NetScaler Console-Dienst

Konfiguration der rollenbasierten Zugriffskontrolle

NetScaler Console bietet eine detaillierte, rollenbasierte Zugriffskontrolle (RBAC), mit der Sie Zugriffsberechtigungen auf der Grundlage der Rollen einzelner Benutzer in Ihrem Unternehmen gewähren können.

In NetScaler Console werden alle Benutzer in Citrix Cloud hinzugefügt. Als erster Benutzer Ihrer Organisation müssen Sie zuerst ein Konto in Citrix Cloud erstellen und sich dann mit den Citrix Cloud-Anmeldeinformationen an der NetScaler Console-GUI anmelden. Ihnen wird die Superadmin-Rolle zugewiesen, und standardmäßig verfügen Sie über alle Zugriffsberechtigungen in NetScaler Console. Später können Sie andere Benutzer in Ihrer Organisation in Citrix Cloud erstellen.

Benutzer, die später erstellt werden und sich als reguläre Benutzer bei NetScaler Console anmelden, werden als delegierte Administratoren bezeichnet. Diese Benutzer haben standardmäßig alle Berechtigungen außer Benutzeradministrationsberechtigungen. Sie können jedoch bestimmten Benutzerverwaltungsberechtigungen gewähren, indem Sie entsprechende Richtlinien erstellen und sie diesen delegierten Benutzern zuweisen. Die Benutzeradministrationsberechtigungen befinden sich unter Einstellungen > Benutzer und Rollen.

Weitere Informationen zum Zuweisen bestimmter Berechtigungen finden Sie unter So weisen Sie delegierten Administratorbenutzern zusätzliche Berechtigungen zu.

Weitere Informationen zum Erstellen von Richtlinien, Rollen und Gruppen sowie zum Binden der Benutzer an Gruppen finden Sie in den folgenden Abschnitten.

Beispiel:

Das folgende Beispiel veranschaulicht, wie RBAC in NetScaler Console erreicht werden kann.

Chris, der NetScaler-Gruppenleiter, ist der Superadministrator von NetScaler Console in seiner Organisation. Er erstellt drei Administratorrollen: Sicherheitsadministrator, Anwendungsadministrator und Netzwerkadministrator.

  • David, der Sicherheitsadministrator, muss über vollständigen Zugriff auf die Verwaltung und Überwachung von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für den Systemverwaltungsbetrieb verfügen.
  • Steve, ein Anwendungsadministrator, benötigt nur Zugriff auf bestimmte Anwendungen und nur bestimmte Konfigurationsvorlagen.
  • Greg, ein Netzwerkadministrator, benötigt Zugriff auf System- und Netzwerkadministration.
  • Chris muss auch RBAC für alle Benutzer bereitstellen, unabhängig davon, dass sie lokal oder extern sind.

Das folgende Bild zeigt die Berechtigungen, die Administratoren und andere Benutzer haben und ihre Rollen in der Organisation.

RBAC-Anwendungsfälle

Um seinen Benutzern eine rollenbasierte Zugriffskontrolle zu bieten, muss Chris zuerst Benutzer in Citrix Cloud hinzufügen und erst danach kann er die Benutzer in NetScaler Console sehen. Chris muss je nach Rolle Zugriffsrichtlinien für jeden Benutzer erstellen. Zugriffsrichtlinien sind eng an Rollen gebunden. Chris muss also auch Rollen erstellen, und dann muss er Gruppen erstellen, da Rollen nur Gruppen und nicht einzelnen Benutzern zugewiesen werden können.

Zugriff ist die Fähigkeit, eine bestimmte Aufgabe auszuführen, z. B. eine Datei anzuzeigen, zu erstellen, zu ändern oder zu löschen. Rollen werden entsprechend der Autorität und Verantwortung der Benutzer innerhalb des Unternehmens definiert. Beispielsweise kann ein Benutzer alle Netzwerkoperationen ausführen, während ein anderer Benutzer den Verkehrsfluss in Anwendungen beobachten und beim Erstellen von Konfigurationsvorlagen helfen kann.

Richtlinien bestimmen die Benutzerrollen. Nach dem Erstellen von Richtlinien können Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzern Rollen zuweisen. Sie können auch Benutzergruppen Rollen zuweisen. Eine Gruppe ist eine Sammlung von Benutzern, die über gemeinsame Berechtigungen verfügen. Beispielsweise können Benutzer, die ein bestimmtes Rechenzentrum verwalten, einer Gruppe zugewiesen werden. Eine Rolle ist eine Identität, die Benutzern gewährt wird, indem sie bestimmten Gruppen basierend auf bestimmten Bedingungen hinzugefügt werden. In NetScaler Console ist das Erstellen von Rollen und Richtlinien spezifisch für die RBAC-Funktion in NetScaler. Rollen und Richtlinien können einfach erstellt, geändert oder eingestellt werden, wenn sich die Anforderungen des Unternehmens entwickeln, ohne dass die Berechtigungen für jeden Benutzer individuell aktualisiert werden müssen.

Rollen können feature- oder ressourcenbasiert sein. Stellen Sie sich beispielsweise einen SSL-/Sicherheitsadministrator und einen Anwendungsadministrator vor. Ein SSL/Security-Administrator muss über vollständigen Zugriff auf die Verwaltungs- und Überwachungsfunktionen von SSL-Zertifikaten verfügen, muss jedoch über schreibgeschützten Zugriff für Systemadministrationsvorgänge verfügen. Anwendungsadministratoren können nur auf die Ressourcen in ihrem Geltungsbereich zugreifen.

Führen Sie daher in Ihrer Rolle als Chris, der Superadmin, die folgenden Beispielaufgaben in NetScaler Console aus, um Zugriffsrichtlinien, Rollen und Benutzergruppen für David, den Sicherheitsadministrator in Ihrer Organisation, zu konfigurieren.

Benutzer auf der NetScaler Console konfigurieren

Als Superadmin können Sie mehr Benutzer erstellen, indem Sie Konten für sie in Citrix Cloud und nicht in NetScaler Console konfigurieren. Wenn die neuen Benutzer zur NetScaler Console hinzugefügt werden, können Sie ihre Berechtigungen nur definieren, indem Sie dem Benutzer die entsprechenden Gruppen zuweisen.

So fügen Sie neue Benutzer in Citrix Cloud hinzu:

  1. Klicken Sie in der NetScaler Console-GUI oben links auf das Hamburger-Symbol und wählen Sie Identity and Access Management aus.

    Identitäts- und Zugriffsmanagement in Citrix Cloud

  2. Wählen Sie auf der Seite Identitäts- und Zugriffsmanagement die Registerkarte Administratoren aus.

    Auf dieser Registerkarte werden die Benutzer aufgeführt, die in Citrix Cloud erstellt wurden.

  3. Wählen Sie den Identitätsanbieter aus der Liste aus.

    • Citrix Identity: Geben Sie die E-Mail-Adresse des Benutzers ein, den Sie in NetScaler Console hinzufügen möchten, und klicken Sie auf Einladen.

      Laden Sie einen Benutzer ein, die NetScaler Console zu verwenden

      Hinweis:

      Der Benutzer erhält eine E-Mail-Einladung von Citrix Cloud. Der Benutzer muss auf den Link in der E-Mail klicken, um den Registrierungsvorgang abzuschließen, indem er seinen vollständigen Namen und sein Kennwort angibt. Später muss er sich mit seinen Anmeldeinformationen bei NetScaler Console anmelden.

    • Azure Active Directory (AD): Diese Option wird nur angezeigt, wenn Ihr Azure AD mit Citrix Cloud verbunden ist. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud. Wenn Sie diese Option auswählen, um Benutzer oder Gruppen einzuladen, können Sie nur Benutzerdefinierten Zugriff für den ausgewählten Benutzer oder die ausgewählte Gruppe angeben. Die Benutzer können sich mit ihren Azure AD-Anmeldeinformationen bei NetScaler Console anmelden. Außerdem müssen Sie keine Citrix Identity für die Benutzer erstellen, die Teil des ausgewählten Azure AD sind. Wenn ein Benutzer zur eingeladenen Gruppe hinzugefügt wird, müssen Sie keine Einladung für den neu hinzugefügten Benutzer senden. Dieser Benutzer kann mit den Azure AD-Anmeldeinformationen auf NetScaler Console zugreifen.

      Laden Sie Benutzer von Azure AD zur NetScaler Console ein

  4. Wählen Sie Benutzerdefinierter Zugriff für den angegebenen Benutzer oder die angegebene Gruppe.

  5. Wählen Sie Management für die Anwendungsbereitstellungaus.

    Diese Option listet die in NetScaler Console erstellten Benutzergruppen auf. Wählen Sie die Gruppe aus, zu der Sie den Benutzer hinzufügen möchten.

    Citrix-Identität Azure AD
    Laden Sie Benutzer mit benutzerdefiniertem Zugriff auf NetScaler Console ein Benutzergruppe hinzufügen
    Klicken Sie auf Einladung senden. Klicken Sie auf Admin-Gruppehinzufügen.

Als Administrator sehen Sie den neuen Benutzer erst in der NetScaler Console-Benutzerliste, nachdem sich der Benutzer bei NetScaler Console angemeldet hat.

So konfigurieren Sie Benutzer in NetScaler Console:

  1. Navigieren Sie in der NetScaler Console-GUI zu Einstellungen > Benutzer und Rollen > Benutzer.

  2. Der Benutzer wird auf der Seite Benutzer angezeigt.

  3. Sie können die Berechtigungen bearbeiten, die dem Benutzer zur Verfügung gestellt werden, indem Sie den Benutzer auswählen und auf Bearbeitenklicken. Sie können Gruppenberechtigungen auch auf der Seite Gruppen unter dem Knoten Einstellungen bearbeiten.

    Hinweis:

    • Die Benutzer werden in NetScaler Console nur aus der Citrix Cloud hinzugefügt. Daher können Sie in der NetScaler Console-GUI keine Benutzer hinzufügen oder löschen, obwohl Sie über Administratorberechtigungen verfügen. Sie können nur die Gruppenberechtigungen bearbeiten. Benutzer können in der Citrix Cloud hinzugefügt oder gelöscht werden.

    • Die Benutzerdetails werden erst auf der Service-GUI angezeigt, nachdem sich der Benutzer mindestens einmal an der NetScaler Console angemeldet hat.

Konfigurieren Sie Zugriffsrichtlinien auf der NetScaler Console

Zugriffsrichtlinien definieren Berechtigungen. Eine Richtlinie kann auf eine Benutzergruppe oder auf mehrere Gruppen angewendet werden, indem Rollen erstellt werden. Richtlinien bestimmen die Benutzerrollen. Nach dem Erstellen von Richtlinien müssen Sie Rollen erstellen, jede Rolle an eine oder mehrere Richtlinien binden und Benutzergruppen Rollen zuweisen. NetScaler Console bietet fünf vordefinierte Zugriffsrichtlinien:

  • admin_policy. Gewährt Zugriff auf alle NetScaler Console-Knoten. Der Benutzer hat sowohl Anzeige- als auch Bearbeitungsberechtigungen, kann den gesamten NetScaler Console-Inhalt anzeigen und alle Bearbeitungsvorgänge ausführen. Das heißt, der Benutzer kann Vorgänge für die Ressourcen hinzufügen, ändern und löschen.
  • adminExceptSystem_policy. Gewährt Benutzern Zugriff auf alle Knoten in der NetScaler Console-GUI, mit Ausnahme des Zugriffs auf den Knoten „Einstellungen“.
  • readonly_policy. Gewährt schreibgeschützte Berechtigungen. Der Benutzer kann den gesamten Inhalt auf der NetScaler Console anzeigen, ist jedoch nicht berechtigt, Operationen auszuführen.
  • appadmin_policy. Gewährt Administratorberechtigungen für den Zugriff auf die Anwendungsfunktionen in NetScaler Console. Ein Benutzer, der an diese Richtlinie gebunden ist, kann:
    • Benutzerdefinierte Anwendungen hinzufügen, ändern und löschen
    • Aktivieren oder deaktivieren Sie Dienste, Dienstgruppen und die verschiedenen virtuellen Server, z. B. Content Switching und Cache-Umleitung
  • appreadonly_policy. Gewährt schreibgeschützte Berechtigung für Anwendungsfunktionen. Ein an diese Richtlinie gebundener Benutzer kann die Anwendungen anzeigen, aber keine Vorgänge zum Hinzufügen, Ändern, Löschen, Aktivieren oder Deaktivieren ausführen.

Obwohl Sie diese vordefinierten Richtlinien nicht bearbeiten können, können Sie eigene (benutzerdefinierte) Richtlinien erstellen.

Wenn Sie zuvor Rollen Richtlinien zugewiesen und die Rollen an Benutzergruppen gebunden haben, können Sie Berechtigungen für die Benutzergruppen auf Knotenebene in der NetScaler Console-GUI bereitstellen. Beispielsweise können Sie nur Zugriffsberechtigungen für den gesamten Load Balancing-Knoten bereitstellen. Ihre Benutzer waren berechtigt, auf alle entitätsspezifischen Unterknoten unter Load Balancing zuzugreifen (z. B. virtuelle Server, Dienste und andere), oder sie hatten keine Berechtigung, auf einen Knoten unter Load Balancing zuzugreifen.

In NetScaler Console 507.x Build und späteren Versionen wurde das Zugriffsrichtlinienmanagement erweitert, um auch Berechtigungen für Unterknoten bereitzustellen. Zugriffsrichtlinieneinstellungen können für alle Unterknoten wie virtuelle Server, Dienste, Dienstgruppen und Server konfiguriert werden.

Derzeit können Sie eine solche granulare Zugriffsberechtigung nur für Unterknoten unter einem Load Balancing-Knoten und auch für Unterknoten unter dem GSLB-Knoten bereitstellen.

Als Administrator möchten Sie dem Benutzer beispielsweise möglicherweise nur eine Zugriffsberechtigung geben, um virtuelle Server anzuzeigen, nicht jedoch die Back-End-Dienste, Dienstgruppen und Anwendungsserver im Load Balancing-Knoten . Die Benutzer, denen eine solche Richtlinie zugewiesen ist, können nur auf die virtuellen Server zugreifen.

So erstellen Sie benutzerdefinierte Zugriffsrichtlinien:

  1. **Navigieren Sie in der NetScaler Console-GUI zu **Einstellungen > Benutzer und Rollen > Zugriffsrichtlinien .

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie auf der Seite Zugriffsrichtlinien erstellen im Feld Richtlinienname den Namen der Richtlinie und die Beschreibung in das Feld Richtlinienbeschreibung ein.

    Im Abschnitt „ Berechtigungen “ sind alle Funktionen der NetScaler Console mit Optionen zum Angeben von Schreibschutz, Aktivieren/Deaktivieren oder Bearbeiten aufgeführt.

    1. Klicken Sie auf das Symbol (+), um jede Funktionsgruppe in viele Funktionen zu erweitern.

    2. Aktivieren Sie das Berechtigungskästchen neben dem Funktionsnamen, um den Benutzern die Berechtigung zu erteilen.

      • Ansicht:Mit dieser Option kann der Benutzer die Funktion in NetScaler Console anzeigen.

      • ** Aktivieren-Deaktivieren: Diese Option ist nur für die Netzwerkfunktions-Funktionen verfügbar, mit denen Aktionen in der NetScaler Console aktiviert oder deaktiviert werden können. Der Benutzer kann die Funktion aktivieren oder deaktivieren. Der Benutzer kann auch die Aktion **Jetzt abfragen ausführen.

        Wenn Sie einem Benutzer die Berechtigung zum Aktivieren und Deaktivieren erteilen, wird auch die Berechtigung Anzeigen erteilt. Sie können diese Option nicht deaktivieren.

      • Bearbeiten: Diese Option gewährt dem Benutzer vollen Zugriff. Der Benutzer kann das Feature und seine Funktionen ändern.

        Wenn Sie die Berechtigung Bearbeiten erteilen, werden sowohl die Berechtigungen Anzeigen als auch Aktivieren/Deaktivieren gewährt. Sie können die Auswahl der automatisch ausgewählten Optionen nicht aufheben.

      Wenn Sie das Funktionsfeld auswählen, werden alle Berechtigungen für das Feature ausgewählt.

    Hinweis:

    Erweitern Sie Load Balancing und GSLB, um weitere Konfigurationsoptionen anzuzeigen.

    In der folgenden Abbildung haben die Konfigurationsoptionen der Load Balancing-Funktion unterschiedliche Berechtigungen:

    Konfigurieren der Richtlinie

    Die View-Berechtigung wird einem Benutzer für die Funktion Virtuelle Server erteilt. Der Benutzer kann die virtuellen Lastausgleichsserver in der NetScaler Console anzeigen. Um virtuelle Server anzuzeigen, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Virtuelle Server aus.

    Die Berechtigung Aktivieren-Deaktivieren wird einem Benutzer für die Funktion Dienste gewährt. Mit dieser Berechtigung wird auch die View-Berechtigung erteilt. Der Benutzer kann die Dienste aktivieren oder deaktivieren, die an einen virtuellen Lastausgleichsserver gebunden sind. Außerdem kann der Benutzer eine Jetzt abfragen-Aktion für Dienste ausführen. Um Dienste zu aktivieren oder zu deaktivieren, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Dienste aus.

    Hinweis:

    Wenn ein Benutzer über die Berechtigung Aktivieren/Deaktivieren verfügt, ist die Aktion zum Aktivieren oder Deaktivieren eines Dienstes auf der folgenden Seite eingeschränkt:

    1. Navigieren Sie zu Infrastruktur > Netzwerkfunktionen.

    2. Wählen Sie einen virtuellen Server aus, und klicken Sie auf Konfigurieren.

    3. Wählen Sie die Seite Load Balancing Virtual Server Service Binding . Auf dieser Seite wird eine Fehlermeldung angezeigt, wenn Sie Aktivieren oder Deaktivierenauswählen.

    Die Berechtigung Bearbeiten wird einem Benutzer für die Funktion Dienstgruppen erteilt. Diese Berechtigung gewährt den vollen Zugriff, bei dem die Berechtigungen Anzeigen und Enable-Disable gewährt werden. Benutzer können die Dienstgruppen ändern, die an einen virtuellen Lastausgleichsserver gebunden sind. Um Dienstgruppen zu bearbeiten, navigieren Sie zu Infrastruktur > Netzwerkfunktionen > Load Balancing und wählen Sie die Registerkarte Dienstgruppen aus.

  4. Klicken Sie auf Erstellen.

    Hinweis:

    Wenn Sie Bearbeiten auswählen, können intern abhängige Berechtigungen zugewiesen werden, die im Abschnitt Berechtigungen nicht als aktiviert angezeigt werden. Wenn Sie beispielsweise Bearbeitungsberechtigungen für das Fehlermanagement aktivieren, erteilt NetScaler Console intern die Berechtigung zum Konfigurieren eines E-Mail-Profils oder zum Erstellen von SMTP-Server-Setups, sodass der Benutzer den Bericht als E-Mail senden kann.

Erteilen von StyleBook-Berechtigungen für Benutzer

Sie können eine Zugriffsrichtlinie erstellen, um StyleBook-Berechtigungen wie Importieren, Löschen, Herunterladen und mehr zu erteilen.

Hinweis:

Die View-Berechtigung wird automatisch aktiviert, wenn Sie andere StyleBook-Berechtigungen gewähren.

Rollen auf der NetScaler Console konfigurieren

In NetScaler Console ist jede Rolle an eine oder mehrere Zugriffsrichtlinien gebunden. Sie können Eins-zu-Eins-, Eins-zu-Viele- und Viele-zu-Viele-Beziehungen zwischen Richtlinien und Rollen definieren. Sie können eine Rolle an mehrere Richtlinien binden, und Sie können mehrere Rollen an eine Richtlinie binden.

Beispielsweise kann eine Rolle an zwei Richtlinien gebunden sein, wobei eine Richtlinie Zugriffsberechtigungen für ein Feature und die andere Richtlinie Zugriffsberechtigungen für ein anderes Feature definiert. Eine Richtlinie gewährt möglicherweise die Erlaubnis, NetScaler-Instanzen in der NetScaler Console hinzuzufügen, und die andere Richtlinie erteilt möglicherweise die Erlaubnis, ein StyleBook zu erstellen und bereitzustellen und NetScaler-Instanzen zu konfigurieren.

Wenn mehrere Richtlinien die Bearbeitungs- und Schreibschutzberechtigungen für ein einzelnes Feature definieren, haben die Bearbeitungsberechtigungen Priorität gegenüber schreibgeschützten Berechtigungen.

NetScaler Console bietet fünf vordefinierte Rollen:

  • admin_role. Hat Zugriff auf alle NetScaler Console-Funktionen. (Diese Rolle ist gebunden an adminpolicy.)
  • adminExceptSystem_role. Hat Zugriff auf die NetScaler Console-GUI mit Ausnahme der Einstellungsberechtigungen. (Diese Rolle ist an adminExceptSystem_policy gebunden)
  • readonly_role. Schreibgeschützter Zugriff. (Diese Rolle ist gebunden an readonlypolicy.)
  • appAdmin_role. Hat nur Administratorzugriff auf die Anwendungsfunktionen in NetScaler Console. (Diese Rolle ist an appAdminPolicy gebunden).
  • appReadonly_role. Hat nur Lesezugriff auf die Anwendungsfunktionen. (Diese Rolle ist an appReadOnlyPolicy gebunden.)

Sie können die vordefinierten Rollen zwar nicht bearbeiten, aber Sie können Ihre eigenen (benutzerdefinierten) Rollen erstellen.

So erstellen Sie Rollen und weisen ihnen Richtlinien zu:

  1. Navigieren Sie in der NetScaler Console-GUI zu Einstellungen > Benutzer und Rollen > Rollen .

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie auf der Seite Rollen erstellen im Feld Rollenname den Namen der Rolle ein und geben Sie die Beschreibung in das Feld Rollenbeschreibung ein (optional).

  4. Fügen Sie im Abschnitt Richtlinien eine oder mehrere Richtlinien zur Liste Konfiguriert hinzu.

    Hinweis:

    Den Richtlinien wird eine Mandanten-ID vorangestellt (z. B. maasdocfour), die für alle Mandanten eindeutig ist.

    Rollen konfigurieren

    Hinweis:

    **Sie können eine Zugriffsrichtlinie erstellen, indem Sie auf **Neu klicken, oder Sie können zu Einstellungen > Benutzer und Rollen > Zugriffsrichtlinien navigieren und Richtlinien erstellen.

  5. Klicken Sie auf Erstellen.

Gruppen auf der NetScaler Console konfigurieren

In NetScaler Console kann eine Gruppe sowohl Zugriff auf Funktionsebene als auch auf Ressourcenebene haben. Beispielsweise kann eine Benutzergruppe nur auf ausgewählte NetScaler-Instanzen zugreifen, eine andere Gruppe mit nur wenigen ausgewählten Anwendungen usw.

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und der Gruppe Benutzer zuweisen. Allen Benutzern in dieser Gruppe werden in NetScaler Console dieselben Zugriffsrechte zugewiesen.

Sie können den Benutzerzugriff in NetScaler Console auf der einzelnen Ebene der Netzwerkfunktionsentitäten verwalten. Sie können dem Benutzer oder der Gruppe auf Entitätsebene dynamisch bestimmte Berechtigungen zuweisen.

NetScaler Console behandelt virtuelle Server, Dienste, Dienstgruppen und Server als Netzwerkfunktionsentitäten.

  • Virtueller Server (Anwendungen) - Load Balancing (lb), GSLB, Context Switching (CS), Cache-Umleitung (CR), Authentifizierung (Auth) und NetScaler Gateway (vpn)

  • Services - Lastenausgleich und GSLB-Dienste
  • Servicegruppe — Lastenausgleich und GSLB-Dienstgruppen
  • Server — Load Balancing-Server

So erstellen Sie eine Gruppe:

  1. Navigieren Sie in der NetScaler Console zu Einstellungen > Benutzer und Rollen > Gruppen .

  2. Klicken Sie auf Hinzufügen.

    Die Seite Systemgruppe erstellen wird angezeigt.

  3. Geben Sie im Feld Gruppenname den Namen der Gruppe ein.

  4. Geben Sie im Feld Gruppenbeschreibung eine Beschreibung Ihrer Gruppe ein. Eine gute Beschreibung hilft Ihnen, die Rolle und Funktion der Gruppe zu verstehen.

  5. Verschieben Sie im Abschnitt Rollen eine oder mehrere Rollen in die Liste Konfiguriert .

    Hinweis:

    Den Rollen wird eine Mandanten-ID vorangestellt (z. B. maasdocfour), die für alle Mandanten eindeutig ist.

  6. In der Liste Verfügbar können Sie auf Neu oder Bearbeiten klicken und Rollen erstellen oder ändern.

    Alternativ können Sie zu Einstellungen > Benutzer und Rollen > Benutzernavigieren und Benutzer erstellen oder ändern.

    Gruppe konfigurieren

  7. Klicken Sie auf Weiter.

  8. Auf der Registerkarte Autorisierungseinstellungen können Sie Ressourcen aus den folgenden Kategorien auswählen:

    • Autoscale-Gruppen
    • Instanzen
    • Anwendungen
    • Konfigurationsvorlagen
    • IPAM-Anbieter und Netzwerke
    • StyleBooks
    • Konfigurationspakete
    • Domänennamen

    Wählen Sie bestimmte Ressourcen aus den Kategorien aus, auf die Benutzer Zugriff haben können.

    Autoscale-Gruppen:

    So wählen Sie die spezifischen Autoscale-Gruppen aus, die ein Benutzer anzeigen oder verwalten kann:

    1. Deaktivieren Sie das Kontrollkästchen Alle AutoScale-Gruppen und klicken Sie auf AutoScale-Gruppen hinzufügen.

    2. Wählen Sie die erforderlichen Autoscale-Gruppen aus der Liste aus, und klicken Sie auf OK.

    Instanzen:

    So wählen Sie die spezifischen Instanzen aus, die ein Benutzer anzeigen oder verwalten kann:

    1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen und klicken Sie auf Instanzen auswählen.

    2. Wählen Sie die erforderlichen Instanzen aus der Liste aus und klicken Sie auf OK.

      Instanzen auswählen

    Tags:

    So autorisieren Sie Benutzer, bestimmte Instanzen auf der Grundlage der zugehörigen Tags anzuzeigen oder zu verwalten:

    1. Deaktivieren Sie das Kontrollkästchen Alle Instanzen und klicken Sie auf Tags auswählen.

    2. Wählen Sie die erforderlichen Tags aus der Liste aus und klicken Sie auf OK.

      Wählen Sie Schlagworte

    Später, wenn Sie den ausgewählten Tags weitere Instanzen zuordnen, erhalten die autorisierten Benutzer automatisch Zugriff auf die neuen Instanzen.

    Weitere Informationen über Tags und das Zuordnen von Tags zu Instanzen finden Sie unter So erstellen Sie Tags und weisen sie Instanzen zu.

    Anwendungen:

    In der Liste Anwendungen auswählen können Sie einem Benutzer Zugriff auf die erforderlichen Anwendungen gewähren.

    Sie können Anwendungen Zugriff gewähren, ohne deren Instanzen auszuwählen. Weil Anwendungen unabhängig von ihren Instanzen sind, um Benutzerzugriff zu gewähren.

    Wenn Sie einem Benutzer Zugriff auf eine Anwendung gewähren, ist der Benutzer berechtigt, unabhängig von der Instanzauswahl nur auf diese Anwendung zuzugreifen.

    Diese Liste bietet Ihnen die folgenden Optionen:

    • Alle Anwendungen: Diese Option ist standardmäßig ausgewählt. Es fügt alle Anwendungen hinzu, die in der NetScaler Console vorhanden sind.

    • Alle Anwendungen ausgewählter Instanzen: Diese Option wird nur angezeigt, wenn Sie Instanzen aus der Kategorie Alle Instanzen auswählen. Es fügt alle Anwendungen hinzu, die auf der ausgewählten Instanz vorhanden sind.

    • Bestimmte Anwendungen: Mit dieser Option können Sie die erforderlichen Anwendungen hinzufügen, auf die Benutzer zugreifen sollen. Klicken Sie auf Anwendungen hinzufügen, und wählen Sie die erforderlichen Anwendungen aus der Liste aus.

    • Einzelner Entitätstyp auswählen: Mit dieser Option können Sie den spezifischen Typ der Netzwerkfunktionsentität und die entsprechenden Entitäten auswählen.

      Sie können entweder einzelne Entitäten hinzufügen oder alle Entitäten unter dem erforderlichen Entitätstyp auswählen, um einem Benutzer den Zugriff zu gewähren.

      Die Option Auch auf gebundene Entitäten anwenden autorisiert die Entitäten, die an den ausgewählten Entitätstyp gebunden sind. Wenn Sie beispielsweise eine Anwendung auswählen und Auf gebundene Entitäten anwenden auswählen, autorisiert NetScaler Console alle Entitäten, die an die ausgewählte Anwendung gebunden sind.

      Hinweis:

      Stellen Sie sicher, dass Sie nur einen Entitätstyp ausgewählt haben, wenn Sie gebundene Entitäten autorisieren möchten.

    Sie können reguläre Ausdrücke verwenden, um die Netzwerkfunktionsentitäten zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Der angegebene Regex-Ausdruck wird in der NetScaler Console beibehalten. Gehen Sie wie folgt vor, um einen regulären Ausdruck hinzuzufügen:

    1. Klicken Sie auf Regulären Ausdruck hinzufügen.

    2. Geben Sie den regulären Ausdruck im Textfeld an.

      In der folgenden Abbildung wird erklärt, wie Sie einen regulären Ausdruck verwenden, um eine Anwendung hinzuzufügen, wenn Sie die Option Spezifische Anwendungen auswählen:

      Verwenden Sie reguläre Ausdrücke, um Anwendungen hinzuzufügen

      In der folgenden Abbildung wird erklärt, wie Sie mithilfe eines regulären Ausdrucks Netzwerkfunktionsentitäten hinzufügen, wenn Sie die Option Individuellen Entitätstyp auswählen wählen:

      Entitätstypen für

    Wenn Sie weitere reguläre Ausdrücke hinzufügen möchten, klicken Sie auf das Symbol + .

    Hinweis:

    Der reguläre Ausdruck entspricht nur dem Servernamen für den Entitätstyp Server und nicht der Server-IP-Adresse.

    Wenn Sie die Option Auch auf gebundene Entitäten anwenden für eine erkannte Entität auswählen, kann ein Benutzer automatisch auf die Entitäten zugreifen, die an die erkannte Entität gebunden sind.

    Der reguläre Ausdruck wird im System gespeichert, um den Autorisierungsbereich zu aktualisieren. Wenn die neuen Entitäten dem regulären Ausdruck ihres Entitätstyps entsprechen, aktualisiert NetScaler Console den Autorisierungsbereich auf die neuen Entitäten.

    Vorlagen für die Konfiguration:

    Wenn Sie die spezifische Konfigurationsvorlage auswählen möchten, die ein Benutzer anzeigen oder verwalten kann, gehen Sie wie folgt vor:

    1. Löschen Sie alle Konfigurationsvorlagen und klicken Sie auf Konfigurationsvorlage hinzufügen.

    2. Wählen Sie die gewünschte Vorlage aus der Liste aus und klicken Sie auf OK.

      Vorlagen für die Konfiguration

    IPAM-Anbieter und Netzwerke:

    Wenn Sie die spezifischen IPAM-Anbieter und -Netzwerke hinzufügen möchten, die ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    • Anbieter hinzufügenAlle Anbieter löschen und auf Anbieter hinzufügenklicken. Sie können die erforderlichen Anbieter auswählen und auf OKklicken.

    • Netzwerke hinzufügenAlle Netzwerke löschen und auf Netzwerke hinzufügenklicken. Sie können die erforderlichen Netzwerke auswählen und auf OKklicken.

    StyleBooks:

    Wenn Sie das spezifische StyleBook auswählen möchten, das ein Benutzer anzeigen oder verwalten kann, gehen Sie wie folgt vor:

    1. Deaktivieren Sie das Kontrollkästchen Alle StyleBooks und klicken Sie auf StyleBook zur Gruppe hinzufügen. Sie können entweder einzelne StyleBooks auswählen oder eine Filterabfrage angeben, um StyleBooks zu autorisieren.

      Wenn Sie die einzelnen StyleBooks auswählen möchten, wählen Sie die StyleBooks im Bereich Einzelne StyleBooks aus und klicken Sie auf Auswahl speichern.

      Wenn Sie eine Abfrage zum Durchsuchen von StyleBooks verwenden möchten, wählen Sie den Bereich Benutzerdefinierte Filter aus. Eine Abfrage ist eine Zeichenfolge von Schlüssel-Wert-Paaren, wobei Schlüssel name, namespace und version sind.

      Sie können auch reguläre Ausdrücke als Werte verwenden, um StyleBooks zu suchen und hinzuzufügen, die die Regex-Kriterien für die Gruppen erfüllen. Eine benutzerdefinierte Filterabfrage zum Durchsuchen von StyleBooks unterstützt sowohl die Operation And als auch Or.

      Beispiel:

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      Diese Query listet die StyleBooks auf, die die folgenden Bedingungen erfüllen:

      • StyleBook-Name ist entweder lb-mon oder lb.
      • StyleBook Namespace ist com.citrix.adc.stylebooks.
      • StyleBook-Version ist 1.0.

      Verwenden Sie eine Or-Operation zwischen Werteausdrücken, die für den Schlüsselausdruck definiert ist.

      Beispiel:

      • Die Abfrage name=lb-mon|lb ist gültig. Es gibt die StyleBooks zurück, die einen Namen lb-mon oder lb haben.
      • Die Abfrage name=lb-mon | version=1.0 ist ungültig.

      Drücken Sie Enter, um die Suchergebnisse anzuzeigen, und klicken Sie auf Abfrage speichern.

      Benutzerdefinierte Filter

      Die gespeicherte Abfrage wird in der Abfrage “ Benutzerdefinierte Filter”angezeigt. Basierend auf der gespeicherten Abfrage bietet die NetScaler Console dem Benutzer Zugriff auf diese StyleBooks.

    2. Wählen Sie die gewünschten StyleBooks aus der Liste aus und klicken Sie auf OK.

      Sie können die erforderlichen StyleBooks auswählen, wenn Sie Gruppen erstellen und Benutzer zu dieser Gruppe hinzufügen. Wenn Ihr Benutzer das erlaubte StyleBook auswählt, werden auch alle abhängigen StyleBooks ausgewählt.

    Konfigurationspakete:

    Wählen Sie in den Konfigurationspaketen eine der folgenden Optionen aus:

    • Alle Konfigurationen: Diese Option ist standardmäßig ausgewählt. Es ermöglicht Benutzern, alle Konfigurationen in ADM zu verwalten.

    • Alle Konfigurationen der ausgewählten StyleBooks: Diese Option fügt alle Konfigurationspakete des ausgewählten StyleBook hinzu.

    • Spezifische Konfigurationen: Mit dieser Option können Sie spezifische Konfigurationen für jedes StyleBook hinzufügen.

    • Alle von der Benutzergruppe erstellten Konfigurationen: Mit dieser Option können Benutzer nur auf Konfigurationen zugreifen, die von Benutzern derselben Gruppe erstellt wurden.

    Sie können die entsprechenden Config Packs auswählen, wenn Sie Gruppen erstellen und dieser Gruppe Benutzer zuweisen.

    Domänennamen:

    Wenn Sie den spezifischen Domänennamen auswählen möchten, den ein Benutzer anzeigen oder verwalten kann, führen Sie die folgenden Schritte aus:

    1. Deaktivieren Sie das Kontrollkästchen Alle Domänennamen und klicken Sie auf Domänennamen hinzufügen.

    2. Wählen Sie die erforderlichen Domänennamen aus der Liste aus und klicken Sie auf OK.

    3. Klicken Sie auf Gruppe erstellen.

    4. Wählen Sie im Abschnitt Benutzer zuweisen den Benutzer in der Liste Verfügbar aus und fügen Sie ihn der Liste Konfiguriert hinzu.

    Hinweis:

    Sie können auch neue Benutzer hinzufügen, indem Sie auf Neuklicken.

    Benutzer zuweisen

    1. Klicken Sie auf Fertig stellen.

Wie sich der Benutzerzugriff basierend auf dem Berechtigungsumfang ändert

Wenn ein Administrator einen Benutzer zu einer Gruppe hinzufügt, die über unterschiedliche Zugriffsrichtlinieneinstellungen verfügt, wird der Benutzer mehreren Autorisierungsbereichen und Zugriffsrichtlinien zugeordnet.

In diesem Fall gewährt die NetScaler Console dem Benutzer je nach dem spezifischen Autorisierungsbereich Zugriff auf Anwendungen.

Stellen Sie sich einen Benutzer vor, der einer Gruppe zugewiesen ist, die zwei Richtlinien Policy-1 und Policy-2 hat.

  • Policy-1 — Nur Berechtigungen für Anwendungen anzeigen.

  • Policy-2 — Anzeigen und Bearbeiten der Berechtigung für Anwendungen.

Änderungen des Benutzerzugriffs mit Autorisierungsbereichen

Der Benutzer kann die in Policy-1 angegebenen Anwendungen anzeigen. Außerdem kann dieser Benutzer die in Policy-2 angegebenen Anwendungen anzeigen und bearbeiten. Der Bearbeitungszugriff auf Gruppe-1-Anwendungen ist eingeschränkt, da er nicht unter den Autorisierungsbereich der Gruppe 1 fällt.

Einschränkungen

Die folgenden NetScaler Console-Funktionen unterstützen RBAC nicht vollständig:

  • Analytics — Die Analysemodule unterstützen RBAC nicht vollständig. Die RBAC-Unterstützung ist auf Instanzebene beschränkt und gilt nicht auf Anwendungsebene in den Analysemodulen Gateway Insight, HDX Insight und Security Insight.
    • Beispiel 1: Instanzbasierte RBAC (unterstützt). Ein Administrator, dem einige Instanzen zugewiesen wurden, kann nur diese Instanzen unter HDX Insight > Geräteund nur die entsprechenden virtuellen Server unter HDX Insight > Applications sehen, da RBAC auf Instanzebene unterstützt wird.
    • Beispiel 2: Anwendungsbasiertes RBAC (nicht unterstützt). Ein Administrator, dem einige Anwendungen zugewiesen wurden, kann alle virtuellen Server unter HDX Insight > Anwendungen sehen, aber nicht darauf zugreifen, da RBAC auf Anwendungsebene nicht unterstützt wird.
  • StyleBooks — RBAC wird für StyleBooks nicht vollständig unterstützt.
    • Stellen Sie sich eine Situation vor, in der viele Benutzer Zugriff auf ein einzelnes StyleBook haben, aber Zugriffsberechtigungen für verschiedene NetScaler-Instanzen haben. Benutzer können Konfigurationspakete auf ihren eigenen Instanzen erstellen und aktualisieren, da sie keinen Zugriff auf andere Instanzen als ihre eigenen haben. Sie können jedoch weiterhin die Konfigurationspakete und Objekte anzeigen, die auf NetScaler-Instanzen erstellt wurden.
Konfiguration der rollenbasierten Zugriffskontrolle