管理
管理员的角色定义了在 Citrix Secure Internet Access™ (CSIA) 服务中查看功能和执行各种活动的权限。
Citrix Secure Internet Access 服务包含以下功能:
- 仪表板。访问顶级报告。
- Web 网关。访问安全 Web 网关服务。
- 报告和分析。访问更详细的报告。
- 位置和地理映射。访问云和网关节点的地理位置。
- 节点集合管理。访问节点集合管理功能。
- 许可。能够获取服务的许可详细信息。
- 用户管理。能够创建自定义角色并将自定义角色分配给其他管理员。
基于角色的访问控制
与 Citrix SD-WAN Orchestrator™ 一样,对 Citrix Secure Internet Access 服务资源的访问是根据分配给各个管理员的角色进行管理的。可以为 Citrix Secure Internet Access 服务的管理员用户分配四个级别的访问权限:Customer-Master-Admin、Customer-Master-ReadOnly-Admin、Customer-No-Access 和 Customer-Master-ReadOnly-Admin-Privacy-Mode。
-
Customer-Master-Admin 级别是完全访问角色,允许管理员执行以下操作:
- 管理 Citrix Secure Internet Access 服务的所有功能。
- 向服务添加管理员。
- 从服务中删除管理员。
- 在客户网络中分配、编辑和删除角色。
- 创建自定义角色。
- Customer-Master-ReadOnly-Admin 级别是只读角色,允许管理员仅查看 Citrix Secure Internet Access 服务功能。
- Customer-No-Access 级别拒绝访问所有 Citrix Secure Internet Access 服务功能。
- Customer-Master-ReadOnly-Admin-Privacy-Mode 级别授予对所有 Citrix Secure Internet Access 服务功能的只读访问权限,但许可和用户设置除外。具有此角色的用户无法查看其帐户中的其他管理员用户列表、分配的角色或许可相关信息。
注意:
对于 Citrix Secure Internet Access 服务,角色是在客户级别分配的。对于 Citrix SD-WAN™ Orchestrator 服务,角色是在客户级别和提供商级别分配的。因此,Citrix SD-WAN Orchestrator 服务同时具有 Customer-Master-Admin 角色和 Provider-Master-Admin-All 角色。
要应用 RBAC,您首先需要将用户添加为 Citrix Cloud™ 服务的管理员。
向 Citrix Cloud 服务添加新用户
您可以使用 Citrix Cloud 中的身份和访问管理功能向 Citrix Secure Internet Access 服务添加管理员。新管理员可以使用其现有的 Citrix® 帐户凭据,或者在需要时设置新帐户。
要添加新管理员,请从 Citrix Cloud 主页上的菜单中选择身份和访问管理,然后按照用户界面上的提示操作。有关详细信息,请参阅管理 Citrix Cloud 管理员。
您添加的任何新管理员都会自动获得对 Citrix Cloud 服务的完全访问权限。您可以更精细地编辑管理员可以查看和管理 Citrix Cloud 的哪些部分。
编辑新用户的访问权限
通过 Citrix 身份和访问管理添加新管理员后,您可以设置角色。
从您创建的帐户的操作列表中选择编辑访问权限,然后选择“完全访问权限”(对 Citrix Cloud 服务)或“自定义访问权限”。
要授予对 Citrix Secure Internet Access 服务的完全访问权限,且不自定义选择子功能(在自定义访问权限 > 常规管理下),请选择高级别的完全访问权限选项。
如果以下一项或两项适用,请选择自定义访问权限:
- 您希望规范对常规管理下列出的子功能的访问。
- 您希望专门规范对 Citrix Secure Internet Access 服务的访问级别。
如果您选择自定义访问权限,则需要单独指定 Secure Internet Access 的访问级别,使其与常规管理分开。此访问权限可以是:完全访问权限、只读访问权限、只读访问权限(隐私模式)或无访问权限。
被分配 Customer Admin: Full Access 的用户对 Citrix Secure Internet Access 服务拥有与高级别完全访问权限选项(位于自定义访问权限上方)相同的访问权限。选择 Customer Admin: Full Access 可授予对 Citrix Secure Internet Access 服务功能的完全访问权限,同时还可以选择对常规管理下的子功能的不同访问级别。
重要提示
在 Secure Internet Access 下方选择一个或不选择任何复选框。如果同时选择两个复选框,则会授予管理员最高级别的权限,这会带来安全风险。
被分配 Customer: Read Only Access 的用户只能查看服务功能。被分配 Customer: Read Only Access (Privacy mode) 的用户拥有只读访问权限,可以查看服务的所有功能,但许可和用户设置除外。
如果您不选择任何选项,则用户无权访问 Citrix Secure Internet Access 功能。
注意
如果管理员在身份和访问管理中被拒绝访问,则无法在 Citrix Secure Internet Access 服务中编辑其角色。要在 Citrix Secure Internet Access 服务中查看和编辑管理员,您必须在首次添加他们时授予他们完全访问权限或只读访问权限。
重要提示
对用户访问权限的所有后续更改都必须在 Citrix Secure Internet Access 服务用户设置中进行。在身份和访问管理中编辑的管理员现有权限不会发送到 Citrix Secure Internet Access 服务。在某些情况下,您可能需要删除并重新邀请该管理员。
设置用户角色
本节介绍如何进一步定义和管理管理员对 Citrix Secure Internet Access 服务功能的访问权限。
注意:
同时拥有 Citrix Secure Internet Access 服务订阅和 Citrix SD-WAN Orchestrator 服务订阅的客户共享管理 > 用户设置。
要编辑现有用户作为 Citrix Secure Internet Access 服务管理员的角色,请导航到管理 > 用户设置。您可以从预定义角色列表和自定义角色列表中分配角色。从其中一个菜单中选择适当的基于角色的访问权限,然后保存您的选择。
预定义角色
Citrix Secure Internet Access 服务有四个客户级别的预定义角色:
- Customer-Master-Admin 角色(默认)允许管理员查看和编辑 Citrix Secure Internet Access 信息。
- Customer-Master-ReadOnly-Admin 角色允许管理员查看 Citrix Secure Internet Access 信息,但没有编辑权限。
- Customer-No-Access 角色拒绝管理员访问 Citrix Secure Internet Access 服务功能。
- Customer-Master-ReadOnly-Admin-Privacy-Mode 级别授予对所有 Citrix Secure Internet Access 服务功能的只读访问权限,但许可和用户设置除外。具有此角色的用户无法查看其帐户中的其他管理员用户列表、分配的角色或许可相关信息。
自定义角色
您可以根据 Citrix Secure Internet Access 服务各个功能的权限差异创建自定义角色。
要创建可分配给管理员的自定义管理员角色,请导航到管理 > 角色设置。新建自定义角色表单允许您为 Citrix Secure Internet Access 服务的各个功能选择不同的访问级别。
创建自定义角色后,它会显示在用户设置中的自定义角色列表中。
多个角色
如果用户是多个客户的管理员,则会在 Citrix Secure Internet Access 服务中为其分配多个角色,并且可以在帐户之间切换。在这种情况下,用户可以根据每个帐户拥有不同的角色。
要切换角色,请选择屏幕右上角铃铛图标旁边的更改角色。
查看管理员详细信息
您可以查看所有管理员的角色和电子邮件地址。要查看管理员详细信息,请导航到管理 > 管理员。
删除管理员
要从 Citrix Secure Internet Access 服务中删除管理员,请导航到管理 > 管理员。选择要删除的帐户旁边的删除按钮,然后选择保存。
