Zugriffssteuerung für SaaS- und Webanwendungen in StoreFront – Vorschau

Mit dem Hilfsprogramm Access Control Sync for StoreFront können Administratoren die Vorteile der erweiterten Sicherheits- und Webfilterrichtlinien der Zugriffssteuerung nutzen, um den sicheren Zugriff auf SaaS- und Webanwendungen über On-Premises-StoreFront zu ermöglichen. Wenn die Benutzer solche Anwendungen starten, werden die Richtlinien der Zugriffssteuerung automatisch angewendet und schützen die Benutzer und das Netzwerk vor Malware und Datenlecks.

Zielsetzung

Administratoren verwenden das Hilfsprogramm, um SaaS- und Enterprise-Webanwendungen im On-Premises-StoreFront bereitzustellen. Das Hilfsprogramm muss auf einem Delivery Controller in der Citrix Virtual Apps and Desktops-Umgebung in eigenen Rechenzentrum installiert werden. Mit dem Hilfsprogramm können Administratoren die folgenden Aufgaben ausführen:

  • Anzeigen von SaaS- und Webanwendungen im lokalen StoreFront.
  • Bereitstellen des Zugriffs auf SaaS- und Webanwendungen per Single Sign-On und Aktivieren von Webfilterrichtlinien sowie erweiterter Sicherheitsrichtlinien über das On-Premises-StoreFront mithilfe von Workspace.
  • Anzeigen von Kennzahlen der Zugriffssteuerung auf der Analyse-Registerkarte in der Zugriffssteuerung und in Citrix Analytics.

Voraussetzungen

  • Citrix Cloud mit folgenden Diensten und Komponenten:
    • Zugriffssteuerung, Citrix Gateway, Secure Browser und Citrix Analytics. Informationen zum Registrieren für die Testversion der Zugriffssteuerung finden Sie unter Erste Schritte.
    • Gateway Connector, sofern Webanwendungen synchronisiert werden. Weitere Informationen finden Sie unter Citrix Gateway Connector.
  • On-Premises-Bereitstellung von Citrix XenApp und XenDesktop (7.14 oder höher) oder Citrix Virtual Apps and Desktops 7 (1808 oder höher).
  • Microsoft .NET Framework 4.7.2 oder höher auf dem Delivery Controller installiert. Diese Version steht auf https://dotnet.microsoft.com/download/dotnet-framework/net472. zum Download zur Verfügung.

Kontoberechtigungen

Das zum Ausführen des Hilfsprogramms verwendete Konto muss mindestens Bereitstellungsgruppen-Administrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Veröffentlichen von Anwendungen in der Virtual Apps and Desktops-Site sein.

Veröffentlichte Anwendungen

Vor Verwendung des Hilfsprogramms müssen die SaaS-Anwendungen mit dem Citrix Gateway-Dienst konfiguriert und veröffentlicht werden. Anweisungen finden Sie unter Support for Software as a Service apps.

Endbenutzerkonto

Sie benötigen ein Endbenutzerkonto, das die SaaS- oder Webanwendungen in der Citrix Cloud-Bibliothek, die Sie mit Ihrem On-Premises-StoreFront synchronisieren möchten, abonniert hat. Beim Konfigurieren des Hilfsprogramms geben Sie den Benutzernamen und das Kennwort dieses Kontos ein. Nach dem Ausführen des Hilfsprogramms werden die Anwendungen in Ihrem On-Premises-Store angezeigt.

Konfiguration der Gateway-Endpunkt-URL

Um sicherzustellen, dass Zugriffssteuerungsrichtlinien auf Anwendungen angewendet werden, konfigurieren Sie in der Datei web.config auf dem StoreFront-Server die Endpunkt-URL des Gateway-Diensts, über die die Workspace-App Richtlinien abruft. Die Endpunkt-URL besteht aus dem Gateway-FQDN gefolgt von /ngs/policy/getcfg.json. Beispiel: https://config.netscalergateway.net/ngs/policy/getcfg.json.

Hinweis:

Wenn Ihr Citrix Cloud-Konto nicht zur Verwendung der Zugriffssteuerung berechtigt oder Sie für synchronisierte Anwendungen nur Single Sign-On verwenden möchten, müssen Sie diese Endpunkt-URL nicht konfigurieren.

  1. Melden Sie sich in Ihrer On-Premises-Bereitstellung beim StoreFront-Server an.
  2. Navigieren Sie zur Datei web.config unter C:\inetpub\wwwroot\Citrix\store.
  3. Öffnen Sie die Datei web.config und suchen Sie den Abschnitt <externalEndpoints>.
  4. Fügen Sie einen neuen Endpunkt unter dem Namen WebSaaSPolicy mit der Gateway Service-URL hinzu, über die die Workspace-App die Gateway-Sicherheitsrichtlinien abruft. Beispiel:

    <externalEndpoints>
    <clear />
    <endpoint id="WebUI" url="https://sf.aaa.local/Citrix/storeWeb/receiver.html">
       <add capability="WebUI" />
       </endpoint>
       <endpoint id="WebUIAuthentication" url="https://sf.aaa.local/Citrix/storeWeb/CitrixAuth/Login">
       <add capability="WebUIAuthentication" />
        </endpoint>
        <endpoint id="WebSaaSPolicy"
    url="https://config.netscalergateway.net/ngs/policy/getcfg.json">
          <add capability="WebSaaS policy" />
        </endpoint>
    </externalEndpoints>
    
  5. Speichern Sie die Datei web.config.
  6. Starten Sie den IIS-Server neu. Geben Sie an der Befehlszeile iisreset /noforce ein.

Synchronisieren von Anwendungen

Gehen Sie wie folgt vor, um das Hilfsprogramm Access Control Sync for StoreFront zu installieren und auszuführen. Sie können nur Anwendungen synchronisieren, die Ihr Endbenutzerkonto in der Citrix Cloud-Bibliothek abonniert hat.

  1. Melden Sie sich beim Delivery Controller an und laden Sie das Hilfsprogrammpaket von citrix.com herunter. Navigieren Sie hierfür zu Downloads > Citrix Virtual Apps and Desktops > Betas and Tech Previews und laden Sie Access control for SaaS and Web apps in StoreFront-Preview herunter.
  2. Akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Install.
  3. Klicken Sie im Sicherheitsdialogfeld auf Ja. Benutzerkontensteuerung
  4. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.
  5. Öffnen Sie die Anwendung AccessControlSyncforStoreFront.msi.
  6. Konfigurieren Sie die folgenden Einstellungen:
    • Citrix Workspace URL: Geben Sie die URL ein, die Sie für den Zugriff auf Citrix Workspace verwenden. Um diese URL zu erhalten, wählen Sie im Citrix Cloud-Menü die Option Workspacekonfiguration.
    • itrix Workspace Username and Citrix Workspace Password: Geben Sie die Anmeldeinformationen des Endbenutzerkontos ein, das die SaaS-Anwendungen, die synchronisiert werden sollen, abonniert hat.
    • Citrix Workspace AD Domain: Geben Sie den Namen der Active Directory-Domäne ein. Um den Domänennamen zu erhalten, wählen Sie im Citrix Cloud-Menü Identitäts- und Zugriffsverwaltung und dann Domänen aus.
    • Local Storefront App Prefix (optional) Geben Sie ein Präfix für die SaaS-Anwendungen ein, die in StoreFront angezeigt werden sollen. Wenn der SaaS-Anwendungsname beispielsweise “test” lautet und Sie hier “demo” eingeben, synchronisiert das Dienstprogramm die Anwendung als “demo-test”.
    • Local Delivery Group: Geben Sie den Namen der Bereitstellungsgruppe mit den Benutzern und Benutzergruppen ein, die SaaS-Anwendungen verwenden können.
  7. Klicken Sie auf Synchronize SaaS Apps. Wenn Sie auf der Maschine vorhandene Anwendungen integrieren, löscht das Hilfsprogramm diese und installiert Anwendungen mit den Zugriffssteuerungsrichtlinien.

Sie können den Synchronisierungsprozess im Bereich Status des Formulars verfolgen. Kennzahlen zur Zugriffssteuerung und Anwendungsnutzung finden Sie auf der Registerkarte Analytics in der Zugriffssteuerung und in Citrix Analytics.

Zugriffssteuerung für SaaS- und Webanwendungen in StoreFront – Vorschau