Application Delivery Management

Control de acceso por roles

NetScaler ADM proporciona un control de acceso (RBAC) detallado y basado en roles, con el que puede conceder permisos de acceso en función de las funciones de los usuarios individuales de su empresa. En este contexto, el acceso es la capacidad de realizar una tarea específica, como ver, crear, modificar o eliminar un archivo. Los roles se definen de acuerdo con la autoridad y responsabilidad de los usuarios dentro de la empresa. Por ejemplo, se puede permitir a un usuario realizar todas las operaciones de red, mientras que otro puede observar el flujo de tráfico en las aplicaciones y ayudar a crear plantillas de configuración.

Los roles están determinados por las directivas. Después de crear las directivas, se crean las funciones, se vinculan las funciones a una o más directivas y se asignan las funciones a los usuarios. También puede asignar roles a grupos de usuarios.

Un grupo es un conjunto de usuarios que tienen permisos en común. Por ejemplo, los usuarios que administran un centro de datos concreto se pueden asignar a un grupo. Un rol es una identidad que se otorga a los usuarios o grupos en función de condiciones específicas. En NetScaler ADM, la creación de roles y directivas es específica de la función RBAC en NetScaler. Los roles y las directivas se pueden crear, cambiar o interrumpir fácilmente a medida que evolucionan las necesidades de la empresa, sin tener que actualizar individualmente los privilegios de cada usuario.

Los roles pueden estar basados en funciones o en recursos. Por ejemplo, considere un administrador SSL/Security y un administrador de aplicaciones. Un administrador de SSL/Security debe tener acceso completo a las funciones de supervisión y administración de certificados SSL, pero debe tener acceso de solo lectura para las operaciones de administración del sistema. Un administrador de aplicaciones debe poder acceder únicamente a los recursos dentro del ámbito.

Ejemplo:

Chris, el jefe del grupo ADC, es el superadministrador de NetScaler ADM en su organización. Chris crea tres funciones de administrador: administrador de seguridad, administrador de aplicaciones y administrador de red.

David, el administrador de seguridad, debe tener acceso completo para la administración y supervisión de certificados SSL, pero también tener acceso de solo lectura para las operaciones de administración del sistema.

Steve, un administrador de aplicaciones, necesita acceso solo a aplicaciones específicas y a plantillas de configuración específicas.

Greg, un administrador de red, necesita acceso a la administración de sistemas y redes.

Chris también debe proporcionar RBAC para todos los usuarios, independientemente del hecho de que sean locales o externos.

Los usuarios de NetScaler ADM pueden autenticarse localmente o se pueden autenticar a través de un servidor externo (RADIUS/LDAP/TACACS). La configuración de RBAC debe ser aplicable a todos los usuarios independientemente del método de autenticación adoptado.

La imagen siguiente muestra los permisos que tienen los administradores y otros usuarios y sus roles en la organización.

Ejemplo de permisos de administrador

Limitaciones

El RBAC no es totalmente compatible con las siguientes funciones de NetScaler ADM:

  • Analytics: RBAC no es totalmente compatible con los módulos de análisis. La compatibilidad con RBAC se limita al nivel de instancia y no se aplica a nivel de aplicación en los módulos de análisis Web Insight, SSL Insight, Gateway Insight, HDX Insight y WAF Security Violations. Por ejemplo:

Ejemplo 1: RBAC basado en instancias (compatible)

Un administrador al que se le hayan asignado algunas instancias solo puede ver esas instancias en Web Insight > Instanciasy solo los servidores virtuales correspondientes en Web Insight > Aplicaciones, ya que el RBAC es compatible a nivel de instancia.

Ejemplo 2: RBAC basado en aplicaciones (no compatible)

Un administrador al que se le hayan asignado algunas aplicaciones puede ver todos los servidores virtuales en Web Insight > Aplicaciones, pero no puede acceder a ellos porque el RBAC no se admite a nivel de aplicaciones.

  • StyleBooks: RBAC no es totalmente compatible con StyleBooks.

    • En NetScaler ADM, los StyleBooks y los paquetes de configuración se consideran recursos independientes. Los permisos de acceso, ya sea para ver, modificar o ambos, se pueden proporcionar para StyleBook y paquetes de configuración por separado o simultáneamente. Un permiso de visualización o edición en los paquetes de configuración permite implícitamente al usuario ver los StyleBooks, lo cual es esencial para obtener los detalles del paquete de configuración y crear paquetes de configuración.

    • No se admite el permiso de acceso para StyleBook o paquetes de configuración específicos
      Ejemplo: si ya hay un paquete de configuración en la instancia, los usuarios pueden modificar la configuración en una instancia de NetScaler de destino incluso si no tienen acceso a esa instancia.

  • Orquestación: RBAC no es compatible con Orchestration.

Control de acceso por roles