffsberechtigungen für verschiedene NetScaler-Instanzen haben. Benutzer können Config Packs auf ihren eigenen Instanzen erstellen und aktualisieren, jedoch nicht auf anderen Instanzen, da sie keinen anderen Zugriff auf diese Instanzen als ihre eigenen haben. Sie können jedoch weiterhin die Konfigurationspakete und Objekte anzeigen, die auf NetScaler-Instanzen erstellt wurden.