路由表以解决由相同相关域导致的冲突
Citrix Secure Private Access 服务的应用程序域功能使客户能够做出路由决策,允许通过连接器设备在外部或内部路由应用程序的相关域。
假设客户在 SaaS 应用程序和内部 Web 应用程序中配置了相同的相关域。 例如,如果 Okta 是 Salesforce(SaaS 应用程序)和 Jira(内部 Web 应用程序)的 SAML IdP,则管理员可以配置 *.okta.com
作为两个应用程序配置中的相关域。 这会导致冲突,并且最终用户会遇到不一致的行为。 在这种情况下,管理员可以根据要求定义规则,通过 Connector Appliances 在外部或内部路由这些应用程序。
路由表的工作原理
管理员可以根据他们希望如何定义流量为应用程序定义以下路由类型。
- Internal – Bypass Proxy - 域流量通过 Citrix Cloud Connector 路由,绕过在 Connector 设备上配置的客户 Web 代理。
- 内部过孔连接器 - 应用程序是外部的,但流量必须通过 Connector 设备流向外部网络。
- 外部 – 流量直接流向 Internet。
注意:
- 路由条目不会影响在应用程序上配置的安全策略。
- 如果管理员不打算使用路由表中的某个条目,或者相应的应用程序没有按预期工作,管理员可以简单地禁用该条目,而不是删除它。
- 特定客户的所有连接器设备,无论应用程序类型如何,都会获得 SSO 设置。 以前,特定应用程序的 SSO 设置与资源位置相关联。
主路由表
Secure Private Access 控制台中的主路由表 (设置 > 应用程序域) 是一个仅供查看的控制面板,它为您提供有关所有应用程序中已配置域的所有详细信息。 这可用于查看任何域的以下信息:
主路由表可用于查看任何域的以下信息:
- FQDN/IP: FQDN 或需要为其配置流量路由类型的 IP 地址。
- 类型:应用程序类型。 内部, Internal – Bypass Proxy或 外部 在添加应用程序时选择。
重要提示:
如果存在冲突,则会为表中的相应行显示一个警报图标。 要解决冲突,管理员必须单击三角形图标并从主表中更改应用程序类型。
-
资源位置: 类型为 内部. 如果未分配资源位置,则 资源位置 列。 将鼠标悬停在图标上时,将显示以下消息。
缺少资源位置。 确保资源位置与此 FQDN 相关联。
- 地位: 的 地位 列可用于禁用路由条目的路由,而不删除应用程序。 当切换开关 OFF 时,路由条目不生效。 此外,如果存在完全匹配的 FQDN,管理员可以选择要启用或禁用的路由。
- 评论: 显示注释(如果有)。
- 行动: 编辑图标用于添加资源位置或更改路由条目的类型。 删除图标用于删除路由。
迷你路由表
Application Domains 表的迷你版本可用于在应用程序配置期间做出路由决策。 在 应用程序连接 Citrix Secure Private Access 服务用户界面中的部分。
将路由添加到微型路由表
在 Citrix Secure Private Access 服务中添加应用程序的步骤与主题中描述的步骤相同 支持软件即服务应用程序 和 支持企业 Web 应用程序 除了以下两个变化:
- 完成以下步骤:
- 选择模板。
- 输入应用程序详细信息。
- 选择 Enhanced security details (增强的安全详细信息)(如果适用)。
- 选择单点登录方法(如果适用)。
-
点击 应用程序连接. - Application Domains 表的迷你版本可用于在应用程序配置期间做出路由决策。
- 域: Domains 列显示特定应用程序的一行或多行。 第一行显示管理员在添加应用程序详细信息时输入的实际应用程序 URL。 其他行是在添加应用程序详细信息时输入的所有相关域。 如果应用程序 URL 和相关域相同,则它们将显示在一行中。
如果选择了 SAML SSO,则一行显示 SAML 断言 URL。
-
类型: 选择以下选项之一。
- Internal – Bypass Proxy - 域流量通过 Citrix Cloud Connector 路由,绕过在 Connector 设备上配置的客户 Web 代理。
- 内部过孔连接器 - 应用程序是外部的,但流量必须通过 Connector 设备流向外部网络。
- 外部 – 流量直接流向 Internet。
- 资源位置: 当您为应用程序选择 Internal 类型时自动填充。 如果需要其他资源位置,请更改它。
- 连接器设备状态: Autopopulated 以及资源位置,当您为应用程序选择 Internal 类型时。