Verlängern der Lebensdauer von Legacywebanwendungen mit Citrix Secure Browser
In der Welt der Web-Anwendungen und Frameworks muss Vielfalt angenommen werden. Verschiedene Arten von Benutzern, Gruppen und Unternehmen benötigen Zugriff auf die richtigen Tools, Anwendungen und Berechtigungen, um eine Verbindung mit webfähigen Geschäftsanwendungen herzustellen. In den meisten Fällen gibt es Compliance-Faktoren, die den Zugriff auf diese Anwendungen vorschreiben. Unternehmen, die ältere Subsysteme mit älteren Browser-Frameworks unterstützen müssen, stehen vor einer schwierigen Aufgabe, einen angemessenen Zugriff bereitzustellen und Compliance-Anforderungen für geschäftskritische Apps zu erfüllen. Im folgenden Dokument wird beschrieben, wie Sie Citrix Secure Browser verwenden, um den Zugriff und die Lebensdauer Ihrer älteren Webanwendungen und Browser zu verlängern, während Sie eine Update- und Migrationsstrategie erstellen.
Die Lösung erfordert die Veröffentlichung eines kompatiblen Browsers, der den Zugriff für externe oder interne Benutzer ermöglicht, unabhängig davon, wie der Benutzer eine Verbindung mit der internen Site herstellt. Diese Lösung verwendet XenDesktop Server OS VDA, StoreFront, NetScaler Gateway und XenApp Secure Browser. Benutzer leiten konforme Browser oder Endpunkte um, um einen nativen Browser zu verwenden, wenn er alle vom IT-Administrator festgelegten Anforderungen erfüllt. Wenn die Richtlinie einen nicht kompatiblen Browser oder einen nicht kompatiblen Endpunkt erkennt, leitet der Benutzer an eine im Container enthaltete, veröffentlichte Browsersitzung weiter. Benutzer müssen nur eine URL pro Ressource kennen (wodurch die Schulungs- und Supportkosten reduziert werden), unabhängig davon, wie sie sich mit der Umgebung verbinden.
Architektur
Im folgenden Abschnitt wird erläutert, wie Benutzer auf die interne Site zugreifen, unabhängig davon, ob der Benutzer eine Verbindung über ein internes oder externes Netzwerk herstellt. In diesem Szenario ist ein Browsertyp (Internet Explorer) der kompatible Browser und ein anderer (Google Chrome) als nicht kompatibel. Es liegt an jedem Unternehmen, zu bestimmen, wie und welche Browser der Compliance-Richtlinie zugeordnet werden.
Für diese Lösung gehen wir davon aus, dass NetScaler Gateway für den externen Zugriff auf veröffentlichte Anwendungen konfiguriert ist. Dies wird in Abbildung 1 als Gateway vServer 1 dargestellt. Der zweite virtuelle Server (Gateway vServer 2) leitet Benutzer um, die HTML5-Receiver-Sitzung für Secure Browser zu starten.
Anwendungsfall
Es besteht die Notwendigkeit, Legacy-Webanwendungen zu verwalten, die von aktuellen Browsern nicht mehr unterstützt werden. In diesem Fall muss die IT weiterhin eine Website verwalten, die für Internet Explorer 8 entwickelt wurde und der Anbieter keine Verbesserungen mehr zur Unterstützung neuer oder anderer Browser veröffentlicht. Um dieses Problem zu beheben, veröffentlicht der IT-Administrator einen Secure Browser, um Benutzern, die die Browseranforderungen erfüllen, den Zugriff auf die Website zu ermöglichen. Im folgenden Diagramm wird jede Verbindung im Workflow für interne und externe Benutzer erläutert.
Konnektivitäts-Workflow
- Jeder Benutzer gibt die Website-URL ein, die von einem externen DNS-Server aufgelöst wird, in unserem Beispiel
https://train.qckr.net - Der Browser stellt eine Verbindung mit dem NetScaler Gateway Load Balancer her und bestimmt die Compliance-Anforderungen.
- Wenn der Browser nicht kompatibel ist, leiten sowohl interne als auch externe Benutzer zum virtuellen NetScaler Gateway-Server um. Wenn der Browser kompatibel ist, leitet NetScaler Gateway die Verbindung mit der internen Site über den Load Balancer für externe Benutzer weiter und leitet den lokalen Browser für interne Benutzer an die Site weiter.
- Der virtuelle Server startet automatisch eine von StoreFront aufgezählte Sitzung.
- StoreFront kontaktiert den XenDesktop Controller, um Sitzungsinformationen und Routing zu erhalten.
- Die Sitzung wird über die Desktopgruppe “Abgesicherter Browser” initiiert. In diesem Fall handelt es sich um einen VDA des Serverbetriebssystems mit einem veröffentlichten kompatiblen Browser.
- Die Sitzung stellt eine Verbindung über den ICA-Proxy auf der NetScaler Gateway-Appliance her.
- Citrix Receiver für HTML5 richtet die Sitzung des Benutzers im nativen Browser ein.
- Die interne Site wird über die Secure Browser-Sitzung mit Citrix Receiver für HTML5 angezeigt.
Einrichtung und Konfiguration
In diesem Abschnitt wird gezeigt, wie die Lösung für aktuelle XenDesktop-Umgebungen mit NetScaler Gateway-Remotekonnektivität implementiert wird.
Lösungsanforderungen
Das Setup erfordert die Installation und Konfiguration der folgenden Komponenten:
- XenDesktop Desktop Controller-Server
- Citrix StoreFront-Server mit einem für externen Zugriff konfigurierten Store
- NetScaler Gateway mit einem virtuellen XenDesktop-Server
- Server-Betriebssystem-VDA mit der Verwendung des installierten Browsers als Secure Browser
- Externe DNS-Adresse, die auf einen neuen NetScaler Load Balancer verweist
- Externe DNS-Adresse, die auf einen neuen virtuellen NetScaler Gateway-Server verweist
Konfiguration
XenDesktop-Desktop-Controller
Fügen Sie den VDA des Serverbetriebssystems zu einem neuen Maschinenkatalog namens Secure Browser Cataloghinzu.
Erstellen Sie eine Bereitstellungsgruppe für den sicheren Browserkatalog , und veröffentlichen Sie Internet Explorer. Geben Sie in den Befehlszeilenparametern -k ein <URL of Internal Site>.** Der Parameter -k besteht darin, Internet Explorer im Kioskmodus zu öffnen. In diesem Beispiel veröffentlichen wir Internet Explorer 8 und verwenden eine interne Website für die URL.
Sie können die Bereitstellungsgruppe bestimmten Benutzern und Gruppen zuweisen. Sie müssen keinen Desktop-Zugriff hinzufügen, wenn er für den Anwendungsfall nicht benötigt wird.
Installieren Sie auf dem VDA des Serverbetriebssystems ein Server- oder Clientauthentifizierungszertifikat, das SSL für die Controller- und VDA-Kommunikation aktiviert.
Montieren Sie XenDesktop 7.6 oder höher Installationsmedien. Öffnen Sie ein PowerShell-Befehlsfenster und führen Sie dann Folgendes aus: %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable
Starten Sie die VDA-Instanz des Serverbetriebssystems neu.
Öffnen Sie auf XenDesktop Controller ein PowerShell-Befehlsfenster, und führen Sie den Befehl ASNP Citrix * aus.
Führen Sie die folgenden drei Befehle aus, um die sichere Kommunikation zwischen Broker und VDA zu aktivieren:
Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->
StoreFront
Erstellen Sie einen neuen Store namens SecureBrowser und wählen Sie Nur nicht authentifizierte Benutzer Zugriff auf diesen Store zulassen aus. Datenverkehr wird authentifiziert, da alle Benutzer ein Token von NetScaler Gateway an den Controller übergeben.
Fügen Sie den XenDesktop Controller hinzu.
Aktivieren Sie den RAS , und fügen Sie ein zweites NetScaler Gateway hinzu, das Sie in den folgenden Schritten konfigurieren möchten. Für diese Konfiguration müssen Sie die Callback - oder VIP-Adresse in der StoreFront/NetScaler Gateway-Konfiguration nicht verwenden.
Schließen Sie das Erstellen des Speichers mithilfe der Standardeinstellungen des Assistenten ab.
Klicken Sie nach dem Erstellen des Stores auf Receiver für Websites verwalten.
Klicken Sie auf der Seite Receiver für Websites verwalten auf Konfigurieren , wechseln Sie zu Website-Verknüpfungen , fügen Sie die interne Website-URL hinzu und klicken Sie auf Verknüpfungen abrufen .
Melden Sie sich als normaler Benutzer mit Zugriff auf die veröffentlichte Secure Browser- Anwendung an.
Kopieren Sie die URL für die Secure Browser-App, und speichern Sie sie in einer Textdatei, um sie später in der NetScaler Gateway-Konfiguration zu verwenden.
Kehren Sie zu Eigenschaften von Receiver für Web-Site bearbeiten zurück, klicken Sie auf Citrix Receiver bereitstellen, und wählen Sie Receiver für HTML5 immer verwenden aus. Wählen Sie die Option Anwendungen auf derselben Registerkarte wie Receiver für Web startenaus.
Klicken Sie auf Workspace Control, wählen Sie unter Abmelden die Option Beenden aus. Deaktivieren Sie die Option Workspace Control aktivieren.
Klicken Sie auf Client-Schnittstelleneinstellungen, deaktivieren Sie die Option Desktop automatisch starten, und klicken Sie auf OK, um die Einstellungen zu speichern.
Öffnen Sie in einem Texteditor die Datei C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.
Suchen Sie die Einstellung <appShortcuts promptForUntrustedShortcuts=”true”>, setzen Sie sie auf false und speichern Sie die Änderungen. Durch Deaktivieren dieser Einstellung wird verhindert, dass StoreFront Benutzer fragt, ob sie die Anwendung starten möchten.
NetScaler Gateway
Klicken Sie in der NetScaler Gateway-GUI im Navigationsbereich auf XenApp und XenDesktop, und klicken Sie dann im Dashboard auf Neues Gateway erstellen.
Legen Sie in den StoreFront-Eigenschaften den Sitepfad auf /Citrix/SecureBrowserWeb fest, und legen Sie den Storenamen auf SecureBrowser fest, als neuen Store auf dem StoreFront-Server.
Fahren Sie mit dem Assistenten fort und speichern Sie den neuen virtuellen Server.
Erweitern Sie auf dem Knoten NetScaler Gateway die Option Richtlinien und wechseln Sie zu Sitzung.
Wählen Sie die Registerkarte Aktionen , bearbeiten Sie die neu erstellte Aktion für den zweiten virtuellen Server, und bearbeiten Sie dann die Aktion AC_WB_ policy.
Fügen Sie auf der Registerkarte Veröffentlichte Anwendungen die URL für App-Verknüpfungen ein, die Sie zuvor im Feld Webinterface-Adresse gespeichert haben, und klicken Sie dann auf OK.
Klicken Sie im Navigationsbereich auf den Knoten AppExpert , erweitern Sie den Abschnitt Responder , und klicken Sie dann auf Aktionen .
Fügen Sie eine neue Aktionhinzu, benennen Sie sie Interne Verbindungen, und legen Sie den Typ auf Umleitenfest.
Fügen Sie im Feld Ausdruck die URL der internen Website hinzu, die in Anführungszeichen verbunden werden soll, z. B.https://mysite.acme.com
Klicken Sie auf Erstellen, um die Aktion zu speichern.
Fügen Sie eine neue Aktion hinzu, benennen Sie sie Externe Verbindungen, und legen Sie den Typ auf Umleitenfest.
Fügen Sie im Feld Ausdruck die URL des zweiten virtuellen NetScaler Gateway-Servers hinzu, der von Anführungszeichen umgeben ist, z. B.https://gateway.acme.com
Klicken Sie auf Erstellen, um die Aktion zu speichern.
Wechseln Sie zum Knoten Responderrichtlinien .
Fügen Sie eine neue Richtlinie hinzu, nennen Sie sie Browser-Konformität erkennen. Wählen Sie im Dropdown-Menü Aktiondie Aktion Externe Verbindungenaus, die Sie zuvor erstellt haben.
Setzen Sie Undefined-Result-Aktion auf NOOP.
Fügen Sie im Feld Ausdruck den folgenden Text hinzu:
| HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”) | HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”) |
Die obigen Ausdrücke erkennen Browser, die nicht kompatibel sind, oder in diesem Anwendungsfall nicht Internet Explorer.
Klicken Sie auf Erstellen , um die Änderungen zu speichern.
Fügen Sie eine neue Richtlinie hinzu, benennen Sie sie Clientquelle erkennen, legen Sie die Aktionauf Interne Verbindungenfest, die zuvor erstellt wurde.
Setzen Sie Undefined-Result-Aktion auf NOOP.
Fügen Sie im Feld Ausdruck den folgenden Text hinzu:
| (CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23) |
Ersetzen oder fügen Sie jedes Subnetz hinzu, um es Ihrer internen Netzwerkumgebung anzupassen. Der Benutzer-Agent stimmt in diesem Fall mit der konfigurierten Version von Internet Explorer überein und der Client über das interne Netzwerk eine Verbindung herstellt.
Klicken Sie auf Erstellen , um die Änderungen zu speichern.
Erweitern Sie im Navigationsbereich Datenverkehrsverwaltung > Lastenausgleich, und wählen Sie dann Serveraus. Fügen Sie den Server hinzu, der für das Hosten der internen Site verwendet wird.
Klicken Sie im Navigationsbereich unter Lastenausgleich auf Dienstgruppen, fügen Sie eine neue Dienstgruppe hinzu, legen Sie das Protokoll auf SSL fest, und binden Sie den im vorherigen Schritt erstellten Server an die Liste Dienstgruppenmitglieder .
Klicken Sie auf Fertig.
Klicken Sie im Navigationsbereich im Knoten Lastenausgleich auf Virtuelle Server, klicken Sie auf Hinzufügen und benennen Sie die Server-Intranet-Site.
Legen Sie das Protokoll auf SSL fest, und geben Sie die IP-Adresse des Load Balancers ein.
Binden Sie den internen Webserver der Dienstgruppe , der im vorherigen Schritt erstellt wurde, und konfigurieren Sie Zertifikate für den externen Zugriff. Binden Sie das interne Stammzertifizierungsstellenzertifikat an Zertifizierungsstellenzertifikate, damit der Load Balancer SSL auf den internen Webserver auslagern kann.
Klicken Sie im Detailbereich unter Erweiterte Einstellungenauf + Richtlinien. Klicken Sie auf das Pluszeichen (+), um eine neue Richtlinie zu binden.
Wählen Sie Responder für Richtlinie auswählen aus , und klicken Sie auf Weiter . Wählen Sie Clientquelle erkennen aus, und legen Sie die Priorität auf 100 fest.
Klicken Sie auf Bind.
Klicken Sie auf den Abschnitt Responderichtlinie, klicken Sie auf Bindung hinzufügen , wählen Sie Browser-Compliance erkennen und legen Sie die Priorität auf 110 fest. Klicken Sie auf Bind.
Klicken Sie auf Schließen und dann auf Fertig .
Speichern Sie die NetScaler Gateway-Konfiguration.
Use Case-Ergebnisse und Erwartungen
In diesem Abschnitt werden die Anwendungsfälle und die erwarteten Ergebnisse der Verbindung zwischen den einzelnen Benutzern und der vorhergehenden Konfiguration erläutert. In allen folgenden Anwendungsfällen öffnet der Benutzer einen lokal installierten Browser und gibt die externe URL der Trainingswebsite ein.
Externer Benutzer mit nicht kompatiblen Browser
Erwartetes Ergebnis: Benutzer startet die Citrix Receiver-Sitzung in einer Browserregisterkarte, die die Site mit dem veröffentlichten Secure Browser rendert.
Externer Benutzer mit kompatiblem Browser
Erwartetes Ergebnis: NetScaler Gateway leitet den Datenverkehr zwischen dem lokalen Browser und der internen Website weiter.
Interner Benutzer mit nicht kompatiblen Browser
Erwartetes Ergebnis: Benutzer startet die Citrix Receiver-Sitzung in einer Browserregisterkarte, die die Site mit dem veröffentlichten Secure Browser rendert.
Interner Benutzer mit kompatiblem Browser
Erwartetes Ergebnis: Die Benutzersitzung leitet an die interne Site weiter. NetScaler Gateway führt keine Proxy für die Verbindung durch, da der Client eine Verbindung vom internen Netzwerk herstellt.
Bekannte Einschränkungen
- Die dynamische URL-Übergabe an den virtuellen NetScaler Gateway-Server unterstützt die Verwendung von Citrix Receiver für HTML5 für Secure Browser nicht.
- Um eine Start-URL an den virtuellen Server zu übergeben, deaktivieren Sie ICA-Proxy im Sitzungsprofil. ICA Proxy ist eine Voraussetzung für Citrix Receiver für HTML5.
- Citrix Receiver für HTML5 unterstützt keine Inhaltsumleitung.
- Administratoren können Citrix Receiver in StoreFront für Websites konfigurieren.
- Umgebungen, die über mehrere separate Sites verfügen, erstellen unterschiedliche NetScaler Gateway-Sitzungsrichtlinien für jede Site und binden sie an den virtuellen Server oder erstellen ein internes Startportal, das URLs für die internen Sites hosten kann.