Citrix Secure Private Access

Unterstützung für Client-Server-Apps

Mit Citrix Secure Private Access können Sie jetzt auf alle privaten Apps zugreifen, einschließlich TCP/UDP- und HTTPS-Apps, entweder mit einem nativen Browser oder einer nativen Clientanwendung über den Citrix Secure Access-Client, der auf Ihrem Computer ausgeführt wird.

Mit der zusätzlichen Unterstützung von Client-Server-Anwendungen in Citrix Secure Private Access können Sie jetzt die Abhängigkeit von einer herkömmlichen VPN-Lösung beseitigen, um Remotebenutzern Zugriff auf alle privaten Apps zu ermöglichen.

Preview-Features

Unterstützung für DNS-Suffixe zur Auflösung von FQDNs in IP-Adressen.

Funktionsweise

Endbenutzer können problemlos auf alle ihre genehmigten privaten Apps zugreifen, indem sie einfach den Citrix Secure Access Client auf ihren Client-Geräten installieren.

Admin-Konfiguration — Client-basierter Zugriff von Citrix Secure Access auf TCP/UDP-Apps

Voraussetzungen

Stellen Sie sicher, dass die folgenden Anforderungen für den Zugriff auf TCP/UDP-Apps erfüllt sind.

  • Zugriff auf Citrix Secure Private Access in der Citrix Cloud.
  • Citrix Cloud Connector — Installieren Sie eine Citrix Cloud Connector für Active Directory-Domänenkonfiguration wie in der Cloud Connector-Installationerfasst.
  • Identitäts- und Zugriffsmanagement — Schließen Sie die Konfiguration ab. Einzelheiten finden Sie unter Identitäts- und Zugriffsmanagement.
  • Connector-Appliance — Citrix empfiehlt, zwei Connector-Appliances in einer Hochverfügbarkeitskonfiguration an Ihrem Ressourcenstandort zu installieren Der Connector kann entweder on-premises, im Hypervisor des Rechenzentrums oder in der Public Cloud installiert werden. Weitere Informationen zur Connector-Appliance und ihrer Installation finden Sie unter Connector Appliance for Cloud Services.
  • Sie müssen eine Connector Appliance für TCP/UDP-Apps verwenden.

Wichtig:

Eine vollständige End-to-End-Konfiguration einer App finden Sie unter Admin-geführter Workflow für einfaches Onboarding und Setup.

  1. Klicken Sie auf der Citrix Secure Private Access-Kachel auf Verwalten.
  2. Klicken Sie auf Weiter und dann auf App hinzufügen .

    Hinweis:

    Die Schaltfläche Weiter wird nur angezeigt, wenn Sie den Assistenten zum ersten Mal verwenden. Bei den nachfolgenden Verwendungen können Sie direkt zur Seite Anwendungen navigieren und dann auf App hinzufügen klicken.

    App ist eine logische Gruppierung von Zielen. Wir können eine App für mehrere Ziele erstellen - Jedes Ziel bedeutet verschiedene Server im Backend. Eine App kann beispielsweise einen SSH, einen RDP, einen Datenbankserver und einen Webserver haben. Sie müssen nicht eine App pro Ziel erstellen, aber eine App kann viele Ziele haben.

  3. Klicken Sie im Abschnitt Vorlage auswählen auf Überspringen, um die TCP/UDP-App manuell zu konfigurieren.
  4. Wählen Sie im Abschnitt App-Details die Option In meinem Unternehmensnetzwerkaus, geben Sie die folgenden Details ein und klicken Sie auf Weiter.

    Einzelheiten zur TCP-App

    • App-Typ — Wählen Sie TCP/UDP aus.
    • Appname — Name der Anwendung.
    • App-Symbol— Ein App-Symbol wird angezeigt. Das Feld ist optional.
    • App-Beschreibung — Beschreibung der App, die Sie hinzufügen. Das Feld ist optional.
    • Ziele — IP-Adressen oder FQDNs der Back-End-Computer, die sich im Ressourcenstandort befinden. Ein oder mehrere Ziele können wie folgt angegeben werden.
      • IP-Adresse v4
      • IP-Adressbereich — Beispiel: 10.68.90.10-10.68.90.99
      • CIDR — Beispiel: 10.106.90.0/24
      • FQDN der Maschinen oder Domänenname — Einzel- oder Platzhalterdomäne. Beispiel: ex.destination.domain.com, *.domain.com

        Wichtig:

        Endbenutzer können über FQDN auf die Apps zugreifen, auch wenn der Administrator die Apps mithilfe der IP-Adresse konfiguriert hat. Dies ist möglich, weil der Citrix Secure Access Client einen FQDN in die echte IP-Adresse auflösen kann. Die folgende Tabelle enthält Beispiele für verschiedene Ziele und wie Sie mit diesen Zielen auf die Apps zugreifen können:

        Ziel-Eingabe So greifen Sie auf die App zu
        10.10.10.1-10.10.10.100 Es wird erwartet, dass der Endbenutzer nur über IP-Adressen in diesem Bereich auf die App zugreift.
        10.10.10.0/24 Es wird erwartet, dass der Endbenutzer nur über die im IP-CIDR konfigurierten IP-Adressen auf die App zugreift.
        10.10.10.101 Es wird erwartet, dass der Endbenutzer nur bis 10.10.10.101 auf die App zugreift
        *.info.citrix.com Es wird erwartet, dass der Endbenutzer auf Unterdomänen von info.citrix.com und auch info.citrix.com (der übergeordneten Domäne) zugreift. Zum Beispiel info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com Hinweis: Der Platzhalter muss immer das Startzeichen der Domäne sein und nur ein *. ist zulässig.
        info.citrix.com Es wird erwartet, dass der Endbenutzer nur auf info.citrix.com und nicht auf Unterdomänen zugreift. Zum Beispiel, sub1.info.citrix.com ist nicht zugänglich.
    • Port — Der Port, auf dem die App ausgeführt wird. Administratoren können mehrere Ports oder Portbereiche pro Ziel konfigurieren.

      Die folgende Tabelle enthält Beispiele für Ports, die für ein Ziel konfiguriert werden können.

      Port-Eingang Beschreibung
      * Standardmäßig ist das Port-Feld auf “*” (any port) eingestellt. Die Portnummern von 1 bis 65535 werden für das Ziel unterstützt.
      1300–2400 Die Portnummern von 1300 bis 2400 werden für das Ziel unterstützt.
      38389 Nur die Portnummer 38389 wird für das Ziel unterstützt.
      22,345,5678 Die Ports 22, 345, 5678 werden für das Ziel unterstützt.
      1300–2400, 42000-43000,22,443 Die Portnummern reichen von 1300 bis 2400, 42000—43000, und die Ports 22 und 443 werden für das Ziel unterstützt.

      Hinweis:

      Wildcard-Port (*) kann nicht mit Portnummern oder Bereichen koexistieren.

    • Protokoll — TCP/UDP
  5. Im Abschnitt App-Konnektivität ist eine Miniversion der Tabelle Anwendungsdomänen verfügbar, um die Routing-Entscheidungen zu treffen. Für jedes Ziel können Sie einen anderen oder denselben Ressourcenstandort wählen. Ziele, die im vorherigen Schritt konfiguriert wurden, werden in der Spalte DESTINATION aufgefüllt. Die hier hinzugefügten Ziele werden auch der Haupttabelle Anwendungsdomänen hinzugefügt. **Die Tabelle Anwendungsdomänen ist die Informationsquelle für die Routing-Entscheidung, um den Verbindungsaufbau und den Datenverkehr an den richtigen Ressourcenstandort weiterzuleiten. Weitere Informationen zur Tabelle **Anwendungsdomänen und zu möglichen IP-Konfliktszenarien finden Sie im Abschnitt Anwendungsdomänen — IP-Adresskonfliktlösung .
  6. Wählen Sie für die folgenden Felder eine Eingabe aus dem Dropdown-Menü aus und klicken Sie auf Weiter.

    Hinweis:

    Nur der interne Routentyp wird unterstützt.

    • RESSOURCENSTANDORT — Im Dropdown-Menü müssen Sie eine Verbindung zu einem Ressourcenstandort herstellen, auf dem mindestens eine Connector-Appliance installiert ist.

      Hinweis:

      Die Installation der Connector Appliance wird im Abschnitt App Connectivity unterstützt. Sie können es auch im Abschnitt Ressourcenstandorte im Citrix Cloud-Portal installieren. Weitere Informationen zum Erstellen eines Ressourcenstandorts finden Sie unter Einrichten von Ressourcenstandorten.

    App-Konnektivität

  7. Klicken Sie auf Fertig stellen. Die App wird der Seite „ Anwendungen “ hinzugefügt. Sie können eine App auf der Seite Anwendungen bearbeiten oder löschen, nachdem Sie die Anwendung konfiguriert haben. Klicken Sie dazu in einer App auf die Ellipsenschaltfläche und wählen Sie die Aktionen entsprechend aus.

    • Anwendung bearbeiten
    • Löschen

Hinweis:

  • Um den Benutzern Zugriff auf die Apps zu gewähren, müssen Administratoren Zugriffsrichtlinien erstellen. In Zugriffsrichtlinien fügen Administratoren App-Abonnenten hinzu und konfigurieren Sicherheitskontrollen. Einzelheiten finden Sie unter Erstellen von Zugriffsrichtlinien.
  • Informationen zum Konfigurieren der für die Benutzer erforderlichen Authentifizierungsmethoden finden Sie unter Einrichten von Identität und Authentifizierung.

  • Um die Workspace-URL abzurufen, die für die Benutzer freigegeben werden soll, klicken Sie im Citrix Cloud-Menü auf Workspace-Konfiguration und wählen Sie die Registerkarte Zugriff aus.

Verwaltung des Identitätszugriffs

Admin-Konfiguration — Client-basierter Zugriff von Citrix Secure Access auf HTTP/HTTPS-Apps

Hinweis:

Um mit dem Citrix Secure Access Client auf vorhandene oder neue HTTP/HTTPS-Apps zuzugreifen, müssen Sie mindestens ein Connector Appliance (zwei für hohe Verfügbarkeit empfohlen) an Ihrem Ressourcenstandort installieren. Die Connector-Appliance kann on-premises, im Datencenter-Hypervisor oder in der Public Cloud installiert werden. Einzelheiten zur Connector Appliance und ihrer Installation finden Sie unter Connector Appliance für Cloud-Dienste.

Voraussetzungen

  • Zugriff auf Citrix Secure Private Access in der Citrix Cloud.

Wichtige Hinweise

  • Auf interne Web-Apps, die mit erweiterten Sicherheitskontrollen durchgesetzt wurden, kann nicht über den Citrix Secure Access Client zugegriffen werden.
  • Wenn Sie versuchen, auf eine HTTP(S) -Anwendung zuzugreifen, für die erweiterte Sicherheitssteuerung aktiviert ist, wird die folgende Popup-Meldung angezeigt. Zusätzliche Sicherheitskontrollen sind für die App <”app name”(FQDN)> aktiviert. Bitte greifen Sie von Citrix Workspace darauf zu.

    Fehlermeldung

  • Wenn Sie die SSO-Erfahrung aktivieren möchten, greifen Sie mit der Citrix Workspace-App oder dem Webportal auf die Webanwendungen zu.

Die Schritte zum Konfigurieren von HTTP (S) -Apps bleiben dieselben wie die vorhandenen Funktionen, die unter Support for Enterprise Web Appserläutert werden.

Adaptiver Zugriff auf TCP/UDP- und HTTP (S) -Apps

Der adaptive Zugriff bietet Administratoren die Möglichkeit, den Zugriff auf geschäftskritische Apps basierend auf mehreren kontextbezogenen Faktoren wie der Überprüfung des Gerätestatus, der Geolokalisierung der Benutzer, der Benutzerrolle und der Risikobewertung des Citrix Analytics Service zu steuern.

Hinweis:

  • Sie können den Zugriff auf TCP/UDP-Anwendungen verweigern, Administratoren erstellen Richtlinien basierend auf den Benutzern, Benutzergruppen, den Geräten, von denen aus die Benutzer auf die Anwendungen zugreifen, und dem Ort (Land), von dem aus auf eine Anwendung zugegriffen wird. Der Zugriff auf Anwendungen ist standardmäßig zulässig.

  • Das für eine App erstellte Benutzerabonnement gilt für alle TCP/UDP-App-Ziele, die für die TCP/UDP-Anwendungen konfiguriert sind.

So erstellen Sie eine Richtlinie für adaptiven Zugriff

Administratoren können den vom Administrator geleiteten Workflow-Assistenten verwenden, um den Zero-Trust-Netzwerkzugriff auf SaaS-Apps, interne Web-Apps und TCP/UDP-Apps im Secure Private Access Service zu konfigurieren.

Hinweis:

Wichtige Hinweise

  • Der Zugriff auf eine vorhandene Web-App, für die erweiterte Sicherheit aktiviert ist, wird über den Secure Access-Client verweigert. Es wird eine Fehlermeldung angezeigt, die darauf hindeutet, sich mit der Citrix Workspace-App anzumelden.
  • Beim Zugriff auf die App über den Secure Access Client gelten Richtlinienkonfigurationen für Web-Apps, die auf der Risikobewertung des Benutzers, der Überprüfung des Gerätestatus usw. über die Citrix Workspace-App basieren.
  • Die an eine Anwendung gebundene Richtlinie gilt für alle Ziele in der Anwendung.

DNS-Auflösung

Die Connector-Appliance muss eine DNS-Serverkonfiguration für die DNS-Auflösung haben.

Schritte zur Installation des Citrix Secure Access Clients auf einer Windows-Maschine

Unterstützte Betriebssystemversionen:

Windows — Windows 11, Windows 10, Windows Server 2016 und Windows Server 2019.

Im Folgenden finden Sie die Schritte, um den Citrix Secure Access Client auf einer Windows-Maschine zu installieren.

  1. Laden Sie den Citrix Secure Access Client von https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html herunter.
  2. Klicken Sie auf Installieren, um den Client auf Ihrem Windows-Computer zu installieren. Wenn Sie einen vorhandenen Citrix Gateway-Client haben, wird dieser aktualisiert. Installieren Sie client1
  3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen. Installieren Sie client2

Hinweis:

Mehrbenutzersitzungen in Windows werden nicht unterstützt.

Installationsschritte für Microsoft Edge Runtime

Microsoft Edge Runtime ist jetzt für die Authentifizierungsoberfläche auf dem Secure Access-Client erforderlich. Es ist standardmäßig auf den neuesten Windows 10- und Windows 11-Computern installiert. Führen Sie für Computer mit früheren Versionen die folgenden Schritte aus.

  1. Gehen Sie zum folgenden Link, https://go.microsoft.com/fwlink/p/?LinkId=2124703.
  2. Downloaden und installieren Sie Microsoft Edge. Wenn auf dem Benutzersystem die Microsoft Edge-Runtime nicht installiert ist, werden Sie vom Citrix Secure Access Client zur Installation aufgefordert, wenn Sie versuchen, eine Verbindung mit der Workspace-URL herzustellen.

Hinweis:

Sie können eine automatisierte Lösung wie SCCM-Software oder eine Gruppenrichtlinie verwenden, um den Citrix Secure Access Client oder Microsoft Edge Runtime auf die Client-Computer zu übertragen.

Schritte zur Installation des Citrix Secure Access Clients auf einem macOS-Computer

Voraussetzungen:

  • Laden Sie den Citrix Secure Access Client für macOS aus dem App Store herunter. Diese App ist ab macOS 10.15 (Catalina) und neuer verfügbar.
  • Vorschau-Builds sind in der TestFlight-App nur für macOS Monterey (12.x) verfügbar.
  • Wenn Sie zwischen der App Store-App und der TestFlight-Vorschau-App wechseln, müssen Sie das Profil, das Sie mit der Citrix Secure Access-App verwenden möchten, neu erstellen. Wenn Sie beispielsweise ein Verbindungsprofil mit verwendet haben blr.abc.company.com, löschen Sie das VPN-Profil und erstellen Sie dasselbe Profil erneut.

Unterstützte Betriebssystemversionen:

  • macOS: 12.x (Monterey). 11.x (Big Sur) und 10.15 (Catalina) werden unterstützt.

  • Mobilgeräte: iOS und Android werden nicht unterstützt.

Starten einer konfigurierten App — Endbenutzer-Fluss

  1. Starten Sie den Citrix Secure Access Client auf dem Clientgerät.
  2. Geben Sie die vom Kundenadministrator bereitgestellte Workspace-URL in das URL-Feld des Citrix Secure Access-Clients ein und klicken Sie auf Verbinden. Es ist eine einmalige Aktivität und die URL wird für die spätere Verwendung gespeichert. Starten Sie eine App
  3. Der Benutzer wird basierend auf der in Citrix Cloud konfigurierten Authentifizierungsmethode zur Authentifizierung aufgefordert. Nach erfolgreicher Authentifizierung kann der Benutzer auf die konfigurierten privaten Apps zugreifen.

Benachrichtigungen von Benutzern

In den folgenden Szenarien wird eine Popup-Benachrichtigung angezeigt:

  • Die App ist vom Administrator nicht für den Benutzer autorisiert.

    Ursache: Die Anwendung, die für die zugegriffene Ziel-IP-Adresse oder den FQDN konfiguriert ist, ist für den angemeldeten Benutzer nicht abonniert.

    Popup-Meldung 1

  • Die Bewertung der Zugriffsrichtlinien führt zu einer Zugriffsverweigerung.

    Ursache: Der Zugriff auf die Ziel-IP-Adresse oder den FQDN wurde verweigert, da die an die Anwendung gebundene Richtlinie als “Zugriff verweigern” für den angemeldeten Benutzer ausgewertet wird.

    Popup-Meldung 2

  • Die erweiterte Sicherheitssteuerung ist für die App aktiviert.

    Ursache: Die erweiterte Sicherheitssteuerung ist für die Anwendung für das Ziel aktiviert, auf das zugegriffen wird. Die Anwendung kann mit der Citrix Workspace App gestartet werden.

    Popup-Meldung 3

Weitere Informationen

Anwendungsdomänen — Konfliktlösung bei IP-Adressen

Ziele, die beim Erstellen einer App hinzugefügt wurden, werden zu einer Haupt-Routingtabelle hinzugefügt. Die Routing-Tabelle ist die Informationsquelle für die Routing-Entscheidung, um den Verbindungsaufbau und den Verkehr an den richtigen Ressourcenstandort zu leiten.

  • Die Ziel-IP-Adresse muss an allen Ressourcenstandorten eindeutig sein.
  • Citrix empfiehlt, eine Überlappung der IP-Adressen oder Domänen in der Routingtabelle zu vermeiden. Falls Sie auf eine Überlappung stoßen, müssen Sie diese beheben.

Es folgen die Arten von Konfliktszenarien. Complete Overlap ist das einzige Fehlerszenario, das die Administratorkonfiguration einschränkt, bis der Konflikt gelöst ist.

Konflikte Domäneneintrag für vorhandene Neuer Eintrag von App Addition Ergebnis
Teilmenge überlappen 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 Zulassen; Warnhinweise — Teilmengenüberschneidung der IP-Domäne mit vorhandenen Einträgen
Teilmenge überlappen 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 Zulassen; Warnhinweise — Teilmengenüberschneidung der IP-Domäne mit vorhandenen Einträgen
Teilweise Überlappung 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 Zulassen; Warnhinweise - Teilweise Überlappung der IP-Domäne mit vorhandenen Einträgen
Teilweise Überlappung 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 Zulassen; Warnhinweise - Teilweise Überlappung der IP-Domäne mit vorhandenen Einträgen
Vollständige Überlappung 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 Fehler; <Completely overlapping IP domain's value> IP-Domäne überschneidet sich vollständig mit vorhandenen Einträgen. Bitte ändern Sie den vorhandenen Routing-IP-Eintrag oder konfigurieren Sie ein anderes Ziel
Vollständige Überlappung 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 Fehler; <Completely overlapping IP domain's value> IP-Domäne überschneidet sich vollständig mit vorhandenen Einträgen. Bitte ändern Sie den vorhandenen Routing-IP-Eintrag oder konfigurieren Sie ein anderes Ziel
Exakte Übereinstimmung 20.20.20.0/29 RL1 20.20.20.0/29 Zulassen; Domänen sind in der Domain-Routing-Tabelle vorhanden. Vorgenommene Änderungen aktualisieren die Domänen-Routingtabelle

Hinweis:

  • Wenn die hinzugefügten Ziele zu einer vollständigen Überschneidung führen, wird beim Konfigurieren der App im Abschnitt App-Details ein Fehler angezeigt. Der Administrator muss diesen Fehler beheben, indem er die Ziele im Abschnitt App-Konnektivität ändert.

    Wenn im Abschnitt App-Details keine Fehler auftreten, kann der Administrator mit dem Speichern der App-Details fortfahren. Wenn die Ziele jedoch im Abschnitt App-Konnektivität eine Teilmenge aufweisen und sich teilweise miteinander oder mit vorhandenen Einträgen in der Hauptroutingtabelle überlappen, wird eine Warnmeldung angezeigt. In diesem Fall kann der Administrator entweder den Fehler beheben oder mit der Konfiguration fortfahren.

  • Citrix empfiehlt, eine saubere Anwendungsdomänentabelle zu führen. Es ist einfacher, neue Routing-Einträge zu konfigurieren, wenn die IP-Adressdomänen ohne Überlappungen in entsprechende Chunks aufgeteilt werden.

Anmelde- und Abmeldeskriptkonfigurationsregister

Der Citrix Secure Access Client greift über die folgenden Registrierungen auf die Anmelde- und Abmeldeskriptkonfiguration zu, wenn der Citrix Secure Access Client eine Verbindung zum Citrix Secure Private Access-Clouddienst herstellt.

Registrierung: HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • Anmeldeskriptpfad: SecureAccessLogInScript type REG_SZ
  • Abmeldeskriptpfad: SecureAccessLogOutScript type REG_SZ

Versionshinweise