用户管理
适用于本地的 Citrix SD-WAN Orchestrator 支持基于角色的访问控制 (RBAC)。 RBAC 根据分配给单个用户的角色来管理对 SD-WAN Orchestrator 资源的访问权限。 RBAC 允许用户仅访问其角色需要的数据,并限制任何其他数据。
角色定义了在适用于本地的 Citrix SD-WAN Orchestrator 上查看和执行各种活动的权限。 您可以从预定义角色列表中为用户分配角色。
默认情况下,在 Citrix SD-WAN Orchestrator for Inclouse 上创建一个用户帐户,用户名 管理员 和密码设置为 密码。 在初次登录期间,要求用户更改默认密码。
您可以添加可以在本地和远程进行身份验证的用户。 通过远程身份验证的用户通过 RADIUS 或 TACACS+ 身份验证服务器进行身份验证。
提供商角色
下表列出了预定义的提供程序角色。
| 提供者角色 | 说明 |
|---|---|
| Provider-Master-Admin-All | 可以管理提供商及其所有客户信息的管理员 |
| Provider-Master-Admin-Tenant | 可以管理提供商及其客户信息子集的管理员 |
| Provider-master-read-all | 只能查看提供商和客户信息的管理员 |
| 提供商网络管理员(预览版) | 只能查看和编辑网络相关信息的管理员 |
| 提供商安全管理员(预览版) | 只能查看和编辑安全相关信息的管理员 |
Provider-Master-Admin-All 角色可以执行以下操作:
- 为提供商和客户网络中的用户分配角色
- 管理所有其他管理员角色对客户的访问
- 编辑或删除分配的角色
客户角色
下表列出了预定义的客户角色:
| 角色 | 说明 |
|---|---|
| Customer-Master-Admin | 可以查看和编辑客户信息的客户管理员 |
| Customer-Master-ReadOnly-Admin | 只能查看客户信息的客户管理员 |
| 客户网络管理员(预览版) | 只能查看和编辑网络相关信息的客户管理员 |
| 客户安全管理员(预览版) | 只能查看和编辑安全相关信息的客户管理员 |
具有 客户主管理员角色的 用户可以执行以下操作:
- 添加用户和分配客户角色
- 编辑或删除分配的角色
注意:
将关键角色(主管理员、安全管理员和网络管理员)专门分配给受信任的用户非常重要。
支持角色
出于故障排除的目的,客户可以分配支持角色并允许支持团队成员查看和编辑其信息。 支持角色的有效期是在分配角色时定义的。 有效期到期后,支持用户将失去对客户信息的访问权限。 但是,支持用户详细信息继续显示在 “管理” > “用户管理” 下。 根据需要,客户管理员可以删除或延长支持角色的有效期。
| 角色 | 说明 |
|---|---|
| Customer-Support-ReadWrite | 可以查看和编辑客户信息的支持团队成员 |
| Customer-Support-ReadOnly | 只能查看客户信息的支持团队成员 |
身份验证类型
适用于本地的 Citrix SD-WAN Orchestrator 支持以下类型的身份验证:
- 单因素身份验证:单因素身份验证提供了一种身份验证方法,可让用户访问本地版 Citrix SD-WAN Orchestrator。
- 双因素身份验证 (TFA):双因素身份验证提供了两种身份验证方法,可让用户访问适用于本地的 Citrix SD-WAN Orchestrator。 它在登录序列中引入了额外的安全层。
单因素和双因素身份验证支持以下身份验证方法:
- 本地:选中后,用户必须使用在 Citrix SD-WAN Orchestrator 上为本地配置的密码才能获得访问权限。
- RADIUS:选择后,用户必须使用 RADIUS 服务器密码才能获得访问权限。
- TACACS+:选择后,用户必须使用 TACACS+ 服务器密码才能获得访问权限。
下表列出了在本地进行身份验证的用户支持的主要和辅助身份验证方法:
| 主要身份验证类型 | 辅助身份验证类型 | |
|---|---|---|
| 单因素身份验证 | 本地 | - |
| 双重身份验证 | 本地 | RADIUS 或 TACACS+ |
下表列出了远程身份验证的用户支持的主要和辅助身份验证方法:
| 主要身份验证类型 | 辅助身份验证类型 | |
|---|---|---|
| 单因素身份验证 | 本地、RADIUS 或 TACACS+ | - |
| 双重身份验证 | 本地、RADIUS 或 TACACS+ | RADIUS 或 TACACS+ |
如果启用了 双因素身份验证 并将 RADIUS/TACACS+ 服务器配置为辅助身份验证类型,则登录页面上会显示 辅助密码 字段。
添加用户
导航到 管理 > 用户管理 > 单击 + 新建 > 输入以下详细信息 > 单击 “ 添加”。
- 输入用户名。
- 单因素身份验证:仅启用登录用户的主身份验证。
- 双因素身份验证:为用户登录启用主身份验证和辅助身份验证。 有关更多信息,请参阅 远程身份验证服务器。
- 主身份验证类型:选择本地或远程身份验证服务器的 IP 地址。
-
辅助身份验证类型:选择远程身份验证服务器的 IP 地址。
笔记
如果选择单因素 身份验证,则辅助身份验证类型 字段将显示为灰色。
- 角色:从可用角色列表中选择一个角色。
- 拒绝客户访问:(仅在提供商级别可用)。 在添加用户时,提供商可以拒绝特定客户的访问。
- 到期日期 (MM/DD/YYYY):支持用户有权访问客户信息的截止日期。 默认有效期为自分配角色之日起的两周。
- 输入您的密码。 密码长度必须介于 8 到 128 个字符之间。
使用 “ 操作 ” 列,您可以更改用户角色、更新密码和编辑身份验证类型。 如有必要,您也可以删除该用户。
限制
适用于本地的 Citrix SD-WAN Orchestrator 不支持在同一提供商下为其他客户复制用户名。 执行此操作时,您会看到错误消息 “ 创建帐户时出错”。
更改身份验证类型
您可以将用户的身份验证类型从单因素身份验证更改为双因素身份验证,反之亦然。
要更改用户的身份验证类型,请在 “ 操作 ” 列中单击 … ,然后单击 “ 编辑身份验证服务器”。
如果您当前选择了 单因素身份验证,则可以切换到双因素身份验证。 单击 “ 双因素身份验证 ”,然后从 “ 辅助身份验证类型 ” 下拉列表中选择远程服务器。 单击应用。
如果您当前选择了双因素身份验证,则可以选择仅更改辅助身份验证类型或切换到单因素身份验证。
要切换到单因素身份验证,请单击 单因素身份验证。 辅助身份验证类型 下拉列表被禁用,仅启用 主身份验证类型 下拉列表。
主身份验证类型 只能在创建用户时设置,以后无法编辑。
更改密码
您可以更改本地用户的密码。 要更改用户的密码,请在 “ 操作 ” 列中单击 “ … ” 并单击 “ 更新本地密码”。
笔记
您只能修改本地用户的密码。 对于通过远程身份验证的用户,必须更新外部服务器上的密码。
更改用户角色
要更改用户角色,请单击 “ 操作 ” 列中的 “编辑” 图标。 选择一个 角色 ,然后单击 “ 应用”。
笔记
您无法编辑默认管理员用户的角色。
