Application Delivery Management

基于角色的访问控制

NetScaler ADM 提供基于角色的精细访问控制 (RBAC),您可以使用它根据企业内各个用户的角色授予访问权限。在此上下文中,访问是指能够执行特定任务,例如,查看、创建、修改或删除文件。角色是根据企业中用户的授权和职责进行定义。例如,可能允许一个用户执行所有网络操作,而另一个用户可以观察应用程序中的流量并帮助创建配置模板。

角色由策略决定。创建策略后,即可创建角色、将每个角色绑定到一个或多个策略以及为用户分配角色。您还可以为用户组分配角色。

组是拥有共同权限的用户集合。例如,管理特定数据中心的用户可以分配到一个组。角色是根据特定条件授予用户或组的身份。在 NetScaler ADM 中,创建角色和策略特定于 NetScaler 中的 RBAC 功能。可以根据企业逐步发展的需求轻松地创建、更改或停用角色和策略,而无需单独更新每个用户的权限。

角色可以基于功能,也可以基于资源。例如,假定一个 SSL/安全管理员和一个应用程序管理员。SSL/安全管理员必须对SSL 证书管理和监视功能具有完全访问权限,但对于系统管理操作必须具有只读访问权限。应用程序管理员必须只能访问范围内的资源。

示例:

ADC 集团负责人 Chris 是其组织中 NetScaler ADM 的超级管理员。Chris 创建三个管理员角色:安全管理员、应用程序管理员和网络管理员。

安全管理员 David 必须具有 SSL 证书管理和监视的完全访问权限,但对系统管理操作也具有只读访问权限。

应用程序管理员 Steve 需要只对特定应用程序和特定配置模板拥有访问权限。

网络管理员 Greg 需要访问系统和网络管理的权限。

Chris 还必须为所有用户提供 RBAC,无论他们是本地还是外部用户。

NetScaler ADM 用户可以在本地进行身份验证,也可以通过外部服务器(RADIUS/LDAP/TACACS)进行身份验证。RBAC 设置必须适用于所有用户,无论采用的身份验证方法是什么。

下图显示了管理员和其他用户拥有的权限以及他们在组织中的角色。

管理员权限示例

限制

以下 NetScaler ADM 功能不完全支持 RBAC:

  • 分析-分析 模块中不完全支持 RBAC。RBAC 支持仅限于实例级别,不适用于 Web Insight、SSL Insight、Gateway Insight、HDX Insight 和 WAF 安全违规分析模块中的应用程序级别。例如:

示例 1:基于实例的 RBAC(支持)

分配了几个实例的管理员只能在 Web Insight > 实例下看到这些实例,只能在 Web Insight > 应用程序下看到相应的虚拟服务器,因为实例级别支持 RBAC。

示例 2:基于应用程序的 RBAC(不支持)

分配了几个应用程序的管理员可以在 Web Insight > 应用程序 下查看所有虚拟服务器,但无法访问它们,因为应用程序级别不支持 RBAC。

  • 样书—样书不完全支持 RBAC。

    • 在 NetScaler ADM 中,样书和配置包被视为单独的资源。可以单独或同时为样书和配置包提供访问权限(查看、编辑或两者)。对配置包的查看或编辑权限隐式允许用户查看样书,这对于获取配置包详细信息和创建配置包至关重要。

    • 不支持特定样书或配置包的访问权限
      示例:如果实例上已有配置包,则用户可以修改目标 NetScaler 实例上的配置,即使他们无权访问该实例。

  • 调配 -调配不支持 RBAC。

基于角色的访问控制