Configurer le contrôle d’accès basé sur les rôles
NetScaler ADM fournit un contrôle d’accès détaillé basé sur les rôles (RBAC) grâce auquel vous pouvez accorder des autorisations d’accès en fonction des rôles des utilisateurs individuels au sein de votre entreprise.
Dans NetScaler ADM, tous les utilisateurs sont ajoutés dans Citrix Cloud. En tant que premier utilisateur de votre organisation, vous devez d’abord créer un compte dans Citrix Cloud, puis vous connecter à l’interface graphique NetScaler ADM à l’aide des informations d’identification Citrix Cloud. Le rôle de super administrateur vous est attribué et, par défaut, vous disposez de toutes les autorisations d’accès dans NetScaler ADM. Plus tard, vous pourrez créer d’autres utilisateurs dans votre organisation dans Citrix Cloud.
Les utilisateurs qui sont créés ultérieurement et qui se connectent à NetScaler ADM en tant qu’utilisateurs réguliers sont appelés administrateurs délégués. Ces utilisateurs disposent, par défaut, de toutes les autorisations, à l’exception des autorisations d’administration des utilisateurs. Vous pouvez toutefois accorder des autorisations d’administration utilisateur spécifiques à ces utilisateurs administrateurs délégués. Vous pouvez le faire en créant des stratégies appropriées et en les attribuant à ces utilisateurs délégués. Les autorisations d’administration des utilisateurs se trouvent dans Paramètres > Utilisateurs et rôles. Pour plus d’informations sur la manière d’attribuer des autorisations spécifiques, voir Comment attribuer des autorisations supplémentaires aux utilisateurs administrateurs délégués.
Vous trouverez plus d’informations sur la création de stratégies, de rôles, de groupes et sur la manière de lier les utilisateurs à des groupes dans les sections suivantes.
Exemple :
L’exemple suivant montre comment le RBAC peut être atteint dans NetScaler ADM.
Chris, le chef du groupe ADC, est le super administrateur de NetScaler ADM au sein de son organisation. Il crée trois rôles d’administrateur : administrateur de sécurité, administrateur d’application et administrateur réseau.
- David, l’administrateur de la sécurité, doit disposer d’un accès complet pour la gestion et la surveillance des certificats SSL, mais doit disposer d’un accès en lecture seule pour les opérations d’administration système.
- Steve, administrateur d’applications, a besoin d’accéder uniquement à des applications spécifiques et uniquement à des modèles de configuration spécifiques.
- Greg, administrateur réseau, a besoin d’un accès à l’administration du système et du réseau.
- Chris doit également fournir RBAC à tous les utilisateurs, indépendamment du fait qu’ils soient locaux ou externes.
L’image suivante montre les autorisations dont disposent les administrateurs et les autres utilisateurs et leurs rôles dans l’organisation.
Pour fournir un contrôle d’accès basé sur les rôles à ses utilisateurs, Chris doit d’abord ajouter des utilisateurs dans Citrix Cloud et ce n’est qu’ensuite qu’il pourra voir les utilisateurs dans NetScaler ADM. Chris doit créer des stratégies d’accès pour chacun des utilisateurs en fonction de leur rôle. Les stratégies d’accès sont étroitement liées aux rôles. Chris doit donc également créer des rôles, puis des groupes, car les rôles peuvent être attribués à des groupes uniquement et non à des utilisateurs individuels.
L’accès est la capacité d’effectuer une tâche spécifique, telle que l’affichage, la création, la modification ou la suppression d’un fichier. Les rôles sont définis en fonction de l’autorité et de la responsabilité des utilisateurs au sein de l’entreprise. Par exemple, un utilisateur peut être autorisé à effectuer toutes les opérations réseau, tandis qu’un autre utilisateur peut observer le flux de trafic dans les applications et aider à créer des modèles de configuration.
Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous pouvez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et attribuer des rôles aux utilisateurs. Vous pouvez également affecter des rôles à des groupes d’utilisateurs. Un groupe est un ensemble d’utilisateurs qui ont des autorisations communes. Par exemple, les utilisateurs qui gèrent un centre de données particulier peuvent être affectés à un groupe. Un rôle est une identité attribuée aux utilisateurs en les ajoutant à des groupes spécifiques en fonction de conditions spécifiques. Dans NetScaler ADM, la création de rôles et de stratégies est spécifique à la fonctionnalité RBAC de NetScaler. Les rôles et les stratégies peuvent être facilement créés, modifiés ou supprimés au fur et à mesure que les besoins de l’entreprise évoluent, sans avoir à mettre à jour individuellement les privilèges de chaque utilisateur.
Les rôles peuvent être basés sur des fonctionnalités ou des ressources. Par exemple, pensez à un administrateur SSL/sécurité et à un administrateur d’application. Un administrateur SSL/Security doit avoir un accès complet aux fonctionnalités de gestion et de surveillance des certificats SSL, mais doit avoir un accès en lecture seule pour les opérations d’administration système. Les administrateurs d’applications sont en mesure d’accéder uniquement aux ressources comprises dans leur champ d’application.
Par conséquent, en tant que Chris, le super administrateur, effectuez les exemples de tâches suivants dans NetScaler ADM afin de configurer les politiques d’accès, les rôles et les groupes d’utilisateurs pour David, qui est l’administrateur de la sécurité de votre organisation.
Configuration des utilisateurs sur NetScaler ADM
En tant que super administrateur, vous pouvez créer davantage d’utilisateurs en configurant des comptes pour eux dans Citrix Cloud et non dans NetScaler ADM. Lorsque les nouveaux utilisateurs sont ajoutés à NetScaler ADM, vous pouvez uniquement définir leurs autorisations en attribuant les groupes appropriés à l’utilisateur.
Pour ajouter de nouveaux utilisateurs dans Citrix Cloud :
-
Dans l’interface graphique de NetScaler ADM, cliquez sur l’icône Hamburger en haut à gauche, puis sélectionnez Gestion des identitéset des accès.
-
Dans la page Gestion des identités et des accès, sélectionnez l’onglet Administrateurs .
Cet onglet répertorie les utilisateurs créés dans Citrix Cloud.
-
Sélectionnez le fournisseur d’identité dans la liste.
-
Citrix Identity : entrez l’adresse e-mail de l’utilisateur que vous souhaitez ajouter dans NetScaler ADM et cliquez sur Inviter.
Remarque
L’utilisateur reçoit une invitation par e-mail de Citrix Cloud. L’utilisateur doit cliquer sur le lien fourni dans l’e-mail pour terminer le processus d’inscription en fournissant son nom complet et son mot de passe, puis se connecter à NetScaler ADM à l’aide de ses informations d’identification.
-
Azure Active Directory (AD) : cette option s’affiche uniquement si votre Azure AD est connecté à Citrix Cloud, voir Connecter Azure Active Directory à Citrix Cloud. Lorsque vous sélectionnez cette option pour inviter des utilisateurs ou des groupes, vous pouvez uniquement spécifier un accès personnalisé pour l’utilisateur ou le groupe sélectionné. Les utilisateurs peuvent se connecter à NetScaler ADM à l’aide de leurs informations d’identification Azure AD. De plus, vous n’avez pas besoin de créer une identité Citrix pour les utilisateurs qui font partie de l’Azure AD sélectionné. Si un utilisateur est ajouté au groupe invité, vous n’avez pas besoin d’envoyer d’invitation à l’utilisateur qui vient d’être ajouté. Cet utilisateur peut accéder à NetScaler ADM à l’aide des informations d’identification Azure AD.
-
-
Sélectionnez Accès personnalisé pour l’utilisateur ou le groupe spécifié.
-
Sélectionnez Gestion de la livraison des applications.
Cette option répertorie les groupes d’utilisateurs créés dans NetScaler ADM. Sélectionnez le groupe auquel vous souhaitez ajouter l’utilisateur.
Identité Citrix Azure AD Cliquez sur Envoyer invitation. Cliquez sur Ajouter un groupe d’administrateurs.
En tant qu’administrateur, vous voyez le nouvel utilisateur dans la liste des utilisateurs de NetScaler ADM uniquement lorsque l’utilisateur se connecte à NetScaler ADM.
Pour configurer les utilisateurs dans NetScaler ADM :
-
Dans l’interface graphique de NetScaler ADM, accédezàParamètres> Utilisateurs et rôles > Utilisateurs.
-
L’utilisateur s’affiche sur la page Utilisateurs .
-
Vous pouvez modifier les privilèges accordés à l’utilisateur en sélectionnant l’utilisateur et en cliquant sur Modifier. Vous pouvez également modifier les autorisations de groupe sur la page Groupes sous le nœud Paramètres.
Remarque
-
Les utilisateurs sont ajoutés dans NetScaler ADM à partir du Citrix Cloud uniquement. Par conséquent, même si vous disposez d’autorisations d’administrateur, vous ne pouvez ni ajouter ni supprimer d’utilisateurs dans l’interface utilisateur graphique de NetScaler ADM. Vous ne pouvez modifier que les autorisations de groupe. Des utilisateurs peuvent être ajoutés ou supprimés de Citrix Cloud.
-
Les détails de l’utilisateur apparaissent sur l’interface graphique du service uniquement lorsque l’utilisateur s’est connecté à NetScaler ADM au moins une fois.
-
Configurer les politiques d’accès sur NetScaler ADM
Les stratégies d’accès définissent les autorisations. Une stratégie peut être appliquée à un groupe d’utilisateurs ou à plusieurs groupes en créant des rôles. Les rôles sont déterminés par des stratégies. Après avoir créé des stratégies, vous devez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles à des groupes d’utilisateurs. NetScaler ADM fournit cinq politiques d’accès prédéfinies :
- admin_policy. Permet d’accéder à tous les nœuds NetScaler ADM. L’utilisateur dispose à la fois d’autorisations d’affichage et de modification, peut consulter tout le contenu de NetScaler ADM et peut effectuer toutes les opérations de modification. En d’autres termes, l’utilisateur peut ajouter, modifier et supprimer des opérations sur les ressources.
- adminExceptSystem_policy. Accorde l’accès aux utilisateurs pour tous les nœuds de l’interface graphique NetScaler ADM, à l’exception de l’accès au nœud Paramètres.
- readonly_policy. Octroie des autorisations en lecture seule. L’utilisateur peut consulter tout le contenu sur NetScaler ADM mais n’est pas autorisé à effectuer des opérations.
- appadmin_policy. Accorde des autorisations administratives pour accéder aux fonctionnalités de l’application dans NetScaler ADM. Un utilisateur soumis à cette stratégie peut ajouter, modifier et supprimer des applications personnalisées, et peut activer ou désactiver les services, les groupes de services et les différents serveurs virtuels, tels que la commutation de contenu et la redirection du cache.
- appreadonly_policy. Octroie une autorisation en lecture seule pour les fonctionnalités de l’application. Un utilisateur lié à cette stratégie peut afficher les applications, mais ne peut pas effectuer d’opérations d’ajout, de modification, de suppression, d’activation ou de désactivation.
Bien que vous ne puissiez pas modifier ces stratégies prédéfinies, vous pouvez créer vos propres stratégies (définies par l’utilisateur).
Auparavant, lorsque vous attribuiez des politiques à des rôles et liez les rôles à des groupes d’utilisateurs, vous pouviez accorder des autorisations aux groupes d’utilisateurs au niveau des nœuds dans l’interface graphique NetScaler ADM. Par exemple, vous pouvez uniquement fournir des autorisations d’accès à l’intégralité du nœud d’équilibrage de charge. Vos utilisateurs avaient l’autorisation d’accéder à tous les sous-nœuds spécifiques à l’entité sous le nœud d’équilibrage de charge (par exemple, serveur virtuel, services, etc.) ou ils n’avaient pas l’autorisation d’accéder à un nœud sous Équilibrage de charge.
Dans la version 507.x de NetScaler ADM et les versions ultérieures, la gestion des politiques d’accès est étendue afin de fournir également des autorisations pour les sous-nœuds. Les paramètres de stratégie d’accès peuvent être configurés pour tous les sous-nœuds tels que les serveurs virtuels, les services, les groupes de services et les serveurs.
Actuellement, vous pouvez fournir une telle autorisation d’accès de niveau granulaire uniquement pour les sous-nœuds situés sous un nœud d’équilibrage de charge ainsi que pour les sous-nœuds sous le nœud GSLB.
Par exemple, en tant qu’administrateur, vous pouvez accorder à l’utilisateur une autorisation d’accès uniquement pour afficher les serveurs virtuels, mais pas les services back-end, les groupes de services et les serveurs d’applications dans le nœud d’équilibrage de charge. Les utilisateurs auxquels une telle stratégie leur est attribuée ne peuvent accéder qu’aux serveurs virtuels.
Pour créer des stratégies d’accès définies par l’utilisateur :
-
Dans l’interface graphique de NetScaler ADM, accédezàParamètres> Utilisateurs et rôles > Politiquesd’accès.
-
Cliquez sur Ajouter.
-
Sur la page Créer des stratégies d’accès, dans le champ Nom de la stratégie, entrez le nom de la stratégie et entrez la description dans le champ Description de la stratégie .
La section Autorisations répertorie toutes les fonctionnalités de NetScaler ADM, avec des options permettant de spécifier l’accès en lecture seule, d’activer/désactiver ou de modifier.
-
Cliquez sur l’icône (+) pour développer chaque groupe d’entités en plusieurs entités.
-
Cochez la case d’autorisation à côté du nom de la fonctionnalité pour accorder des autorisations aux utilisateurs.
-
Afficher : Cette option permet à l’utilisateur de visualiser la fonctionnalité dans NetScaler ADM.
-
Activer-Désactiver : cette option est disponible uniquement pour les fonctionnalités des fonctions réseau qui permettent d’activer ou de désactiver une action sur NetScaler ADM. L’utilisateur peut activer ou désactiver la fonctionnalité. Et, un utilisateur peut également effectuer l’action Sondage maintenant.
Lorsque vous accordez l’autorisation Activer-Désactiver à un utilisateur, l’autorisation Afficher est également accordée. Vous ne pouvez pas désélectionner cette option.
-
Modifier : Cette option accorde l’accès complet à l’utilisateur. L’utilisateur peut modifier la fonction et ses fonctions.
Si vous accordez l’autorisation de modification, les autorisations Afficher et Activer/Désactiver sont accordées. Vous ne pouvez pas désélectionner les options sélectionnées automatiquement.
Si vous cochez la case de la fonctionnalité, toutes les autorisations associées à la fonctionnalité sont sélectionnées.
-
Remarque
Développez Load Balancing et GSLB pour afficher d’autres options de configuration.
Dans l’image suivante, les options de configuration de la fonction d’équilibrage de charge ont des autorisations différentes :
L’autorisation Afficher est accordée à un utilisateur pour la fonctionnalité Serveurs virtuels. L’utilisateur peut consulter les serveurs virtuels d’équilibrage de charge dans NetScaler ADM. Pour afficher les serveurs virtuels, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Serveurs virtuels .
L’autorisation Enable-Disable est accordée à un utilisateur pour la fonctionnalité Services . Cette autorisation accorde également l’autorisation d’ affichage . L’utilisateur peut activer ou désactiver les services liés à un serveur virtuel d’équilibrage de charge. En outre, l’utilisateur peut effectuer l’action Sondage Now sur les services. Pour activer ou désactiver des services, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Services .
Remarque
Si un utilisateur dispose de l’autorisation Enable-Disable, l’action d’activation ou de désactivation sur un service est restreinte dans la page suivante :
-
Accédez à Infrastructure > Fonctions réseau.
-
Sélectionnez un serveur virtuel et cliquez sur Configurer.
-
Sélectionnez la page Load Balancing Virtual Server Service Binding . Cette page affiche un message d’erreur si vous sélectionnez Activer ou Désactiver.
L’autorisation de modification est accordée à un utilisateur pour la fonctionnalité Groupes de services . Cette autorisation accorde l’accès complet lorsque les autorisations Afficher et Activer/Désactiver sont accordées. L’utilisateur peut modifier les groupes de services liés à un serveur virtuel d’équilibrage de charge. Pour modifier des groupes de services, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Groupes de services .
-
-
Cliquez sur Create.
Remarque
La sélection de Modifier peut attribuer en interne des autorisations dépendantes qui ne sont pas affichées comme activées dans la section Autorisations. Par exemple, lorsque vous activez les autorisations de modification pour la gestion des erreurs, NetScaler ADM fournit en interne l’autorisation de configurer un profil de messagerie ou de créer des configurations de serveur SMTP, afin que l’utilisateur puisse envoyer le rapport sous forme de courrier électronique.
Accorder des autorisations StyleBook aux utilisateurs
Vous pouvez créer une stratégie d’accès pour accorder des autorisations StyleBook telles que l’importation, la suppression, le téléchargement, etc.
Remarque
L’autorisation Afficher est automatiquement activée lorsque vous accordez d’autres autorisations StyleBook.
Configurer les rôles sur NetScaler ADM
Dans NetScaler ADM, chaque rôle est lié à une ou plusieurs politiques d’accès. Vous pouvez définir des relations un-à-un, un-à-plusieurs et plusieurs vers plusieurs entre les stratégies et les rôles. Vous pouvez lier un rôle à plusieurs stratégies, et vous pouvez lier plusieurs rôles à une seule stratégie.
Par exemple, un rôle peut être lié à deux stratégies, l’une définissant les autorisations d’accès pour une entité et l’autre définissant les autorisations d’accès pour une autre entité. Une politique peut accorder l’autorisation d’ajouter des instances NetScaler dans NetScaler ADM, et l’autre politique peut accorder l’autorisation de créer et de déployer un StyleBook et de configurer des instances NetScaler.
Lorsque plusieurs stratégies définissent les autorisations de mise à jour et de lecture seule pour une entité unique, les autorisations de mise à jour ont la priorité sur les autorisations de lecture seule.
NetScaler ADM propose cinq rôles prédéfinis :
-
admin_role. A accès à toutes les fonctionnalités de NetScaler ADM. (Ce rôle est lié à
adminpolicy
.) - adminExceptSystem_role. A accès à l’interface graphique NetScaler ADM, à l’exception des autorisations relatives aux paramètres. (Ce rôle est lié à AdminExceptSystem_Policy)
-
readonly_role. Accès en lecture seule. (Ce rôle est lié à
readonlypolicy
.) - appAdmin_role. Dispose d’un accès administratif uniquement aux fonctionnalités de l’application dans NetScaler ADM. (Ce rôle est lié à appAdminPolicy).
- appReadonly_role. Dispose d’un accès en lecture seule aux fonctionnalités de l’application. (Ce rôle est lié à appReadOnlyPolicy.)
Bien que vous ne puissiez pas modifier les rôles prédéfinis, vous pouvez créer vos propres rôles (définis par l’utilisateur).
Pour créer des rôles et leur attribuer des stratégies :
-
Dans l’interface graphique de NetScaler ADM, accédezàParamètres> Utilisateurs et rôles > Rôles.
-
Cliquez sur Ajouter.
-
Sur la page Créer des rôles, dans le champ Nom du rôle, entrez le nom du rôle et fournissez la description dans le champ Description du rôle (facultatif).
-
Dans la section Stratégies, ajoutez et déplacez une ou plusieurs stratégies à la liste des stratégies configurées .
Remarque
Les stratégies sont préfixées avec un ID de locataire (par exemple,
maasdocfour
) unique à tous les locataires.Remarque
Vous pouvez créer une stratégie d’accès en cliquant sur Nouveau, ou vous pouvez accéder à Paramètres > Utilisateurs et rôles > Stratégies d’accès, puis créer des stratégies.
-
Cliquez sur Create.
Configurer des groupes sur NetScaler ADM
Dans NetScaler ADM, un groupe peut disposer d’un accès au niveau des fonctionnalités et au niveau des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement à certaines instances NetScaler, un autre groupe ne disposant que de quelques applications sélectionnées, etc.
Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans NetScaler ADM.
Vous pouvez gérer l’accès d’un utilisateur dans NetScaler ADM au niveau individuel des entités fonctionnelles du réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.
NetScaler ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs comme des entités fonctionnelles du réseau.
-
Serveur virtuel (Applications) : équilibrage de charge (
lb
), GSLB, commutation de contexte (CS
), redirection du cache (CR
), authentification (Auth
) et NetScaler Gateway ()vpn
- Services - Équilibrage de charge et services GSLB
- Groupe de services : équilibrage de charge et groupes de services GSLB
- Serveurs - Serveurs d’équilibrage de charge
Pour créer un groupe :
-
Dans NetScaler ADM, accédezà Paramètres > Utilisateurs et**rôles > Groupes.**
-
Cliquez sur Ajouter.
La page Créer un groupe de systèmes s’affiche.
-
Dans le champ Nom du groupe, entrez le nom du groupe.
-
Dans le champ Description du groupe, saisissez une description de votre groupe. Fournir une bonne description vous aide à comprendre le rôle et la fonction du groupe.
-
Dans la section Rôles, déplacez un ou plusieurs rôles vers la liste des rôles configurés .
Remarque
Les rôles sont préfixés avec un ID de locataire (par exemple,
maasdocfour
) unique à tous les locataires. -
Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles.
Vous pouvez également accéder à Paramètres > Utilisateurs et rôles > Utilisateurs, et créer ou modifier des utilisateurs.
-
Cliquez sur Suivant.
-
Dans l’onglet Paramètres d’autorisation, vous pouvez choisir des ressources parmi les catégories suivantes :
- Groupes de mise à l’échelle automatique
- Instances
- Applications
- Modèles de configuration
- Fournisseurs et réseaux IPAM
- StyleBooks
- Configpacks
- Noms de domaine
Vous pouvez sélectionner des ressources spécifiques parmi les catégories auxquelles les utilisateurs peuvent accéder.
Groupes de mise à l’échelle automatique :
Si vous souhaitez sélectionner les groupes de mise à l’Autoscale spécifiques que l’utilisateur peut afficher ou gérer, effectuez les opérations suivantes :
-
Désactivez la case à cocher Tous les groupes d’échelle automatique et cliquez sur Ajouter des groupes d’échelle automatique.
-
Sélectionnez les groupes Autoscale requis dans la liste et cliquez sur OK.
Instances :
Si vous souhaitez sélectionner les instances spécifiques qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :
-
Décochez la case Toutes les instances et cliquez sur Sélectionner les instances.
-
Sélectionnez les instances requises dans la liste et cliquez sur OK.
Applications :
La liste Choisir les applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.
Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès aux utilisateurs.
Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, quelle que soit la sélection de l’instance.
Cette liste propose les options suivantes :
-
Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans NetScaler ADM.
-
Toutes les applications des instances sélectionnées : cette option s’affiche uniquement si vous sélectionnez des instances dans la catégorie Toutes les instances . Il ajoute toutes les applications présentes sur l’instance sélectionnée.
-
Applications spécifiques : Cette option vous permet d’ajouter les applications requises auxquelles vous souhaitez que les utilisateurs puissent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.
-
Sélectionner un type d’entité individuelle : Cette option vous permet de sélectionner le type spécifique d’entité de fonction réseau et les entités correspondantes.
Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.
L’option Appliquer aux entités liées autorise également les entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également aux entités liées, NetScaler ADM autorise toutes les entités liées à l’application sélectionnée.
Remarque
Assurez-vous d’avoir sélectionné un seul type d’entité si vous souhaitez autoriser les entités liées.
Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères d’expression régulière des groupes. L’expression regex spécifiée est conservée dans NetScaler ADM. Pour ajouter une expression régulière, effectuez les opérations suivantes :
-
Cliquez sur Ajouter une expression régulière.
-
Spécifiez l’expression régulière dans la zone de texte.
L’image suivante explique comment utiliser l’expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques :
L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle :
Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône + .
Remarque :
L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Servers et non à l’adresse IP du serveur.
Si vous sélectionnez l’option Appliquer également aux entités liées pour une entité découverte, un utilisateur peut accéder automatiquement aux entités liées à l’entité découverte.
L’expression régulière est stockée dans le système pour mettre à jour la portée de l’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, NetScaler ADM met à jour l’étendue d’autorisation pour les nouvelles entités.
Modèles de configuration :
Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :
-
Décochez la case Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.
-
Sélectionnez le modèle requis dans la liste et cliquez sur OK.
Fournisseurs et réseaux IPAM :
Si vous souhaitez ajouter les fournisseurs et réseaux IPAM spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :
-
Ajouter des fournisseurs - Désactivez la case à cocher Tous les fournisseurs et cliquez sur Ajouter des fournisseurs. Vous pouvez sélectionner les fournisseurs requis et cliquer sur OK.
-
Ajouter des réseaux - Désactivez la case à cocher Tous les réseaux et cliquez sur Ajouter des réseaux. Vous pouvez sélectionner les réseaux requis et cliquer sur OK.
StyleBooks:
Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut consulter ou gérer, effectuez les opérations suivantes :
-
Désactivez la case à cocher Tous les StyleBooks et cliquez sur Ajouter un StyleBook au groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.
Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.
Si vous souhaitez utiliser une requête pour rechercher dans StyleBooks, sélectionnez le volet Filtres personnalisés . Une requête est une chaîne de paires clé-valeur où les clés sont
name
,namespace
etversion
.Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des StyleBooks répondant aux critères de regex pour les groupes. Une requête de filtre personnalisée pour rechercher StyleBooks prend en charge les opérateurs
And
etOr
.Exemple :
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
Cette requête répertorie les StyleBooks qui remplissent les conditions suivantes :
- Le nom de StyleBook est
lb-mon
oulb
. - L’espace de noms StyleBook est
com.citrix.adc.stylebooks
. - La version StyleBook est
1.0
.
Utilisez un opérateur
Or
entre des expressions de valeur définie à l’expression clé.Exemple :
- La requête
name=lb-mon|lb
est valide. Il renvoie les StyleBooks ayant un nomlb-mon
oulb
. - La requête
name=lb-mon | version=1.0
n’est pas valide.
Appuyez sur
Enter
pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.La requête enregistrée apparaît dans la requête Filtres personnalisés. Sur la base de la requête enregistrée, NetScaler ADM fournit aux utilisateurs un accès à ces StyleBooks.
- Le nom de StyleBook est
-
Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.
Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés.
Configpacks :
Dans Configpacks, sélectionnez l’une des options suivantes :
-
Toutes les configurations : cette option est sélectionnée par défaut. Il permet aux utilisateurs de gérer toutes les configurations dans ADM.
-
Toutes les configurations des StyleBooks sélectionnés : cette option ajoute tous les packs de configuration du StyleBook sélectionné.
-
Configurations spécifiques : cette option vous permet d’ajouter des configurations spécifiques à n’importe quel StyleBook.
-
Toutes les configurations créées par le groupe d’utilisateurs : cette option permet aux utilisateurs d’accéder uniquement aux configurations créées par les utilisateurs du même groupe.
Vous pouvez sélectionner les packs de configuration applicables lorsque vous créez des groupes et que vous attribuez des utilisateurs à ce groupe.
Noms de domaine :
Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut consulter ou gérer, procédez comme suit :
-
Décochez la case Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.
-
Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.
-
Cliquez sur Créer un groupe.
-
Dans la section Attribuer des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez-le à la liste des utilisateurs configurés .
Remarque
Vous pouvez également ajouter de nouveaux utilisateurs en cliquant sur Nouveau.
-
Cliquez sur Finish.
Comment l’accès utilisateur change en fonction de la portée d’autorisation
Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.
Dans ce cas, NetScaler ADM accorde à l’utilisateur l’accès aux applications en fonction de l’étendue d’autorisation spécifique.
Considérez un utilisateur qui est affecté à un groupe doté de deux stratégies Stratégie-1 et Stratégie-2.
-
Policy-1 — Affiche uniquement les autorisations pour les applications.
-
Policy-2 — Afficher et modifier l’autorisation des applications.
L’utilisateur peut consulter les applications spécifiées dans Policy-1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.
Limitations
Le RBAC n’est pas totalement pris en charge par les fonctionnalités suivantes de NetScaler ADM :
- Analyses : le RBAC n’est pas entièrement pris en charge par les modules d’analyse. La prise en charge RBAC est limitée à un niveau d’instance et ne s’applique pas au niveau de l’application dans les modules d’analyse Gateway Insight, HDX Insight et Security Insight.
- Exemple 1 : RBAC basé sur une instance (pris en charge). Un administrateur auquel quelques instances ont été attribuées peut uniquement voir ces instances sous HDX Insight > Appareils, et uniquement les serveurs virtuels correspondants sous HDX Insight > Applications, car le RBAC est pris en charge au niveau de l’instance.
- Exemple 2 : RBAC basé sur une application (non pris en charge). Un administrateur qui s’est vu attribuer quelques applications peut voir tous les serveurs virtuels sous HDX Insight > Applications mais ne peut pas y accéder, car le RBAC n’est pas pris en charge au niveau des applications.
- StyleBooks : le RBAC n’est pas entièrement pris en charge pour StyleBooks.
- Imaginons une situation dans laquelle plusieurs utilisateurs ont accès à un seul StyleBook mais disposent d’autorisations d’accès pour différentes instances NetScaler. Les utilisateurs peuvent créer et mettre à jour des packs de configuration sur leurs propres instances, mais pas sur d’autres instances, car ils n’ont pas accès à ces instances autres que les leurs. Mais ils peuvent toujours consulter les packs de configuration et les objets créés sur des instances NetScaler autres que les leurs.