Unterstützung für Client-Server-Apps

Mit Citrix Secure Private Access können Sie jetzt auf alle privaten Apps zugreifen, einschließlich TCP/HTTPS-Apps, entweder mit einem nativen Browser oder einer nativen Clientanwendung über den Citrix Secure Access Agent, der auf Ihrem Computer ausgeführt wird.

Mit der zusätzlichen Unterstützung von Client-Server-Anwendungen in Citrix Secure Private Access können Sie jetzt die Abhängigkeit von einer herkömmlichen VPN-Lösung beseitigen, um Remotebenutzern Zugriff auf alle privaten Apps zu ermöglichen.

Funktionsweise

Endbenutzer können problemlos auf alle ihre sanktionierten privaten Apps zugreifen, indem sie einfach den Citrix Secure Access-Agenten auf ihren Clientgeräten installieren.

In dieser Version nicht enthalten

  • Der Zugriff auf UDP-Apps wird nicht unterstützt.

Admin-Konfiguration — ZTNA agentenbasierter Zugriff auf TCP-Apps

Voraussetzungen

  • Zugriff auf Citrix Secure Private Access in der Citrix Cloud.
  • Citrix Cloud Connector — Installieren Sie eine Citrix Cloud Connector für Active Directory-Domänenkonfiguration wie in der Cloud Connector-Installationerfasst.
  • Identitäts- und Zugriffsmanagement — Schließen Sie die Konfiguration ab. Einzelheiten finden Sie unter Identitäts- und Zugriffsmanagement.
  • Connector-Appliance — Citrix empfiehlt, zwei Connector-Appliances in einer Hochverfügbarkeitskonfiguration an Ihrem Ressourcenstandort zu installieren Der Connector kann entweder on-premises, im Hypervisor des Rechenzentrums oder in der Public Cloud installiert werden. Weitere Informationen zur Connector-Appliance und ihrer Installation finden Sie unter Connector Appliance for Cloud Services.

    Hinweis:

    Sie müssen eine Connector Appliance für TCP-Apps verwenden.

Schritte zum Konfigurieren von TCP-Apps:

Wichtig:

Eine vollständige End-to-End-Konfiguration einer App finden Sie unter Admin-geführter Workflow für einfaches Onboarding und Setup.

  1. Klicken Sie auf der Kachel Citrix Secure Private Access auf Verwalten.
  2. Klicken Sie auf Weiter und dann auf App hinzufügen.

    Hinweis:

    Die Schaltfläche Weiter wird nur angezeigt, wenn Sie den Assistenten zum ersten Mal verwenden. In den nachfolgenden Verwendungen können Sie direkt zur Seite Anwendungen navigieren und dann auf App hinzufügenklicken.

    App ist eine logische Gruppierung von Zielen. Wir können eine App für mehrere Ziele erstellen - Jedes Ziel bedeutet verschiedene Server im Backend. Eine App kann beispielsweise einen SSH, einen RDP, einen Datenbankserver und einen Webserver haben. Sie müssen nicht eine App pro Ziel erstellen, aber eine App kann viele Ziele haben.

  3. Klicken Sie im Abschnitt Vorlage auswählen auf Skip, um die TCP-App manuell zu konfigurieren.
  4. Wählen Sie im Abschnitt App-Details die Option In meinem Unternehmensnetzwerkaus, geben Sie die folgenden Details ein und klicken Sie auf Weiter.

    Einzelheiten zur TCP-App

    • App-Typ — Wählen Sie TCP/UDP aus.
    • Appname — Name der Anwendung.
    • App-Symbol— Ein App-Symbol wird angezeigt. Das Feld ist optional.
    • App-Beschreibung — Beschreibung der App, die Sie hinzufügen. Das Feld ist optional.
    • Ziele — IP-Adressen oder FQDNs der Back-End-Computer, die sich im Ressourcenstandort befinden. Ein oder mehrere Ziele können wie folgt angegeben werden.
      • IP-Adresse v4
      • IP-Adressbereich — Beispiel: 10.68.90.10-10.68.90.99
      • CIDR — Beispiel: 10.106.90.0/24
      • FQDN der Maschinen oder Domänenname — Einzel- oder Platzhalterdomäne. Beispiel: ex.destination.domain.com, *.domain.com

        Wichtig:

        Wenn der Administrator die IP-basierten Ziele konfiguriert hat, wird von Endbenutzern erwartet, dass sie nur mit der IP-Adresse auf die App zugreifen. Wenn die Anwendung mit einem FQDN konfiguriert ist, wird von den Benutzern erwartet, dass sie nur über den FQDN auf die Anwendung zugreifen. Sie können nicht über den FQDN auf eine App zugreifen, wenn die App basierend auf der IP-Adresse konfiguriert ist.

        Die folgende Tabelle enthält Beispiele für verschiedene Ziele und wie Sie mit diesen Zielen auf die Apps zugreifen können.

        Ziel-Eingabe So greifen Sie auf die App zu
        10.10.10.1-10.10.10.100 Es wird erwartet, dass der Endbenutzer nur über IP-Adressen in diesem Bereich auf die App zugreift.
        10.10.10.0/24 Es wird erwartet, dass der Endbenutzer nur über die im IP-CIDR konfigurierten IP-Adressen auf die App zugreift.
        10.10.10.101 Es wird erwartet, dass der Endbenutzer nur bis 10.10.10.101 auf die App zugreift
        *.info.citrix.com Es wird erwartet, dass der Endbenutzer auf Subdomains von info.citrix.com und auch info.citrix.com (der übergeordneten Domain) zugreift. Zum Beispiel info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com Hinweis: Der Platzhalter muss immer das Startzeichen der Domain sein und nur ein *. ist zulässig.
        info.citrix.com Es wird erwartet, dass der Endbenutzer info.citrix.com nur auf und keine Subdomains zugreift. Zum Beispiel, sub1.info.citrix.com ist nicht zugänglich.
    • Port — Der Port, auf dem die App ausgeführt wird. Administratoren können mehrere Ports oder Portbereiche pro Ziel konfigurieren.

      Die folgende Tabelle enthält Beispiele für Ports, die für ein Ziel konfiguriert werden können.

      Port-Eingang Beschreibung
      * Standardmäßig ist das Port-Feld auf “*” (any port) eingestellt. Die Portnummern von 1 bis 65535 werden für das Ziel unterstützt.
      1300–2400 Die Portnummern von 1300 bis 2400 werden für das Ziel unterstützt.
      38389 Nur die Portnummer 38389 wird für das Ziel unterstützt.
      22,345,5678 Die Ports 22, 345, 5678 werden für das Ziel unterstützt.
      1300–2400, 42000-43000,22,443 Die Portnummern reichen von 1300 bis 2400, 42000—43000, und die Ports 22 und 443 werden für das Ziel unterstützt.

      Hinweis:

      Wildcard-Port (*) kann nicht mit Portnummern oder Bereichen koexistieren.

    • Protokoll — TCP
  5. Im Abschnitt App Connectivity steht eine Miniversion der Tabelle Anwendungsdomänen zur Verfügung, um die Routing-Entscheidungen zu treffen. Für jedes Ziel können Sie einen anderen oder denselben Ressourcenstandort wählen. Ziele, die im vorherigen Schritt konfiguriert wurden, werden in der Spalte DESTINATION aufgefüllt. Die hier hinzugefügten Ziele werden auch der Haupttabelle Anwendungsdomänen hinzugefügt. Die Tabelle Anwendungsdomänen ist die Quelle der Wahrheit für die Routing-Entscheidung, den Verbindungsaufbau und den Datenverkehr an den richtigen Ressourcenstandort zu leiten. Weitere Informationen zur Tabelle Anwendungsdomänen und zu möglichen IP-Konfliktszenarien finden Sie im Abschnitt Anwendungsdomänen — IP-Adresskonfliktlösung .
  6. Wählen Sie für die folgenden Felder eine Eingabe aus dem Dropdown-Menü aus und klicken Sie auf Weiter.

    Hinweis:

    Nur der interne Routentyp wird unterstützt.

    • RESSOURCENSTANDORT — Im Dropdown-Menü müssen Sie eine Verbindung zu einem Ressourcenstandort herstellen, auf dem mindestens eine Connector-Appliance installiert ist.

      Hinweis:

      Die Installation der Connector Appliance wird im Abschnitt App Connectivity unterstützt. Sie können es auch im Abschnitt Ressourcenstandorte im Citrix Cloud-Portal installieren. Weitere Informationen zum Erstellen eines Ressourcenstandorts finden Sie unter Einrichten von Ressourcenstandorten.

    App-Konnektivität

  7. Weisen Sie im Abschnitt App-Abonnenten der App Benutzer oder Gruppen zu.

    • Wählen Sie unter Domain auswählen die für die App zutreffende Domain aus, und wählen Sie dann unter Gruppe oder Benutzer auswählen die Gruppe oder den Benutzer aus, für den Sie diese App abonnieren. Sie können zwischen einem Benutzer und einer Gruppe anhand des Buchstabens U oder G neben dem Namen unterscheiden.

    • Klicken Sie auf Speichern. Die Abonnentendetails werden automatisch geladen.

    Sie können einen abonnierten Benutzer oder eine Gruppe abbestellen, indem Sie auf das Löschsymbol neben Statusklicken.

    Verwalten von Abonnenten

  8. Klicken Sie auf Fertig stellen. Die App wird zur Seite “Anwendungen” hinzugefügt. Sie können auf der Seite Anwendungen eine App löschen, verwalten oder bearbeiten, nachdem Sie die Anwendung konfiguriert haben. Klicken Sie dazu in einer App auf die Ellipsenschaltfläche und wählen Sie die Aktionen entsprechend aus.

    • Abonnenten verwalten
    • Anwendung bearbeiten
    • Löschen
  • Informationen zur Konfiguration der für Ihre Benutzer erforderlichen Authentifizierungsmethoden finden Sie unter Identität und Authentifizierung einrichten.

  • Um die Workspace-URL zu erhalten, die für Ihre Benutzer freigegeben werden soll, klicken Sie im Citrix Cloud-Menü auf Workspace-Konfigurationund wählen Sie die Registerkarte Zugriff aus.

    Verwaltung des Identitätszugriffs

Admin-Konfiguration — ZTNA agentenbasierter Zugriff auf HTTP (S) -Apps

Hinweis:

Um mit dem Citrix Secure Access Agent auf vorhandene oder neue HTTP/HTTPS-Apps zuzugreifen, müssen Sie zusätzlich zu einem Gateway-Connector auch mindestens eine (zwei empfohlene für hohe Verfügbarkeit) Connector Appliance an Ihrem Ressourcenstandort installieren. Der Connector kann on-premises, im Hypervisor des Rechenzentrums oder in der Public Cloud installiert werden. Einzelheiten zur Connector Appliance und ihrer Installation finden Sie unter Connector Appliance für Cloud-Dienste.

Voraussetzungen

  • Zugriff auf Citrix Secure Private Access in der Citrix Cloud.

Wichtige Hinweise

  • Auf interne Webanwendungen, die mit erweiterten Sicherheitskontrollen durchgesetzt werden, kann nicht über den Citrix Secure Access-Agenten zugegriffen
  • Wenn Sie versuchen, auf eine HTTP (S) -Anwendung zuzugreifen, für die erweiterte Sicherheitssteuerung aktiviert ist, wird die folgende Popup-Meldung angezeigt. Zusätzliche Sicherheitskontrollen sind für die <”app name”(FQDN)> App aktiviert. Bitte greifen Sie von Citrix Workspace darauf zu.

    Fehlermeldung

  • Wenn Sie die SSO-Erfahrung aktivieren möchten, greifen Sie mit der Citrix Workspace-App oder dem Webportal auf die Webanwendungen zu.

Die Schritte zum Konfigurieren von HTTP (S) -Apps bleiben dieselben wie die vorhandenen Funktionen, die unter Support for Enterprise Web Appserläutert werden.

Adaptiver Zugriff auf TCP- und HTTP (S) -Apps

Der adaptive Zugriff bietet Administratoren die Möglichkeit, den Zugriff auf geschäftskritische Apps basierend auf mehreren kontextbezogenen Faktoren wie der Überprüfung der Gerätehaltung, der Geolokalisierung der Benutzer, der Benutzerrolle und der Risikobewertung des Citrix Analytics Service zu steuern.

Hinweis:

  • Sie können den Zugriff auf TCP-Anwendungen verweigern, Administratoren erstellen Richtlinien basierend auf den Benutzern, Benutzergruppen, den Geräten, von denen aus die Benutzer auf die Anwendungen zugreifen, und dem Standort (Land), von dem aus auf eine Anwendung zugegriffen wird. Der Zugriff auf Anwendungen ist standardmäßig zulässig.

  • Das für eine App erstellte Benutzerabonnement gilt für alle TCP-App-Ziele, die für die ZTNA-Anwendung konfiguriert sind.

So erstellen Sie eine Richtlinie für adaptiven Zugriff

Administratoren können den Admin-geführten Workflow-Assistenten verwenden, um Zero Trust Network Access für SaaS-Apps, interne Web-Apps und TCP-Apps im Secure Private Access-Dienst zu konfigurieren.

Hinweis:

Wichtige Hinweise

  • Der Zugriff auf eine vorhandene Webanwendung, für die erweiterte Sicherheit aktiviert ist, wird über den Secure Access-Agenten verweigert. Es wird eine Fehlermeldung angezeigt, die darauf hindeutet, sich mit der Citrix Workspace-App anzumelden.
  • Richtlinienkonfigurationen für die Webanwendung, die auf der Risikobewertung des Benutzers, der Überprüfung der Gerätehaltung usw. über die Citrix Workspace-App basieren, gelten für den Zugriff auf die App über den Secure Access-Agent.
  • Die an eine Anwendung gebundene Richtlinie gilt für alle Ziele in der Anwendung.

DNS-Auflösung

Die Connector-Appliance muss eine DNS-Serverkonfiguration für die DNS-Auflösung haben.

Schritte zum Installieren des Citrix Secure Access Agents auf einem Windows-Computer

Unterstützte Betriebssystemversionen:

Windows — Windows 11, Windows 10, Windows Server 2016 und Windows Server 2019.

Im Folgenden finden Sie die Schritte zum Installieren des Citrix Secure Access-Agenten auf einem Windows-Computer.

  1. Laden Sie den Citrix Secure Access Agent von herunter https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
  2. Klicken Sie auf Installieren, um den Agenten auf Ihrem Windows-Computer zu installieren. Wenn Sie einen vorhandenen Citrix Gateway-Agenten haben, wird dieser aktualisiert. Agent installieren
  3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen. Installieren Sie agent2

Hinweis:

Mehrbenutzer-Sitzungen in Windows werden nicht unterstützt.

Installationsschritte für Microsoft Edge Runtime

Microsoft Edge Runtime ist jetzt für die Authentifizierungsoberfläche des Secure Access-Agenten erforderlich. Es ist standardmäßig auf den neuesten Windows 10- und Windows 11-Computern installiert. Führen Sie für Computer mit früheren Versionen die folgenden Schritte aus.

  1. Gehen Sie zum folgenden Link, https://go.microsoft.com/fwlink/p/?LinkId=2124703.
  2. Downloaden und installieren Sie Microsoft Edge. Wenn auf dem Benutzersystem die Microsoft Edge-Laufzeitumgebung nicht installiert ist, fordert der Citrix Secure Access-Agent-Client Sie zur Installation auf, wenn Sie versuchen, eine Verbindung zur Workspace-URL herzustellen.

Hinweis:

Sie können eine automatisierte Lösung wie SCCM-Software oder eine Gruppenrichtlinie verwenden, um den Citrix Secure Access Agent oder Microsoft Edge Runtime auf die Client-Computer zu übertragen.

Schritte zum Installieren des Citrix Secure Access-Agenten auf einem macOS-Computer

Voraussetzungen:

  • Laden Sie die Citrix Secure Access-App für macOS aus dem App Store herunter. Diese App ist ab macOS 10.15 (Catalina) und neuer verfügbar.
  • Vorschau-Builds sind in der TestFlight-App nur für macOS Monterey (12.x) verfügbar.
  • Wenn Sie zwischen der App Store-App und der TestFlight-Vorschau-App wechseln, müssen Sie das Profil, das Sie mit der Citrix Secure Access-App verwenden möchten, neu erstellen. Wenn Sie beispielsweise ein Verbindungsprofil mit verwendet haben blr.abc.company.com, löschen Sie das VPN-Profil und erstellen Sie dasselbe Profil erneut.

Unterstützte Betriebssystemversionen:

macOS — 12.x (Monterey). 11.x (Big Sur) und 10.15 (Catalina) werden unterstützt.

Hinweis:

Mobile Geräte — iOS und Android werden nicht unterstützt.

Starten einer konfigurierten App — Endbenutzer-Fluss

  1. Starten Sie den Citrix Secure Access-Agenten auf dem Clientgerät.
  2. Geben Sie die vom Kundenadministrator angegebene Workspace-URL in das Feld URL des Citrix Secure Access-Agenten ein und klicken Sie auf Verbinden. Es ist eine einmalige Aktivität und die URL wird für die spätere Verwendung gespeichert. Starten Sie eine App
  3. Der Benutzer wird basierend auf der in Citrix Cloud konfigurierten Authentifizierungsmethode zur Authentifizierung aufgefordert. Nach erfolgreicher Authentifizierung kann der Benutzer auf die konfigurierten privaten Apps zugreifen.

Benachrichtigungen von Benutzern

In den folgenden Szenarien wird eine Popup-Benachrichtigung angezeigt:

  • Die App ist vom Administrator nicht für den Benutzer autorisiert.

    Ursache: Die Anwendung, die für die zugegriffene Ziel-IP-Adresse oder den FQDN konfiguriert ist, ist für den angemeldeten Benutzer nicht abonniert.

    Popup-Meldung 1

  • Die Bewertung der Zugriffsrichtlinien führt zu einer Zugriffsverweigerung.

    Ursache: Der Zugriff auf die Ziel-IP-Adresse oder den FQDN wurde verweigert, da die an die Anwendung gebundene Richtlinie als “Zugriff verweigern” für den angemeldeten Benutzer ausgewertet wird.

    Popup-Meldung 2

  • Die erweiterte Sicherheitssteuerung ist für die App aktiviert.

    Ursache: Die erweiterte Sicherheitssteuerung ist für die Anwendung für das Ziel aktiviert, auf das zugegriffen wird. Die Anwendung kann mit der Citrix Workspace App gestartet werden.

    Popup-Meldung 3

Weitere Informationen

Anwendungsdomänen — Konfliktlösung bei IP-Adressen

Ziele, die beim Erstellen einer App hinzugefügt wurden, werden zu einer Haupt-Routingtabelle hinzugefügt. Die Routing-Tabelle ist die Quelle der Wahrheit, um die Routing-Entscheidung zu treffen, um den Verbindungsaufbau und den Verkehr zum korrekten Ressourcenstandort zu leiten.

  • Die Ziel-IP-Adresse muss an allen Ressourcenstandorten eindeutig sein.
  • Citrix empfiehlt, eine Überlappung der IP-Adressen oder Domänen in der Routingtabelle zu vermeiden. Falls Sie auf eine Überlappung stoßen, müssen Sie diese beheben.

Es folgen die Arten von Konfliktszenarien. Complete Overlap ist das einzige Fehlerszenario, das die Administratorkonfiguration einschränkt, bis der Konflikt gelöst ist.

Konflikte Domäneneintrag für vorhandene Neuer Eintrag von App Addition Ergebnis
Teilmenge überlappen 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 Zulassen; Warnhinweise — Teilmengenüberschneidung der IP-Domäne mit vorhandenen Einträgen
Teilmenge überlappen 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 Zulassen; Warnhinweise — Teilmengenüberschneidung der IP-Domäne mit vorhandenen
Teilweise Überlappung 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 Zulassen; Warnhinweise - Teilweise Überlappung der IP-Domain mit vorhandenen Einträgen
Teilweise Überlappung 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 Zulassen; Warnhinweise - Teilweise Überlappung der IP-Domain mit vorhandenen Einträgen
Vollständige Überlappung 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 Fehler; <Completely overlapping IP domain's value> IP-Domain überschneidet sich vollständig mit vorhandenen Einträgen. Bitte ändern Sie den vorhandenen Routing-IP-Eintrag oder konfigurieren Sie ein anderes Ziel
Vollständige Überlappung 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 Fehler; <Completely overlapping IP domain's value> IP-Domain überschneidet sich vollständig mit vorhandenen Einträgen. Bitte ändern Sie den vorhandenen Routing-IP-Eintrag oder konfigurieren Sie ein anderes Ziel
Exakte Übereinstimmung 20.20.20.0/29 RL1 20.20.20.0/29 Zulassen; Domänen sind bereits in der Domain-Routingtabelle vorhanden. Vorgenommene Änderungen aktualisieren die Domain-Routingtabelle

Hinweis:

  • Wenn die hinzugefügten Ziele zu einer vollständigen Überschneidung führen, wird beim Konfigurieren der App im Abschnitt App-Details ein Fehler angezeigt. Der Administrator muss diesen Fehler beheben, indem er die Ziele im Abschnitt App-Konnektivität ändert.

    Wenn im Abschnitt “ App-Details “ keine Fehler auftreten, kann der Administrator mit dem Speichern der App-Details fortfahren. Wenn die Ziele jedoch im Abschnitt App-Konnektivität eine Teilmenge aufweisen und sich teilweise miteinander oder mit vorhandenen Einträgen in der Hauptroutingtabelle überlappen, wird eine Warnmeldung angezeigt. In diesem Fall kann der Administrator entweder den Fehler beheben oder mit der Konfiguration fortfahren.

  • Citrix empfiehlt, eine saubere Anwendungsdomänentabelle zu führen. Es ist einfacher, neue Routing-Einträge zu konfigurieren, wenn die IP-Adressdomänen ohne Überlappungen in entsprechende Chunks aufgeteilt werden.

Anmelde- und Abmeldeskriptkonfigurationsregister

Der Citrix Secure Access-Client greift über die folgenden Registrierungen auf die Anmelde- und Abmeldeskriptkonfiguration zu, wenn der Citrix Secure Access-Client eine Verbindung zum Citrix Secure Private Access-Clouddienst herstellt.

Registrierung: HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • Anmeldeskriptpfad: SecureAccessLogInScript type REG_SZ
  • Abmeldeskriptpfad: SecureAccessLogOutScript type REG_SZ

Versionshinweise