Apps und Richtlinien mit dem Secure Private Access-Konfigurationstool konfigurieren — Legacy

Sie können das Secure Private Access-Konfigurationstool auf einem Citrix Virtual Apps and Desktops Delivery Controller verwenden, um schnell eine SaaS- oder Webanwendung zu erstellen. Darüber hinaus können Sie dieses Tool verwenden, um Anwendungseinschränkungen und das Routing von Datenverkehr festzulegen und ein NetScaler Gateway zu erstellen. Das Tool generiert Skriptdateien als Ausgabe, die auf den jeweiligen Computern ausgeführt werden können, um die Konfiguration bereitzustellen.

Unterstützte Produktversionen

Stellen Sie sicher, dass Ihr Produkt die Mindestanforderungen an die Version erfüllt.

• Citrix Workspace-App
  • Windows - 2303 und höher
  • macOS - 2304 und höher
• Citrix Virtual Apps and Desktops — Unterstütztes LTSR und aktuelle Versionen
• StoreFront - LTSR 2203 oder Nicht-LTSR 2212 und höher
• NetScaler — 12.1 und höher

Voraussetzungen für die Verwendung des Config-Tools

• Zugriff zum Herunterladen des Konfigurationstools von der Download-Seite.
• Administratorberechtigungen auf dem Citrix Virtual Apps and Desktops Controller zur Ausführung des Konfigurationstools.
• Auf dem Delivery Controller ist mindestens eine Bereitstellungsgruppe vorhanden.

Beginnen Sie mit dem Config-Tool

Sie können die folgenden Aufgaben mit dem Konfigurationstool ausführen.

• Veröffentlichen Sie eine neue Anwendung
• Legen Sie Anwendungseinschränkungen fest
• Konfiguration der StoreFront- und NetScaler Gateway-Einstellungen
• Neues NetScaler Gateway konfigurieren

Veröffentlichen Sie eine neue Anwendung

1. Führen Sie das Konfigurationstool aus.

2. Wählen Sie im Abschnitt App auswählen in der Dropdownliste die Option Neue App aus, und klicken Sie dann auf Hinzufügen.

   

3. Schließen Sie die App-Konfiguration ab.

   • Desktop-Bereitstellungsgruppe: Wählen Sie die Bereitstellungsgruppe aus, für die diese App zugänglich gemacht werden muss. Alle vorhandenen Bereitstellungsgruppen werden in der Desktop-Bereitstellungsgruppe aufgeführt.
   • App-Name: Geben Sie den App-Namen ein.
   • App-URL: Geben Sie die URL für die App an.

   • Benutzergruppe: Geben Sie sowohl den Domainnamen als auch den Gruppennamen im Format „Domäne\ Gruppe“ ein. Benutzergruppen können Leerzeichen enthalten. Zum Beispiel „cgwsanity.net\ grp-microsoft“, „cgwsanity.net\ grp microsoft“. Diese Gruppen müssen bereits im Active Directory existieren.

     Note:

     • Built-in domain security groups such as “Domain Users” or “Domain Admins” are not supported. Only the manually created user groups must be used.
     • The user group is only used in NetScaler Gateway authorization policies and not for app assignments in Citrix Virtual Apps and Desktops. Hence, the user group that you enter here is not visible in Studio.

   • App-Symbol: Das Tool verwendet favicon.ico der URL, falls es erkannt wird. Der Administrator kann die Symbole bei Bedarf auch anpassen. Wenn vom Administrator kein Symbol bereitgestellt wird, wird der App das Standardsymbol zugewiesen.
4. Klicken Sie auf Erstellen.

Die Anwendung wird auf dem Delivery Controller veröffentlicht und steht den Benutzern in den Benutzergruppen in StoreFront zur Verfügung.

Legen Sie Anwendungseinschränkungen fest

Nachdem Sie eine neue Anwendung veröffentlicht haben, können Sie Einschränkungen für diese App aktivieren oder deaktivieren.

1. Wählen Sie im Abschnitt App auswählen die App aus der Dropdown-Liste aus, für die Sie die Einstellungen erzwingen möchten.

   

2. Konfigurieren Sie die App-Einstellungen im Abschnitt App-Einstellungen.

   • Muster verwandter Domänen: Die zugehörige Domänen-URL wird basierend auf der App-URL automatisch ausgefüllt. Admins können zusätzliche Domains hinzufügen, die durch ein Komma getrennt sind.
   • Active Directory-Gruppe: Geben Sie die Gruppen ein, für die diese Anwendung zugänglich sein muss. Dies ist ein Pflichtfeld. Sie können mehrere Gruppen eingeben, die durch ein Komma getrennt sind. Diese Gruppen müssen mit den im Active Directory verfügbaren Gruppen übereinstimmen. Die Gruppennamen, die Sie hier eingeben, wurden nicht überprüft. Daher ist es wichtig, dass Sie darauf achten, die Gruppennamen so einzugeben, dass sie mit dem übereinstimmen, was im Active Directory vorhanden ist.
   • App-Einstellungen: Alle App-Einstellungen sind standardmäßig eingeschränkt (ausgewählt). Sie können die entsprechenden Einstellungen, die Sie für die Benutzergruppen wünschen, auswählen oder deaktivieren.
   • Proxyverkehr: Wählen Sie SecureBrowse aus. Diese Einstellung ermöglicht es dem Citrix Enterprise Browser, den Datenverkehr über NetScaler Gateway zur Webseite zu tunneln.

3. Klicken Sie auf Anwenden.

Konfiguration der StoreFront- und NetScaler Gateway-Einstellungen

Sie können Einstellungen für das Routing von Datenverkehr über NetScaler Gateway konfigurieren. Im Abschnitt Gateway- und StoreFront-Einstellungen können Sie ein vorhandenes NetScaler Gateway konfigurieren oder ein neues NetScaler Gateway erstellen.

• Standardroute: Wenn keine Richtlinie für die App definiert ist, wird die Standardroute für die Apps angewendet.

  • SecureBrowse: Der Citrix Enterprise Browser tunnelt den Datenverkehr über NetScaler Gateway zur Webseite.
  • Direkt: Der Citrix Enterprise Browser ermöglicht den direkten Zugriff auf die Apps.
• NetScaler Gateway: Geben Sie die NetScaler Gateway-URL ein.
• StoreFront-Store-URL: Geben Sie die vollständige StoreFront-Store-URL ein. Beispiel: http://<directory path>/Citrix/<StoreName>. Sie können die URL von der StoreFront-Konsole abrufen.
• (Optional)Neues Gateway erstellen: Aktivieren Sie das Kontrollkästchen, um ein neues NetScaler Gateway zu erstellen, und klicken Sie auf Erstellen.

Neues NetScaler Gateway erstellen (optional)

Sie können ein neues NetScaler Gateway erstellen, wenn Sie die vorhandenen Gateway-Einstellungen nicht ändern möchten.

Wenn Sie bereits über ein NetScaler Gateway verfügen, können Sie die Autorisierungsrichtlinien und Bindungen für die Apps mithilfe des Konfigurationstools konfigurieren.

1. Sie müssen die folgenden Details für das neue NetScaler Gateway eingeben. Das Tool überprüft die Werte, die Sie beim Erstellen eines neuen Gateway eingeben, nicht. Daher ist es wichtig, dass Sie darauf achten, genaue Werte einzugeben.

   

   • Gateway-IP: IP-Adresse des NetScaler Gateway.

   • Authentifizierungsprofil: Geben Sie den Namen des Authentifizierungsprofils ein, der bereits auf NetScaler konfiguriert ist. Weitere Informationen finden Sie unter Authentifizierungsprofile.
   • Name des Serverzertifikats: Geben Sie den Namen des SSL-Zertifikats ein, der bereits auf NetScaler konfiguriert ist. Einzelheiten finden Sie unter SSL-Zertifikate.
   • Domäne: Wird für SSO für Apps im internen Netzwerk verwendet. Einzelheiten finden Sie unter VPN-Sitzungsaktion.
2. Klicken Sie auf Anwenden.

3. Klicken Sie auf Richtlinie und Skripts generieren.

   Die Dateien policy.json, storefront.ps1 und gateway_config werden generiert und an dem Ort gespeichert, von dem aus Sie das Konfigurationstool ausgeführt haben.

   

Wenn Sie die Datei gateway_config in einer unterstützten Anwendung öffnen, können Sie zwei Abschnitte in der Ausgabedatei sehen.

• Abschnitte zur NetScaler Gateway-Konfiguration (gilt nur, wenn ein neues Gateway erstellt wird)
• Abschnitte, die sich auf Autorisierungsrichtlinien, Benutzergruppen und verbindliche Richtlinien für die Benutzergruppen beziehen.

Die folgende Abbildung zeigt die Datei gateway_config einer neuen NetScaler Gateway-Konfiguration.

Die folgende Abbildung zeigt die Datei gateway_config einer aktualisierten NetScaler Gateway-Konfiguration.

Konfiguration von StoreFront mit dem neuen NetScaler Gateway

• Für die Konfiguration der StoreFront- und NetScaler Gateway-Einstellungen im Tool benötigen Sie Folgendes:

  • NetScaler Gateway-FQDN
  • StoreFront-Store-URL

• Anforderungen an die StoreFront-Konfiguration:

  • NetScaler Gateway: Der Remotezugriff ist aktiviert.
  • Die Passthrough-Authentifizierung von NetScaler Gateway ist aktiviert.
  • Active Directory: Administratorzugriff zum Hinzufügen oder Aktualisieren von Benutzern oder Gruppen sowie zum Konfigurieren von Authentifizierungsprofilen oder -richtlinien auf NetScaler.

Weitere Informationen finden Sie unter Integrieren von NetScaler Gatewayin StoreFront.

Verwenden Sie die Ausgabedateien des Konfigurationstools, um die Konfiguration von Apps und Richtlinien bereitzustellen

Das Config-Tool generiert die folgenden Dateien. Diese Dateien werden in dem Ort/Verzeichnis gespeichert, in dem das Tool hochgeladen und ausgeführt wird.

• policy.json
• storefront.ps1
• gateway_config

1. Kopieren Sie storefront.ps1-Dateien nach StoreFront.

2. Führen Sie das storefront.ps1-Skript auf PowerShell als Administrator aus.

   Das Skript erstellt einen Ordner Resources\ SecureBrowser, falls er nicht bereits im Pfad unter Store verfügbar ist.

   Das Skript aktualisiert auch die Datei web.config für die Route für die Datei policy.json.

3. Kopieren Sie die Datei policy.json in den Ordner Resources\ SecureBrowser, den storefront.ps1 unter dem Store erstellt.

4. Kopieren Sie die gateway_config in einen NetScaler und führen Sie das Skript mit dem folgenden Batch-Befehl auf der NetScaler-CLI aus.

   batch -fileName /var/tmp/gateway_config -outfile /var/tmp/gateway_config_output

Hinweis:

• Wenn eine Konfigurationsänderung im Tool vorgenommen wird, müssen die Skripts und Richtlinien neu generiert werden. Sie müssen die Datei policy.json erneut in den Ordner Resources\ SecureBrowser auf dem StoreFront-Computer kopieren und das gateway_config-Skript muss erneut auf dem NetScaler ausgeführt werden.
• Sie müssen storefront.ps1 nicht erneut ausführen, wenn der Storename/die URL nicht geändert wird.

Zusätzliche Referenzen

Weitere Informationen finden Sie in der folgenden Dokumentation.

• Secure Private Access for on-premises
• Bereitstellungsleitfaden: Secure Private Access On-Premises