Citrix Gateway

Richtlinien nach der Authentifizierung

Eine Richtlinie nach der Authentifizierung ist ein Satz generischer Regeln, die das Benutzergerät erfüllen muss, um die Sitzung aktiv zu halten. Wenn die Richtlinie fehlschlägt, endet die Verbindung zu Citrix Gateway. Wenn Sie die Richtlinie nach der Authentifizierung konfigurieren, können Sie jede Einstellung für Benutzerverbindungen konfigurieren, die bedingt gemacht werden können.

Hinweis:

Diese Funktion funktioniert nur mit Citrix Secure Access Agent. Wenn sich Benutzer mit der Citrix Workspace-App anmelden, wird der Endpoint Analysis-Scan nur bei der Anmeldung ausgeführt.

Sie verwenden Sitzungsrichtlinien, um Richtlinien nach der Authentifizierung zu konfigurieren. Zunächst erstellen Sie die Benutzer, für die die Richtlinie gilt. Dann fügen Sie die Benutzer zu einer Gruppe hinzu. Als Nächstes binden Sie Sitzungen, Verkehrsrichtlinien und Intranet-Anwendungen an die Gruppe.

Sie können auch Gruppen als Berechtigungsgruppen angeben. Mit diesem Gruppentyp können Sie Benutzer basierend auf einem Client-Sicherheitsausdruck innerhalb der Sitzungsrichtlinie Gruppen zuweisen.

Sie können auch eine Richtlinie nach der Authentifizierung konfigurieren, um Benutzer in eine Quarantänegruppe zu versetzen, wenn das Benutzergerät die Anforderungen der Richtlinie nicht erfüllt. Eine einfache Richtlinie enthält einen Client-Sicherheitsausdruck und eine Client-Sicherheitsmeldung. Wenn sich Benutzer in der Quarantänegruppe befinden, können sich Benutzer bei Citrix Gateway anmelden. Sie erhalten jedoch eingeschränkten Zugriff auf Netzwerkressourcen.

Sie können keine Autorisierungsgruppe und Quarantänegruppe erstellen, indem Sie dasselbe Sitzungsprofil und dieselbe Richtlinie verwenden. Die Schritte zum Erstellen der Richtlinie nach der Authentifizierung sind dieselben. Wenn Sie die Sitzungsrichtlinie erstellen, wählen Sie entweder eine Autorisierungsgruppe oder eine Quarantänegruppe aus. Sie können zwei Sitzungsrichtlinien erstellen und jede Richtlinie an die Gruppe binden.

Richtlinien nach der Authentifizierung werden auch mit SmartAccess verwendet. Weitere Informationen zu SmartAccess finden Sie unter Konfigurieren von SmartAccess auf Citrix Gateway.

Konfigurieren einer Richtlinie nach der Authentifizierung

Sie verwenden eine Sitzungsrichtlinie, um eine Richtlinie nach der Authentifizierung zu konfigurieren. Eine einfache Richtlinie enthält einen Client-Sicherheitsausdruck und eine Client-Sicherheitsmeldung.

So konfigurieren Sie eine Richtlinie nach der Authentifizierung über die GUI

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Client Securityauf Override Global und dann auf New.
  8. Konfigurieren Sie den Client-Sicherheitsausdruck, und klicken Sie dann auf Erstellen.
  9. Wählen Sie unter Client Securityin Quarantänegruppe eine Gruppe aus.
  10. Geben Sie unter Fehlermeldungdie Nachricht ein, die Benutzer erhalten sollen, wenn der Scan nach der Authentifizierung fehlschlägt.
  11. Klicken Sie unter Autorisierungsgruppen auf Global überschreiben, wählen Sie eine Gruppe aus, klicken Sie auf Hinzufügen, klicken Sie auf OKund dann auf Erstellen.
  12. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemeinaus, wählen Sie True Value aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Konfigurieren Sie die Häufigkeit von Scans nach der Authentifizierung

Sie können Citrix Gateway so konfigurieren, dass die Richtlinie nach der Authentifizierung in bestimmten Intervallen ausgeführt wird. Sie haben beispielsweise eine Client-Sicherheitsrichtlinie konfiguriert und möchten, dass sie alle 10 Minuten auf dem Benutzergerät ausgeführt wird. Sie können diese Häufigkeit konfigurieren, indem Sie einen benutzerdefinierten Ausdruck innerhalb der Richtlinie erstellen.

Hinweis:

Die Frequenzprüfungsfunktion für Richtlinien nach der Authentifizierung funktioniert nur mit Citrix Secure Access Agent. Wenn sich Benutzer mit der Citrix Workspace-App anmelden, wird der Endpoint Analysis-Scan nur bei der Anmeldung ausgeführt.

Sie können die Häufigkeit (in Minuten) bei der Konfiguration der Client-Sicherheitsrichtlinie festlegen, indem Sie das Verfahren Konfigurieren einer Richtlinie nach der Authentifizierung ausführen. Die folgende Abbildung zeigt, wo Sie im Dialogfeld Ausdruck hinzufügen einen Frequenzwert eingeben können.

Zeigt eine Abbildung des Dialogfelds zur Konfiguration der Häufigkeit von Scans nach der Authentifizierung an.

Quarantäne- und Berechtigungsgruppen

Wenn sich Benutzer bei Citrix Gateway anmelden, weisen Sie sie einer Gruppe zu, die Sie entweder auf Citrix Gateway oder auf einem Authentifizierungsserver im sicheren Netzwerk konfigurieren. Wenn ein Benutzer einen Scan nach der Authentifizierung nicht besteht, können Sie den Benutzer einer eingeschränkten Gruppe zuweisen, die als Quarantänegruppe bezeichnet wird und den Zugriff auf Netzwerkressourcen einschränkt.

Sie können auch Autorisierungsgruppen verwenden, um den Benutzerzugriff auf Netzwerkressourcen einzuschränken. Beispielsweise haben Sie möglicherweise eine Gruppe von Vertragspersonal, die nur Zugriff auf Ihren E-Mail-Server und eine Dateifreigabe haben. Wenn Benutzergeräte die Sicherheitsanforderungen erfüllen, die Sie in Citrix Gateway definiert haben, können Benutzer dynamisch Mitglieder von Gruppen werden.

Sie verwenden entweder globale Einstellungen oder Sitzungsrichtlinien, um Quarantäne- und Autorisierungsgruppen zu konfigurieren, die an einen Benutzer, eine Gruppe oder einen virtuellen Server gebunden sind. Sie können Benutzer basierend auf einem Client-Sicherheitsausdruck innerhalb der Sitzungsrichtlinie Gruppen zuweisen. Wenn der Benutzer Mitglied einer Gruppe ist, wendet Citrix Gateway die Sitzungsrichtlinie basierend auf der Gruppenmitgliedschaft an.

Konfigurieren von Autorisierungsgruppen

Wenn Sie einen Endpoint Analysis-Scan konfigurieren, können Sie Benutzer dynamisch zu einer Autorisierungsgruppe hinzufügen, wenn das Benutzergerät den Scan durchläuft. Beispielsweise erstellen Sie einen Endpoint Analysis-Scan, der die Domänenmitgliedschaft des Benutzergeräts überprüft. Erstellen Sie auf Citrix Gateway eine lokale Gruppe namens Domain-Joined Computers und fügen Sie sie als Autorisierungsgruppe für alle hinzu, die den Scan bestanden haben. Wenn Benutzer der Gruppe beitreten, erben Benutzer die mit der Gruppe verknüpften Richtlinien.

Sie können Autorisierungsrichtlinien nicht global oder an einen virtuellen Server binden. Sie können Autorisierungsgruppen verwenden, um einen Standardsatz von Autorisierungsrichtlinien bereitzustellen, wenn Benutzer nicht als Mitglieder einer anderen Gruppe auf Citrix Gateway konfiguriert sind.

So konfigurieren Sie eine Autorisierungsgruppe mithilfe einer Sitzungsrichtlinie

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Autorisierungsgruppen auf Global überschreiben, wählen Sie eine Gruppe aus der Dropdown-Liste aus, klicken Sie auf Hinzufügen, klicken Sie auf OK und dann auf Erstellen.
  8. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemein aus, wählen Sie den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.

Nachdem Sie die Sitzungsrichtlinie erstellt haben, können Sie sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden.

So konfigurieren Sie eine globale Berechtigungsgruppe

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  4. Wählen Sie unter Autorisierungsgruppe eine Gruppe aus der Dropdown-Liste aus, klicken Sie auf Hinzufügen und dann zweimal auf OK.

Wenn Sie eine Autorisierungsgruppe entweder global oder aus der Sitzungsrichtlinie entfernen möchten, wählen Sie im Dialogfeld Sicherheitseinstellungen - Erweitert die Autorisierungsgruppe aus der Liste aus, und klicken Sie dann auf Entfernen.

Konfigurieren von Quarantänegruppen

Wenn Sie eine Quarantänegruppe konfigurieren, konfigurieren Sie den Client-Sicherheitsausdruck mithilfe des Dialogfelds Sicherheitseinstellungen - Erweiterte Einstellungen in einem Sitzungsprofil.

So konfigurieren Sie den Client-Sicherheitsausdruck für eine Quarantänegruppe

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordern auf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Client Security auf Override Global und dann auf New.
  8. Konfigurieren Sie im Dialogfeld Clientausdruck den Clientsicherheitsausdruck und klicken Sie dann auf Erstellen.
  9. Wählen Sie in der Quarantänegruppe die Gruppe aus.
  10. Geben Sie unter Fehlermeldung eine Meldung ein, die das Problem für Benutzer beschreibt, und klicken Sie dann auf Erstellen.
  11. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemein aus, wählen Sie den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.

Nachdem Sie die Sitzungsrichtlinie erstellt haben, binden Sie sie an einen Benutzer, eine Gruppe oder einen virtuellen Server.

Hinweis

Wenn der Endpoint Analysis-Scan fehlschlägt und der Benutzer in die Quarantänegruppe aufgenommen wird, sind die an die Quarantänegruppe gebundenen Richtlinien nur wirksam, wenn keine direkt an den Benutzer gebundenen Richtlinien vorhanden sind, die eine gleiche oder niedrigere Prioritätszahl als die an die Quarantänegruppe gebundenen Richtlinien haben.

So konfigurieren Sie eine globale Quarantänegruppe

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte “Configuration” im Navigationsbereich “Citrix Gateway” und klicken Sie auf “Global Settings”.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  4. Konfigurieren Sie in Client Security den Client-Sicherheitsausdruck.
  5. Wählen Sie in der Quarantänegruppe die Gruppe aus.
  6. Geben Sie unter Fehlermeldung eine Meldung ein, die das Problem für Benutzer beschreibt, und klicken Sie dann auf OK.
Richtlinien nach der Authentifizierung