Machbarkeitsnachweis: Sicherer Zugriff auf SaaS-Anwendungen mit Okta und Citrix Secure Workspace Access

Übersicht

Da Benutzer mehr SaaS-basierte Anwendungen konsumieren, müssen Unternehmen in der Lage sein, alle sanktionierten Apps zu vereinheitlichen, den Anmeldebetrieb der Benutzer zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen. Unternehmen müssen in der Lage sein, diese Anwendungen zu sichern, auch wenn sie über die Grenzen des Rechenzentrums hinaus existieren. Citrix Workspace bietet Unternehmen sicheren Zugriff auf SaaS-Apps.

In diesem Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit Active Directory oder Okta als primärem Benutzerverzeichnis. Okta bietet auch Single-Sign-On-Dienste für einen definierten Satz von SaaS-Anwendungen an.

Active Directory und Okta SSO

Active Directory und Okta SSO

Wenn der Citrix Secure Workspace Access-Dienst dem Citrix Abonnement zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von bildschirmbasierten Wasserzeichen über das Einschränken von Druck-/Download-Aktionen, Beschränkungen für das Ergreifen von Bildschirmen, die Verschleierung der Tastatur bis hin zum Schutz der Benutzer vor nicht vertrauenswürdigen Links reichen zusätzlich zu den Okta-basierten SaaS-Anwendungen.

Die folgende Animation zeigt einen Benutzer, der auf eine SaaS-Anwendung zugreift, wobei Okta SSO bereitstellt und mit Citrix Secure Workspace Access gesichert ist.

Okta SSO Demo

Diese Demonstration zeigt einen IdP-initiierten SSO-Flow, bei dem der Benutzer die Anwendung aus Citrix Workspace startet. Dieser PoC-Leitfaden unterstützt auch einen SP-initiierten SSO-Flow, bei dem der Benutzer versucht, direkt von seinem bevorzugten Browser auf die SaaS-App zuzugreifen.

Annahmen:

  • Okta ist bereits konfiguriert, um SSO für Office 365 und andere SaaS-Apps bereitzustellen
  • Benutzer können sich erfolgreich beim Okta-Portal anmelden und Office 365 und andere SaaS-Apps starten
  • Citrix Workspaces ist bereits mit Active Directory oder Okta als primärem Identitätsverzeichnis des Benutzers konfiguriert.

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

  1. Einrichten von Citrix Workspace
  2. Integriere ein primäres Benutzerverzeichnis
  3. Integrieren Sie Single Sign-On für SaaS-Anwendungen
  4. Definieren von Richtlinien zur Website-
  5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

  1. Einrichten der Workspace-URL
  2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

  1. Verbinden Sie sich mit Ihrem Administratorkonto Citrix Cloud und melden Sie sich an
  2. Greifen Sie in Citrix Workspace über das Menü oben links auf Workspace-Konfiguration zu
  3. Geben Sie auf der Registerkarte Zugriff eine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Workspace-URL

Dienste aktivieren

Aktivieren Sie auf der Registerkarte Service Integration die folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf SaaS-Apps zu unterstützen

  1. Gateway
  2. Secure Browser

Arbeitsbereich Services

Verifizieren

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch erst verfügbar, wenn ein primäres Benutzerverzeichnis definiert und konfiguriert wird.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor Benutzer sich bei Workspace authentifizieren können, primäres Benutzerverzeichnis muss a konfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen nach Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden

  • Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud-Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie der Cloud Connector-Installation Anleitung folgen.
  • Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) umfassen. Dies Leitfaden beschreibt die erforderlichen Schritte, um diese Authentifizierungsoption zu aktivieren.
  • Azure Active Directory: Benutzer können sich bei Citrix Workspace mit einer Azure Active Directory-Identität authentifizieren. Dies Leitfaden enthält Details zur Konfiguration dieser Option.
  • Citrix Gateway: Unternehmen können ein on-premises geladenes Citrix Gateway nutzen, um als Identitätsanbieter für Citrix Workspace zu fungieren. Dies Leitfaden liefert Details zur Integration.
  • Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. Dies Leitfaden enthält Anweisungen zum Konfigurieren dieser Option.

Okta als Single Sign-On-Anbieter hinzufügen

Um Okta-Apps erfolgreich in Citrix Workspace zu integrieren, muss der Administrator Folgendes tun

  • Identifizieren der SAML-Anmelde-URL
  • Identifizieren der IdP-Austeller-URI
  • SAML-Identitätsanbieter einrichten
  • Konfigurieren der SaaS-App
  • Autorisieren der SaaS-App
  • Einrichten von IdP-Routing

Identifizieren der SAML-Anmelde-URL

  • Melden Sie sich als Administrator bei Okta an
  • Wählen Sie Anwendungen
  • Wählen Sie die Anwendung aus, die Sie zu Citrix Workspace hinzufügen möchten. In diesem Beispiel wird Microsoft Office 365 verwendet.
  • Scrollen Sie unter Allgemeinnach unten, bis sich der richtige App Embed Link befindet. Dies wird als SAML-Anmelde-URL für Citrix Workspace verwendet.

SAML-Login-URL

Identifizieren der IdP-Austeller-URI

  • Melden Sie sich als Administrator bei Citrix Cloud an
  • Wählen Sie im Bereich Identity and Access ManagementAPI-Zugriff
  • Erfassen Sie den Parameter der Kunden-ID. Dies wird verwendet, um die IdP-Issuer-URI im folgenden Format zu erstellen: https://citrix.com/<customerID>

IdP-Aussteller-URI

SAML-Identitätsanbieter einrichten

Okta muss Citrix Workspace als SAML-Identitätsanbieter verwenden, was dazu führt, dass Okta ein Dienstanbieter in der SAML-Konfiguration wird.

  • Melden Sie sich als Administrator bei Okta an
  • Wählen Sie Sicherheit -> Identitätsanbieter
  • Wählen Sie Identitätsanbieterhinzufügen -> SAML 2.0 IdPhinzufügen

Einrichten von SAML IdP 01

  • Geben Sie einen Namen
  • Verwenden Sie für den IdP-Benutzernamen den folgenden Ausdruck: idpuser.userName (die Groß- und Kleinschreibung wird berücksichtigt)
  • Übereinstimmung sollte Okta-Benutzername oder E-Mail sein
  • Wenn keine Übereinstimmung gefunden wird, wählen Sie Zur Okta-Anmeldeseite umleiten
  • Verwenden Sie für die IdP-Aussteller-URI die URL https://citrix.com/<customerID>. CustomerID stammt aus dem Abschnitt IdP-Issuer URI

Einrichten von SAML IdP 02

  • Lassen Sie diesen Teil des Prozesses offen, bis wir die Single Sign-On-URL und das SSL-Zertifikat von Citrix Cloud erhalten können.

Konfigurieren der SaaS App

  • Wählen Sie in der Citrix Cloud die Option Verwalten aus der Gateway-Kachel aus

Einrichten von SaaS App 01

  • Wählen Sie Web-/SaaS-App hinzufügen
  • Wählen Sie im Assistenten zum Auswählen einer Vorlage die Option Überspringen
  • Da dies eine SaaS-App ist, wählen Sie Außerhalb meines Unternehmensnetzwerks
  • Geben Sie im Fenster App-Details einen Namen für die Anwendung an
  • Verwenden Sie für die URL den App Embed Link im Abschnitt “Identity SAML-Anmelde-URL”
  • Erweiterte Sicherheitsrichtlinien verwenden das Feld “Zugehörige Domänen”, um die zu sichernden URLs zu bestimmen. Eine verwandte Domain wird automatisch basierend auf der eingegebenen URL hinzugefügt, die im vorherigen Schritt hinzugefügt wurde. Diese spezifische verwandte Domäne ist mit dem Okta-Anwendungs-Link verknüpft. Verbesserte Sicherheitsrichtlinien erfordern verwandte Domains für die eigentliche Anwendung, was häufig ist *.<companyID>.SaaSApp.com (als Beispiel *.citrix.slack.com)

Einrichten von SaaS App 02

  • Wählen Sie im Fenster “ Erweiterte Sicherheit “ die entsprechenden Sicherheitsrichtlinien für die Umgebung aus
  • Wählen Sie im Single Sign-On-Fenster Download aus, um das PEM-basierte Zertifikat zu erfassen.
  • Wählen Sie die Schaltfläche Kopieren, um die Anmelde-URL zu erfassen

Einrichten von SaaS App 03

  • Wechseln Sie zurück zur Okta-Konfiguration. Das Dialogfeld Identitätsanbieter hinzufügen sollte weiterhin sichtbar sein
  • Verwenden Sie für die IdP Single Sign-On-URL die Citrix Login-URL, die aus dem vorherigen Schritt kopiert wurde. Es sollte https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=2347894324327 ähnlich sein
  • Im IdP Signature Certificate suchen Sie das heruntergeladene PEM-Zertifikat

Einrichten von SaaS App 04

  • Kopieren Sie nach Abschluss des Assistenten die Assertion Consumer Service-URL und den Audience-URI.

Einrichten von SaaS App 05

  • Wechseln Sie zurück zur Citrix Konfiguration.
  • Verwenden Sie im Single Sign-On-Fenster für die Assertion URLdas Element Assertion Consumer Service URL aus dem Abschnitt SAML Identity Provider
  • Verwenden Sie für die Zielgruppedas Element Audience URI aus dem Abschnitt SAML Identity Provider.
  • Das Namen-ID-Format und die Namen-ID können als E-Mail verbleiben. Okta verwendet die E-Mail-Adresse, um sich mit einem Okta-Benutzer zu verbinden.

Einrichten von SaaS App 06

  • Wählen Sie Speichern
  • Wählen Sie Fertig

Autorisieren Sie SaaS App

  • Wählen Sie in Citrix Cloud im Menü die Option Bibliothek aus

Autorisieren Sie SaaS App 01

  • Suchen Sie die SaaS-App und wählen Sie Abonnenten verwalten
  • Fügen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten

Autorisieren Sie SaaS App 02

Einrichten von IdP-Routing

Bisher unterstützt die Konfiguration einen IdP-initiierten Startprozess, bei dem der Benutzer die App aus Citrix Workspace heraus startet. Um einen SP-initiierten Prozess zu ermöglichen, bei dem der Benutzer die App mit direkter URL startet, muss Okta eine IdP-Routing-Regel definieren.

  • Wählen Sie in der Okta-Admin-Konsole Security - Identity Providers
  • Wählen Sie Routing-Regeln
  • Wählen Sie Weiterleitungsregel hinzufügen
  • Geben Sie einen Namen für die Regel
  • Wählen Sie für die Option Diesen Identitätsanbieterverwenden den zuvor erstellten Citrix Identity Provider

Okta Identity Provider Routenregel

  • Wählen Sie Aktivieren

**Hinweis**: Während der Konfiguration kann sich der Okta-Administrator möglicherweise nicht bei der Okta-Admin-Konsole anmelden, da die eingehende SAML-Konfiguration unvollständig ist. In diesem Fall kann der Administrator die IdP-Routing-Regel Bypass, indem er mit der folgenden Adresse auf die Okta-Umwelt zugreift: https://companyname.okta.com/login/default

Überprüfen

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie die konfigurierte SaaS-Anwendung
  • Beobachten Sie kurz den Okta-Sign-On-Prozess
  • Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

  • Starten Sie einen Browser
  • Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
  • Der Browser leitet zur Authentifizierung zu Okta und dann zu Citrix Workspace um
  • Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App mit Okta gestartet und bietet Single Sign-On

Definieren von Richtlinien zur Website-

Der Citrix Secure Workspace Access-Dienst bietet Website-Filterung in SaaS und Web-Apps, um den Benutzer vor Phishing-Angriffen zu schützen. Im Folgenden wird gezeigt, wie Sie Richtlinien zur Website-Filterung einrichten.

  • In Citrix Cloud innerhalb der Secure Workspace Access-Kachel verwalten

Citrix Secure Workspace Access 1

  • Wenn Sie dieser Anleitung gefolgt sind, sind die Schritte Endanwenderauthentifizierung einrichten und Endbenutzerzugriff auf SaaS-, Web- und virtuelle Anwendungen konfigurieren abgeschlossen. Wählen Sie Content-Zugriff konfigurieren
  • Wählen Sie Bearbeiten
  • Aktivieren Sie die Option Website-Kategorien filtern
  • Wählen Sie im Feld Blockierte Kategorien die Option Hinzufügen
  • Wählen Sie die Kategorien aus, um den Zugriff von Benutzern zu blockieren

Citrix Secure Workspace Access 2

  • Wenn alle zutreffenden Kategorien ausgewählt sind, wählen Sie Hinzufügen

Citrix Secure Workspace Access 3

  • Tun Sie das Gleiche für erlaubte Kategorien
  • Tun Sie das Gleiche für umgeleitete Kategorien. Diese Kategorien werden auf eine Secure Browser-Instanz umgeleitet
  • Bei Bedarf können Administratoren abgelehnte, erlaubte und umgeleitete Aktionen für bestimmte URLs nach demselben Prozess filtern, der zum Definieren von Kategorien verwendet wurde. Website-URLs haben Vorrang vor Kategorien.

Validieren Sie die Konfiguration

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie die konfigurierte SaaS-Anwendung aus. Wenn die verbesserte Sicherheit deaktiviert ist, wird die App im lokalen Browser gestartet, andernfalls wird der eingebettete Browser verwendet
  • Der Benutzer meldet sich automatisch bei der App an
  • Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
  • Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
  • Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die sich in den gesperrten, zulässigen und umgeleiteten URLs befindet
  • Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

  • Starten Sie einen Browser
  • Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
  • Der Browser leitet den Browser zur Authentifizierung an Citrix Workspace weiter
  • Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App im lokalen Browser gestartet, wenn die erhöhte Sicherheit deaktiviert ist. Wenn erhöhte Sicherheit aktiviert ist, startet eine Secure Browser-Instanz die SaaS-App

Problembehandlung

Erweiterte Sicherheitsrichtlinien scheitern

Benutzer können bemerken, dass die erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Cliboard-Zugriff) fehlschlagen. In der Regel passiert dies, weil die SaaS-Anwendung mehrere Domainnamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die SaaS-App gab es einen Eintrag für Related Domains.

Einrichten von SaaS App 02

Die erweiterten Sicherheitsrichtlinien werden auf diese zugehörigen Domänen angewendet. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die SaaS-App zugreifen und folgende Schritte ausführen:

  • Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
  • Wählen Sie in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
  • Wählen Sie Weitere Toolsaus.
  • Wählen Sie Entwicklertools
  • Wählen Sie in den Entwicklertools die Option Quellen. Dies bietet eine Liste der Zugriffsdomänennamen für diesen Abschnitt der Anwendung. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domainnamen in das Feld Verwandte Domänen in der App-Konfiguration eingegeben werden. Verwandte Domains sollten wie die folgenden hinzugefügt werden *.domain.com

Verbesserte Sicherheitsfehlersuche 01