Smart Access mit adaptiver Authentifizierung

Citrix Cloud-Kunden können Smart Access (adaptiver Zugriff) für Citrix DaaS mithilfe der adaptiven Authentifizierung als IdP für Citrix Workspace bereitstellen.

Mit der Smart Access-Funktion kann der Adaptive Authentication-Dienst alle Richtlinieninformationen über den Benutzer in Citrix Workspace oder Citrix DaaS anzeigen. Der Adaptive Authentication-Dienst kann Gerätehaltung (EPA), Netzwerkstandort (innerhalb oder außerhalb des Unternehmensnetzwerks, Geolocation), Benutzerattribute wie Benutzergruppen, Tageszeit oder eine Kombination dieser Parameter als Teil der Richtlinieninformationen bereitstellen. Der Citrix DaaS-Administrator kann dann diese Richtlinieninformationen verwenden, um den kontextbezogenen Zugriff auf Citrix DaaS zu konfigurieren. Citrix DaaS kann entweder basierend auf früheren Parametern (Zugriffsrichtlinie) aufgezählt werden oder nicht. Einige Benutzeraktionen können auch gesteuert werden, wie der Zugriff auf die Zwischenablage, die Druckerumleitung, das Clientlaufwerk oder die USB-Zuordnung.

Anwendungsbeispiele:

  1. Der Administrator kann die Gruppe von Apps so konfigurieren, dass sie nur von bestimmten Netzwerkstandorten wie dem Unternehmensnetzwerk aus angezeigt oder darauf zugegriffen wird.
  2. Der Administrator kann die Gruppe von Apps so konfigurieren, dass sie nur von unternehmensverwalteten Geräten angezeigt oder darauf zugegriffen werden kann. EPA-Scans können beispielsweise überprüfen, ob es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät oder BYOD handelt. Basierend auf dem EPA-Scanergebnis können die relevanten Apps für den Benutzer aufgelistet werden.

Voraussetzungen

  • Adaptive Authentication als IdP muss für Citrix Workspace konfiguriert sein. Einzelheiten finden Sie unter Adaptive Authentication Service.

    Gateway-als-IDP

  • Der Adaptive Authentication Service mit Citrix DaaS ist in Betrieb.

Den Ablauf der Ereignisse für Smart Access verstehen

  1. Der Benutzer meldet sich bei Citrix Workspace an.
  2. Der Benutzer wird zum adaptiven Authentifizierungsdienst umgeleitet, der als IdP konfiguriert ist.
  3. Der adaptive Authentifizierungsdienst führt zusammen mit anderen Prüfungen eine EPA-Prüfung durch.
  4. Der als IdP konfigurierte Adaptive Authentication Service übernimmt die Authentifizierung.
  5. Adaptive Authentication Service überträgt die Tags an den Citrix Graph-Dienst. Der Benutzer wird zur Zielseite von Citrix Workspace umgeleitet.
  6. Citrix Workspace ruft die Richtlinieninformationen für diese Benutzersitzung ab, stimmt mit dem Filter überein und wertet die Apps oder Desktops aus, die aufgezählt werden müssen.
  7. Konfigurieren Sie die Zugriffsrichtlinie für Citrix DaaS, um den ICA-Zugriff für Benutzer einzuschränken.

Konfigurationsszenario — App-Aufzählung basierend auf Geräte-Haltungsscans

Schritt 1 — Konfigurieren Sie Smart Access-Richtlinien auf der Citrix Adaptive Authentication-Instanz:

In der folgenden Beispielkonfiguration wird eine andere Gruppe von Anwendungen basierend auf domain-joined- oder non-domain joined-Anmeldung aufgelistet.

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Smart Access > Profile.

  2. Klicken Sie auf der Registerkarte Profile auf Hinzufügen, um ein Profil Domainjoined-SmartAccessProfile mit dem Tag DomainJoined zu erstellen. Erstellen Sie auf ähnliche Weise eine andere Richtlinie NonDomainJoined-SmartAccessProfile mit dem Tag NonDomainJoined

    Smart-Access-Profile

  3. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Smart Access > Richtlinien.

  4. Klicken Sie auf der Seite Smart Access-Richtlinie für Authentifizierung konfigurieren auf Hinzufügen, um eine Richtlinie mit dem Namen zu erstellen Domainjoined-SmartAccessPol.

  5. Wählen Sie auf der Seite Configure Authentication Smart Access Policy unter Aktiondas zuvor erstellte DomainJoined-SmartAccessProfile aus und klicken Sie auf Hinzufügen.

    Konfiguration von Richtlinien für intelligenten Zugriff

  6. Geben Sie im Feld Ausdruck AAA.USER.GROUPS.CONTAINS (“DomainJoinedGroup”) ein, und klicken Sie auf OK.

  7. Erstellen Sie auf ähnliche Weise eine weitere Richtlinie namens NonDomainJoined-SmartAccessPol (wählen Sie unter Aktion die Option Zuvor erstellt aus NonDomainJoined-SmartAccessProfile).

    Smart-Access-Profile

  8. Binden Sie die Smart Access-Richtlinie an den virtuellen Server für Authentifizierung und Autorisierung.

Schritt 2 — Citrix DaaS-Konfiguration:

  1. Klicken Sie in der Citrix DaaS-Kachel auf Verwalten.

  2. Gehen Sie zu Bereitstellungsgruppen und klicken Sie auf Bereitstellungsgruppe bearbeiten.

  3. Klicken Sie mit der rechten Maustaste auf die Bereitstellungsgruppe und wählen Sie Bearbeiten aus, um zu konfigurieren, wann die Apps dieser Bereitstellungsgruppe aufgelistet werden müssen und gestartet werden dürfen.
  4. Klicken Sie auf Zugriffsrichtlinie und fügen Sie die erforderlichen Tags hinzu. Die Farm muss immer auf Workspace festgelegt sein und der Filter muss eines der Tags enthalten, die Sie basierend auf der früheren Konfiguration erstellt haben.
  5. Wiederholen Sie die vorherigen Schritte, um weitere Tags hinzuzufügen. Wenn mehrere Tags verwendet werden und mindestens eines der Tags vorhanden ist, steht die Bereitstellungsgruppe dem Kunden zur Verfügung.

    ! [Smart-access-edit-delivery-group] (/en-us/citrix-secure-private-access/media/smart-access-policies.png)

Hinweis:

  • Stellen Sie sicher, dass die Tags in Großbuchstaben geschrieben sind.
  • Wenn ein Administrator die Konfiguration eines bestimmten Tags im Adaptive Authentication-Dienst entfernt, muss das Tag auch aus Web Studio und den Bereitstellungsgruppen entfernt werden. Der Administrator darf die gelöschten Tag-Namen nicht wiederverwenden. Admins müssen immer neue Tag-Namen verwenden.

Nach erfolgreicher Konfiguration listet die Anmeldung bei Beitritt zur Domäne die folgenden Apps auf.

Smart-Access-Domain ist der Gruppe beigetreten

Nach erfolgreicher Konfiguration listet die Anmeldung ohne Domäne die folgenden Apps auf.

! [Smart-access-non-domain-joined-group] (/en-us/citrix-secure-private-access/media/smart-access-non-domain-joined.png)

Schritt 3 — Hinzufügen einer Zugriffsrichtlinie für die Smart Access-Tags:

  1. Navigieren Sie unter Verwalten zu Richtlinien, und erstellen Sie eine Richtlinie.
  2. Wählen Sie die entsprechende ICA-Richtliniensteuerung aus.
  3. Wählen Sie unter Richtlinie zuweisen zu die Option “Zugriffskontrolle”.

Richtlinie für die Zuweisung von Smart-Access-Zuweisungen

  1. Weisen Sie das Smart Access-Tag (in Großbuchstaben) in der Zugriffsbedingung zu.

! [Smart-access-assign-to-access-control] (/en-us/citrix-secure-private-access/media/smart-access-assign-policy-access-control.png)

Problembehandlung

- Was ist, wenn keine Tags gedrückt werden:

Zusätzliche Änderungen für das Hochverfügbarkeitssetup:

Manchmal kann es in einem Hochverfügbarkeitssetup zu einer verzögerten Dateisynchronisierung kommen. Daher werden die Schlüssel, die bei der Citrix ADM-Registrierung erstellt wurden, nicht rechtzeitig gelesen.

Wir suchen nach den folgenden drei Dateien auf der Sekundärseite.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Um das Problem mit der Dateisynchronisierung zu beheben, führen Sie die folgenden Schritte aus, um den Befehl “set cloud” auf der Sekundärseite erneut auszuführen.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
Smart Access mit adaptiver Authentifizierung