管理管理员对 Citrix Cloud 的访问
管理员通过 Citrix Cloud 控制台进行管理。 根据您用于验证管理员的身份提供者,您可以单独添加管理员或使用组添加管理员。
所有管理员在登录 Citrix Cloud 时都必须使用令牌作为第二身份验证因素。 添加管理员后,他们可以将其设备注册到多重身份验证中,并使用任何遵循 基于时间的一次性密码 标准的应用程序(例如 Citrix SSO)生成令牌。
添加新管理员
Citrix Cloud 支持使用以下身份提供程序来对管理员进行身份验证:
- Citrix 身份提供商:Citrix Cloud 中的默认身份提供商。 仅支持添加个人管理员。
- Azure AD:支持单独添加管理员和通过 AAD 组添加管理员。 AAD 组中的管理员仅限于自定义访问角色。 有关更多信息,请参阅 管理管理员组。
- SAML 2.0:仅支持通过 AD 组添加管理员。 有关更多信息,请参阅 将 SAML 作为身份提供商连接到 Citrix Cloud
添加新管理员使用以下工作流程:
- 选择您想要用于验证管理员身份的身份提供者。
- 根据身份提供者,邀请个人管理员或选择管理员所属的组。
- 指定与您组织中的管理员角色相符的访问权限。 有关更多信息,请参阅本文中的 修改管理员权限 。
邀请个人管理员
添加个人管理员涉及邀请他们加入您的 Citrix Cloud 帐户。 当您添加管理员时,Citrix 会向他们发送一封邀请电子邮件。 管理员必须先接受邀请,然后才能登录。 通过群组添加的管理员不会收到邀请,并且可以在添加后立即登录。
邀请电子邮件从 cloud@citrix.com 发送,并说明如何访问帐户。 该邀请自您发出之日起连续五天内有效。 五天后,邀请链接将过期。 如果受邀管理员使用过期的链接,Citrix Cloud 会显示一条消息,指示该链接无效。
Citrix Cloud 还显示邀请的状态,以便您查看管理员是否接受邀请并登录 Citrix Cloud。
注意
管理员帐户最多可与 100 个客户帐户关联。 如果管理员需要管理超过 100 个客户帐户,则他们必须创建一个具有不同电子邮件地址的单独管理员帐户来管理其他客户。 或者,您可以从不再需要管理的客户帐户中删除管理员。
邀请管理员
-
登录 Citrix Cloud,然后从菜单中选择 身份和访问管理 。
-
在 身份和访问管理 页面上,选择 管理员。 控制台显示帐户中所有当前管理员。
- 选择 添加管理员/组。
- 在 管理员详细信息中,选择您想要使用的身份提供者。 如果使用 Azure AD,Citrix Cloud 可能会提示您先登录。
- 如果选择了 Citrix Identity ,请输入用户的电子邮件地址,然后选择 Next。
- 如果选择了 Azure Active Directory ,请键入要添加的用户的名称,然后单击 下一步。 不支持邀请 AAD 来宾用户。
- 在 设置访问中,为管理员配置适当的权限。 完全访问 (默认选择)允许控制所有 Citrix Cloud 功能和订阅的服务。 自定义访问 允许控制您选择的功能和服务。
- 查看管理员详细信息。 选择 返回 进行任何更改。
- 选择 发送邀请。 Citrix Cloud 向您指定的用户发送邀请并将管理员添加到列表中。
重新发送邀请
要重新发送邀请,请从控制台最右侧的省略号菜单中选择 重新发送邀请电子邮件 。 重新发送邀请不会影响邀请到期前的五天期限。
使用新的登录链接重新发送邀请
如果原始邀请电子邮件已过期,您可以向管理员发送新的邀请电子邮件。 执行以下步骤:
- 从 Citrix Cloud 中删除管理员:在 管理员 页面上,在列表中找到管理员,然后从省略号菜单中选择 删除管理员 。
- 等待几分钟以确保 Citrix Cloud 完成删除。 在某些情况下,删除后立即再次邀请管理员可能会导致发送带有错误登录链接的邀请。
- 按照 邀请管理员中的说明再次邀请管理员。
接受管理员邀请
如果您被邀请加入 Citrix Cloud 帐户,Citrix 会向您发送一封电子邮件,其中包含该帐户的组织 ID 和客户名称。
要接受邀请,请单击 登录。 随后,将打开一个浏览器窗口。 如果您还没有 Citrix Cloud 帐户,浏览器将显示一个您可以创建密码的页面。 如果您已经有帐户,Citrix Cloud 会提示您使用现有密码登录。
在登录过程中,系统可能会提示您注册多重身份验证。 有关注册说明,请参阅 设置多因素身份验证。
添加管理员组
您可以使用 AD 组(用于 SAML 身份验证)或 Azure AD 组(用于 Azure AD 身份验证)添加管理员。 有关更多信息,请参阅 管理管理员组。
批准加入 Citrix Cloud 的请求
有时,您可能会收到 Citrix Cloud 代表您组织中的某个人发出的批准请求,该人希望以管理员身份加入您的 Citrix Cloud 帐户。
要批准这些请求,您需要邀请请求访问权限的人担任管理员,如本文中 邀请个人管理员 中所述。 您必须使用与批准请求电子邮件中显示的相同的电子邮件地址。
收到邀请后,请求访问的人点击 登录 链接接受邀请。 然后,此人可以为 Citrix Cloud 创建密码并登录您的帐户。
有关如何生成批准请求的更多信息,请参阅 如果帐户已被使用会发生什么?。
更改电子邮件地址
您可以在 Citrix Cloud 中更改您自己的电子邮件地址。 您的新地址必须与多重身份验证 (MFA) 的恢复电子邮件地址不同。 当您更改电子邮件地址时,Citrix Cloud 会向新地址发送一封验证电子邮件。 验证后,Citrix Cloud 会将您注销,以便完成更改。 几分钟后,您可以使用新的电子邮件地址再次登录。
-
从右上角的菜单中,选择 我的设置。
- 在 电子邮件地址中,选择 更改电子邮件。
- 输入新的电子邮件地址,然后选择 发送验证电子邮件。
- 输入电子邮件中的6位验证码,然后选择 验证并完成。
- 选择 是,更改我的电子邮件地址 以确认更改。
确认您的更改后,Citrix Cloud 将把您注销。 几分钟后,您可以使用新的电子邮件地址再次登录。
修改管理员权限
当您将管理员添加到 Citrix Cloud 帐户时,您可以定义适合其在组织中的角色的管理员权限。 默认情况下,新管理员被分配 对所有 Citrix Cloud 帐户功能和可用服务的完全访问权限 。 如果您想限制对管理控制台的某些区域或特定服务的访问,您可以定义 自定义访问权限。
只有具有完全访问权限的 Citrix Cloud 管理员才能为其他管理员定义权限。
要更改现有的管理员权限:
- 通过 https://citrix.cloud.com登录 Citrix Cloud。
- 从 Citrix Cloud 菜单中,选择 身份和访问管理 ,然后选择 管理员。
- 选择要管理的身份提供者:Citrix Identity(默认)、Active Directory(如果使用 SAML 作为身份提供者)或 Azure AD(如果已连接)。
-
找到您要管理的管理员或组,单击省略号按钮,然后选择 编辑访问。
- 要允许或禁止特定权限,请选择 自定义访问。 要允许访问所有 Citrix Cloud 功能,请选择 完全访问。
- 要快速找到服务权限,请在搜索框中输入内容。 Citrix Cloud 会在您键入时显示匹配的权限。 例如,如果您开始输入“只读”,则会显示标题中带有“只读”的权限。 搜索权限不区分大小写。
-
要为 Citrix Cloud 管理控制台定义自定义访问权限,请展开 常规。
- 要为特定服务定义自定义访问权限,请展开该服务。
- 对于每个权限,根据需要选择或清除复选标记。
- 选择 保存。
控制台权限
本节介绍 Citrix Cloud 管理控制台可用的自定义访问权限。 有关特定服务的自定义访问权限的更多信息,请查阅该服务的文档。
- 客户仪表板(仅查看): 仅适用于 Citrix 服务提供商 (CSP)。 授予查看 客户仪表板的权限。
- 域: 授予对 身份和访问管理 > 域 选项卡的访问权限。 管理员可以通过从此选项卡下载 Citrix Cloud Connector 软件并将其安装在域中的服务器上来添加 Active Directory 域。
- 库: 授予对 库 控制台页面的访问权限。 根据管理员有权访问的服务,管理员可以 将用户分配给 Citrix DaaS 的交付组 、 从 Endpoint Management 添加 Intune 托管应用程序 ,或者 允许只读管理员查看安全私有访问的应用程序详细信息 。
- 许可: 授予对 许可 控制台页面的 云服务 和 许可部署 选项卡的访问权限。
- 通知: 授予对 通知 控制台页面的访问权限。 管理员可以查看和关闭 Citrix Cloud 通知。
- 资源位置: 授予对 资源位置 控制台页面的访问权限。 管理员可以添加新的资源位置并 为 Citrix Workspace 单点登录添加 FAS 服务器。 他们还可以 管理连接器更新。
- 安全客户端: 授予对 身份和访问管理 > API 访问 > 安全客户端 选项卡的访问权限。 管理员可以创建和管理自己的安全客户端,以便与 Citrix Cloud API一起使用。 此权限不包括访问 身份和访问管理 > API 访问 > 产品注册 选项卡。 只有具有完全访问权限的管理员才能访问 产品注册 选项卡。
- 支持票证: 授予对 支持票证 控制台菜单选项和 打开票证 帮助菜单选项的访问权限。 选择其中任一选项都会将管理员发送到 我的支持 门户。 有关更多信息,请参阅 技术支持。
- 系统日志: 授予对 系统日志 控制台页面的访问权限。 管理员可以 查看系统日志事件 并将事件导出到 CSV 文件。
- 工作区配置: 授予对 工作区配置 控制台页面的访问权限。 管理员可以更改身份验证方法、自定义工作区的外观和行为、启用和禁用服务以及配置站点聚合。 有关更多信息,请参阅 Citrix Workspace 产品文档。
- 工作区 OAuth 客户端(预览): 授予对 身份和访问管理 > API 访问 > 工作区 API 选项卡的访问权限。 管理员可以创建和管理自己的 OAuth 客户端来与 Citrix Workspace 平台 API 进行交互。 OAuth 客户端专门用于 Workspace API,并包含创建自动过期的私人客户端的选项。
注意:
建议谨慎分配 Workspace OAuth 客户端 自定义角色。 与此角色相关的访问权限可能使管理员能够访问 Workspace 平台上的最终用户资源(VDA 或应用程序)。 还需要注意的是,具有 完全访问权限 的管理员将自动拥有与具有 Workspace OAuth 客户端 权限的管理员相同的访问权限。
管理您的主要 MFA 方法
要使用多重身份验证 (MFA) 登录 Citrix Cloud,您可以使用身份验证器应用程序,也可以使用您的电子邮件地址。 本节介绍如何更改 MFA 的设备注册或切换到其他 MFA 方法。
更改您的设备以进行 MFA
如果您丢失了已注册的设备,想要使用其他设备访问 Citrix Cloud,或者重置身份验证器应用程序,则可以重新注册 Citrix Cloud MFA。
笔记
- 更改您的设备会删除当前设备注册并生成新的身份验证器应用密钥。
- 如果您使用原始注册中的相同身份验证器应用程序重新注册,请在重新注册之前从身份验证器应用程序中删除 Citrix Cloud 条目。 完成重新注册后,此条目中显示的代码将不再起作用。 如果您在重新注册之前或之后未删除此条目,您的身份验证器应用程序将显示两个具有不同代码的 Citrix Cloud 条目,这可能会在登录 Citrix Cloud 时造成混淆。
- 如果您使用新设备重新注册且没有身份验证器应用程序,请从设备的应用程序商店下载并安装一个。 为了获得更流畅的体验,Citrix 建议您在重新注册设备之前安装身份验证器应用程序。
-
登录 Citrix Cloud 并输入您的身份验证器应用程序中的代码。
如果您没有身份验证器应用程序,请单击 没有身份验证器应用程序? 并选择一种恢复方法来帮助您登录。 根据所选的恢复方法,输入您收到的恢复代码或未使用的备份代码,然后选择 验证。
- 如果您是多个客户组织的管理员,请选择任意客户组织。
-
从右上角的菜单中,选择 我的设置。
-
在 Authenticator 应用程序中,选择 添加新设备。
- 当提示确认更改设备时,选择 是的,更改我的设备。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。 如果您没有身份验证器应用程序,请选择 使用恢复方法 通过您选择的恢复方法来验证您的身份。 根据您选择的恢复方法,输入您收到的验证码或恢复码或未使用的备用代码。 选择 验证并继续。
- 如果您正在使用最初注册的设备和原始身份验证器应用程序,请从身份验证器应用程序中删除现有的 Citrix Cloud 条目。
- 如果您正在注册新设备但没有身份验证器应用程序,请从设备的应用程序商店下载一个。
- 从您的身份验证器应用程序中,使用您的设备扫描二维码或手动输入密钥。
- 输入您的身份验证器应用程序中的 6 位验证码,然后选择 验证码。
更改设备后,Citrix 强烈建议检查“我的个人资料”页面中的验证方法是否是最新的。
更改您的 MFA 方法
如果您使用身份验证器应用程序注册了 MFA,并且想要切换到使用您的电子邮件地址,请注意,更改身份验证方法会删除您的设备注册。 如果您想重新使用身份验证器应用程序进行 MFA,则需要重新注册您的设备。
- 从 Citrix Cloud 控制台的右上角菜单中,选择 我的设置。
- 在 多重身份验证 (MFA)下,选择您要切换到的身份验证方法。
- 如果切换到电子邮件 MFA:
- 选择 是,更改为电子邮件 以确认您想要更改您的 MFA 方法。
- 输入您的身份验证器应用程序中的代码或使用恢复方法来确认您的身份。
- 选择 验证并继续 完成更改。
- 如果切换到身份验证器应用程序:
- 出现提示时,输入 Citrix Cloud 发送到您的电子邮件地址的验证码,然后选择 验证并继续。 或者,使用恢复方法来确认您的身份。
- 使用您的身份验证器应用程序,通过设备的相机扫描二维码或输入字母数字密钥。
- 在 验证您的身份验证器应用程序下,输入您的身份验证器应用程序中的 6 位代码。
- 点击 验证码 完成设备注册。
管理您的 MFA 恢复方法
重要:
为了确保您的 Citrix Cloud 帐户保持安全,请使用准确的信息保持您的验证方法的更新。 如果您无法访问您的身份验证器应用程序或 MFA 电子邮件地址,这些验证方法是您恢复访问帐户的唯一方法。
添加或更改您的恢复电子邮件
- 从右上角的菜单中,选择 我的设置。
- 在 恢复方法下,在 恢复电子邮件中,如果您尚未添加恢复电子邮件地址,请选择 添加恢复电子邮件 。 如果您已经添加了恢复电子邮件地址,请选择 更改恢复电子邮件。
- 出现提示时,请输入您的身份验证器应用程序的验证码或发送到您的电子邮件地址的代码。
- 输入您要使用的新电子邮件地址,然后选择 发送验证电子邮件。 此电子邮件地址必须与您用于 Citrix Cloud 帐户的电子邮件地址不同。 Citrix Cloud 会向您输入的电子邮件地址发送一封验证电子邮件。
- 输入验证邮件中的代码,然后单击 验证代码并完成。
生成新的备份代码
您可以随时生成一组新的备份代码。 当您使用备份代码时,Citrix Cloud 会记录您在“我的个人资料”页面中已使用过的号码。
生成新的备份代码后,请务必将其存储在安全的地方。
- 从右上角的菜单中,选择 我的设置。
- 在 恢复方法下,在 备份代码中,如果您之前没有生成备份代码,请选择 生成新的备份代码 。 如果您之前生成了备份代码,请选择 替换备份代码。
- 当提示您替换备份代码时,选择 是的,替换我的代码。
- 通过输入身份验证器应用程序中的验证码或发送到您的电子邮件地址的代码来验证您的身份。
- 选择 验证并继续。 Citrix Cloud 生成并显示一组新的备份代码。
- 选择 下载代码 将您的新代码下载为文本文件。 然后,选择 我已存储我的备份代码。
- 选择 我已存储我的备份代码 以完成替换您的备份代码。
更改您的辅助电话号码
- 从右上角的菜单中,选择 我的设置。
- 在 恢复方法下,在 恢复电话中,选择 更改恢复电话。
- 输入您的身份验证器应用程序的验证码或发送到您的电子邮件地址的代码。 选择 验证并继续。
- 输入您要使用的新电话号码。 然后,重新输入电话号码进行确认。
- 选择 保存恢复电话号码。
注意:
仅当 Citrix Endpoint Management (CEM) 管理员接受管理员邀请并单击 CEM 磁贴上的 管理 后,您才可以修改 Citrix Endpoint Management (CEM) 管理员的权限。 与所有 Citrix Cloud 管理员一样,CEM 管理员默认拥有完全访问权限。