Application Delivery Management

Configurer les groupes

Dans Citrix ADM, un groupe peut avoir un accès au niveau des fonctionnalités et des ressources. Par exemple, un groupe d’utilisateurs peut avoir accès uniquement à certaines instances Citrix ADC ; un autre groupe ne disposant que de quelques applications sélectionnées, etc.

Lorsque vous créez un groupe, vous pouvez attribuer des rôles au groupe, fournir un accès au groupe au niveau de l’application et affecter des utilisateurs au groupe. Tous les utilisateurs de ce groupe se voient attribuer les mêmes droits d’accès dans Citrix ADM.

Vous pouvez gérer l’accès d’un utilisateur dans Citrix ADM au niveau individuel des entités de fonction réseau. Vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou au groupe au niveau de l’entité.

Citrix ADM traite les serveurs virtuels, les services, les groupes de services et les serveurs en tant qu’entités de fonction réseau.

  • Serveur virtuel (applications) : équilibrage de charge (lb), GSLB, commutation de contexte (CS), redirection de cache (CR), authentification (Auth) et Citrix Gateway (VPN)

  • Services - Équilibrage de charge et services GSLB
  • Groupe de services  : équilibrage de charge et groupes de services GSLB
  • Serveurs - Serveurs d’équilibrage de charge

Créer un groupe d’utilisateurs

  1. Dans Citrix ADM, accédez à Système > Administration des utilisateurs > Groupes.

  2. Cliquez sur Ajouter.

    La page Créer un groupe de systèmes s’affiche.

  3. Dans le champ Nom du groupe, entrez le nom du groupe.

  4. Dans le champ Description du groupe, saisissez une description de votre groupe. Fournir une bonne description du groupe vous aide à mieux comprendre le rôle et la fonction du groupe ultérieurement.  

  5. Dans la section Rôles, ajoutez ou déplacez un ou plusieurs rôles dans la liste Configuré.

    Remarque Dans la liste Disponible, vous pouvez cliquer sur Nouveau ou Modifier et créer ou modifier des rôles. Vous pouvez également accéder à Système > Administration des utilisateurs > Utilisateurs et créer ou modifier des utilisateurs.

    Créer un groupe système

  6. Cliquez sur Suivant. Dans l’onglet Paramètres d’autorisation, vous pouvez définir les paramètres d’autorisation pour les ressources suivantes :

    • Groupes de mise à l’échelle automatique
    • Instances
    • Applications
    • Modèles de configuration
    • StyleBooks
    • Configpacks
    • Noms de domaine

    Catégories dans les paramètres d'autorisation

    Vous pouvez sélectionner des ressources spécifiques parmi les catégories auxquelles les utilisateurs peuvent accéder.

    Groupes de mise à l’échelle automatique :

    Si vous souhaitez sélectionner les groupes Autoscale spécifiques qu’un utilisateur peut afficher ou gérer, effectuez les étapes suivantes :

    1. Désactivez la case à cocher Tous les groupes d’échelle automatique et cliquez sur Ajouter des groupes d’échelle automatique.

    2. Sélectionnez les groupes Autoscale requis dans la liste et cliquez sur OK.

    Instances :

    Si vous souhaitez sélectionner les instances spécifiques qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :

    1. Décochez la case Toutes les instances et cliquez sur Sélectionner les instances.

    2. Sélectionnez les instances requises dans la liste et cliquez sur OK.

      Sélectionnez des instances

    Applications :

    La liste Choisir les applications vous permet d’accorder l’accès à un utilisateur pour les applications requises.

    Vous pouvez accorder l’accès aux applications sans sélectionner leurs instances. Parce que les applications sont indépendantes de leurs instances pour accorder l’accès aux utilisateurs.

    Lorsque vous accordez à un utilisateur l’accès à une application, l’utilisateur est autorisé à accéder uniquement à cette application, quelle que soit la sélection de l’instance.

    Cette liste propose les options suivantes :

    • Toutes les applications : cette option est sélectionnée par défaut. Il ajoute toutes les applications présentes dans Citrix ADM.

    • Toutes les applications des instances sélectionnées : cette option s’affiche uniquement si vous sélectionnez des instances dans la catégorie Toutes les instances . Il ajoute toutes les applications présentes sur l’instance sélectionnée.

    • Applications spécifiques : Cette option vous permet d’ajouter les applications requises auxquelles vous souhaitez que les utilisateurs puissent accéder. Cliquez sur Ajouter des applications et sélectionnez les applications requises dans la liste.

    • Sélectionner un type d’entité individuel : Cette option vous permet de sélectionner un type spécifique d’entité fonctionnelle réseau et les entités correspondantes.

      Vous pouvez ajouter des entités individuelles ou sélectionner toutes les entités sous le type d’entité requis pour accorder l’accès à un utilisateur.

      L’option Appliquer aux entités liées autorise également les entités liées au type d’entité sélectionné. Par exemple, si vous sélectionnez une application et que vous sélectionnez également Appliquer aux entités liées, Citrix ADM autorise toutes les entités liées à l’application sélectionnée.

      Remarque

      Assurez-vous d’avoir sélectionné un seul type d’entité si vous souhaitez autoriser les entités liées.

    Vous pouvez utiliser des expressions régulières pour rechercher et ajouter les entités de fonction réseau qui répondent aux critères d’expression régulière des groupes. L’expression regex spécifiée est conservée dans Citrix ADM. Pour ajouter une expression régulière, effectuez les opérations suivantes :

    1. Cliquez sur Ajouter une expression régulière.

    2. Spécifiez l’expression régulière dans la zone de texte.

      L’image suivante explique comment utiliser l’expression régulière pour ajouter une application lorsque vous sélectionnez l’option Applications spécifiques  :

      Applications spécifiques

      L’image suivante explique comment utiliser l’expression régulière pour ajouter des entités de fonction réseau lorsque vous choisissez l’option Sélectionner le type d’entité individuelle  :

      Types d'entités de fonction réseau

    Si vous souhaitez ajouter d’autres expressions régulières, cliquez sur l’icône + .

    Remarque :

    L’expression régulière correspond uniquement au nom du serveur pour le type d’entité Servers et non à l’adresse IP du serveur.

    Si vous sélectionnez l’option Appliquer également aux entités liées pour une entité découverte, un utilisateur peut accéder automatiquement aux entités liées à l’entité découverte.

    L’expression régulière est stockée dans le système pour mettre à jour la portée de l’autorisation. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM met à jour l’étendue d’autorisation pour les nouvelles entités.

    Modèles de configuration :

    Si vous souhaitez sélectionner le modèle de configuration spécifique qu’un utilisateur peut consulter ou gérer, effectuez les étapes suivantes :

    1. Décochez la case Tous les modèles de configuration et cliquez sur Ajouter un modèle de configuration.

    2. Sélectionnez le modèle requis dans la liste et cliquez sur OK.

      Ajouter des modèles de configuration

    StyleBooks:

    Si vous souhaitez sélectionner le StyleBook spécifique qu’un utilisateur peut consulter ou gérer, effectuez les opérations suivantes :

    1. Désactivez la case à cocher Tous les StyleBooks et cliquez sur Ajouter un StyleBook au groupe. Vous pouvez sélectionner des StyleBooks individuels ou spécifier une requête de filtre pour autoriser les StyleBooks.

      Si vous souhaitez sélectionner les StyleBooks individuels, sélectionnez les StyleBooks dans le volet StyleBooks individuels et cliquez sur Enregistrer la sélection.

      Si vous souhaitez utiliser une requête pour rechercher dans StyleBooks, sélectionnez le volet Filtres personnalisés . Une requête est une chaîne de paires clé-valeur où les clés sont name, namespace et version.

      Vous pouvez également utiliser des expressions régulières comme valeurs pour rechercher et ajouter des StyleBooks répondant aux critères de regex pour les groupes. Une requête de filtre personnalisée pour rechercher StyleBooks prend en charge les opérateurs And et Or.

      Exemple :

      name=lb-mon|lb AND namespace=com.citrix.adc.stylebooks AND version=1.0
      <!--NeedCopy-->
      

      Cette requête répertorie les StyleBooks qui remplissent les conditions suivantes :

      • Le nom de StyleBook est lb-mon ou lb.
      • L’espace de noms StyleBook est com.citrix.adc.stylebooks.
      • La version StyleBook est 1.0.

      Utilisez un opérateur Or entre des expressions de valeur définie à l’expression clé.

      Exemple :

      • La requête name=lb-mon|lb est valide. Il renvoie les StyleBooks ayant un nom lb-mon ou lb.
      • La requête name=lb-mon | version=1.0 n’est pas valide.

      Appuyez sur Enter pour afficher les résultats de la recherche et cliquez sur Enregistrer la requête.

      Filtres personnalisés

      La requête enregistrée apparaît dans la requête Filtres personnalisés. En fonction de la requête enregistrée, l’ADM fournit aux utilisateurs l’accès à ces livres StyleBooks.

    2. Sélectionnez les StyleBooks requis dans la liste et cliquez sur OK.

      Sélectionnez StyleBooks

      Vous pouvez sélectionner les StyleBooks requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe. Lorsque votre utilisateur sélectionne le StyleBook autorisé, tous les StyleBooks dépendants sont également sélectionnés.

    Configpacks :

    Dans Configpacks, sélectionnez l’une des options suivantes :

    • Toutes les configurations : Cette option est sélectionnée par défaut. Il ajoute tous les packs de configuration qui sont dans ADM.

    • Toutes les configurations des StyleBooks sélectionnés : Cette option ajoute tous les packs de configuration du StyleBook sélectionné.

    • Configurations spécifiques : Cette option vous permet d’ajouter les packs de configuration requis.

      Sélectionner un pack de configuration

      Vous pouvez sélectionner les packs de configuration requis lorsque vous créez des groupes et ajoutez des utilisateurs à ce groupe.

    Noms de domaine :

    Si vous souhaitez sélectionner le nom de domaine spécifique qu’un utilisateur peut consulter ou gérer, procédez comme suit :

    1. Décochez la case Tous les noms de domaine et cliquez sur Ajouter un nom de domaine.

    2. Sélectionnez les noms de domaine requis dans la liste et cliquez sur OK.

  7. Cliquez sur Créer un groupe.

  8. Dans la section Affecter des utilisateurs, sélectionnez l’utilisateur dans la liste Disponible et ajoutez-le à la liste des utilisateurs configurés .

    Remarque

    Vous pouvez également ajouter des utilisateurs en cliquant sur Nouveau.

    Exemple de création d'un groupe de systèmes

  9. Cliquez sur Terminer.

Gérer l’accès utilisateur sur plusieurs entités de fonction réseau

En tant qu’administrateur, vous pouvez gérer l’accès des utilisateurs au niveau individuel des entités de fonction réseau dans Citrix ADM. De plus, vous pouvez attribuer dynamiquement des autorisations spécifiques à l’utilisateur ou à un groupe au niveau de l’entité à l’aide du filtre d’expression régulière.

Ce document explique comment définir l’autorisation utilisateur au niveau de l’entité.

Avant de commencer, créez un groupe. Consultez Configurer des groupes sur Citrix ADM pour plus d’informations.

Scénario d’utilisation :

Imaginons un scénario dans lequel une ou plusieurs applications (serveurs virtuels) sont hébergées sur le même serveur. Un super administrateur (George) souhaite accorder à Steve (un administrateur d’applications) l’accès uniquement à App1 et non au serveur d’hébergement.

Le tableau suivant illustre cet environnement, dans lequel Server-A héberge les applications App-1 et App-2.

Serveur hôte Application (serveur virtuel) Service Groupe de services
Serveur A App1 App-service-1 App-service-group-1
Serveur A App2 App-service-2 App-service-group-2

Remarque

Citrix ADM traite le serveur virtuel, les services, les groupes de services et les serveurs comme des entités de fonction réseau. Le serveur virtuel de type d’entité est appelé une application.

Pour attribuer des autorisations utilisateur à des entités fonctionnelles du réseau, George définit les autorisations utilisateur comme suit :

  1. Accédez à Compte > Administration des utilisateurs > Groupes et ajoutez un groupe.

  2. Dans l’onglet Paramètres d’autorisation, sélectionnez Choisir les applications.

  3. Choisissez Sélectionner un type d’entité individuel.

  4. Sélectionnez le type d’entité Toutes les applications et ajoutez l’entité App-1 dans la liste disponible.

  5. Cliquez sur Créer un groupe.

  6. Dans Attribuer des utilisateurs, sélectionnez les utilisateurs qui ont besoin de l’autorisation. Pour ce scénario, George sélectionne le profil utilisateur de Steve.

  7. Cliquez sur Terminer.

Avec ce paramètre d’autorisation, Steve ne peut gérer que l’App-1 et aucune autre entité fonctionnelle réseau.

Remarque

Assurez-vous que l’option Appliquer aux entités liées est également désactivée. Sinon, Citrix ADM accorde l’accès à toutes les entités de fonction réseau liées à App-1. En conséquence, accorde également l’accès au serveur d’hébergement.

Un super administrateur peut spécifier les expressions régulières (regex) pour chaque type d’entité. L’expression régulière est stockée dans le système pour mettre à jour l’étendue d’autorisation utilisateur. Lorsque les nouvelles entités correspondent à l’expression régulière de leur type d’entité, Citrix ADM peut autoriser dynamiquement les utilisateurs à accéder à des entités de fonction réseau spécifiques.

Pour accorder des autorisations utilisateur de manière dynamique, le super administrateur peut ajouter des expressions régulières dans l’onglet Paramètres d’autorisation.

Dans ce scénario, George ajoute App* en tant qu’expression régulière pour le type d’entité Applications et les applications qui correspondent aux critères d’expression régulière apparaissent dans la liste. Avec ce paramètre d’autorisation, Steve peut accéder à toutes les applications qui correspondent à l’expression régulière App*. Toutefois, son accès est limité uniquement aux applications et non au serveur hébergé.

Comment l’accès utilisateur change en fonction de la portée d’autorisation

Lorsqu’un administrateur ajoute un utilisateur à un groupe qui a des paramètres de stratégie d’accès différents, l’utilisateur est mappé à plusieurs étendues d’autorisation et stratégies d’accès.

Dans ce cas, l’ADM accorde à l’utilisateur l’accès aux applications en fonction de l’étendue d’autorisation spécifique.

Considérez un utilisateur qui est affecté à un groupe doté de deux stratégies Stratégie-1 et Stratégie-2.

  • Policy-1 — Affiche uniquement les autorisations pour les applications.

  • Policy-2 — Afficher et modifier l’autorisation des applications.

Modifications d'accès utilisateur avec les étendues d'autorisation

L’utilisateur peut consulter les applications spécifiées dans Policy-1. En outre, cet utilisateur peut afficher et modifier les applications spécifiées dans la stratégie 2. L’accès à la modification des applications du groupe 1 est restreint car il n’est pas sous la portée de l’autorisation du groupe 1.

Mappage de RBAC lors de la mise à niveau de Citrix ADM de la version 12.0 vers les versions ultérieures

Lorsque vous mettez à niveau Citrix ADM de la version 12.0 à la version 13.0, les options permettant de fournir des autorisations de « lecture-écriture » ou de « lecture » lors de la création de groupes ne s’affichent pas. Ces autorisations ont été remplacées par « rôles et stratégies d’accès », ce qui vous donne plus de flexibilité pour fournir des autorisations basées sur les rôles aux utilisateurs. Le tableau suivant montre comment les autorisations de la version 12.0 sont mappées à celles de la version 13.0 :

12.0 Autoriser les applications uniquement 13.0
admin read-write False admin
admin read-write True appAdmin
admin read-only False readonly
admin read-only True appReadonly
Configurer les groupes