Citrix SD-WAN Orchestrator pour site 14.3

Administration des utilisateurs

Citrix SD-WAN Orchestrator pour locaux prend en charge le contrôle d’accès basé sur les rôles (RBAC). Le RBAC régule l’accès aux ressources du SD-WAN Orchestrator en fonction des rôles assignés aux utilisateurs individuels. RBAC permet aux utilisateurs d’accéder uniquement aux données exigées par leur rôle et restreint toute autre donnée.

Un rôle définit les autorisations permettant d’afficher et d’effectuer diverses activités sur Citrix SD-WAN Orchestrator pour locaux. Vous pouvez attribuer un rôle à un utilisateur dans la liste des rôles prédéfinis.

Par défaut, un compte utilisateur est créé sur Citrix SD-WAN Orchestrator for On-premises avec le nom d’utilisateur admin et le mot de passe définis comme mot de passe. L’utilisateur est invité à modifier le mot de passe par défaut lors de la connexion initiale.

Vous pouvez ajouter des utilisateurs qui peuvent être authentifiés localement et à distance. Les utilisateurs authentifiés à distance sont authentifiés via des serveurs d’authentification RADIUS ou TACACS+.

Rôles fournisseur

Le tableau suivant répertorie les rôles de fournisseur prédéfinis.

Rôle du fournisseur Description
Provider-Master-Admin-All Un administrateur capable de gérer le fournisseur et toutes ses informations clients
Provider-Master-Admin-Tenant Un administrateur capable de gérer le fournisseur et un sous-ensemble de ses informations clients
Provider-Master-ReadOnly-All Un administrateur qui ne peut consulter que les informations sur les fournisseurs et les clients
Provider-Network-Admin (version préliminaire) Un administrateur qui peut uniquement consulter et modifier les informations relatives au réseau
Provider-Security-Admin (version préliminaire) Un administrateur qui peut uniquement consulter et modifier les informations relatives à la sécurité

Le rôle Provider-Master-Admin-All peut effectuer les opérations suivantes :

  • Attribuer des rôles aux utilisateurs dans le réseau Fournisseur et Client
  • Gérer l’accès aux clients pour tous les autres rôles d’administrateur
  • Modifier ou supprimer des rôles attribués

Rôles des clients

Le tableau suivant répertorie les rôles clients prédéfinis :

Rôle Description
Customer-Master-Admin Un administrateur client qui peut consulter et modifier les informations des clients
Customer-Master-readonly-Admin Un administrateur client qui ne peut consulter que les informations des clients
Clients-Network-Admin (version préliminaire) Un administrateur client qui peut uniquement consulter et modifier les informations relatives au réseau
Customer-Security-Admin (version préliminaire) Un administrateur client qui peut uniquement consulter et modifier les informations relatives à la sécurité

Un utilisateur doté du rôle Customer-Master-Admin peut effectuer les opérations suivantes :

  • Ajouter des utilisateurs et attribuer des rôles aux clients
  • Modifier ou supprimer des rôles attribués

Remarque :

Il est important d’attribuer les rôles critiques (administrateur principal, administrateur de sécurité et administrateur réseau) exclusivement aux utilisateurs de confiance.

Rôles d’assistance

À des fins de résolution des problèmes, les clients peuvent attribuer des rôles d’assistance et permettre aux membres de l’équipe d’assistance de consulter et de modifier leurs informations. Les rôles de support ont une période de validité définie lors de l’attribution du rôle. Une fois la période de validité expirée, l’utilisateur du support perd l’accès aux informations du client. Toutefois, les détails de l’utilisateur du support continuent d’apparaître sous Administration > Administration des utilisateurs. En fonction des besoins, l’administrateur du client peut supprimer ou prolonger la validité du rôle de support.

Rôle Description
Customer-Support-ReadWrite Un membre de l’équipe d’assistance qui peut consulter et modifier les informations du client
Customer-Support-ReadOnly Un membre de l’équipe d’assistance qui ne peut consulter que les informations du client

Types d’authentification

Citrix SD-WAN Orchestrator pour locaux prend en charge les types d’authentification suivants :

  • Authentificationà facteur unique : L’authentification à facteur unique présente une méthode d’authentification pour accéder à Citrix SD-WAN Orchestrator pour les utilisateurs sur site.
  • Authentification à deux facteurs (TFA) : L’authentification à deux facteurs présente deux méthodes d’authentification pour accéder à Citrix SD-WAN Orchestrator pour les utilisateurs sur site. Il introduit un niveau de sécurité supplémentaire dans la séquence de connexion.

Les méthodes d’authentification suivantes sont prises en charge pour l’authentification à un facteur et à deux facteurs :

  • Local : lorsque cette option est sélectionnée, l’utilisateur doit utiliser le mot de passe configuré sur Citrix SD-WAN Orchestrator pour les applications locales pour y accéder.
  • RADIUS : lorsque cette option est sélectionnée, l’utilisateur doit utiliser le mot de passe du serveur RADIUS pour y accéder.
  • TACACS+ : Lorsque cette option est sélectionnée, les utilisateurs doivent utiliser le mot de passe du serveur TACACS+ pour y accéder.

Le tableau suivant répertorie les méthodes d’authentification principales et secondaires prises en charge pour les utilisateurs authentifiés localement :

  Type d’authentification principal Type d’authentification secondaire
authentification à facteur unique Stockage local -
Authentification à deux facteurs Stockage local RADIUS ou TACACS+

Le tableau suivant répertorie les méthodes d’authentification principales et secondaires prises en charge pour les utilisateurs authentifiés à distance :

  Type d’authentification principal Type d’authentification secondaire
authentification à facteur unique Local, RADIUS ou TACACS+ -
Authentification à deux facteurs Local, RADIUS ou TACACS+ RADIUS ou TACACS+

Si l’authentification à deux facteurs est activée et que les serveurs RADIUS/TACACS+ sont configurés comme type d’authentification secondaire, le champ Mot de passe secondaire est visible sur la page de connexion.

Mot de passe secondaire

Ajouter un utilisateur

Accédez à Administration > Administration des utilisateurs, cliquez sur + Nouveau > Entrez les informations suivantes, puis cliquez sur Ajouter.

  • Entrez le nom d’utilisateur.
  • Authentification à facteur unique : active uniquement l’authentification principale pour la connexion des utilisateurs.
  • Authentification à deux facteurs : active l’authentification principale et secondaire pour la connexion des utilisateurs. Pour plus d’informations, voir Serveurs d’authentification à distance.
  • Type d’authentification principal : sélectionnez Local ou l’adresse IP du serveur d’authentification distant.
  • Type d’authentification secondaire : sélectionnez l’adresse IP du serveur d’authentification à distance.

    NOTE

    Le champ Type d’authentification secondaire est grisé si l’authentification à facteur unique est sélectionnée.

  • Rôle : Sélectionnez un rôle dans la liste des rôles disponibles.
  • Refuser l’accès aux clients : (Disponible uniquement au niveau du fournisseur). Lors de l’ajout d’utilisateurs, les fournisseurs peuvent refuser l’accès à des clients spécifiques.
  • Date d’expiration (MM/DD/YYYY) : date jusqu’à laquelle l’utilisateur du support a accès aux informations du client. La période de validité par défaut est de deux semaines à compter de la date à laquelle le rôle est attribué.
  • Entrez votre mot de passe. La longueur du mot de passe doit être comprise entre 8 et 128 caractères.

Ajouter un utilisateur

À l’aide de la colonne Actions, vous pouvez modifier le rôle de l’utilisateur, mettre à jour le mot de passe et modifier le type d’authentification. Vous pouvez également supprimer l’utilisateur si nécessaire.

Liste des utilisateurs

Limitation

Citrix SD-WAN Orchestrator pour locaux ne prend pas en charge la duplication des noms d’utilisateur d’un autre client auprès du même fournisseur. Lorsque cette action est effectuée, le message d’erreur Erreur lors de la création du compte s’affiche.

Modifier le type d’authentification

Vous pouvez modifier le type d’authentification d’un utilisateur de l’authentification à un facteur à l’authentification à deux facteurs et inversement.

Pour modifier le type d’authentification d’un utilisateur, dans la colonne Actions, cliquez sur puis sur Modifier le serveur d’authentification.

Modifier la navigation du type d'authentification

Si vous avez actuellement sélectionné l’ authentification à un seul facteur, vous pouvez passer à l’authentification à deux facteurs. Cliquez sur Authentification à deux facteurs et sélectionnez le serveur distant dans la liste déroulante Type d’authentification secondaire . Cliquez sur Appliquer.

Modifier le type d'authentification

Si vous avez actuellement sélectionné l’authentification à deux facteurs, vous pouvez choisir de modifier uniquement le type d’authentification secondaire ou de passer à l’authentification à facteur unique.

Pour passer à l’authentification à facteur unique, cliquez sur Authentification à facteur unique. La liste déroulante Type d’authentification secondaire est désactivée et seule la liste déroulante Type d’authentification principal est activée.

Letype d’authentification principal ne peut être défini qu’au moment de la création de l’utilisateur et ne peut pas être modifié ultérieurement.

Modifier le mot de passe

Vous pouvez modifier le mot de passe des utilisateurs locaux. Pour modifier le mot de passe d’un utilisateur, dans la colonne Actions, cliquez sur et sur Mettre à jour le mot de passe local.

NOTE

Vous ne pouvez modifier le mot de passe que pour les utilisateurs locaux. Pour les utilisateurs authentifiés à distance, vous devez mettre à jour le mot de passe sur le serveur externe.

Modifier le rôle d’utilisateur

Pour modifier le rôle de l’utilisateur, cliquez sur l’icône Modifier dans la colonne Actions . Sélectionnez un rôle et cliquez sur Appliquer.

NOTE

Vous ne pouvez pas modifier le rôle de l’utilisateur administrateur par défaut.

Modifier le rôle

Administration des utilisateurs