Documentazione dei prodotti
Citrix DaaS
Visualizza PDF

Accesso adattivo basato sulla posizione di rete dell’utente - Anteprima

November 16, 2022
Grazie al contributo di: 
C

La funzionalità di accesso adattivo della piattaforma Citrix Workspace utilizza un’infrastruttura di policy avanzata per consentire l’accesso a Citrix DaaS (precedentemente chiamato servizio Citrix Virtual Apps and Desktops) basandosi sulla posizione di rete dell’utente. La posizione viene definita utilizzando l’intervallo di indirizzi IP o gli indirizzi di sottorete.

Gli amministratori possono definire criteri per enumerare o non enumerare i desktop e le app virtuali in base alla posizione di rete dell’utente. Gli amministratori possono anche controllare le azioni degli utenti che possono essere eseguite su Citrix DaaS abilitando o disabilitando l’accesso agli appunti, le stampanti, la mappatura delle unità client e così via, in base alle posizioni di rete dell’utente. Ad esempio, un amministratore può implementare i seguenti criteri per l’accesso alle applicazioni:

  • Enumerare alcune applicazioni sensibili solo dalla sede aziendale o dalle loro filiali.
  • Non enumerare le applicazioni riservate se i dipendenti accedono all’area di lavoro da una rete esterna.
  • Disabilitare l’accesso alla stampante dalle filiali.
  • Disabilitare l’accesso agli appunti e alla stampante quando gli utenti sono al di fuori della rete aziendale.

Prerequisiti

  • Distribuzione Citrix DaaS con accesso tramite la piattaforma Citrix Workspace.

  • Registrarsi per l’accesso adattivo con anteprima usando (https://podio.com/webforms/25412100/1884833).

    Nota: questa operazione è necessaria solo durante l’anteprima.

Consigli

Nella distribuzione Citrix DaaS:

  • Identificare un gruppo di consegna di prova o creare un gruppo di consegna per implementare questa funzionalità.
  • Creare un criterio o identificare un criterio che può essere utilizzato con un gruppo di consegna di prova.

Punti da notare

  • Se si seleziona l’opzione Leave user management to Citrix Cloud (Lasciare la gestione degli utenti a Citrix Cloud), non è possibile applicare le policy di Smart Access (ad esempio, l’accesso adattivo a Citrix DaaS in base alla posizione di rete). Questo perché i gruppi di consegna diventano librerie e quindi non vengono più gestiti da Web Studio.
  • Se si prevede di enumerare in modo selettivo Citrix DaaS in base al percorso di rete, la gestione degli utenti deve essere eseguita per quei gruppi di consegna utilizzando i criteri di Citrix Studio anziché Workspace. Quando si crea un gruppo di consegna, in User setting (Impostazione utente), scegliere Restrict use of this Delivery Group to the following users (Limita l’uso di questo gruppo di consegna ai seguenti utenti) o Allow any authenticated users to use this Delivery Group(Consenti a qualsiasi utente autenticato di utilizzare questo gruppo di consegna). In questo modo si abilita la scheda Access Policy (Criteri di accesso) alla voce Delivery Group (Gruppo di consegna), necessaria per configurare l’accesso adattivo.

Nota: questa operazione non è necessaria se si prevede di utilizzare l’accesso adattivo per limitare, in base al percorso di rete, controlli utente quali la disabilitazione dell’accesso agli appunti, il reindirizzamento della stampante, la mappatura dell’unità client.

Creare un gruppo di consegna

Come configurare

A un livello elevato, è necessario eseguire le seguenti operazioni.

  1. Definire i criteri di accesso adattivi che si desidera implementare in base alle posizioni degli utenti.
  2. Configurare le sedi della rete aziendale e delle filiali da cui si intende implementare l’accesso adattivo.
  3. Utilizzare le posizioni di rete definite per configurare criteri di accesso adattivi per le app e i desktop virtuali in Citrix Studio.

Definire i criteri adattivi da implementare

Facciamo il seguente esempio:

Posizione Controlli di accesso o utente
Interno Enumerare tutte le applicazioni
Filiale Enumerare tutte le applicazioni
Esterno Non enumerare alcune applicazioni sensibili e disabilitare l’accesso alla stampante degli appunti per tutte le applicazioni

Configurare posizioni di rete

È possibile configurare le posizioni di rete utilizzando il servizio Posizioni di rete in Citrix Cloud https://citrix.cloud.com/networksites. È possibile creare i siti e definire se i siti devono essere trattati come siti interni o esterni a seconda della connettività di rete. È quindi possibile allegare tag ai siti. Una volta creati i siti, ogni indirizzo IP del client deve essere associato a un set di tag.

Configurare posizioni di rete

Nota:

  • I tag di posizione vengono utilizzati per implementare l’accesso contestuale basato sulla posizione di rete. I tag di posizione possono essere configurati solo se il cliente/tenant ha il diritto a Citrix Adaptive Authentication, altrimenti i tag di posizione rimangono nascosti per gli altri.
  • Si consiglia di definire le posizioni di rete da cui gli utenti hanno un accesso più privilegiato piuttosto che definire reti esterne. Utilizzare le posizioni di rete per definire le reti interne, le filiali e così via per concedere un accesso preferenziale da queste posizioni.
  • Definire i tag per ogni percorso di rete o sito. Ad esempio “BranchOffice”. Questi tag vengono utilizzati per configurare i criteri di accesso adattivi in Citrix Studio. I tag predefiniti definiti sono LOCATION_external e LOCATION_internal. Nota: in Citrix Studio, è necessario anteporre al nome del tag “LOCATION_TAG_”. Ad esempio, se si è definito un percorso di rete con il tag “BranchOffice”, durante la configurazione dell’opzione di filtro sul criterio di Citrix Studio utilizzare il nome “LOCATION_TAG_BranchOffice.”

Configurare criteri di accesso adattivi su Citrix Studio

Nota: questa non è la configurazione esaustiva, ma un esempio di come utilizzare i nomi dei tag per configurare i criteri di Studio.

I tag di posizione di rete definiti nel passaggio precedente vengono utilizzati per configurare i criteri di accesso adattivi su Citrix Studio. Questo passaggio è simile alla configurazione di un criterio SmartAccess con il gateway locale. È necessario sostituire Citrix Gateway con Workspace in “FARM” e il criterio di sessione con i tag di posizione di rete alla voce “Filter” (Filtro).

A questo punto scegliere il criterio di Citrix Studio (esistente o nuovo) e associatelo a un gruppo di consegna (esistente o nuovo). Per informazioni sulla creazione di un gruppo di consegna, vedere Creare gruppi di consegna. Per creare un criterio, vedere Creare criteri.

Configurare criteri di accesso adattivi per l’enumerazione dei desktop e delle app virtuali

Usiamo l’esempio precedente e creiamo un criterio per enumerare le applicazioni sensibili solo dalla rete aziendale (in questo caso, BranchOffice) Per assegnare il tag LOCATION_TAG_BranchOffice al gruppo di consegna identificato per verificare i criteri di accesso adattivi, eseguire le seguenti operazioni.

  1. Accedere a Citrix Cloud.
  2. Selezionare My Services > DaaS (I miei servizi > DaaS).
  3. Fare clic su Manage (Gestisci).
  4. Creare gruppi di consegna secondo le proprie esigenze. Per ulteriori informazioni, vedere Creare gruppi di consegna.
  5. Selezionare il gruppo di consegna creato e fare clic su Edit Delivery Group (Modifica gruppo di consegna).
  6. Fare clic su Access Policy (Criteri d’accesso).

  7. Fare clic su Add (Aggiungi) e selezionare quanto segue:

    • Workspace in Farm
    • LOCATION_TAG_BranchOffice in Filter

    Edit delivery group

    Nota: è possibile aggiungere più filtri alla stessa farm. La Farm deve essere sempre impostata su Workspace e il filtro deve avere uno qualsiasi dei tag di accesso adattivi creati in base alla configurazione della posizione di rete.

  8. Per i clienti che utilizzano l’accesso adattivo all’interno della piattaforma Citrix Workspace, effettuare le seguenti operazioni per limitare l’accesso di un gruppo di consegna alle sole reti interne.

    • Selezionare la casella di controllo Connections through NetScaler Gateway (Connessioni tramite NetScaler Gateway), quindi selezionare la casella di controllo Connections meeting any of the following filters (Connessioni che soddisfano uno dei seguenti filtri).
    • Inserire i tag appropriati per le posizioni interne.

    Nota: se si seleziona l’opzione All connections not through NetScaler Gateway (Tutte le connessioni non tramite NetScaler Gateway), è possibile visualizzare le app indipendentemente dal fatto che si provenga dalla rete interna o esterna. Si consiglia ai clienti che utilizzano l’accesso adattivo con la piattaforma Citrix Workspace di non fare affidamento sull’opzione All connections not through NetScaler Gateway (Tutte le connessioni non tramite NetScaler Gateway) per limitare l’accesso di un gruppo di consegna alle sole reti interne.

Configurare criteri di accesso adattivi per definire i controlli dell’utente finale durante l’accesso ai desktop e alle app virtuali

Usiamo l’esempio precedente e creiamo un criterio per disabilitare la funzionalità di copia-incolla solo dalle filiali.

Per disabilitare la funzionalità di copia-incolla per gli utenti provenienti dalla posizione LOCATION_TAG_BranchOffice, effettuare le seguenti operazioni.

  1. Nella pagina di configurazione di Citrix DaaS, fare clic sulla scheda Manage (Gestisci).
  2. Fare clic sulla scheda Policies.
  3. Selezionare Create Policy.
  4. In Select Settings, selezionare Client Clipboard Redirection (Reindirizzamento Appunti client).

  5. In Edit Setting, selezionare Prohibited e quindi fare clic su OK.

    Modificare l'impostazione

  6. Nella pagina Users and Machines (Utenti e macchine) fare clic su Select user and machine objects (Seleziona oggetti utente e computer) e quindi assegnare questo criterio al controllo di accesso.

  7. Immettere un nome per il criterio o accettare l’impostazione predefinita. Valutare la possibilità di assegnare al criterio un nome in base alle persone o agli elementi a cui si riferisce, ad esempio Reparto contabilità o Utenti remoti. Se si desidera, aggiungere una descrizione.

Il criterio è abilitato per impostazione predefinita. È possibile disattivarlo. L’abilitazione del criterio consente di applicarlo immediatamente agli utenti che accedono. La disabilitazione impedisce l’applicazione del criterio. Se è necessario assegnare priorità al criterio o aggiungere impostazioni in un secondo momento, è consigliabile disabilitare il criterio fino a quando non si è pronti ad applicarlo.

Per assegnare un criterio di accesso adattivo a una posizione esterna (LOCATION_external)

Se si desidera applicare un criterio di accesso per una posizione esterna, ad esempio per disabilitare l’accesso agli Appunti per gli utenti provenienti da posizioni non configurate (diverse da LOCATION_TAG_BranchOffice, LOCATION_internal), è sufficiente assegnare il criterio a LOCATION_external (dato che non riguarda nessuno dei percorsi di rete definiti, viene restituito LOCATION_external).

Assegna criterio

Come convalidare la configurazione dei criteri

Convalidare i criteri adattivi per assicurarsi che i criteri funzionino come previsto prima di implementare ampiamente questi criteri. Nell’esempio di configurazione;

  • Per gli utenti provenienti dalla posizione di rete LOCATION_Internal, le app devono essere enumerate. Anche la funzionalità di copia-incolla deve essere disponibile per questi utenti.
  • Per gli utenti provenienti dalla posizione di rete LOCATION_TAG_BranchOffice, le app devono essere enumerate. La funzionalità di copia-incolla deve essere disabilitata per questi utenti.
  • Per gli utenti provenienti dalla posizione LOCATION_external, le app non devono essere enumerate.
Accesso adattivo basato sulla posizione di rete dell’utente - Anteprima
November 16, 2022
Grazie al contributo di: 
C
November 16, 2022
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso
© 1999- Cloud Software Group, Inc. All rights reserved.