Administration des utilisateurs
Citrix SD-WAN Orchestrator pour locaux prend en charge le contrôle d’accès basé sur les rôles (RBAC). Le RBAC régule l’accès aux ressources du SD-WAN Orchestrator en fonction des rôles assignés aux utilisateurs individuels. RBAC permet aux utilisateurs d’accéder uniquement aux données exigées par leur rôle et restreint toute autre donnée.
Un rôle définit les autorisations permettant d’afficher et d’effectuer diverses activités sur Citrix SD-WAN Orchestrator pour locaux. Vous pouvez attribuer un rôle à un utilisateur dans la liste des rôles prédéfinis.
Par défaut, un compte utilisateur est créé sur Citrix SD-WAN Orchestrator for On-premises avec le nom d’utilisateur admin et le mot de passe définis comme mot de passe. L’utilisateur est invité à modifier le mot de passe par défaut lors de la connexion initiale.
Vous pouvez ajouter des utilisateurs qui peuvent être authentifiés localement et à distance. Les utilisateurs authentifiés à distance sont authentifiés via des serveurs d’authentification RADIUS ou TACACS+.
Rôles fournisseur
Le tableau suivant répertorie les rôles de fournisseur prédéfinis.
| Rôle du fournisseur | Description |
|---|---|
| Provider-Master-Admin-All | Un administrateur capable de gérer le fournisseur et toutes ses informations clients |
| Provider-Master-Admin-Tenant | Un administrateur capable de gérer le fournisseur et un sous-ensemble de ses informations clients |
| Provider-Master-ReadOnly-All | Un administrateur qui ne peut consulter que les informations sur les fournisseurs et les clients |
| Provider-Network-Admin (version préliminaire) | Un administrateur qui peut uniquement consulter et modifier les informations relatives au réseau |
| Provider-Security-Admin (version préliminaire) | Un administrateur qui peut uniquement consulter et modifier les informations relatives à la sécurité |
Le rôle Provider-Master-Admin-All peut effectuer les opérations suivantes :
- Attribuer des rôles aux utilisateurs dans le réseau Fournisseur et Client
- Gérer l’accès aux clients pour tous les autres rôles d’administrateur
- Modifier ou supprimer des rôles attribués
Rôles des clients
Le tableau suivant répertorie les rôles clients prédéfinis :
| Rôle | Description |
|---|---|
| Customer-Master-Admin | Un administrateur client qui peut consulter et modifier les informations des clients |
| Customer-Master-readonly-Admin | Un administrateur client qui ne peut consulter que les informations des clients |
| Clients-Network-Admin (version préliminaire) | Un administrateur client qui peut uniquement consulter et modifier les informations relatives au réseau |
| Customer-Security-Admin (version préliminaire) | Un administrateur client qui peut uniquement consulter et modifier les informations relatives à la sécurité |
Un utilisateur doté du rôle Customer-Master-Admin peut effectuer les opérations suivantes :
- Ajouter des utilisateurs et attribuer des rôles aux clients
- Modifier ou supprimer des rôles attribués
Remarque :
Il est important d’attribuer les rôles critiques (administrateur principal, administrateur de sécurité et administrateur réseau) exclusivement aux utilisateurs de confiance.
Rôles d’assistance
À des fins de résolution des problèmes, les clients peuvent attribuer des rôles d’assistance et permettre aux membres de l’équipe d’assistance de consulter et de modifier leurs informations. Les rôles de support ont une période de validité définie lors de l’attribution du rôle. Une fois la période de validité expirée, l’utilisateur du support perd l’accès aux informations du client. Toutefois, les détails de l’utilisateur du support continuent d’apparaître sous Administration > Administration des utilisateurs. En fonction des besoins, l’administrateur du client peut supprimer ou prolonger la validité du rôle de support.
| Rôle | Description |
|---|---|
| Customer-Support-ReadWrite | Un membre de l’équipe d’assistance qui peut consulter et modifier les informations du client |
| Customer-Support-ReadOnly | Un membre de l’équipe d’assistance qui ne peut consulter que les informations du client |
Types d’authentification
Citrix SD-WAN Orchestrator pour locaux prend en charge les types d’authentification suivants :
- Authentificationà facteur unique : L’authentification à facteur unique présente une méthode d’authentification pour accéder à Citrix SD-WAN Orchestrator pour les utilisateurs sur site.
- Authentification à deux facteurs (TFA) : L’authentification à deux facteurs présente deux méthodes d’authentification pour accéder à Citrix SD-WAN Orchestrator pour les utilisateurs sur site. Il introduit un niveau de sécurité supplémentaire dans la séquence de connexion.
Les méthodes d’authentification suivantes sont prises en charge pour l’authentification à un facteur et à deux facteurs :
- Local : lorsque cette option est sélectionnée, l’utilisateur doit utiliser le mot de passe configuré sur Citrix SD-WAN Orchestrator pour les applications locales pour y accéder.
- RADIUS : lorsque cette option est sélectionnée, l’utilisateur doit utiliser le mot de passe du serveur RADIUS pour y accéder.
- TACACS+ : Lorsque cette option est sélectionnée, les utilisateurs doivent utiliser le mot de passe du serveur TACACS+ pour y accéder.
Le tableau suivant répertorie les méthodes d’authentification principales et secondaires prises en charge pour les utilisateurs authentifiés localement :
| Type d’authentification principal | Type d’authentification secondaire | |
|---|---|---|
| authentification à facteur unique | Stockage local | - |
| Authentification à deux facteurs | Stockage local | RADIUS ou TACACS+ |
Le tableau suivant répertorie les méthodes d’authentification principales et secondaires prises en charge pour les utilisateurs authentifiés à distance :
| Type d’authentification principal | Type d’authentification secondaire | |
|---|---|---|
| authentification à facteur unique | Local, RADIUS ou TACACS+ | - |
| Authentification à deux facteurs | Local, RADIUS ou TACACS+ | RADIUS ou TACACS+ |
Si l’authentification à deux facteurs est activée et que les serveurs RADIUS/TACACS+ sont configurés comme type d’authentification secondaire, le champ Mot de passe secondaire est visible sur la page de connexion.
Ajouter un utilisateur
Accédez à Administration > Administration des utilisateurs, cliquez sur + Nouveau > Entrez les informations suivantes, puis cliquez sur Ajouter.
- Entrez le nom d’utilisateur.
- Authentification à facteur unique : active uniquement l’authentification principale pour la connexion des utilisateurs.
- Authentification à deux facteurs : active l’authentification principale et secondaire pour la connexion des utilisateurs. Pour plus d’informations, voir Serveurs d’authentification à distance.
- Type d’authentification principal : sélectionnez Local ou l’adresse IP du serveur d’authentification distant.
-
Type d’authentification secondaire : sélectionnez l’adresse IP du serveur d’authentification à distance.
NOTE
Le champ Type d’authentification secondaire est grisé si l’authentification à facteur unique est sélectionnée.
- Rôle : Sélectionnez un rôle dans la liste des rôles disponibles.
- Refuser l’accès aux clients : (Disponible uniquement au niveau du fournisseur). Lors de l’ajout d’utilisateurs, les fournisseurs peuvent refuser l’accès à des clients spécifiques.
- Date d’expiration (MM/DD/YYYY) : date jusqu’à laquelle l’utilisateur du support a accès aux informations du client. La période de validité par défaut est de deux semaines à compter de la date à laquelle le rôle est attribué.
- Entrez votre mot de passe. La longueur du mot de passe doit être comprise entre 8 et 128 caractères.
À l’aide de la colonne Actions, vous pouvez modifier le rôle de l’utilisateur, mettre à jour le mot de passe et modifier le type d’authentification. Vous pouvez également supprimer l’utilisateur si nécessaire.
Limitation
Citrix SD-WAN Orchestrator pour locaux ne prend pas en charge la duplication des noms d’utilisateur d’un autre client auprès du même fournisseur. Lorsque cette action est effectuée, le message d’erreur Erreur lors de la création du compte s’affiche.
Modifier le type d’authentification
Vous pouvez modifier le type d’authentification d’un utilisateur de l’authentification à un facteur à l’authentification à deux facteurs et inversement.
Pour modifier le type d’authentification d’un utilisateur, dans la colonne Actions, cliquez sur … puis sur Modifier le serveur d’authentification.
Si vous avez actuellement sélectionné l’ authentification à un seul facteur, vous pouvez passer à l’authentification à deux facteurs. Cliquez sur Authentification à deux facteurs et sélectionnez le serveur distant dans la liste déroulante Type d’authentification secondaire . Cliquez sur Appliquer.
Si vous avez actuellement sélectionné l’authentification à deux facteurs, vous pouvez choisir de modifier uniquement le type d’authentification secondaire ou de passer à l’authentification à facteur unique.
Pour passer à l’authentification à facteur unique, cliquez sur Authentification à facteur unique. La liste déroulante Type d’authentification secondaire est désactivée et seule la liste déroulante Type d’authentification principal est activée.
Letype d’authentification principal ne peut être défini qu’au moment de la création de l’utilisateur et ne peut pas être modifié ultérieurement.
Modifier le mot de passe
Vous pouvez modifier le mot de passe des utilisateurs locaux. Pour modifier le mot de passe d’un utilisateur, dans la colonne Actions, cliquez sur … et sur Mettre à jour le mot de passe local.
NOTE
Vous ne pouvez modifier le mot de passe que pour les utilisateurs locaux. Pour les utilisateurs authentifiés à distance, vous devez mettre à jour le mot de passe sur le serveur externe.
Modifier le rôle d’utilisateur
Pour modifier le rôle de l’utilisateur, cliquez sur l’icône Modifier dans la colonne Actions . Sélectionnez un rôle et cliquez sur Appliquer.
NOTE
Vous ne pouvez pas modifier le rôle de l’utilisateur administrateur par défaut.
