Configurer le contrôle d’accès basé sur les rôles
La console NetScaler fournit un contrôle d’accès précis basé sur les rôles (RBAC) grâce auquel vous pouvez accorder des autorisations d’accès en fonction des rôles des utilisateurs individuels au sein de votre entreprise.
Dans la console NetScaler, tous les utilisateurs sont ajoutés dans Citrix Cloud. En tant que premier utilisateur de votre organisation, vous devez d’abord créer un compte dans Citrix Cloud, puis vous connecter à l’interface graphique de la console NetScaler à l’aide des informations d’identification Citrix Cloud. Le rôle de super administrateur vous est attribué et, par défaut, vous disposez de toutes les autorisations d’accès dans la console NetScaler. Plus tard, vous pourrez créer d’autres utilisateurs dans votre organisation dans Citrix Cloud.
Les utilisateurs créés ultérieurement et qui se connectent à la console NetScaler en tant qu’utilisateurs réguliers sont appelés administrateurs délégués. Ces utilisateurs disposent, par défaut, de toutes les autorisations, à l’exception des autorisations d’administration des utilisateurs. Vous pouvez toutefois accorder des autorisations d’administration spécifiques aux utilisateurs en créant des stratégies appropriées et en les attribuant à ces utilisateurs délégués. Les autorisations d’administration des utilisateurs se trouvent dans Paramètres > Utilisateurs et rôles.
Pour plus d’informations sur la manière d’attribuer des autorisations spécifiques, voir Comment attribuer des autorisations supplémentaires aux utilisateurs administrateurs délégués.
Vous trouverez plus d’informations sur la création de stratégies, de rôles, de groupes et sur la manière de lier les utilisateurs à des groupes dans les sections suivantes.
Exemple :
L’exemple suivant montre comment le RBAC peut être réalisé dans la console NetScaler.
Chris, responsable du groupe NetScaler, est le super administrateur de NetScaler Console au sein de son organisation. Il crée trois rôles d’administrateur : administrateur de sécurité, administrateur d’application et administrateur réseau.
- David, l’administrateur de la sécurité, doit disposer d’un accès complet pour la gestion et la surveillance des certificats SSL, mais doit disposer d’un accès en lecture seule pour les opérations d’administration système.
- Steve, administrateur d’applications, a besoin d’accéder uniquement à des applications spécifiques et uniquement à des modèles de configuration spécifiques.
- Greg, administrateur réseau, a besoin d’un accès à l’administration du système et du réseau.
- Chris doit également fournir RBAC à tous les utilisateurs, indépendamment du fait qu’ils soient locaux ou externes.
L’image suivante montre les autorisations dont disposent les administrateurs et les autres utilisateurs et leurs rôles dans l’organisation.
Pour fournir un contrôle d’accès basé sur les rôles à ses utilisateurs, Chris doit d’abord ajouter des utilisateurs dans Citrix Cloud, puis les voir dans NetScaler Console. Chris doit créer des stratégies d’accès pour chacun des utilisateurs en fonction de leur rôle. Les stratégies d’accès sont étroitement liées aux rôles. Chris doit donc également créer des rôles, puis des groupes, car les rôles peuvent être attribués à des groupes uniquement et non à des utilisateurs individuels.
L’accès est la capacité d’effectuer une tâche spécifique, telle que l’affichage, la création, la modification ou la suppression d’un fichier. Les rôles sont définis en fonction de l’autorité et de la responsabilité des utilisateurs au sein de l’entreprise. Par exemple, un utilisateur peut être autorisé à effectuer toutes les opérations réseau, tandis qu’un autre utilisateur peut observer le flux de trafic dans les applications et aider à créer des modèles de configuration.
Les stratégies déterminent les rôles des utilisateurs. Après avoir créé des stratégies, vous pouvez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et attribuer des rôles aux utilisateurs. Vous pouvez également affecter des rôles à des groupes d’utilisateurs. Un groupe est un ensemble d’utilisateurs qui ont des autorisations communes. Par exemple, les utilisateurs qui gèrent un centre de données particulier peuvent être affectés à un groupe. Un rôle est une identité attribuée aux utilisateurs en les ajoutant à des groupes spécifiques en fonction de conditions spécifiques. Dans NetScaler Console, la création de rôles et de stratégies est spécifique à la fonctionnalité RBAC de NetScaler. Les rôles et les stratégies peuvent être facilement créés, modifiés ou supprimés au fur et à mesure que les besoins de l’entreprise évoluent, sans avoir à mettre à jour individuellement les privilèges de chaque utilisateur.
Les rôles peuvent être basés sur des fonctionnalités ou des ressources. Par exemple, pensez à un administrateur SSL/sécurité et à un administrateur d’application. Un administrateur SSL/Security doit avoir un accès complet aux fonctionnalités de gestion et de surveillance des certificats SSL, mais doit avoir un accès en lecture seule pour les opérations d’administration système. Les administrateurs d’applications sont en mesure d’accéder uniquement aux ressources comprises dans leur champ d’application.
Par conséquent, dans votre rôle de Chris, le super administrateur, exécutez les exemples de tâches suivants dans NetScaler Console afin de configurer les stratégies d’accès, les rôles et les groupes d’utilisateurs pour David, l’administrateur de la sécurité de votre organisation.
Configuration des utilisateurs sur la console NetScaler
En tant que super administrateur, vous pouvez créer des utilisateurs supplémentaires en configurant des comptes pour eux dans Citrix Cloud et non dans NetScaler Console. Lorsque de nouveaux utilisateurs sont ajoutés à NetScaler Console, vous ne pouvez définir leurs autorisations qu’en attribuant les groupes appropriés à l’utilisateur.
Pour ajouter de nouveaux utilisateurs dans Citrix Cloud :
-
Dans l’interface graphique de la console NetScaler, cliquez sur l’icône Hamburger en haut à gauche, puis sélectionnez Gestion des identités et des accès.
-
Sur la page Gestion des identités et des accès, sélectionnez l’onglet Administrateurs .
Cet onglet répertorie les utilisateurs créés dans Citrix Cloud.
-
Sélectionnez le fournisseur d’identité dans la liste.
-
Citrix Identity: saisissez l’adresse e-mail de l’utilisateur que vous souhaitez ajouter dans NetScaler Console et cliquez sur Inviter.
Remarque :
L’utilisateur reçoit une invitation par e-mail de Citrix Cloud. L’utilisateur doit cliquer sur le lien fourni dans l’e-mail pour terminer le processus d’inscription en fournissant son nom complet et son mot de passe, puis se connecter à NetScaler Console à l’aide de ses informations d’identification.
-
Azure Active Directory (AD) : cette option s’affiche uniquement si votre Azure AD est connecté à Citrix Cloud, voir Connecter Azure Active Directory à Citrix Cloud. Lorsque vous sélectionnez cette option pour inviter des utilisateurs ou des groupes, vous pouvez uniquement spécifier un accès personnalisé pour l’utilisateur ou le groupe sélectionné. Les utilisateurs peuvent se connecter à la console NetScaler à l’aide de leurs informations d’identification Azure AD. De plus, vous n’avez pas besoin de créer une identité Citrix pour les utilisateurs qui font partie de l’Azure AD sélectionné. Si un utilisateur est ajouté au groupe invité, vous n’avez pas besoin d’envoyer d’invitation à l’utilisateur qui vient d’être ajouté. Cet utilisateur peut accéder à la console NetScaler à l’aide des informations d’identification Azure AD.
-
-
Sélectionnez Accès personnalisé pour l’utilisateur ou le groupe spécifié.
-
Sélectionnez Gestion de la livraison des applications.
Cette option répertorie les groupes d’utilisateurs créés dans NetScaler Console. Sélectionnez le groupe auquel vous souhaitez ajouter l’utilisateur.
Identité Citrix Azure AD Cliquez sur Envoyer invitation. Cliquez sur Ajouter un groupe d’administrateurs.
En tant qu’administrateur, le nouvel utilisateur apparaît dans la liste des utilisateurs de la NetScaler Console uniquement une fois qu’il s’est connecté à NetScaler Console.
Pour configurer les utilisateurs dans la console NetScaler :
-
Dans l’interface graphique de la console NetScaler, accédez à Paramètres > Utilisateurs et rôles > Utilisateurs .
-
L’utilisateur s’affiche sur la page Utilisateurs .
-
Vous pouvez modifier les privilèges accordés à l’utilisateur en sélectionnant l’utilisateur et en cliquant sur Modifier. Vous pouvez également modifier les autorisations de groupe sur la page Groupes sous le nœud Paramètres.
Remarque :
-
Les utilisateurs sont ajoutés dans la console NetScaler à partir de Citrix Cloud uniquement. Par conséquent, même si vous disposez de droits d’administrateur, vous ne pouvez ni ajouter ni supprimer d’utilisateurs dans l’interface graphique de la console NetScaler. Vous ne pouvez modifier que les autorisations de groupe. Des utilisateurs peuvent être ajoutés ou supprimés de Citrix Cloud.
-
Les informations relatives à l’utilisateur apparaissent sur l’interface graphique du service uniquement lorsque l’utilisateur s’est connecté à la console NetScaler au moins une fois.
-
Configuration des stratégies d’accès sur la console NetScaler
Les stratégies d’accès définissent les autorisations. Une stratégie peut être appliquée à un groupe d’utilisateurs ou à plusieurs groupes en créant des rôles. Les stratégies déterminent les rôles des utilisateurs. Après avoir créé des stratégies, vous devez créer des rôles, lier chaque rôle à une ou plusieurs stratégies et affecter des rôles à des groupes d’utilisateurs. La console NetScaler propose cinq stratégies d’accès prédéfinies :
- admin_policy. Permet d’accéder à tous les nœuds de la console NetScaler. L’utilisateur dispose d’autorisations d’affichage et de modification, peut consulter tout le contenu de la console NetScaler et effectuer toutes les opérations de modification. En d’autres termes, l’utilisateur peut ajouter, modifier et supprimer des opérations sur les ressources.
- adminExceptSystem_policy. Accorde l’accès aux utilisateurs pour tous les nœuds de l’interface graphique de la console NetScaler, à l’exception de l’accès au nœud Paramètres.
- readonly_policy. Octroie des autorisations en lecture seule. L’utilisateur peut consulter tout le contenu de la console NetScaler mais n’est pas autorisé à effectuer aucune opération.
-
appadmin_policy. Octroie des autorisations administratives pour accéder aux fonctionnalités de l’application dans NetScaler Console. Un utilisateur lié par cette stratégie peut :
- Ajouter, modifier et supprimer des applications personnalisées
- Activez ou désactivez les services, les groupes de services et les différents serveurs virtuels, tels que la commutation de contenu et la redirection de cache
- appreadonly_policy. Octroie une autorisation en lecture seule pour les fonctionnalités de l’application. Un utilisateur lié à cette stratégie peut afficher les applications, mais ne peut pas effectuer d’opérations d’ajout, de modification, de suppression, d’activation ou de désactivation.
Bien que vous ne puissiez pas modifier ces stratégies prédéfinies, vous pouvez créer vos propres stratégies (définies par l’utilisateur).
Auparavant, lorsque vous attribuiez des stratégies à des rôles et que vous les liiez à des groupes d’utilisateurs, vous pouviez accorder des autorisations aux groupes d’utilisateurs au niveau des nœuds dans l’interface graphique de la console NetScaler. Par exemple, vous pouvez accorder des autorisations d’accès uniquement à l’ensemble du nœud d’équilibrage de charge. Vos utilisateurs avaient l’autorisation d’accéder à tous les sous-nœuds spécifiques à l’entité sous Équilibrage de charge (par exemple, serveur virtuel, services, etc.) ou ils n’avaient pas l’autorisation d’accéder à un nœud sous Équilibrage de charge.
Dans la version build de NetScaler Console 507.x et les versions ultérieures, la gestion des stratégies d’accès est étendue pour fournir également des autorisations pour les sous-nœuds. Les paramètres de stratégie d’accès peuvent être configurés pour tous les sous-nœuds tels que les serveurs virtuels, les services, les groupes de services et les serveurs.
Actuellement, vous pouvez fournir une telle autorisation d’accès de niveau granulaire uniquement pour les sous-nœuds situés sous un nœud d’équilibrage de charge ainsi que pour les sous-nœuds sous le nœud GSLB.
Par exemple, en tant qu’administrateur, vous souhaiterez peut-être accorder à l’utilisateur une autorisation d’accès uniquement pour consulter les serveurs virtuels, mais pas les services principaux, les groupes de services et les serveurs d’applications du nœud d’ équilibrage de charge . Les utilisateurs auxquels une telle stratégie leur est attribuée ne peuvent accéder qu’aux serveurs virtuels.
Pour créer des stratégies d’accès définies par l’utilisateur :
-
Dans l’interface graphique de NetScaler Console, accédez à Paramètres > Utilisateurs et rôles > Stratégies d’accès .
-
Cliquez sur Ajouter.
-
Sur la page Créer des stratégies d’accès, dans le champ Nom de la stratégie, entrez le nom de la stratégie et entrez la description dans le champ Description de la stratégie .
La section Autorisations répertorie toutes les fonctionnalités de la console NetScaler, avec des options permettant de spécifier l’accès en lecture seule, l’activation/la désactivation ou la modification.
-
Cliquez sur l’icône (+) pour étendre chaque groupe d’entités à de nombreuses fonctionnalités.
-
Cochez la case d’autorisation à côté du nom de la fonctionnalité pour accorder l’autorisation aux utilisateurs.
-
Afficher :cette option permet à l’utilisateur de visualiser la fonctionnalité dans la console NetScaler.
-
Activer-Désactiver :cette option n’est disponible que pour les fonctionnalités Network Functions qui permettent d’activer ou de désactiver une action sur la console NetScaler. L’utilisateur peut activer ou désactiver cette fonctionnalité. L’utilisateur peut également exécuter l’action Poll Now .
Lorsque vous accordez l’autorisation Activer-Désactiver à un utilisateur, l’autorisation Afficher est également accordée. Vous ne pouvez pas désélectionner cette option.
-
Modifier : Cette option accorde l’accès complet à l’utilisateur. L’utilisateur peut modifier la fonctionnalité et ses fonctions.
Si vous accordez l’autorisation de modification, les autorisations Afficher et Activer/Désactiver sont accordées. Vous ne pouvez pas désélectionner les options sélectionnées automatiquement.
Si vous cochez la case de la fonctionnalité, toutes les autorisations associées à la fonctionnalité sont sélectionnées.
-
Remarque :
développez Load Balancing et GSLB pour afficher davantage d’options de configuration.
Dans l’image suivante, les options de configuration de la fonction d’équilibrage de charge ont des autorisations différentes :
L’autorisation Afficher est accordée à un utilisateur pour la fonctionnalité Serveurs virtuels. L’utilisateur peut consulter les serveurs virtuels d’équilibrage de charge dans la console NetScaler. Pour afficher les serveurs virtuels, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Serveurs virtuels .
L’autorisation Enable-Disable est accordée à un utilisateur pour la fonctionnalité Services . Cette autorisation accorde également l’autorisation d’ affichage . L’utilisateur peut activer ou désactiver les services liés à un serveur virtuel d’équilibrage de charge. En outre, l’utilisateur peut effectuer l’action Sondage Now sur les services. Pour activer ou désactiver des services, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Services .
Remarque :
Si un utilisateur dispose de l’autorisation Activer-Désactiver, l’action d’activation ou de désactivation sur un service est limitée dans la page suivante :
-
Accédez à Infrastructure > Fonctions réseau.
-
Sélectionnez un serveur virtuel et cliquez sur Configurer.
-
Sélectionnez la page Load Balancing Virtual Server Service Binding . Cette page affiche un message d’erreur si vous sélectionnez Activer ou Désactiver.
L’autorisation de modification est accordée à un utilisateur pour la fonctionnalité Groupes de services . Cette autorisation accorde l’accès complet lorsque les autorisations Afficher et Activer/Désactiver sont accordées. L’utilisateur peut modifier les groupes de services liés à un serveur virtuel d’équilibrage de charge. Pour modifier des groupes de services, accédez à Infrastructure > Fonctions réseau > Équilibrage de charge et sélectionnez l’onglet Groupes de services .
-
-
Cliquez sur Créer.
Remarque :
La sélection de Modifier peut attribuer en interne des autorisations dépendantes qui ne sont pas affichées comme activées dans la section Autorisations. Par exemple, lorsque vous activez les autorisations de modification pour la gestion des pannes, NetScaler Console autorise en interne la configuration d’un profil de messagerie ou la création de configurations de serveur SMTP, afin que l’utilisateur puisse envoyer le rapport par courrier électronique.
Accorder des autorisations StyleBook aux utilisateurs
Vous pouvez créer une stratégie d’accès pour accorder des autorisations StyleBook telles que l’importation, la suppression, le téléchargement, etc.
Remarque :
L’autorisation Afficher est automatiquement activée lorsque vous accordez d’autres autorisations StyleBook.
Configuration des rôles sur la console NetScaler
Dans NetScaler Console, chaque rôle est lié à une ou plusieurs stratégies d’accès. Vous pouvez définir des relations un-à-un, un-à-plusieurs et plusieurs vers plusieurs entre les stratégies et les rôles. Vous pouvez lier un rôle à plusieurs stratégies, et vous pouvez lier plusieurs rôles à une seule stratégie.
Par exemple, un rôle peut être lié à deux stratégies, l’une définissant les autorisations d’accès pour une entité et l’autre définissant les autorisations d’accès pour une autre entité. Une stratégie peut autoriser l’ajout d’instances NetScaler dans la console NetScaler, tandis que l’autre stratégie peut autoriser la création et le déploiement d’un StyleBook et la configuration des instances NetScaler.
Lorsque plusieurs stratégies définissent les autorisations de mise à jour et de lecture seule pour une entité unique, les autorisations de mise à jour ont la priorité sur les autorisations de lecture seule.
La console NetScaler propose cinq rôles prédéfinis :
-
admin_role. Permet d’accéder à toutes les fonctionnalités de la console NetScaler. (Ce rôle est lié à
adminpolicy
.) - adminExceptSystem_role. A accès à l’interface graphique de la console NetScaler, à l’exception des autorisations relatives aux paramètres. (Ce rôle est lié à AdminExceptSystem_Policy)
-
readonly_role. Accès en lecture seule. (Ce rôle est lié à
readonlypolicy
.) - appAdmin_role. Dispose d’un accès administratif aux seules fonctionnalités de l’application dans NetScaler Console. (Ce rôle est lié à appAdminPolicy).
- appReadonly_role. Dispose d’un accès en lecture seule aux fonctionnalités de l’application. (Ce rôle est lié à appReadOnlyPolicy.)
Bien que vous ne puissiez pas modifier les rôles prédéfinis, vous pouvez créer vos propres rôles (définis par l’utilisateur).
Pour créer des rôles et leur attribuer des stratégies :
-
Dans l’interface graphique de la console NetScaler, accédez à Paramètres > Utilisateurs et rôles > Rôles .
-
Cliquez sur Ajouter.
-
Sur la page Créer des rôles, dans le champ Nom du rôle, entrez le nom du rôle et fournissez la description dans le champ Description du rôle (facultatif).
-
Dans la section Stratégies, ajoutez et déplacez une ou plusieurs stratégies à la liste des stratégies configurées .
Remarque :
Les stratégies sont préfixées avec un ID de locataire (par exemple,
maasdocfour
) unique à tous les locataires.Remarque :
Vous pouvez créer une stratégie d’accès en cliquant sur Nouveau , ou vous pouvez accéder à Paramètres > Utilisateurs et rôles > Stratégies d’accès, puis créer des stratégies.
-
Cliquez sur Créer.
Configurer des groupes sur la console NetScaler
Dans la console NetScaler, un groupe peut disposer d’un accès au niveau des fonctionnalités et au niveau des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement à certaines instances NetScaler, un autre groupe ne disposant que de quelques applications sélectionnées, etc.
Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Les mêmes droits d’accès sont attribués à tous les utilisateurs de ce groupe dans la console NetScaler.
Vous pouvez gérer l’accès d’un utilisateur dans la console NetScaler au niveau individuel des entités fonctionnelles réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.
La console NetScaler traite les serveurs virtuels, les services, les groupes de services et les serveurs comme des entités fonctionnelles réseau.
-
Serveur virtuel (Applications) : équilibrage de charge (
lb
), GSLB, commutation de contexte (CS
), redirection du cache (CR
), authentification (Auth
) et NetScaler Gateway ()vpn
- Services - Équilibrage de charge et services GSLB
- Groupe de services : équilibrage de charge et groupes de services GSLB
- Serveurs - Serveurs d’équilibrage de charge
Pour créer un groupe :
-
Dans la console NetScaler, accédez à Paramètres > Utilisateurs et rôles > Groupes .
-
Cliquez sur Ajouter.
La page Créer un groupe de systèmes s’affiche.
-
Dans le champ Nom du groupe, entrez le nom du groupe.
-
Dans le champ Description du groupe, saisissez une description de votre groupe. Fournir une bonne description vous aide à comprendre le rôle et la fonction du groupe.
-
Dans la section Rôles, déplacez un ou plusieurs rôles vers la liste des rôles configurés .
Remarque :
Les rôles sont préfixés avec un ID de locataire (par exemple,
maasdocfour
) unique à tous les locataires. -
Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles.
Vous pouvez également accéder à Paramètres > Utilisateurs et rôles > Utilisateurs, et créer ou modifier des utilisateurs.
-
Cliquez sur Suivant.
-
Dans l’onglet Paramètres d’autorisation, vous pouvez choisir des ressources parmi les catégories suivantes :
- Groupes de mise à l’échelle automatique
- Instances
- Applications
- Modèles de configuration
- Fournisseurs et réseaux IPAM
- StyleBooks
- Packs de configuration
- Noms de domaine
Sélectionnez des ressources spécifiques dans les catégories auxquelles les utilisateurs peuvent avoir accès.
Groupes de mise à l’échelle automatique :
Pour sélectionner les groupes Autoscale spécifiques qu’un utilisateur peut afficher ou gérer, procédez comme suit :
-
Décochez la case Tous les groupes AutoScale et cliquez sur Ajouter des groupes AutoScale.
-
Sélectionnez les groupes Autoscale requis dans la liste et cliquez sur OK.
Instances :
Pour sélectionner les instances spécifiques qu’un utilisateur peut afficher ou gérer, procédez comme suit :
-
Décochez la case Toutes les instances et cliquez sur Sélectionner les instances.
-
Sélectionnez les instances requises dans la liste et cliquez sur OK.
Balises :
Pour autoriser les utilisateurs à consulter ou à gérer des instances spécifiques en fonction des balises associées, procédez comme suit :
-
Décochez la case Toutes les instances et cliquez sur Sélectionner les balises.
-
Sélectionnez les balises requises dans la liste et cliquez sur OK.
Plus tard, au fur et à mesure que vous associez d’autres instances aux balises sélectionnées, les utilisateurs autorisés ont automatiquement accès aux nouvelles instances.
Pour plus d’informations sur les balises et l’association de balises à des instances, consultez Comment créer des balises et les attribuer à des instances.
Applications :
La liste Choisir les applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.
Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès aux utilisateurs.
Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, quelle que soit la sélection de l’instance.
Cette liste propose les options suivantes :
-
Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans la console NetScaler.
-
Toutes les applications des instances sélectionnées : cette option s’affiche uniquement si vous sélectionnez des instances dans la catégorie Toutes les instances . Il ajoute toutes les applications présentes sur l’instance sélectionnée.
-
Applications spécifiques : Cette option vous permet d’ajouter les applications requises auxquelles vous souhaitez que les utilisateurs puissent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.
-
Sélectionner un type d’entité individuelle : Cette option vous permet de sélectionner le type spécifique d’entité de fonction réseau et les entités correspondantes.
Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.
L’option Appliquer aux entités liées autorise également les entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez Appliquer également aux entités liées , NetScaler Console autorise toutes les entités liées à l’application sélectionnée.
Remarque :
Assurez-vous de n’avoir sélectionné qu’un seul type d’entité si vous souhaitez autoriser les entités liées.
Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères d’expression régulière des groupes. L’expression régulière spécifiée est conservée dans la console NetScaler. Pour ajouter une expression régulière, procédez comme suit :
-
Cliquez sur Ajouter une expression régulière.
-
Spécifiez l’expression régulière dans la zone de texte.
L’image suivante explique comment utiliser une expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques :
L’image suivante explique comment utiliser une expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuel :
Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône + .
Remarque :
L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Servers et non à l’adresse IP du serveur.
Si vous sélectionnez l’option Appliquer également aux entités liées pour une entité découverte, un utilisateur peut accéder automatiquement aux entités liées à l’entité découverte.
L’expression régulière est stockée dans le système pour mettre à jour la portée de l’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, NetScaler Console met à jour l’étendue d’autorisation pour les nouvelles entités.
Modèles de configuration :
Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut afficher ou gérer, procédez comme suit :
-
Désactivez tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.
-
Sélectionnez le modèle requis dans la liste et cliquez sur OK.
Fournisseurs et réseaux IPAM :
Si vous souhaitez ajouter les fournisseurs et réseaux IPAM spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les opérations suivantes :
-
Ajouter des fournisseurs : effacez tous les fournisseurs et cliquez sur Ajouter des fournisseurs. Vous pouvez sélectionner les fournisseurs requis et cliquer sur OK.
-
Ajouter des réseaux : effacez tous les réseaux et cliquez sur Ajouter des réseaux. Vous pouvez sélectionner les réseaux requis et cliquer sur OK.
StyleBooks:
Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut afficher ou gérer, procédez comme suit :
-
Décochez la case Tous les StyleBooks et cliquez sur Ajouter StyleBookau groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.
Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.
Si vous souhaitez utiliser une requête pour rechercher dans StyleBooks, sélectionnez le volet Filtres personnalisés . Une requête est une chaîne de paires clé-valeur où les clés sont
name
,namespace
etversion
.Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des StyleBooks qui répondent aux critères d’expression régulière des groupes. Une requête de filtre personnalisée pour rechercher StyleBooks prend en charge les opérateurs
And
etOr
.Exemple :
name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0 <!--NeedCopy-->
Cette requête répertorie les StyleBooks qui remplissent les conditions suivantes :
- Le nom de StyleBook est
lb-mon
oulb
. - L’espace de noms StyleBook est
com.citrix.adc.stylebooks
. - La version StyleBook est
1.0
.
Utilisez un opérateur
Or
entre des expressions de valeur définie à l’expression clé.Exemple :
- La requête
name=lb-mon|lb
est valide. Il renvoie les StyleBooks ayant un nomlb-mon
oulb
. - La requête
name=lb-mon | version=1.0
n’est pas valide.
Appuyez sur
Enter
pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.La requête enregistrée apparaît dans la requête Filtres personnalisés. Sur la base de la requête enregistrée, la console NetScaler permet aux utilisateurs d’accéder à ces StyleBooks.
- Le nom de StyleBook est
-
Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.
Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés.
Packs de configuration :
Dans les packs de configuration, sélectionnez l’une des options suivantes :
-
Toutes les configurations : cette option est sélectionnée par défaut. Il permet aux utilisateurs de gérer toutes les configurations dans ADM.
-
Toutes les configurations des StyleBooks sélectionnés : cette option ajoute tous les packs de configuration du StyleBook sélectionné.
-
Configurations spécifiques : cette option vous permet d’ajouter des configurations spécifiques à n’importe quel StyleBook.
-
Toutes les configurations créées par le groupe d’utilisateurs : cette option permet aux utilisateurs d’accéder uniquement aux configurations créées par les utilisateurs du même groupe.
Vous pouvez sélectionner les packs de configuration applicables lorsque vous créez des groupes et que vous attribuez des utilisateurs à ce groupe.
Noms de domaine :
Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut consulter ou gérer, procédez comme suit :
-
Décochez la case Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.
-
Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.
-
Cliquez sur Créer un groupe.
-
Dans la section Attribuer des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez-le à la liste Configuré .
Remarque :
Vous pouvez également ajouter de nouveaux utilisateurs en cliquant sur Nouveau.
- Cliquez sur Terminer.
Comment l’accès utilisateur change en fonction de la portée d’autorisation
Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.
Dans ce cas, la console NetScaler accorde à l’utilisateur l’accès aux applications en fonction de la portée d’autorisation spécifique.
Considérez un utilisateur qui est affecté à un groupe doté de deux stratégies Stratégie-1 et Stratégie-2.
-
Policy-1 — Affiche uniquement les autorisations pour les applications.
-
Policy-2 — Afficher et modifier l’autorisation des applications.
L’utilisateur peut consulter les applications spécifiées dans Policy-1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.
Limitations
Les fonctionnalités suivantes de la console NetScaler ne prennent pas totalement en charge le RBAC :
-
Analyses : les modules d’analyse ne prennent pas entièrement en charge le RBAC. La prise en charge RBAC est limitée à un niveau d’instance et ne s’applique pas au niveau de l’application dans les modules d’analyse Gateway Insight, HDX Insight et Security Insight.
- Exemple 1 : RBAC basé sur une instance (pris en charge). Un administrateur auquel quelques instances ont été attribuées peut uniquement voir ces instances sous HDX Insight > Appareils, et uniquement les serveurs virtuels correspondants sous HDX Insight > Applications, car le RBAC est pris en charge au niveau de l’instance.
- Exemple 2 : RBAC basé sur l’application (non pris en charge). Un administrateur qui s’est vu attribuer quelques applications peut voir tous les serveurs virtuels sous HDX Insight > Applications mais ne peut pas y accéder, car le RBAC n’est pas pris en charge au niveau des applications.
-
StyleBooks : le RBAC n’est pas entièrement pris en charge pour StyleBooks.
- Prenons l’exemple d’une situation dans laquelle de nombreux utilisateurs ont accès à un seul StyleBook mais disposent d’autorisations d’accès pour différentes instances de NetScaler. Les utilisateurs peuvent créer et mettre à jour des packs de configuration sur leurs propres instances puisqu’ils n’ont pas accès à d’autres instances que les leurs. Mais ils peuvent toujours consulter les packs de configuration et les objets créés sur des instances NetScaler autres que les leurs.
Dans cet article
- Configuration des utilisateurs sur la console NetScaler
- Configuration des stratégies d’accès sur la console NetScaler
- Configuration des rôles sur la console NetScaler
- Configurer des groupes sur la console NetScaler
- Comment l’accès utilisateur change en fonction de la portée d’autorisation
- Limitations