Administración delegada
Información general
Con la administración delegada de Citrix Cloud, puede configurar los permisos de acceso que todos sus administradores necesitarán en función del rol que desempeñan en la organización.
De forma predeterminada, los administradores tienen acceso total. Con lo que se permite el acceso a todas las funciones de administración y gestión de clientes que haya disponibles en Citrix Cloud, además de todos los servicios suscritos. Para adaptar el acceso de un administrador:
- Configure un acceso personalizado a los permisos de administración generales de un administrador en Citrix Cloud.
- Configure un acceso personalizado a los servicios suscritos. En Citrix DaaS (antes, Citrix Virtual Apps and Desktops Service), puede configurar un acceso personalizado cuando invite a un nuevo administrador. Puede cambiar más tarde el acceso de un administrador.
Para obtener información sobre cómo ver la lista de administradores y definir los permisos de acceso, consulte Administrar el acceso de administrador a Citrix Cloud.
En este artículo se describe cómo configurar el acceso personalizado en Citrix DaaS.
Administradores, roles y ámbitos
En la administración delegada se utilizan tres conceptos para el acceso personalizado: los administradores, los roles y los ámbitos.
- Administradores: Un administrador representa a una persona identificada por su inicio de sesión en Citrix Cloud, que generalmente es una dirección de correo electrónico. Cada administrador está asociado a uno o varios pares de rol y ámbito.
-
Roles: Un rol representa una función de trabajo a la que se han asociado permisos. Estos permisos autorizan ciertas tareas que son exclusivas de Citrix DaaS. Por ejemplo, el rol de administrador de grupos de entrega tiene permiso para crear un grupo de entrega o eliminar un escritorio que hubiera en un grupo de entrega, además de otros permisos asociados. Un administrador puede tener varios roles. Un administrador puede ser un administrador de grupo de entrega y un administrador de catálogo de máquinas.
Citrix DaaS ofrece varios roles de acceso integrados y personalizados. No puede cambiar los permisos en esos roles integrados, ni tampoco eliminar esos roles.
Se pueden crear roles de acceso personalizados para satisfacer las exigencias de la empresa y delegar permisos con mayor flexibilidad. Utilice los roles personalizados para asignar permisos a la granularidad de una acción o tarea. Solo puede eliminar un rol personalizado si no está asignado a un administrador.
En cambio, sí puede cambiar los roles que tiene un administrador.
Un rol siempre está emparejado con un ámbito.
-
Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera que sea relevante para la organización. Los objetos pueden estar en más de un ámbito.
Hay un ámbito integrado: “Todo”, que contiene todos los objetos. A los administradores de Citrix Cloud y asistencia técnica siempre se les empareja con el ámbito Todo. Ese ámbito no se puede cambiar para esos administradores.
Cuando invita (agrega) un administrador a este servicio, un rol siempre se empareja con un ámbito (de forma predeterminada, el ámbito Todo).
Los ámbitos se crean y eliminan con Studio. En cambio, los pares de rol y ámbito se asignan desde la consola de Citrix Cloud.
El ámbito no se muestra a los administradores de acceso total. Por definición, esos administradores pueden acceder a todos los objetos de Citrix Cloud y servicios suscritos que gestione el cliente.
Roles y ámbitos integrados
Citrix DaaS dispone de los siguientes roles integrados.
-
Administrador de Cloud: Puede realizar todas las tareas que se pueden iniciar desde Citrix DaaS.
Puede ver las consolas Administrar y Supervisar en Studio. Este rol siempre se combina con el ámbito Todo. El ámbito no se puede cambiar.
No se deje engañar por el nombre de este rol. Un administrador de Cloud con acceso personalizado no puede realizar tareas a nivel de Citrix Cloud (las tareas de Citrix Cloud requieren acceso total).
-
Administrador de solo lectura: Puede ver todos los objetos en los ámbitos especificados, así como información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con ámbito “Londres” puede ver todos los objetos globales y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).
Puede ver las consolas Administrar y Supervisar en Studio.
-
Administrador de asistencia técnica: Puede ver los grupos de entrega, y administrar las sesiones y las máquinas asociadas a dichos grupos. Puede ver el catálogo de máquinas y la información de host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía en las máquinas de esos grupos de entrega.
Puede ver la consola Supervisar en Studio. No puede ver la consola Administrar. Este rol siempre se combina con el ámbito Todo. El ámbito no se puede cambiar.
-
Administrador de catálogo de máquinas: Puede crear y administrar catálogos de máquinas, así como aprovisionar máquinas en ellos. Asimismo, este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones ni los escritorios a los usuarios.
Puede ver las consolas Supervisar y Administrar en Studio. No puede ver la ficha Supervisar. El ámbito se puede cambiar.
-
Administrador de grupo de entrega: Puede entregar aplicaciones, escritorios y máquinas. También puede administrar las sesiones asociadas. Puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.
Puede ver las consolas Supervisar y Administrar en Studio. El ámbito se puede cambiar.
Nota:
Para cambiar el nombre simplificado de un escritorio como administrador de un grupo de entrega, necesita el permiso Realizar actualización de la máquina. Este permiso es necesario porque cambiar el nombre simplificado implica actualizar las propiedades de la máquina.
-
Administrador de host: Puede administrar las conexiones de host y los parámetros de recursos que estas tengan asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.
Puede ver la consola Administrar en Studio. No puede ver la ficha Supervisar. El ámbito se puede cambiar.
-
Administrador de sesiones: Puede ver los grupos de entrega que se están supervisando y administrar sus sesiones y máquinas asociadas.
Puede ver la consola Supervisar en Studio. No puede ver la consola Administrar. El ámbito no se puede cambiar.
-
Administrador total: Pueden realizar todas las tareas y operaciones. Un administrador total siempre se combina con Todos los ámbitos.
Puede ver las consolas Administrar y Supervisar en Studio. Este rol siempre se combina con Todos los ámbitos. El ámbito no se puede cambiar.
-
Administrador total de supervisión: Tiene acceso completo a todas las vistas y comandos de la ficha Supervisar.
Puede ver la ficha Supervisar en Studio. No puede ver la consola Administrar. El ámbito no se puede cambiar.
-
Administrador de Probe Agent: Tiene acceso a las API de Probe Agent.
Puede ver las consolas Supervisar y Administrar en Studio. Tiene acceso de solo lectura a la página Aplicaciones, pero no puede acceder a ninguna otra vista.
En la siguiente tabla se ofrece un resumen de las fichas de consola que verá cada rol de acceso personalizado en Citrix DaaS, y se indica si el rol se puede usar con ámbitos personalizados.
Rol de administrador de acceso personalizado | ¿Puede ver la consola Administrar en la consola? | ¿Puede ver la ficha Supervisar en la consola? | ¿Se puede usar el rol con ámbitos personalizados? |
---|---|---|---|
Administrador de Cloud | Sí | Sí | No |
Administrador de solo lectura | Sí | Sí | Sí |
Administrador de asistencia técnica | No | Sí | No |
Administrador de catálogos de máquinas | Sí | Sí | Sí |
Administrador de grupos de entrega | Sí | Sí | Sí |
Administrador de host | Sí | No | Sí |
Administrador de sesiones | No | Sí | No |
Administrador total | Sí | Sí | No |
Administrador total de supervisión | No | Sí | No |
Administrador de Probe Agent | Sí | Sí | No |
Nota:
Los roles de administrador con acceso personalizado (excepto Administrador de Cloud y Administrador de asistencia técnica) no están disponibles para Citrix Virtual Apps and Desktops Standard para Azure, Virtual Apps Essentials y Virtual Desktops Essentials.
Para ver los permisos asociados a un rol:
- Inicie sesión en Citrix Cloud.
- En el mosaico de DaaS, haga clic en Administrar para abrir Studio.
- En el panel izquierdo, seleccione Administradores.
- Seleccione la ficha Roles.
-
Seleccione un rol en el panel central superior. En la ficha Definición de rol situada en el panel inferior se muestra una lista de las categorías y los permisos existentes. Seleccione una categoría para ver los permisos específicos. En la ficha Administradores se ofrece una lista de los administradores a los que se les ha asignado el rol seleccionado.
Problema conocido: una entrada de administrador total no muestra el conjunto correcto de permisos de un administrador con acceso total a Citrix DaaS.
Cuántos administradores se necesitan
Por lo general, la cantidad de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.
- En implementaciones pequeñas o de prueba de concepto, un administrador o un número reducido de ellos puede hacer cualquier cosa. No hay delegación de acceso personalizada. En este caso, todos los administradores tienen acceso total, que siempre tiene el ámbito Todo.
- Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos tienen acceso total y los demás son administradores de asistencia técnica. Asimismo, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas en un departamento concreto. En este caso, cree ámbitos y administradores con los ámbitos y los roles de acceso personalizado que sean adecuados.
Resumen de la gestión de administradores
En la configuración de administradores para Citrix DaaS se sigue esta secuencia de tareas:
-
Si quiere que el administrador tenga un rol distinto de un administrador total (que cubre todos los servicios suscritos en Citrix Cloud) o un rol integrado, cree un rol personalizado.
-
Si quiere que el administrador tenga un ámbito que no sea Todo (siempre que se permita otro ámbito para el rol en cuestión y aún no se haya creado), cree ámbitos.
-
En Citrix Cloud, invite a un administrador. Si quiere que el nuevo administrador tenga algo que no sea el acceso total predeterminado, especifique un par personalizado de rol y ámbito.
Más adelante, si quiere cambiar el acceso de un administrador (roles y ámbito), consulte Configurar acceso personalizado.
Agregar un administrador
Para agregar (invitar) administradores, siga las instrucciones de Agregar administradores a una cuenta de Citrix Cloud. Un subconjunto de esa información se repite aquí.
Importante:
No confunda los conceptos “personalizado” y “acceso personalizado”.
- Al crear administradores y asignar roles para Citrix DaaS en la consola de Citrix Cloud, el término “acceso personalizado” incluye tanto los roles integrados como cualquier otro rol personalizado que se haya creado en la interfaz de Studio del servicio.
- En la interfaz de Studio del servicio, “personalizada” simplemente diferencia ese rol de un rol integrado.
El flujo de trabajo general para agregar administradores es el siguiente:
-
Inicie sesión en Citrix Cloud y, a continuación, seleccione Administración de acceso e identidad en el menú superior de la izquierda.
-
En la página Administración de acceso e identidad, seleccione Administradores. La ficha Administradores enumera todos los administradores actuales de la cuenta.
-
En la ficha Administradores, seleccione el tipo de identidad, introduzca la dirección de correo electrónico del administrador y, a continuación, haga clic en Invitar.
- Seleccione Acceso completo si desea que el administrador tenga pleno acceso. De esa manera, el administrador puede acceder a todas las funciones de administrador de clientes en Citrix Cloud y en todos los servicios suscritos.
- Seleccione Acceso personalizado si quiere que el administrador tenga acceso limitado. A continuación, puede seleccionar un par de rol de acceso y ámbito personalizado. De ese modo, el administrador tendrá los permisos previstos al iniciar sesión en Citrix Cloud.
- Haga clic en Enviar invitación. Citrix Cloud envía una invitación a la dirección de correo electrónico y agrega al administrador a la lista una vez que este completa la incorporación.
Al recibir el mensaje de correo electrónico, el administrador tiene que hacer clic en el enlace Iniciar sesión para aceptar la invitación.
Para obtener más información sobre cómo agregar administradores, consulte Administrar administradores de Citrix Cloud.
También puede ir a Administradores > Administradores en Studio y hacer clic en Agregar administrador. Pasará directamente a Administración de acceso e identidad > Administradores, que se abre en una nueva ficha de explorador. Cuando haya terminado de agregar administradores, cierre la ficha y vuelva a la consola para continuar con las demás tareas de configuración.
Crear y gestionar roles
Cuando los administradores crean o modifican un rol, solo pueden habilitar los permisos que ellos mismos tienen. Este control impide que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o modifiquen un rol que ya tienen asignado).
Los nombres de los roles pueden contener un máximo de 64 caracteres Unicode. Los nombres no pueden contener los siguientes caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), <> (flecha izquierda o derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), () (paréntesis de la izquierda o derecho), “ (comillas dobles) ni ‘ (apóstrofe).
Las descripciones de los roles pueden contener un máximo de 256 caracteres Unicode.
- Inicie sesión en Citrix Cloud si aún no lo ha hecho.
- En el mosaico de DaaS, haga clic en Administrar.
- En el panel izquierdo, seleccione Administradores.
- Seleccione la ficha Roles.
-
Siga las instrucciones correspondientes a la tarea que quiere completar:
- Ver información detallada de un rol: selecciónelo en el panel central. La parte inferior del panel central muestra los tipos de objeto y los permisos asociados al rol. Seleccione la ficha Administradores en el panel inferior para ver una lista de los administradores que actualmente tienen ese rol.
-
Crear un rol personalizado: Seleccione Crear rol en la barra de acciones. Configure los parámetros de la siguiente manera:
- Escriba un nombre y una descripción.
- Configure el acceso a la consola. Determine qué consolas son visibles para los administradores. Puede continuar sin seleccionar ninguna consola. En tal caso, los administradores con el rol no pueden acceder a Administrar y Supervisar, pero pueden ver, administrar o acceder a objetos a través de los SDK y las API.
- Seleccione los tipos de objeto y los permisos pertinentes. Para conceder permiso de acceso total a un tipo de objeto, seleccione su casilla de verificación correspondiente. Para conceder permisos a nivel detallado, expanda el tipo de objeto y, a continuación, seleccione Solo lectura u objetos individuales en Administrar dentro del tipo.
- Copiar un rol: selecciónelo en el panel central y, a continuación, seleccione Copiar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario. Cuando haya terminado, seleccione Guardar.
- Modificar un rol personalizado: selecciónelo en el panel central y, a continuación, seleccione Modificar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario. Los roles integrados no se pueden modificar. Cuando haya terminado, seleccione Guardar.
- Eliminar un rol personalizado: selecciónelo en el panel central y, a continuación, seleccione Eliminar rol en la barra de acciones. Cuando se le solicite, confirme la eliminación. Los roles integrados no pueden eliminarse. No se puede eliminar un rol personalizado si está asignado a un administrador.
Crear y gestionar ámbitos
De forma predeterminada, todos los roles tienen el ámbito Todo para sus objetos relevantes. Por ejemplo, un administrador de grupos de entrega puede administrar todos los grupos de entrega. Para algunos roles de administrador, puede crear un ámbito que permita a ese rol de administrador acceder a un subconjunto de los objetos relevantes. Por ejemplo, puede que le interese conceder a un administrador de catálogos de máquinas acceso únicamente a los catálogos que contienen un determinado tipo de máquinas, en lugar de a todos los catálogos.
- Los administradores de acceso total o los administradores de Cloud de acceso personalizado pueden crear ámbitos para los roles Administrador de solo lectura, Administrador de catálogo de máquinas, Administrador de grupo de entrega y Administrador de host.
- Los ámbitos no se pueden crear para los administradores de acceso total, ni se pueden crear para los administradores de Cloud o los administradores de asistencia técnica. Esos administradores siempre tienen el ámbito Todo.
Reglas para crear y gestionar ámbitos:
- Los nombres de los ámbitos pueden contener un máximo de 64 caracteres Unicode. Los nombres no pueden contener estos caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), <> (flecha izquierda o derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), () (paréntesis de la izquierda o derecho), “ (comillas dobles) ni ‘ (apóstrofe).
- Las descripciones de los ámbitos pueden contener un máximo de 256 caracteres Unicode.
- Al copiar o modificar un ámbito, tenga en cuenta que eliminar objetos del ámbito puede tener como consecuencia que un administrador no pueda acceder a ellos. Si el ámbito modificado está emparejado con uno o varios roles, compruebe que los cambios que haga en el ámbito no hagan que la pareja de rol y ámbito quede inutilizable.
Para crear y administrar ámbitos:
- Inicie sesión en Citrix Cloud.
- En el mosaico de DaaS, haga clic en Administrar.
- En el panel izquierdo, seleccione Administradores.
- Seleccione la ficha Ámbitos.
-
Siga las instrucciones correspondientes a la tarea que quiere completar:
- Ver información detallada de un ámbito: Seleccione el ámbito. La parte inferior del panel muestra los objetos y los administradores que tienen ese ámbito.
-
Crear un ámbito: Haga clic en Crear ámbito en la barra de acciones. Escriba un nombre y una descripción. Los objetos se enumeran por tipo, como grupo de entrega y catálogo de máquinas.
- Para incluir todos los objetos de un tipo concreto (por ejemplo, todos los grupos de entrega), marque la casilla correspondiente al tipo de objeto.
-
Para incluir objetos concretos que haya dentro de un tipo de objeto, expanda el tipo y, a continuación, marque las casillas de los objetos (por ejemplo, grupos de entrega concretos).
Nota:
Los grupos de aplicaciones, los grupos de entrega o los catálogos de máquinas se muestran en estructuras de carpetas que se ajustan a su administración en DaaS. Puede seleccionar una carpeta para seleccionar todos sus objetos o expandir una carpeta para seleccionar objetos específicos.
- Para crear un cliente arrendatario, seleccione la casilla de verificación Ámbito del arrendatario. Si se selecciona, el nombre que introdujo para el ámbito es el nombre del arrendatario. Para obtener más información sobre el ámbito del arrendatario, consulte Administración de arrendatarios.
Cuando haya terminado, seleccione Aceptar.
- Copiar un ámbito: Selecciónelo en el panel central y, a continuación, seleccione Copiar ámbito en la barra de acciones. Cambie el nombre o la descripción. Cambie los objetos y los tipos de objeto, según sea necesario. Cuando haya terminado, seleccione Guardar.
- Modificar un ámbito: Selecciónelo en el panel central y, a continuación, seleccione Modificar ámbito en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario. Cuando haya terminado, seleccione Guardar.
-
Eliminar un ámbito: Selecciónelo en el panel central y, a continuación, seleccione Eliminar ámbito en la barra de acciones. Cuando se le solicite, confirme la eliminación.
No se puede eliminar un ámbito si está asignado a un rol. Si lo intenta, aparecerá un mensaje de error para indicarle que no tiene permiso para hacerlo. De hecho, el error se produce porque el par de rol y ámbito que utiliza este ámbito está asignado a un administrador. En primer lugar, elimine la asignación del par de rol y ámbito en todos los administradores que la utilicen. A continuación, elimine el ámbito en Studio.
Después de crear un ámbito, dicho ámbito aparece en la lista Acceso personalizado en la consola de Citrix Cloud. A continuación, puede seleccionarlo al asignar un rol a un administrador.
Por ejemplo, supongamos que crea un ámbito llamado CAD y selecciona los catálogos que contienen las máquinas indicadas para las aplicaciones CAD. Cuando regrese a la consola de Citrix Cloud y seleccione Modificar ámbitos con relación a un rol, la lista de ámbitos disponibles mostrará el ámbito de CAD que creó anteriormente.
El administrador de Cloud y el administrador de asistencia técnica siempre tienen el ámbito Todo, por lo que el ámbito CAD no se aplica a ellos.
Administración de arrendatarios
Con Studio, puede crear arrendatarios que se excluyan mutuamente en una sola instancia de Citrix DaaS. Para ello, cree ámbitos de arrendatario en Administradores > Ámbitos y asocie objetos de configuración, como catálogos de máquinas y grupos de entrega, a esos arrendatarios. Como resultado, los administradores con acceso a un arrendatario solo pueden administrar objetos que estén asociados al arrendatario.
Esta función es útil, por ejemplo, si su organización:
- Tiene diferentes silos empresariales (divisiones independientes o equipos de administración de TI separados)
- O tiene varios sitios locales y quiere mantener la misma configuración en una sola instancia de Citrix DaaS
La interfaz le permite filtrar clientes arrendatarios por nombre. De forma predeterminada, la interfaz muestra información sobre todos los clientes arrendatarios. Para mostrar información sobre un arrendatario específico, selecciónelo en la lista de la esquina superior derecha.
Crear un cliente arrendatario
Para crear un cliente arrendatario, seleccione Ámbito del arrendatario al crear un ámbito. Al seleccionar la opción, crea un tipo de ámbito único que se aplica a los objetos en casos en los que comparte una instancia de Citrix DaaS entre diferentes unidades de negocio, cada una de las cuales es independiente de las demás. Después de crear un ámbito de arrendatario, no puede cambiar el tipo de ámbito.
La ficha Ámbitos muestra todos los elementos del ámbito. La única diferencia entre los ámbitos normales y los ámbitos de arrendatario se encuentra en la columna Tipo. Un campo de columna en blanco indica un ámbito normal. Puede hacer clic en la columna Tipo para ordenar los elementos del ámbito si es necesario.
Para ver los recursos (objetos) asociados a un ámbito, seleccione Administradores en el panel de la izquierda. En la ficha Ámbitos, seleccione el ámbito y, a continuación, seleccione Modificar ámbito en la barra de acciones.
Sugerencia:
La propiedad de arrendatario se asigna a nivel de ámbito. Los catálogos de máquinas, los grupos de entrega, las aplicaciones y las conexiones heredan la propiedad de arrendatario del ámbito aplicable.
Al usar un ámbito de arrendatario, tenga en cuenta las siguientes consideraciones:
- La propiedad de arrendatario se asigna en el siguiente orden: Alojamiento > Catálogos de máquinas > Grupos de entrega > Aplicaciones. Los objetos de nivel inferior dependen de objetos de nivel superior para heredar de ellos la propiedad de arrendatario. Por ejemplo, al seleccionar un grupo de entrega, debe seleccionar el alojamiento y el catálogo de máquinas asociados. De lo contrario, el grupo de entrega no puede heredar la propiedad de arrendatario.
- Después de crear un ámbito de arrendatario, puede modificar los objetos para modificar las asignaciones de arrendatario. Cuando se modifica una asignación de arrendatario, sigue sujeta a la restricción de que debe asignarse a los mismos arrendatarios o a un subconjunto de estos. Sin embargo, los objetos de nivel inferior no se vuelven a evaluar cuando cambian las asignaciones de arrendatario. Asegúrese de que los objetos estén restringidos correctamente cuando cambie las asignaciones de arrendatario. Por ejemplo, si hay un catálogo de máquinas disponible para
TenantA
yTenantB
, puede crear un grupo de entrega paraTenantA
y otro paraTenantB
. (TenantA
yTenantB
están asociados a ese catálogo de máquinas). A continuación, puede cambiar el catálogo de máquinas para que se asocie solo aTenantA
. Como resultado, el grupo de entrega asociado aTenantB
deja de ser válido.
Configurar acceso personalizado para administradores
Después de crear los ámbitos de arrendatario, configure el acceso personalizado para los administradores respectivos. Para obtener más información, consulte Configurar acceso personalizado para un administrador. Citrix Cloud envía una invitación a los administradores de clientes especificados y los agrega a la lista. Al recibir el mensaje de correo electrónico, deben hacer clic Iniciar sesión para aceptar la invitación. Cuando inician sesión en Studio, pueden ver los recursos que contienen los pares de roles y ámbitos asignados.
Los administradores con acceso a un arrendatario solo pueden administrar objetos (por ejemplo, un catálogo de máquinas o grupo de entrega) asociados al arrendatario.
Configurar acceso personalizado para un administrador
Esta función le permite definir los permisos de acceso de los administradores existentes o los administradores que invite para que puedan desempeñar sus roles en la organización.
Los cambios realizados en los permisos de acceso tardan 5 minutos en surtir efecto. Cerrar sesión en Studio y volver a iniciar sesión hace que los cambios surtan efecto inmediatamente. En casos en los que los administradores siguen utilizando la interfaz de administración después de que los cambios surtan efecto sin volver a conectarse a ella, aparece una advertencia cuando intentan acceder a elementos para los que ya no tienen permisos.
De forma predeterminada, cuando invita a los administradores, estos tienen acceso total. El acceso total permite al administrador gestionar todos los servicios suscritos y todas las operaciones de Citrix Cloud (como invitar a otros administradores). Una implementación de Citrix Cloud necesita al menos un administrador con acceso total.
También puede conceder acceso personalizado al invitar a un administrador. El acceso personalizado permite al administrador gestionar únicamente los servicios y las operaciones que especifique.
Al crear un rol o ámbito en Citrix DaaS, este aparece en la lista de acceso personalizado y se puede seleccionar. Al seleccionar un rol para un administrador, puede modificar los ámbitos según sea necesario para reflejar el rol del administrador en su organización.
Para configurar el acceso personalizado para un administrador:
- Inicie sesión en Citrix Cloud. Seleccione Administración de acceso e identidad > Administradores en el menú superior izquierdo.
-
Busque al administrador que quiere gestionar, seleccione el menú de tres puntos y seleccione Modificar acceso.
-
Seleccione Acceso personalizado.
-
En DaaS, seleccione o desactive las casillas situadas junto a uno o varios roles. Para modificar los ámbitos asociados a un rol asignado, seleccione Modificar ámbitos.
De forma predeterminada, cada rol seleccionado tiene todos los ámbitos seleccionados, como indica la etiqueta Todos los ámbitos.
-
Para especificar los ámbitos de un rol seleccionado, seleccione Ámbito personalizado y, a continuación, agregue o elimine los ámbitos correspondientes. De forma predeterminada, todos los ámbitos personalizados se agregan a un rol. Para eliminar un ámbito, haga clic en el icono X del ámbito.
Los ámbitos que se han eliminado y que están disponibles para agregarse al rol aparecen en una lista debajo de los ámbitos que ya se han agregado. Para agregar un ámbito al rol, seleccione el icono con el signo más del ámbito.
-
Cuando haya terminado de seleccionar los ámbitos, seleccione Aplicar.
- Seleccione Guardar para guardar los roles seleccionados para el administrador.
Diferencias de Citrix Virtual Apps and Desktops local
Si conoce la administración delegada en la versión local del producto Citrix Virtual Apps and Desktops, la versión de Citrix DaaS presenta varias diferencias.
En Citrix Cloud:
- Se identifica a los administradores por su inicio de sesión en Citrix Cloud, en lugar de su cuenta de Active Directory. Puede crear pares de rol y ámbito para personas de Active Directory, pero no para grupos.
- Los administradores se crean, configuran y eliminan en la consola de Citrix Cloud, en lugar de Citrix DaaS.
- Los pares de rol y ámbito se asignan a los administradores en la consola de Citrix Cloud, en lugar de Citrix DaaS.
- Los informes no están disponibles. Puede ver la información de administrador, rol y ámbito en la interfaz de Studio del servicio.
-
El administrador de Cloud con acceso personalizado es similar a un administrador total en la versión local. Ambos tienen permisos totales de administración y supervisión para la versión de Citrix Virtual Apps and Desktops que se está utilizando.
Sin embargo, en Citrix DaaS, no hay ningún rol de administrador total con nombre. No equipare el “Acceso completo” en Citrix Cloud con el “Administrador total” en Citrix Virtual Apps and Desktops local. El acceso completo en Citrix Cloud abarca los dominios a nivel de plataforma, la biblioteca, las notificaciones y las ubicaciones de recursos, además de todos los servicios suscritos.
Diferencias con versiones anteriores de Citrix DaaS
Antes de la publicación de la funcionalidad expandida de acceso personalizado (septiembre de 2018), había dos roles de administrador de acceso personalizado: administrador total y administrador de asistencia técnica. Cuando la implementación tiene habilitada la administración delegada (que es una configuración de la plataforma), esos roles se asignan automáticamente.
- Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador total ahora tiene un acceso personalizado Administrador de Cloud.
- Un administrador que estaba configurado con un acceso personalizado Virtual Apps and Desktops (o XenApp and XenDesktop) Service: Administrador de asistencia técnica ahora tiene un acceso personalizado Administrador de asistencia técnica.
Más información
Consulte Administración delegada y supervisión para obtener información acerca de los administradores, los roles y los ámbitos utilizados en la consola Supervisar del servicio.
En este artículo
- Información general
- Administradores, roles y ámbitos
- Roles y ámbitos integrados
- Cuántos administradores se necesitan
- Resumen de la gestión de administradores
- Agregar un administrador
- Crear y gestionar roles
- Crear y gestionar ámbitos
- Configurar acceso personalizado para un administrador
- Diferencias de Citrix Virtual Apps and Desktops local
- Diferencias con versiones anteriores de Citrix DaaS
- Más información