Citrix Gateway

Konfigurieren Sie den clientlosen VPN-Zugriff mit Citrix Gateway

Der clientlose Zugriff ermöglicht Benutzern den Zugriff, den sie benötigen, ohne dass sie Benutzersoftware wie den Citrix Secure Access Agent oder Receiver installieren müssen. Benutzer können ihren Webbrowser verwenden, um eine Verbindung zu Webanwendungen wie Outlook Web Access herzustellen.

Sie verwenden die folgenden Schritte, um den clientlosen Zugriff zu konfigurieren:

  • Aktivieren des clientlosen Zugriffs entweder global oder mithilfe einer Sitzungsrichtlinie, die an einen Benutzer, eine Gruppe oder einen virtuellen Server gebunden ist.
  • Auswahl der Codierungsmethode für Webadresse.

Um den clientlosen Zugriff nur für einen bestimmten virtuellen Server zu ermöglichen, deaktivieren Sie den clientlosen Zugriff global und erstellen Sie dann eine Sitzungsrichtlinie, um ihn zu aktivieren.

Wenn Sie den Citrix Gateway-Assistenten zum Konfigurieren der Appliance verwenden, haben Sie die Wahl, den clientlosen Zugriff innerhalb des Assistenten zu konfigurieren. Die Einstellungen im Assistenten werden global angewendet. Im Citrix Gateway-Assistenten können Sie die folgenden Clientverbindungsmethoden konfigurieren:

  • Citrix Secure Access Agent. Benutzer dürfen sich nur mit Citrix Secure Access Agent anmelden.
  • Verwenden Sie Citrix Secure Access Agent und lassen Sie Fallback des Zugriffsszen Benutzer melden sich mit Citrix Secure Access Agent bei Citrix Gateway an. Wenn das Benutzergerät einen Endpoint Analysis-Scan nicht besteht, ist es Benutzern gestattet, sich mit clientlosem Zugriff anzumelden. In diesem Fall haben Benutzer eingeschränkten Zugriff auf Netzwerkressourcen.
  • Ermöglichen Sie Benutzern, sich über einen Webbrowser und einen clientlosen Zugriff anzumelden. Benutzer können sich nur über den clientlosen Zugriff anmelden und erhalten eingeschränkten Zugriff auf Netzwerkressourcen.

So funktionieren clientlose VPN-Zugriffsrichtlinien

Sie konfigurieren den clientlosen Zugriff auf Webanwendungen, indem Sie Richtlinien erstellen. Sie können die Einstellungen für eine clientlose Zugriffsrichtlinie im Konfigurationsdienstprogramm konfigurieren. Eine clientlose Zugriffsrichtlinie setzt sich aus einer Regel und einem Profil zusammen. Sie können die vorkonfigurierten clientlosen Zugriffsrichtlinien verwenden, die mit Citrix Gateway geliefert werden. Sie können auch Ihre eigenen benutzerdefinierten clientlosen Zugriffsrichtlinien erstellen.

Citrix Gateway bietet vorkonfigurierte Richtlinien für Folgendes:

  • Outlook Web Access und Outlook Web App
  • SharePoint 2007
  • Alle anderen Webanwendungen

Hinweis:

OWA 2016 und SharePoint 2016 werden nur mit erweitertem clientlosem Zugriff unterstützt.

Beachten Sie die folgenden Merkmale der vorkonfigurierten clientlosen Zugriffsrichtlinien:

  • Sie werden automatisch konfiguriert und können nicht geändert werden.
  • Jede Richtlinie ist auf globaler Ebene gebunden.
  • Jede Richtlinie wird nicht durchgesetzt, es sei denn, Sie aktivieren den clientlosen Zugriff entweder global oder durch Erstellen einer Sitzungsrichtlinie.
  • Sie können globale Bindungen nicht entfernen oder ändern, auch wenn Sie keinen clientlosen Zugriff aktivieren.

Die Unterstützung für andere Webanwendungen hängt von den Umschreiberichtlinien ab, die Sie auf Citrix Gateway konfigurieren. Citrix empfiehlt, alle benutzerdefinierten Richtlinien zu testen, die Sie erstellen, um sicherzustellen, dass alle Komponenten der Anwendung erfolgreich neu geschrieben werden.

Wenn Sie Verbindungen von Receiver für Android, Receiver für iOS oder Citrix Secure Hub zulassen, müssen Sie den clientlosen Zugriff aktivieren. Für Citrix Secure Hub, der auf einem iOS-Gerät ausgeführt wird, müssen Sie auch Secure Browse innerhalb des Sitzungsprofils aktivieren. Secure Browse und clientloser Zugriff arbeiten zusammen, um Verbindungen von iOS-Geräten aus zu ermöglichen. Sie müssen Secure Browse nicht aktivieren, wenn Benutzer keine Verbindung zu iOS-Geräten herstellen.

Der Schnellkonfigurationsassistent konfiguriert die richtigen clientlosen Zugriffsrichtlinien und -einstellungen für mobile Geräte. Citrix empfiehlt, den Assistenten für die Schnellkonfiguration auszuführen, um die richtigen Richtlinien für Verbindungen mit StoreFront und Citrix Endpoint Management zu konfigurieren.

Sie können benutzerdefinierte clientlose Zugriffsrichtlinien entweder global oder an einen virtuellen Server binden. Wenn Sie clientlose Zugriffsrichtlinien an einen virtuellen Server binden möchten, müssen Sie eine benutzerdefinierte Richtlinie erstellen und diese dann binden. Um verschiedene Richtlinien für den clientlosen Zugriff entweder global oder für einen virtuellen Server durchzusetzen, ändern Sie die Prioritätsnummer der benutzerdefinierten Richtlinie so, dass sie eine niedrigere Zahl als die vorkonfigurierten Richtlinien hat, wodurch der benutzerdefinierten Richtlinie eine höhere Priorität eingeräumt wird. Wenn keine anderen clientlosen Zugriffsrichtlinien an den virtuellen Server gebunden sind, haben die vorkonfigurierten globalen Richtlinien Vorrang.

Hinweis:

Sie können die Prioritätsnummern der vorkonfigurierten clientlosen Zugriffsrichtlinien nicht ändern.

Aktivieren Sie den clientlosen VPN-Zugriff

Wenn Sie den clientlosen Zugriff auf globaler Ebene aktivieren, erhalten alle Benutzer die Einstellungen für den clientlosen Zugriff. Sie können den Citrix Gateway-Assistenten, eine globale Richtlinie oder eine Sitzungsrichtlinie verwenden, um den clientlosen Zugriff zu ermöglichen.

In einer globalen Einstellung oder einem Sitzungsprofil hat der clientlose Zugriff die folgenden Einstellungen:

  • Auf. Ermöglicht den clientlosen Zugriff. Wenn Sie die Clientauswahl deaktivieren und StoreFront nicht konfigurieren oder deaktivieren, melden sich Benutzer mithilfe des clientlosen Zugriffs an.
  • Aus Der clientlose Zugriff ist standardmäßig nicht aktiviert. Der clientlose Zugriff ist aktiviert, nachdem sich Benutzer mit Citrix Secure Access Agent angemeldet haben. Wenn Sie die Clientauswahl deaktivieren und StoreFront nicht konfigurieren oder deaktivieren, melden sich Benutzer mit Citrix Secure Access Agent an. Wenn die Endpoint Analysis bei der Benutzeranmeldung fehlschlägt, erhalten Benutzer die Auswahlseite mit verfügbarem clientlosem Zugriff.
  • Deaktiviert. Der clientlose Zugang ist deaktiviert. Wenn Sie Deaktiviertauswählen, können sich Benutzer nicht über den clientlosen Zugriff anmelden, und das Symbol für den clientlosen Zugriff wird nicht auf der Auswahlseite angezeigt.

Wenn Sie den clientlosen Zugriff nicht mithilfe des Citrix Gateway-Assistenten aktivieren, können Sie ihn mithilfe des Konfigurationsdienstprogramms global oder in einer Sitzungsrichtlinie aktivieren.

Um den clientlosen Zugriff global zu ermöglichen

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Client Experience neben Clientless Accessdie Option EIN aus , und klicken Sie dann auf OK.

So aktivieren Sie den clientlosen Zugriff mithilfe einer Sitzungsrichtlinie

Wenn Sie möchten, dass nur eine ausgewählte Gruppe von Benutzern, Gruppen oder virtuellen Servern clientlosen Zugriff verwendet, deaktivieren oder löschen Sie den clientlosen Zugriff global. Aktivieren Sie dann mithilfe einer Sitzungsrichtlinie den clientlosen Zugriff und binden Sie ihn an Benutzer, Gruppen oder virtuelle Server.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Client Experience neben Clientless Access auf Global überschreiben, wählen Sie Ein aus , und klicken Sie dann auf Erstellen.
  7. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrückedie Option Allgemein aus, wählen Sie True Value aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.
  8. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Nachdem Sie die Sitzungsrichtlinie erstellt haben, die clientlosen Zugriff ermöglicht, binden Sie sie an einen Benutzer, eine Gruppe oder einen virtuellen Server.

Kodieren Sie die Webadresse

Wenn Sie den clientlosen Zugriff aktivieren, können Sie die Adressen interner Webanwendungen codieren oder die Adresse als Klartext belassen. Die Einstellungen lauten:

  • Obskur. Dies verwendet Standardcodierungsmechanismen, um den Domäne- und Protokollteil der Ressource zu verschleiern.
  • Klar. Die Webadresse ist nicht codiert und für Benutzer sichtbar.
  • Verschlüsseln. Die Domäne und das Protokoll werden mithilfe eines Sitzungsschlüssels verschlüsselt. Wenn die Webadresse verschlüsselt ist, ist die URL für jede Benutzersitzung für dieselbe Webressource unterschiedlich. Wenn Benutzer die codierte Webadresse mit einem Lesezeichen versehen, sie im Webbrowser speichern und sich dann abmelden. Wenn sich Benutzer anmelden und versuchen, mithilfe des Lesezeichens erneut eine Verbindung zur Webadresse herzustellen, können sie keine Verbindung zur Webadresse herstellen. Hinweis: Wenn Benutzer das verschlüsselte Lesezeichen während ihrer Sitzung im Access Interface speichern, funktioniert das Lesezeichen jedes Mal, wenn sich der Benutzer anmeldet.

Sie können diese Einstellung entweder global oder als Teil einer Sitzungsrichtlinie konfigurieren. Wenn Sie die Kodierung als Teil einer Sitzungsrichtlinie konfigurieren, können Sie sie an die Benutzer, Gruppen oder einen virtuellen Server binden.

Konfigurieren Sie die Codierung von Webadressdaten global

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
  3. Wählen Sie auf der Registerkarte Client Experience neben URL-Kodierung für clientlosen Zugriff die Kodierungsstufe aus, und klicken Sie dann auf OK.

Konfigurieren der Webadressencodierung durch Erstellen einer Sitzungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Client Experience neben URL-Kodierung für clientlosen Zugriff auf Global überschreiben, wählen Sie die Codierungsstufe aus, und klicken Sie dann auf OK.
  7. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemein aus, wählen Sie True Value aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Erstellen Sie clientlose Zugriffsrichtlinien

Wenn Sie dieselben Einstellungen wie für die standardmäßigen clientlosen Zugriffsrichtlinien verwenden möchten, die Richtlinie jedoch an einen virtuellen Server binden möchten, können Sie die Standardrichtlinien kopieren und einen neuen Namen für die Richtlinie angeben. Sie können das Konfigurationsdienstprogramm verwenden, um die Standardrichtlinien zu kopieren.

Nachdem Sie die neue Richtlinie an den virtuellen Server gebunden haben, können Sie die Priorität der Richtlinie so festlegen, dass sie zuerst ausgeführt wird, wenn sich ein Benutzer anmeldet.

Erstellen einer clientlosen Zugriffsrichtlinie mithilfe von Standardeinstellungen

  1. Erweitern Sie im Konfigurationsdienstprogramm im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Clientloser Zugriff.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf eine Standardrichtlinie und dann auf Hinzufügen.
  3. Geben Sie unter Name einen neuen Namen für die Richtlinie ein, klicken Sie auf Erstellen und dann auf Schließen.

Binden einer clientlosen Zugriffsrichtlinie an einen virtuellen Server

Nachdem Sie die Richtlinie erstellt haben, binden Sie sie an den virtuellen Server.

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
  2. Wählen Sie im Detailbereich einen virtuellen Server aus und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Citrix Gateway Virtual Server konfigurieren auf die Registerkarte Richtlinien, und klicken Sie dann auf Clientlos.
  4. Klicken Sie auf Richtlinie einfügen, wählen Sie eine Richtlinie aus der Liste aus, und klicken Sie dann auf OK.

Erstellen und Auswerten von Ausdrücken für clientlose Zugriffsrichtlinien

Wenn Sie eine Richtlinie für den clientlosen Zugriff erstellen, können Sie Ihren eigenen Ausdruck für die Richtlinie erstellen. Wenn Sie mit dem Erstellen des Ausdrucks fertig sind, können Sie den Ausdruck auf Genauigkeit prüfen.

  1. Erweitern Sie im Konfigurationsdienstprogramm im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Clientloser Zugriff.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf eine Standardrichtlinie und dann auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Konfigurieren Sie die Einstellungen für das Umschreiben und klicken Sie dann auf Erstellen.
  7. Klicken Sie im Dialogfeld Clientlose Zugriffsrichtlinie erstellen unter Ausdruck auf Hinzufügen.
  8. Erstellen Sie im Dialogfeld Ausdruck hinzufügen den Ausdruck, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Clientlose Zugriffsrichtlinie erstellen auf Evaluieren, und wenn der Ausdruck als korrekt getestet wurde, klicken Sie auf Erstellen.