管理管理员对 Citrix Cloud 的访问权限
管理员是在 Citrix Cloud 控制台中进行管理的。根据用于对管理员进行身份验证的身份提供商,您可以单独添加管理员或使用组添加管理员。
登录 Citrix Cloud 时,所有管理员都必须使用令牌作为身份验证的第二个因素。添加管理员后,他们可以使用任何遵循 基于时间的一次性密码 标准的应用程序(例如 Citrix SSO)在多重身份验证中注册其设备并生成令牌。
添加新管理员
Citrix Cloud 支持以下身份提供商对管理员进行身份验证:
- Citrix 身份提供商:Citrix Cloud 中的默认身份提供商。仅支持添加个人管理员。
- Azure AD:支持单独或通过 AAD 组添加管理员。AAD 组中的管理员仅限于自定义访问角色。有关详细信息,请参阅管理管理员组。
- SAML 2.0:仅支持通过 AD 组添加管理员。有关更多信息,请参阅 将 SAML 作为身份提供商连接到 Citrix Cloud
添加新管理员将使用以下工作流:
- 选择要用于对管理员进行身份验证的身份提供商。
- 根据身份提供商的不同,邀请单个管理员或选择管理员所属的组。
- 指定与组织中管理员角色一致的访问权限。有关详细信息,请参阅本文中的 修改管理员权限 。
邀请个人管理员
添加个人管理员需要邀请他们加入您的 Citrix Cloud 帐户。添加管理员时,Citrix 会向他们发送邀请电子邮件。管理员必须先接受邀请,然后才能登录。您通过组添加的管理员不会收到邀请,可以在添加邀请后立即登录。
邀请电子邮件从 cloud@citrix.com
发送,其中说明了如何访问该帐户。该邀请自您发送之日起连续五天内有效。五天过后,邀请链接将过期。如果受邀管理员使用已过期的链接,Citrix Cloud 将显示一条消息,指示该链接无效。
Citrix Cloud 还会显示邀请的状态,以便您可以查看管理员是否接受邀请并登录到 Citrix Cloud。
注意
管理员帐户可以与最多 100 个客户帐户关联。如果管理员需要管理 100 多个客户帐户,则他们必须使用不同的电子邮件地址创建一个单独的管理员帐户来管理其他客户。或者,您可以将管理员从不再需要管理的客户帐户中删除。
邀请管理员
-
登录 Citrix Cloud,然后从菜单中选择身份识别和访问管理 。
-
在 Identity and Access Management(身份识别和访问管理)页面上,选择 Administrators(管理员)。控制台将显示帐户中当前的所有管理员。
- 选择 添加管理员/组。
- 在 管理员详细信息中,选择要使用的身份提供商。如果使用 Azure AD,Citrix Cloud 可能会提示您先登录。
- 如果选择了 Citrix Identity,请输入用户的电子邮件地址,然后选择 下一步。
- 如果选择了 Azure Active Directory,请键入要添加的用户的名称,然后单击下一步。不支持邀请 AAD 来宾用户。
- 在 设置访问权限中,为管理员配置相应的权限。完全访问权限 (默认情况下处于选中状态)允许控制所有 Citrix Cloud 功能和订阅的服务。自定义访问权限 允许控制您选择的功能和服务。
- 查看管理员详情。选择返回进行任何更改。
- 选择 发送邀请。Citrix Cloud 会向您指定的用户发送邀请,并将管理员添加到列表中。
重新发送邀请
要重新发送邀请,请从控制台最右侧的省略号菜单中选择重新发送邀请电子邮件。重新发送邀请不会影响邀请到期前的五天时限。
使用新的登录链接重新发送邀请
如果原始邀请电子邮件过期,您可以向管理员发送新的邀请电子邮件。请执行以下步骤:
- 从 Citrix Cloud 中删除管理员:在管理员页面上,在列表中找到管理员,然后从省略号菜单中选择删除管理员。
- 等待几分钟,确保 Citrix Cloud 完成删除。在某些情况下,删除后立即再次邀请管理员可能会导致发送带有错误登录链接的邀请。
- 按照邀请管理员中所述再次邀请管理员。
接受管理员邀请
如果您受邀加入 Citrix Cloud 帐户,Citrix 会向您发送一封电子邮件,其中包含该帐户的组织 ID 和客户名称。
要接受邀请,请单击登录。之后,将打开一个浏览器窗口。如果您还没有 Citrix Cloud 帐户,浏览器将显示一个页面,您可以在其中创建密码。如果您已有帐户,Citrix Cloud 会提示您使用现有密码登录。
登录期间,系统可能会提示您注册多重身份验证。有关注册说明,请参阅设置多重身份验证。
添加管理员组
您可以使用 AD 组(用于 SAML 身份验证)或 Azure AD 组(用于 Azure AD 身份验证)添加管理员。有关详细信息,请参阅管理管理员组。
批准加入 Citrix Cloud 的请求
您可能会不时收到 Citrix Cloud 代表组织中想要以管理员身份加入您的 Citrix Cloud 帐户的某人发出的批准请求。
要批准这些请求,您可以邀请请求访问权限的人员成为管理员,如本文中的邀请个人管理员中所述。您 必须使用批准请求电子邮件中显示的相同电子邮件地址。
收到邀请后,请求访问权限的人员单击“登录”链接接受邀请。然后,该人可以为 Citrix Cloud 创建密码并登录到您的帐户。
有关如何生成批准请求的更多信息,请参阅如果帐户已经在使用中会发生什么?。
更改您的电子邮件地址
您可以在 Citrix Cloud 中更改自己的电子邮件地址。您的新地址必须与多重身份验证 (MFA) 的辅助电子邮件地址不同。更改您的电子邮件地址时,Citrix Cloud 会向您发送一封验证电子邮件到新地址。验证后,Citrix Cloud 会将您注销,以便完成更改。几分钟后,您可以使用新的电子邮件地址再次登录。
-
从右上角的菜单中选择“我的设置”。
- 在“电子邮件地址”中,选择“更改电子邮件”。
- 输入新的电子邮件地址,然后选择“发送验证电子邮件”。
- 输入电子邮件中的 6 位数验证码,然后选择“验证并完成”。
- 选择“是,更改我的电子邮件地址”以确认更改。
确认您的更改后,Citrix Cloud 会将您注销。几分钟后,您可以使用新的电子邮件地址再次登录。
修改管理员权限
将管理员添加到 Citrix Cloud 帐户时,您需要定义适合其在组织中的角色的管理员权限。默认情况下,为新管理员分配对所有 Citrix Cloud 帐户功能和可用服务的 完全访问权限 。如果要限制对管理控制台的某些区域或特定服务的访问权限,则可以定义 自定义访问权限。
只有具有完全访问权限的 Citrix Cloud 管理员才能为其他管理员定义权限。
要更改现有的管理员权限,请执行以下操作:
- 通过 https://citrix.cloud.com登录 Citrix Cloud。
- 在 Citrix Cloud 菜单中,选择身份和访问管理,然后选择管理员。
- 选择要管理的身份提供商:Citrix Identity(默认)、Active Directory(如果使用 SAML 作为身份提供程序)或 Azure AD(如果已连接)。
-
找到要管理的管理员或组,单击省略号按钮,然后选择 编辑访问权限。
- 要允许或禁止特定权限,请选择 自定义访问权限。要允许访问所有 Citrix Cloud 功能,请选择 完全访问权限。
- 要快速找到服务权限,请开始在搜索框中键入。Citrix Cloud 会在您键入时显示匹配的权限。例如,如果您开始键入“只读”,则会显示标题中包含“只读”的权限。搜索权限不区分大小写。
-
要定义 Citrix Cloud 管理控制台的自定义访问权限,请展开常规。
- 要为特定服务定义自定义访问权限,请展开该服务。
- 对于每种权限,请根据需要选中或取消选中复选框。
- 选择保存。
控制台权限
本节介绍可用于 Citrix Cloud 管理控制台的自定义访问权限。有关特定服务的自定义访问权限的更多信息,请查阅该服务的文档。
- 客户控制面板(仅限查看): 仅适用于 Citrix Service Provider (CSP)。授予 客户控制面板的视图访问权限。
- 域: 授予对 身份识别和访问管理 > 域选项卡的访问权限 。管理员可以通过从此选项卡下载 Citrix Cloud Connector 软件并将其安装在域中的服务器上来添加 Active Directory 域。
- 库: 授予对 库 控制台页面的访问权限。根据管理员有权访问的服务,管理员可以将 Citrix DaaS 交付组分配给用户,从 Endpoint Management 添加 Intune 托管应用程序,或者允许只读管理员查看 Secure Private Access 的应用程序详细信息。
- 许可: 授予对许可控制台页面的云服务和许可部署选项卡的访问权限。
- 通知: 授予对 通知 控制台页面的访问权限。管理员可以查看和关闭 Citrix Cloud 通知。
- 资源位置: 授予对 资源位置 控制台页面的访问权限。管理员可以 为 Citrix Workspace 单点登录添加新的资源位置和添加 FAS 服务器。他们还可以管理连接器更新。
- 安全客户端: 授予对 身份识别和访问管理 > API 访问 > 安全客户端 选项卡的访问权限。管理员可以创建和管理自己的安全客户端,以便与 Citrix Cloud API配合使用。此权限不包括对 身份识别和访问管理 > API 访问 > 产品注册选项卡的访问权限 。只有完全访问权限的管理员才能访问产品注册选项卡。
- 支持票据: 授予访问支持票据控制台菜单选项和打开票据帮助菜单选项的访问权限。选择这两个选项中的任何一个都会将管理员发送到“我的支持”门户。有关更多信息,请参阅技术支持。
- 系统日志: 授予访问系统日志控制台页面的权限。管理员可以 查看系统日志事件 并将事件导出到 CSV 文件。
- Workspace 配置: 授予对 Workspace 配置控制台页面的访问权限。管理员可以更改身份验证方法、自定义 Workspace 外观和行为、启用和禁用服务以及配置站点聚合。有关更多信息,请参阅 Citrix Workspace 产品文档。
- Workspace OAuth 客户端(预览版): 授予对身份和访问管理 > API 访问权限 > Workspace API 选项卡的访问权限。管理员可以创建和管理自己的 OAuth 客户端,以便与 Citrix Workspace 平台 API 进行交互。OAuth 客户端仅用于 Workspace API,包括创建自动过期的专用客户端的选项。
注意:
建议谨慎分配 Workspace OAuth 客户端自定义角色。与此角色相关的访问权限可能使管理员能够在 Workspace 平台上访问最终用户的资源(VDA 或应用程序)。还需要注意的是,具有完全访问权限的管理员将自动获得等同于拥有 Workspace OAuth 客户端权限的管理员的访问权限。
管理您的主要 MFA 方法
要使用多重身份验证 (MFA) 登录 Citrix Cloud,您可以使用身份验证器应用程序,也可以使用您的电子邮件地址。本节介绍如何更改 MFA 的设备注册或切换到其他 MFA 方法。
将您的设备更改为 MFA
如果您丢失了已注册的设备、想要在 Citrix Cloud 上使用其他设备或重置身份验证器应用程序,则可以在 Citrix Cloud MFA 中重新注册。
备注
- 更改设备会删除当前设备注册并生成新的身份验证器应用程序密钥。
- 如果您要使用与原始注册相同的身份验证器应用程序重新注册,请在重新注册之前从身份验证器应用程序中删除 Citrix Cloud 条目。完成重新注册后,此条目中显示的代码将不再起作用。如果您未在重新注册之前或之后删除此条目,则身份验证器应用程序会显示两个 Citrix Cloud 条目,代码不同,这可能会在登录 Citrix Cloud 时造成混淆。
- 如果您要使用新设备重新注册,但没有身份验证器应用程序,请从设备的应用商店下载并安装一个。为了获得更流畅的体验,Citrix 建议在重新注册设备之前安装身份验证器应用程序。
-
登录 Citrix Cloud 并输入身份验证器应用程序中的代码。
如果您没有身份验证器应用程序,请点击 没有身份验证器应用程序? 并选择一种恢复方法来帮助您登录。根据选择的恢复方法,输入您收到的恢复代码或未使用的备份代码,然后选择 验证。
- 如果您是多个客户组织的管理员,请选择任何客户组织。
-
从右上角的菜单中选择“我的设置”。
-
在 身份验证器应用程序中,选择 添加新设备。
- 当系统提示您确认更改设备时,选择“是,更改我的设备”。
- 通过输入身份验证器应用程序中的验证码来验证您的身份。如果您没有身份验证器应用程序,请选择 使用恢复方法 使用您选择的恢复方法来验证您的身份。根据您选择的恢复方法,输入您收到的验证码或恢复码或未使用的备用代码。选择验证并继续。
- 如果您使用的是最初注册的设备和原始身份验证器应用程序,请从身份验证器应用程序中删除现有 Citrix Cloud 条目。
- 如果您正在注册新设备,但没有身份验证器应用程序,请从设备的应用商店下载一个。
- 在身份验证器应用程序中,使用设备扫描 QR 代码或手动输入密钥。
- 从您的身份验证器应用程序中输入6位数的验证码,然后选择 验证码。
更换设备后,Citrix 强烈建议您检查“我的个人资料”页面中的验证方法是否为最新。
更改您的 MFA 方法
如果您使用身份验证器应用程序注册了 MFA 并想切换到使用您的电子邮件地址,请注意,更改身份验证方法会删除您的设备注册。如果您想重新使用身份验证器应用程序进行 MFA,则需要重新注册您的设备。
- 从 Citrix Cloud 控制台的右上角菜单中,选择我的设置。
- 在 多重身份验证 (MFA)下,选择要切换到的身份验证方法。
- 如果切换到电子邮件 MFA:
- 选择“是,更改为电子邮件”以确认您要更改 MFA 方法。
- 输入身份验证器应用程序中的验证码或使用恢复方法确认您的身份。
- 选择验证并继续完成更改。
- 如果切换到身份验证器应用程序:
- 出现提示时,输入 Citrix Cloud 发送到您的电子邮件地址的验证码,然后选择验证并继续。或者,使用恢复方法确认您的身份。
- 使用身份验证器应用程序,使用设备的摄像头扫描 QR 代码或输入字母数字密钥。
- 在“验证您的身份验证器应用程序”下,输入身份验证器应用程序中的 6 位数代码。
- 单击“验证码”以完成设备注册。
管理您的 MFA 恢复方法
重要:
为确保您的 Citrix Cloud 帐户保持安全,请使用准确的信息使您的验证方法保持最新。如果您无法访问身份验证器应用程序或 MFA 电子邮件地址,则这些验证方法是恢复帐户访问权限的唯一方法。
添加或更改您的辅助邮箱
- 从右上角的菜单中选择“我的设置”。
- 如果您尚未添加辅助电子邮件地址,请在恢复方法下的恢复电子邮件中,选择添加辅助电子邮件。如果您已添加辅助电子邮件地址,请选择更改辅助邮箱。
- 出现提示时,输入身份验证器应用程序中的验证码或发送到您的电子邮件地址的验证码。
- 输入您要使用的新电子邮件地址,然后选择 发送验证电子邮件。此电子邮件地址必须与您用于 Citrix Cloud 帐户的电子邮件地址不同。Citrix Cloud 向您输入的电子邮件地址发送一封验证电子邮件。
- 输入验证电子邮件中的代码,然后单击“验证码并完成”。
生成新的备用码
您可以随时生成一组新的备用代码。使用备份代码时,Citrix Cloud 会记录已在“我的个人资料”页面中使用的号码。
生成新的备用代码后,请务必将它们存储在安全的地方。
- 从右上角的菜单中选择“我的设置”。
- 如果您之前没有生成过备份代码,请在恢复方法下的备份代码中选择生成新的备份代码。如果您之前生成了备用代码,请选择“替换备用代码”。
- 当系统提示您替换备用代码时,选择“是,替换我的密码”。
- 通过输入身份验证器应用程序中的验证码或发送到您的电子邮件地址的验证码来验证您的身份。
- 选择验证并继续。Citrix Cloud 生成并显示一组新的备份代码。
- 选择 下载代码 将新代码下载为文本文件。然后,选择“我已存储我的备用代码”。
- 选择“我已存储我的备用代码”以完成替换您的备用代码。
更改您的辅助电话号码
- 从右上角的菜单中选择“我的设置”。
- 在“恢复方法”下的“恢复电话”中,选择“更改辅助电话”。
- 输入身份验证器应用程序中的验证码或发送到您的电子邮件地址的验证码。选择验证并继续。
- 输入您要使用的新电话号码。然后,重新输入电话号码进行确认。
- 选择“保存备用电话号码”。
注意:
只有在 Citrix Endpoint Management (CEM) 管理员接受管理员邀请并单击 CEM 磁贴上的 管理 后,才能修改管理员的权限。与所有 Citrix Cloud 管理员一样,默认情况下,CEM 管理员具有完全访问权限。