Unterstützung für unternehmenseigene Web-Apps

Durch die Bereitstellung von Web-Apps mithilfe des Secure Private Access-Dienstes können unternehmensspezifische Anwendungen remote als webbasierter Dienst bereitgestellt werden. Häufig verwendete Web-Apps sind SharePoint, Confluence, OneBug und so weiter.

Auf Web-Apps kann mit Citrix Workspace mit dem Secure Private Access-Dienst zugegriffen werden. Der Secure Private Access-Dienst in Verbindung mit Citrix Workspace bietet eine einheitliche Benutzererfahrung für die konfigurierten Web-Apps, SaaS-Apps, konfigurierten virtuellen Apps oder andere Workspace-Ressourcen.

SSO und Remote-Zugriff auf Web-Apps sind als Teil der folgenden Servicepakete verfügbar:

  • Gateway-Dienststandard
  • Workspace Standard, Workspace Premium oder Workspace Premium Plus

Systemanforderungen

Sie benötigen einen der Konnektortypen für die Enterprise-Web-Apps.

Connector Appliance — Sie können die Connector Appliance mit dem Citrix Secure Private Access Access-Dienst verwenden, um den VPN-losen Zugriff auf die Enterprise Web Apps im Rechenzentrum des Kunden zu unterstützen. Einzelheiten finden Sie unter Secure Workspace Access mit Connector Appliance.

Wichtig:

  • Citrix Gateway Connector soll in der kommenden Version veraltet sein. Citrix empfiehlt die Migration auf Connector Appliance, bei der es sich um einen einzelnen Zero Trust Network Access Connector handelt. Einzelheiten zur Connector Appliance finden Sie unter Connector Appliance für Cloud-Dienste.

  • Informationen zur Migration Ihres Gateway Connector zu Connector Appliance finden Sie unter Migrieren von Gateway Connector zu Connector

  • Für TCP-Apps muss Connector Appliance verwendet werden.

Citrix Gateway Connector — Ein virtuelles Gerät, das den Remote-Zugriff auf die Enterprise-Webanwendungen erleichtert. Citrix Gateway Connector ist ein virtuelles Gerät. Die Spezifikation der virtuellen Maschine muss mindestens Folgendes enthalten:

  • Die Anzahl der vCPUs muss genau 2 sein.
  • Mindestens 4 GB RAM.
  • 1 Netzwerkadapter (virtuelle Netzwerkkarte). Sie können bei Bedarf eine zusätzliche virtuelle Netzwerkkarte hinzufügen.

Installieren Sie den Gateway Connector, bevor Sie die Unternehmens-Web-Apps für einen saubereren Ansatz konfigurieren.

Weitere Informationen zu Citrix Gateway Connector finden Sie unter Citrix Gateway Connector.

Hinweis:

Wenn im on-premises Rechenzentrum, in dem der Citrix Gateway Connector bereitgestellt werden muss, SSL-Abfanggeräte vorhanden sind, ist die Connectorregistrierung nicht erfolgreich, wenn SSL-Interception für diese FQDNs aktiviert ist. SSL-Interception muss für diese FQDNs deaktiviert sein, um eine erfolgreiche Connectorregistrierung zu erreichen. Weitere Informationen zu Citrix Gateway Connector finden Sie unter Citrix CloudGateway Connector.

Funktionsweise

Der Citrix Secure Private Access Service stellt mithilfe des Connectors, der on-premises bereitgestellt wird, eine sichere Verbindung zum on-premises Rechenzentrum her. Dieser Connector dient als Brücke zwischen on-premises bereitgestellten Enterprise-Web-Apps und dem Citrix Secure Private Access Service. Diese Connectors können in einem HA-Paar bereitgestellt werden und erfordern nur eine ausgehende Verbindung.

Eine TLS-Verbindung zwischen dem Gateway-Connector und dem Citrix Secure Private Access Service in der Cloud schützt die lokalen Anwendungen, die im Cloud-Dienst aufgelistet sind. Auf Webanwendungen wird über Workspace über eine VPN-Verbindung zugegriffen und bereitgestellt.

Die folgende Abbildung zeigt den Zugriff auf Webanwendungen mit Citrix Workspace.

So funktionieren Web-Apps

So konfigurieren Sie eine Enterprise-Web-App

  1. Klicken Sie auf der Kachel Secure Private Access auf Verwalten.

  2. Klicken Sie auf der Landingpage Secure Private Access auf Continue und dann auf Add an app.

    Hinweis:

    Die Schaltfläche Weiter wird nur angezeigt, wenn Sie den Assistenten zum ersten Mal verwenden. In den nachfolgenden Verwendungen können Sie direkt zur Seite Anwendungen navigieren und dann auf App hinzufügen klicken.

  3. Wählen Sie die App aus, die Sie hinzufügen möchten, und klicken Sie auf Überspringen.

  4. In Wo ist die Anwendung?, wählen Sie den Standort aus.

  5. Geben Sie die folgenden Details im Abschnitt App-Details ein und klicken Sie auf Weiter.

    Einzelheiten zur SPA-App

    • App-Typ — Wählen Sie den App-Typ aus. Sie können zwischen HTTP/ HTTPS- oder UDP/TCP-Apps wählen.

    • Appname — Name der Anwendung.

    • Beschreibung der App — Eine kurze Beschreibung der App. Diese Beschreibung, die Sie hier eingeben, wird Ihren Benutzern im Workspace angezeigt.

    • App-Symbol — Klicken Sie auf Symbol ändern, um das App-Symbol zu ändern. Die Größe der Icon-Datei muss 128x128 Pixel betragen. Wenn Sie das Symbol nicht ändern, wird das Standardsymbol angezeigt.

      Wenn Sie das App-Symbol nicht anzeigen möchten, wählen Sie Anwendungssymbol nicht für Benutzer anzeigenaus.

    • Wählen Sie Direktzugriff, damit Benutzer direkt von einem Client-Browser aus auf die App zugreifen können. Einzelheiten finden Sie unter Direkter Zugriff auf Unternehmens-Web-Apps.

    • URL — URL mit Ihrer Kunden-ID. Die URL muss Ihre Kunden-ID (Citrix Cloud-Kunden-ID) enthalten. Informationen zum Abrufen Ihrer Kunden-ID finden Sie unter Anmelden für Citrix Cloud. Falls SSO fehlschlägt oder Sie SSO nicht verwenden möchten, wird der Benutzer zu dieser URL umgeleitet.

      Kundendomänenname und Kundendomänen-ID - Der Domainname und die ID des Kunden werden verwendet, um die App-URL und andere nachfolgende URLs auf der SAML-SSO-Seite zu erstellen.

      Wenn Sie beispielsweise eine Salesforce-App hinzufügen, ist Ihr Domainname salesforceformyorg und die ID 123754, dann ist die App-URL https://salesforceformyorg.my.salesforce.com/?so=123754.

      Die Felder “Kundendomänenname” und “Kunden-ID” sind spezifisch für bestimmte Apps.

    • Verwandte Domains — Die zugehörige Domäne wird automatisch basierend auf der von Ihnen angegebenen URL ausgefüllt. Verwandte Domain hilft dem Dienst, die URL als Teil der App zu identifizieren und den Datenverkehr entsprechend weiterzuleiten. Sie können mehr als eine verwandte Domain hinzufügen.

  6. Klicken Sie auf Weiter.

  7. Wählen Sie im Abschnitt Erweiterte Sicherheit die Option Erweiterte Sicherheit aktivieren aus, um die Sicherheitsoptionen auszuwählen, die Sie für die Anwendung anwenden möchten.

    Verbesserte SPA-Sicherheit

  8. Wählen Sie Erweiterte Sicherheit aktivieren aus, um alle für die Apps verfügbaren Sicherheitsoptionen zu aktivieren.

    Wichtig:

    Der Abschnitt “ Erweiterte Sicherheit “ ist nur verfügbar, wenn Sie für den Citrix Secure Private Access Service berechtigt sind. Einzelheiten finden Sie unter https://www.citrix.com/products/citrix-cloud/.

    • Sie können je nach Anforderung auch die folgenden erweiterten Sicherheitsoptionen aktivieren.

      • Zugriff auf die Zwischenablage einschränken: Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen der App und der System-Zwischenablage
      • Drucken einschränken: Deaktiviert die Möglichkeit, aus dem Citrix Workspace-App-Browser heraus zu drucken
      • Downloads einschränken: Deaktiviert die Möglichkeit des Downloads des Benutzers in der App
      • Wasserzeichen anzeigen: Zeigt auf dem Bildschirm des Benutzers ein Wasserzeichen an, das den Benutzernamen und die IP-Adresse des Geräts des Benutzers anzeigt
    • Aktivieren Sie erweiterte Sicherheitsrichtlinien für die App.

      • Keylogging einschränken: Schützt vor Keyloggern. Wenn ein Benutzer versucht, sich mit dem Benutzernamen und dem Kennwort bei der App anzumelden, werden alle Schlüssel auf den Keyloggern verschlüsselt. Außerdem sind alle Aktivitäten, die der Benutzer in der App ausführt, vor Key-Logging geschützt. Wenn beispielsweise App-Schutzrichtlinien für Office365 aktiviert sind und der Benutzer ein Office365-Word-Dokument bearbeitet, werden alle Tastenanschläge auf Keyloggern verschlüsselt.

      • Bildschirmaufnahme einschränken: Deaktiviert die Möglichkeit, die Bildschirme mit einem der Bildschirmaufnahmeprogramme oder Apps zu erfassen. Wenn ein Benutzer versucht, den Bildschirm zu erfassen, wird ein leerer Bildschirm aufgenommen.

    • Wählen Sie Anwendung immer im Citrix Secure Browser-Dienst starten aus, um unabhängig von anderen erweiterten Sicherheitseinstellungen immer eine Anwendung im Secure Browser-Dienst zu starten.

      Hinweis:

      • Die anderen erweiterten Sicherheitsoptionen werden weiterhin durchgesetzt, sobald die App im Secure Browser gestartet wird.

      • Wenn Sie von der Citrix Workspace-App oder von Citrix Workspace for Web auf die App zugreifen, wird die App im eingebetteten Browser bzw. im nativen Browser gestartet, bis die Richtlinie auf Mobilgeräten durchgesetzt wird.

    • Wählen Sie Richtlinie auf Mobilgeräten erzwingen aus, um die oben genannten erweiterten Sicherheitsoptionen auf Ihrem Mobilgerät zu aktivieren.

      Hinweis:

      Wenn Richtlinie auf Mobilgeräten erzwingen zusammen mit Erhöhte Sicherheit aktivieren ausgewählt ist, wird die Benutzererfahrung für den Anwendungszugriff für die Desktop-Benutzer und die mobilen Benutzer negativ beeinflusst.

  9. Klicken Sie auf Weiter.

  10. Wählen Sie den gewünschten Single-Sign-On-Typ aus, der für Ihre Anwendung verwendet werden soll, und klicken Sie auf Speichern. Die folgenden Single-Sign-On-Typen sind verfügbar.

    Einmaliges Anmelden mit SPA

    • Basic — Wenn Ihr Back-End-Server Ihnen eine Basic-401-Herausforderung stellt, wählen Sie Basic SSO . Sie müssen keine Konfigurationsdetails für den Basis-SSO Typ angeben.
    • Kerberos — Wenn Ihr Back-End-Server Ihnen die negotiate-401 Challenge präsentiert, wählen Sie Kerberos. Sie müssen keine Konfigurationsdetails für den Kerberos-SSO Typ angeben.
    • Formularbasiert — Wenn Ihr Backend-Server Ihnen ein HTML-Formular zur Authentifizierung präsentiert, wählen Sie Formularbasiert . Geben Sie die Konfigurationsdetails für den Typ “ Formularbasiertes SSO” ein.
    • SAML - Wählen Sie SAML für SAML-basiertes SSO in Webanwendungen. Geben Sie die Konfigurationsdetails für den SAML-SSO-Typ ein.
    • SSO nicht verwenden — Verwenden Sie die Option SSO nicht verwenden, wenn Sie keinen Benutzer auf dem Backend-Server authentifizieren müssen. Wenn die Option “ SSO nicht verwenden “ ausgewählt ist, wird der Benutzer zu der im Abschnitt “ App-Details “ konfigurierten URL weitergeleitet.

    Formularbasierte Details: Geben Sie die folgenden formularbasierten Konfigurationsdetails im Abschnitt Single Sign On ein und klicken Sie auf Speichern.

    config1 speichern

    • Aktions-URL - Geben Sie die URL ein, an die das ausgefüllte Formular gesendet wird.
    • Anmeldeformular-URL — Geben Sie die URL ein, auf der das Anmeldeformular angezeigt wird.
    • Benutzername-Format - Wählen Sie ein Format für den Benutzernamen aus.
    • Formularfeld für Benutzernamen — Geben Sie ein Benutzernamen-Attribut ein
    • Formularfeld Kennwort — Geben Sie ein Kennwortattribut ein.

    SAML: Geben Sie die folgenden Details im Abschnitt Sign on ein und klicken Sie auf Save.

    config2 speichern

    • Assertion signieren - Das Signieren der Assertion oder Antwort gewährleistet die Integrität der Nachricht, wenn die Antwort oder Assertion an die vertrauende Partei (SP) übermittelt wird. Sie können Assertion, Response, Both oder None auswählen.
    • Assertion-URL — Assertion-URL wird vom Anwendungsanbieter bereitgestellt. Die SAML-Assertion wird an diese URL gesendet.
    • Relay State — Der Relay State-Parameter wird verwendet, um die spezifische Ressource zu identifizieren, auf die Benutzer zugreifen, nachdem sie angemeldet und an den Verbundserver der verweisenden Partei weitergeleitet wurden. Relay-Status generiert eine einzelne URL für die Benutzer. Benutzer können auf diese URL klicken, um sich bei der Zielanwendung anzumelden.
    • Zielgruppe — Die Zielgruppe wird vom Anwendungsanbieter bereitgestellt. Dieser Wert bestätigt, dass die SAML-Assertion für die richtige Anwendung generiert wurde.
    • Namens-ID-Format — Wählen Sie das unterstützte Format für Namensbezeichner

    • Name-ID — Wählen Sie die unterstützte Namen-ID aus.
  11. Fügen Sie unter Erweiterte Attribute (optional)zusätzliche Informationen über den Benutzer hinzu, die für Zugriffskontrollentscheidungen an die Anwendung gesendet werden.

  12. Laden Sie die Metadatendatei herunter, indem Sie auf den Link unter SAML-Metadaten klicken. Verwenden Sie die heruntergeladene Metadatendatei, um SSO auf dem SaaS-Apps-Server zu konfigurieren.

    Hinweis:

    • Sie können die SSO-Anmelde-URL unter Anmelde-URL kopieren und diese URL verwenden, wenn Sie SSO auf dem SaaS-Apps-Server konfigurieren.
    • Sie können das Zertifikat auch aus der Zertifikatsliste herunterladen und das Zertifikat verwenden, wenn Sie SSO auf dem SaaS-Apps-Server konfigurieren.
  13. Klicken Sie auf Weiter.

  14. Definieren Sie im Abschnitt App Connectivity das Routing für die zugehörigen Anwendungsdomänen, wenn die Domänen extern oder intern über Citrix Gateway-Connectors geroutet werden müssen. Einzelheiten finden Sie unter Weiterleiten von Tabellen zur Lösung von Konflikten, wenn die zugehörigen Domänen sowohl in SaaS als auch in Web-Apps identisch sind.

    Konnektivität der SPA-Anwendung

  15. Klicken Sie auf Weiter.

  16. Weisen Sie im Abschnitt App-Abonnenten der App Benutzer oder Gruppen zu.

    Abonnenten der SPA-Anwendung

    • Wählen Sie unter Domain auswählen die für die App zutreffende Domain aus, und wählen Sie dann unter Gruppe oder Benutzer auswählen die Gruppe oder den Benutzer aus, für den bzw. den Sie diese App abonnieren möchten. Sie können zwischen einem Benutzer und einer Gruppe anhand des Aussehens der Alphabete U oder G unterscheiden, die gegen den Namen stehen.

    • Klicken Sie auf Speichern. Die Abonnentendetails werden automatisch geladen.

Sie können einen abonnierten Benutzer oder eine Gruppe abbestellen, indem Sie auf das Löschen-Symbol neben Status klicken.

  1. Klicken Sie auf Fertig stellen.

    Nachdem Sie auf Fertig stellengeklickt haben, wird die App zur Seite Anwendungen hinzugefügt. Sie können auf der Seite Anwendungen eine App löschen, verwalten oder bearbeiten, nachdem Sie die Anwendung konfiguriert haben. Klicken Sie dazu in einer App auf die Ellipsenschaltfläche und wählen Sie die Aktionen entsprechend aus.

    • Abonnenten verwalten
    • Anwendung bearbeiten
    • Löschen
Unterstützung für unternehmenseigene Web-Apps