PoC-Leitfaden — ZTNA zu Client-Server-Apps (agentenbasiert)
Übersicht
Bei Remote-Arbeit benötigen Benutzer Zugriff auf interne Anwendungen. Eine bessere Erfahrung bedeutet, ein VPN-Bereitstellungsmodell zu vermeiden, was häufig zu folgenden Herausforderungen führt:
- VPN Risiko 1: sind schwer zu installieren und zu konfigurieren
- VPN-Risiko 2: Benutzer müssen VPN-Software auf Endpunktgeräten installieren, die möglicherweise ein nicht unterstütztes Betriebssystem verwenden
- VPN-Risiko 3: Erfordert die Konfiguration komplexer Richtlinien, um zu verhindern, dass ein nicht vertrauenswürdiges Endpunktgerät uneingeschränkten Zugriff auf das Unternehmensnetzwerk, Ressourcen und Daten hat
- VPN-Risiko 4: Es ist schwierig, Sicherheitsrichtlinien zwischen VPN-Infrastruktur und lokaler Infrastruktur synchron zu halten
Um die Benutzererfahrung insgesamt zu verbessern, müssen Unternehmen in der Lage sein, alle genehmigten Apps zu vereinheitlichen und die Benutzeranmeldevorgänge zu vereinfachen und gleichzeitig die Authentifizierungsstandards durchzusetzen.
Unternehmen müssen SaaS-, Web-, Windows-, Linux-Anwendungen, Desktops und native TCP-Anwendungen bereitstellen und sichern, obwohl einige dieser Ressourcen außerhalb der Grenzen des Rechenzentrums existieren und auf Ressourcen außerhalb des Rechenzentrums zugreifen können. Der Citrix Secure Private Access Service bietet Unternehmen sicheren, VPN-freien Zugriff auf vom Benutzer autorisierte Ressourcen.
In diesem Machbarkeitsstudie authentifiziert sich ein Benutzer bei Citrix Cloud mithilfe von Active Directory, Azure Active Directory, Okta, Google, Citrix Gateway oder einem SAML 2.0-Anbieter seiner Wahl als primäres Benutzerverzeichnis. Citrix Secure Private Access bietet Konnektivität zu Client-Server-Apps.
Die folgende Animation zeigt einen Benutzer, der von seinem Remote-Endpunkt auf eine intern gehostete Microsoft SQL (MSSQL) -Datenbank zugreift
Diese Demonstration zeigt einen Flow, bei dem der Benutzer den Citrix Secure Access-Agenten startet. Der Benutzer wird zur Eingabe der Anmeldeinformationen für die adaptive Authentifizierung aufgefordert. Eine sichere Verbindung zur Citrix Cloud wird hergestellt. Anschließend kann der Benutzer die MSSQL-Datenbank über eine Connector Appliance am Ressourcenstandort, an dem die Datenbank bereitgestellt wird, mithilfe des Microsoft SQL Server Management Studio-Clients erreichen.
Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:
- Einrichten von Citrix Workspace
- Integriere ein primäres Benutzerverzeichnis
- TCP-Zugriff auf die MSSQL-Datenbank einrichten
- Endpunkt konfigurieren
- Überprüfen der Konfiguration
Einrichten von Citrix Workspace
Sobald Sie die Berechtigung für den Citrix Secure Private Access Service mit Ihrem Citrix-Kontenteam eingerichtet haben, finden Sie bei der Anmeldung bei Citrix Cloud unter Meine Dienste das Citrix Secure Private Access-Symbol. Weitere Informationen finden Sie unter Erste Schritte mit Citrix Secure Private Access. Nachdem du angemeldet bist, kannst du deine Workspace-URL festlegen.
Workspace-URL festlegen
- Stellen Sie eine Verbindung zur Citrix Cloud her und melden Sie sich als Administratorkonto an
- Greifen Sie in Citrix Workspace über das Menü oben links auf Workspace-Konfiguration zu
- Geben Sie auf der Registerkarte Zugriff eine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”
Integriere ein primäres Benutzerverzeichnis
Bevor sich Benutzer bei Workspace authentifizieren können, muss ein primäres Benutzerverzeichnis konfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anforderungen für Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.
Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden
- Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie dem Cloud Connector-Installationshandbuch folgen.
- Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) beinhalten. In diesem Handbuch werden die erforderlichen Schritte beschrieben, um diese Authentifizierungsoption zu aktivieren.
- Azure Active Directory: Benutzer können sich mit einer Azure Active Directory-Identität bei Citrix Workspace authentifizieren. Dieses Handbuch enthält Einzelheiten zur Konfiguration dieser Option.
- Citrix Gateway: Unternehmen können ein lokales Citrix Gateway verwenden, um als Identitätsanbieter für Citrix Workspace zu fungieren. Dieses Handbuch enthält Einzelheiten zur Integration.
- Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration dieser Option.
- SAML 2.0: Unternehmen können den SAML 2.0-Anbieter ihrer Wahl mit ihrem on-premises Active Directory (AD) verwenden. Dieses Handbuch enthält Anweisungen zur Konfiguration dieser Option.
In diesem Szenario haben wir uns für Citrix Gateway entschieden. Weitere Informationen zur Implementierung finden Sie unter Tech Insight: Authentication — Citrix Gateway
TCP-Zugriff auf die MSSQL-Datenbank einrichten
Um den TCP-Zugriff auf die MSSQL-Datenbank erfolgreich einzurichten, muss der Administrator Folgendes tun
- Connector-Appliance bereitstellen
- Client-Server-App konfigurieren
Connector-Appliance bereitstellen
- Wählen Sie in der Citrix Cloud in der Menüleiste Ressourcenstandorte
- Wählen Sie innerhalb des Ressourcenstandorts, der mit der Site verknüpft ist, die die Web-App enthält, Connector
- Wählen Sie Connector Appliance hinzufügen
- Laden Sie das mit dem entsprechenden Hypervisor verknüpfte Image herunter und lassen Sie dieses Browserfenster geöffnet
- Importieren Sie das Image nach dem Herunterladen in den Hypervisor
- Wenn das Image gestartet wird, wird die URL bereitgestellt, die für den Zugriff auf die Konsole verwendet wird
- Melden Sie sich beim Connector an, ändern Sie das Admin-Kennwort und legen Sie die Netzwerk-IP-Adresse fest
- Geben Sie der Appliance einen Namen und melden Sie sich bei der Domain für diesen Ressourcenstandort an
- Wählen Sie Registrieren und kopieren Sie den Registrierungscode
- Kehren Sie zur Citrix Cloud-Seite zurück und senden Sie den Registrierungscode, um das Connector Appliance-Setup abzuschließen.
- (Es empfiehlt sich, den Vorgang zur Installation einer 2nd Connector Appliance für Produktionsumgebungen zu wiederholen.)
Client-Server-App konfigurieren
- Wählen Sie in der Citrix Cloud Verwalten aus der Kachel Secure Private Access
- Wählen Sie Anwendungen gefolgt von App hinzufügen
- Wählen Sie im Assistenten zum Auswählen einer Vorlage die Option Überspringen
- Wählen Sie im Fenster App-Details die Option In meinem Unternehmensnetzwerk
- Geben Sie TCP/UDP als App-Typan
- Geben Sie einen App-Namen und eine Beschreibung für die Anwendung ein
- Gefolgt von Ziel, Portund Protokoll. In unserem Beispiel verwenden wir den internen FQDN der MSSQL-Datenbank ws-sql02.workspaces.wwco.net, Port 1433 und TCP
- Wählen Sie Weiter
- Stellen Sie im Fenster App Connectivity sicher, dass der Typ auf intern und der Ressourcenstandort auf den Speicherort festgelegt ist, an dem Sie Connector-Appliances zuvor installiert haben
- Wählen Sie Weiter
- Wählen Sie im FensterApp-Abonnenteneine Domain in der Dropdownliste aus und wählen Sie eine Gruppe oder einen Benutzer aus, dem die Anwendung zugewiesen werden soll
- Wählen Sie Fertig
Endpunkt konfigurieren
Um den Endpunkt erfolgreich zu konfigurieren, muss der Administrator Folgendes tun:
- Installieren Sie den Citrix Secure Access Agent
- Registrierungsschlüssel konfigurieren
- Installieren Sie Microsoft Edge Runtime
- Workspace-URL-Verbindung konfigurieren
Installieren Sie den Citrix Secure Access Agent
- Loggen Sie sich auf citrix.com/downloads ein
- Wählen Sie Citrix Gateway > Plug-Ins/Clients
- Scrollen Sie zu Citrix Gateway Plug-in für Windows-64bit, wählen Sie Datei herunterladenund befolgen Sie die Schritte zur Vereinbarung, um den Download abzuschließen
- Doppelklicken Sie auf das MSI-Installationsprogramm und folgen Sie den Anweisungen, um die Installation abzuschließen
Registrierungsschlüssel konfigurieren
- Öffnen Sie auf Ihrem Windows-Endpunkt den Registrierungseditor als Administrator.
- Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client Name
- Schlüssel erstellen cloudAuthAllowed; Typ: REG_DWORD; Wertdaten: 1
- Schließen Sie den Registrierungseditor
Installieren Sie Microsoft Edge Runtime
- Navigieren Sie zur Microsoft Edge Runtime
- Folgen Sie den Anweisungen, um die Installation abzuschließen
Workspace-URL-Verbindung konfigurieren
- Öffnen Sie den Citrix Secure Access Agent
- Geben Sie die URL für Ihre Citrix Cloud Cloud-Umgebung ein, die Sie zuvor erstellt haben
- Wählen Sie Verbinden
Überprüfen
- Geben Sie die Anmeldeinformationen ein (oder öffnen Sie zuerst den Citrix Secure Access Agent und wählen Sie Verbinden aus, falls nicht im vorherigen Schritt geschehen)
- Wählen Sie Anmelden
- Nachdem der Verbindungsaufbau abgeschlossen ist, öffnen Sie Microsoft SQL Server Management Studio und geben Sie Administratoranmeldeinformationen ein, um auf die Datenbank zuzugreifen.