Zugriffssteuerung für SaaS- und Webanwendungen in StoreFront – Vorschau

Mit dem Hilfsprogramm Access Control Sync for StoreFront können Administratoren die Vorteile der erweiterten Sicherheits- und Webfilterrichtlinien der Zugriffssteuerung nutzen, um den sicheren Zugriff auf SaaS- und Webanwendungen über On-Premises-StoreFront zu ermöglichen. Wenn die Benutzer solche Anwendungen starten, werden die Richtlinien der Zugriffssteuerung automatisch angewendet und schützen die Benutzer und das Netzwerk vor Malware und Datenlecks.

Zielsetzung

Administratoren verwenden das Hilfsprogramm, um SaaS- und Enterprise-Webanwendungen im On-Premises-StoreFront bereitzustellen. Das Hilfsprogramm muss auf einem Delivery Controller in der Citrix Virtual Apps and Desktops-Umgebung in eigenen Rechenzentrum installiert werden. Mit dem Hilfsprogramm können Administratoren die folgenden Aufgaben ausführen:

  • Anzeigen von SaaS- und Webanwendungen im lokalen StoreFront.
  • Bereitstellen des Zugriffs auf SaaS- und Web-Apps per Single Sign-On und Aktivieren von Webfilterrichtlinien sowie erweiterter Sicherheitsrichtlinien über das On-Premises-StoreFront mit der Citrix Workspace-App.
  • Anzeigen von Kennzahlen der Zugriffssteuerung auf der Analyse-Registerkarte in der Zugriffssteuerung und in Citrix Analytics.

Voraussetzungen

  • Citrix Cloud:
    • Zugriffssteuerung, Citrix Gateway, Secure Browser und Citrix Analytics. Informationen zum Registrieren für die Testversion der Zugriffssteuerung finden Sie unter Erste Schritte.
    • Gateway Connector, sofern Webanwendungen synchronisiert werden. Weitere Informationen finden Sie unter Citrix Gateway Connector.
    • Vor Verwendung des Hilfsprogramms müssen die SaaS-Anwendungen mit dem Citrix Gateway-Dienst konfiguriert und veröffentlicht werden. Anweisungen finden Sie unter Support for Software as a Service apps.
    • Sie benötigen ein Endbenutzerkonto, das die SaaS- oder Webanwendungen in der Citrix Cloud-Bibliothek, die Sie mit Ihrem On-Premises-StoreFront synchronisieren möchten, abonniert hat. Beim Konfigurieren des Hilfsprogramms geben Sie den Benutzernamen und das Kennwort dieses Kontos ein. Nach dem Ausführen des Hilfsprogramms werden die Anwendungen in Ihrem On-Premises-Store angezeigt.
  • Citrix XenApp und XenDesktop oder Virtual Apps and Desktops:
    • On-Premises-Bereitstellung von Citrix XenApp und XenDesktop (7.14 oder höher) oder Citrix Virtual Apps and Desktops 7 (1808 oder höher).
    • Auf dem Delivery Controller muss Microsoft .NET Framework 4.7.2 oder höher installiert sein. Diese Version steht auf https://dotnet.microsoft.com/download/dotnet-framework/net472 zum Download bereit.
    • Das zum Ausführen des Hilfsprogramms verwendete Konto muss mindestens Bereitstellungsgruppen-Administrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Veröffentlichen von Anwendungen in der Virtual Apps and Desktops-Site sein.

Einschränkungen

Der Zugriff auf die synchronisierten SaaS- und Web-Apps ist nur über die Citrix Workspace-App möglich. Eine Zugriffssteuerung für SaaS- und Web-Apps im on-premises StoreFront über Workspace für Web wird nicht unterstützt.

Konfigurieren der Gateway-Endpunkt-URL

Um sicherzustellen, dass Zugriffssteuerungsrichtlinien auf Anwendungen angewendet werden, konfigurieren Sie in der Datei web.config auf dem StoreFront-Server die Endpunkt-URL des Gateway-Diensts, über die die Workspace-App Richtlinien abruft: https://config.netscalergateway.net/ngs/policy/getcfg.json. Die Endpunkt-URL besteht aus dem Gateway-FQDN gefolgt von /ngs/policy/getcfg.json.

Hinweis:

Wenn Ihr Citrix Cloud-Konto nicht zur Verwendung der Zugriffssteuerung berechtigt oder Sie für synchronisierte Anwendungen nur Single Sign-On verwenden möchten, müssen Sie diese Endpunkt-URL nicht konfigurieren.

  1. Melden Sie sich in Ihrer On-Premises-Bereitstellung beim StoreFront-Server an.
  2. Navigieren Sie zur Datei web.config unter C:\inetpub\wwwroot\Citrix\store.
  3. Öffnen Sie die Datei web.config und suchen Sie den Abschnitt <externalEndpoints>.
  4. Fügen Sie einen neuen Endpunkt unter dem Namen WebSaaSPolicy mit der Gateway Service-URL hinzu, über die die Workspace-App die Gateway-Sicherheitsrichtlinien abruft. Zum Beispiel:

    <externalEndpoints>
    <clear />
    <endpoint id="WebUI" url="https://sf.aaa.local/Citrix/storeWeb/receiver.html">
       <add capability="WebUI" />
       </endpoint>
       <endpoint id="WebUIAuthentication" url="https://sf.aaa.local/Citrix/storeWeb/CitrixAuth/Login">
       <add capability="WebUIAuthentication" />
        </endpoint>
        <endpoint id="WebSaaSPolicy"
    url="https://config.netscalergateway.net/ngs/policy/getcfg.json">
          <add capability="WebSaaS policy" />
        </endpoint>
    </externalEndpoints>
    
  5. Speichern Sie die Datei web.config.
  6. Starten Sie den IIS-Server neu. Geben Sie an der Befehlszeile iisreset /noforce ein.

Synchronisieren von SaaS- und Webanwendungen

Gehen Sie wie folgt vor, um das Hilfsprogramm Access Control Sync for StoreFront zu installieren und auszuführen. Sie können nur Anwendungen synchronisieren, die Ihr Endbenutzerkonto in der Citrix Cloud-Bibliothek abonniert hat.

Schritt 1. Download und Installation des Hilfsprogramms Access Control Sync for StoreFront.

  1. Melden Sie sich beim Delivery Controller an und laden Sie das Hilfsprogrammpaket von citrix.com herunter. Navigieren Sie hierfür zu Downloads > Citrix Virtual Apps and Desktops > Betas and Tech Previews und laden Sie Access control for SaaS and Web apps in StoreFront-Preview herunter.
  2. Akzeptieren Sie die Lizenzvereinbarung und klicken Sie auf Install.
  3. Klicken Sie im Sicherheitsdialogfeld auf Ja. Benutzerkontensteuerung
  4. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.

Schritt 2. Synchronisieren von Anwendungen mit dem Tool AccessControlSyncforStoreFront.

  1. Starten Sie auf der Delivery Controller-Maschine die Anwendung Citrix Access Control Sync for StoreFront.
  2. Konfigurieren Sie die folgenden Einstellungen:
    • Citrix Workspace URL: Geben Sie die URL ein, die Sie für den Zugriff auf Citrix Workspace verwenden. Um diese URL zu erhalten, wählen Sie im Citrix Cloud-Menü die Option Workspacekonfiguration.
    • itrix Workspace Username and Citrix Workspace Password: Geben Sie die Anmeldeinformationen des Endbenutzerkontos ein, das die SaaS-Anwendungen, die synchronisiert werden sollen, abonniert hat.
    • Citrix Workspace AD Domain: Geben Sie den Namen der Active Directory-Domäne ein. Um den Domänennamen zu erhalten, wählen Sie im Citrix Cloud-Menü Identitäts- und Zugriffsverwaltung und dann Domänen aus.
    • Local Storefront App Prefix (optional) Geben Sie ein Präfix für die SaaS-Anwendungen ein, die in StoreFront angezeigt werden sollen. Wenn der SaaS-Anwendungsname beispielsweise “test” lautet und Sie hier “demo” eingeben, synchronisiert das Dienstprogramm die Anwendung als “demo-test”.
    • Local Delivery Group: Geben Sie den Namen der Bereitstellungsgruppe mit den Benutzern und Benutzergruppen ein, die SaaS-Anwendungen verwenden können.
  3. Klicken Sie auf Synchronize SaaS Apps. Wenn Sie auf der Maschine vorhandene Anwendungen integrieren, löscht das Hilfsprogramm diese und installiert Anwendungen mit den Zugriffssteuerungsrichtlinien.

    Importinformationen

    Sie können die Synchronisierung im Bereich Status des Formulars überwachen.

    Zugriffssteuerungsstatus

    Kennzahlen zur Zugriffssteuerung und Anwendungsnutzung finden Sie auf der Registerkarte Analytics in der Zugriffssteuerung und in Citrix Analytics.

Zugriffssteuerung für SaaS- und Webanwendungen in StoreFront – Vorschau