适用于 HDX 应用程序的 SmartAccess
此功能允许您根据设备属性、设备的用户属性或设备上已安装的应用程序控制对 HDX 应用程序的访问。您可以通过设置自动化操作使用此功能将设备标记为不合规,以拒绝该设备的访问。与此功能结合使用的 HDX 应用程序通过拒绝访问不合规设备的 SmartAccess 策略在 Citrix Virtual Apps and Desktops 中配置。Endpoint Management 使用签名的加密标记向 StoreFront 传达设备的状态。StoreFront 随后根据应用程序的访问控制策略允许或拒绝访问。
要使用此功能,您的部署要求:
- Citrix Virtual Apps and Desktops
- Citrix Endpoint Management
- Endpoint Management 配置有 SAML 证书,用于签名和加密标记。不带私钥的相同证书在 StoreFront 服务器上上载。
要开始使用此功能,请执行以下操作:
- 配置 Endpoint Management 服务器证书并将其上载到 StoreFront 应用商店
- 使用所需的 SmartAccess 策略配置至少一个 Citrix Virtual Apps and Desktops 交付组
- 在 Endpoint Management 中设置自动操作
通过 SmartAccess 访问适用于端点的 HDX 应用程序
通过此功能,您可以应用基于策略的访问控制以限制设备对 HDX 应用程序的访问。可以将以下访问级别应用到 HDX 应用程序:
- 完全访问权限。设备可以访问 Secure Hub 应用商店提供的所有 HDX 应用程序。
- 受限制的访问。设备可以访问一个或多个 HDX 应用程序,但不能访问所有 HDX 应用程序。
- 没有访问权限。设备无法访问任何 HDX 应用程序。
下图说明了访问控制的工作原理。尝试在 Secure Hub 中启动 HDX 应用程序会触发到 Delivery Controller 的请求。然后,Delivery Controller 将请求转发到 Endpoint Management 服务器进行验证。验证的结果决定了设备的访问级别。例如,如果设备已越狱,则拒绝访问 HDX 应用程序。
导出并配置 Endpoint Management 服务器证书并将其上载到 StoreFront 应用商店
SmartAccess 使用签名的加密标记在 Endpoint Management 与 StoreFront 服务器之间进行通信。要启用该通信,请将 Endpoint Management 服务器证书添加到 StoreFront 应用商店。
有关在通过基于域和证书的身份验证启用 Endpoint Management 时集成 StoreFront 和 Endpoint Management 的更多信息,请参阅 支持知识中心。
从 Endpoint Management 导出 SAML 证书
-
在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。单击证书。
-
找到 Endpoint Management 服务器的 SAML 证书。
-
确保导出私钥设置为关。单击导出将该证书导出到您的下载目录。
-
在您的下载目录中找到该证书。证书为 PEM 格式。
将证书从 PEM 转换为 CER
-
打开 Microsoft 管理控制台(MMC),然后右键单击证书 > 所有任务> 导入。
-
证书导入向导显示时,单击下一步。
-
浏览到下载目录中的证书。
-
选择将所有的证书都放入下列存储,然后选择个人作为证书存储。单击下一步。
-
检查您的选择,然后单击完成。单击确定消除确认窗口。
-
在 MMC 中,右键单击证书,然后选择所有任务 > 导出。
-
证书导出向导显示时,单击下一步。
-
选择格式 DER 编码二进制 X.509 (.CER)。单击下一步。
-
浏览到该证书。键入证书名称,然后单击下一步。
-
保存该证书。
-
浏览到该证书,然后单击下一步。
-
检查您的选择,然后单击完成。单击确定消除确认窗口。
-
在您的下载目录中找到该证书。请注意,证书为 CER 格式。
将证书复制到 StoreFront 服务器
-
在 StoreFront 服务器上,创建一个名为 SmartCert 的文件夹。
-
将证书复制到 SmartCert 文件夹。
在 StoreFront 应用商店中配置证书
在 StoreFront 服务器上,运行以下 PowerShell 命令以在该应用商店上配置转换后的 Endpoint Management 服务器证书:
Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->
如果 StoreFront 应用商店上存在任何现有证书,请运行以下 PowerShell 命令以将其吊销:
Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->
或者,可以在 StoreFront 服务器上运行以下任意 PowerShell 命令以吊销 StoreFront 应用商店中的现有证书:
- 按名称吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
- 按指纹吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->
- 按服务器对象吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
$access = Get-STFStorePnaSmartAccess –StoreService $store
Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->
为 Citrix Virtual Apps and Desktops 配置 SmartAccess 策略
要将所需的 SmartAccess 策略添加到用于提供 HDX 应用程序的交付组中,请执行以下操作:
-
从 Citrix Cloud 控制台打开 Citrix Studio。
-
在 Studio 导航窗格中选择交付组。
-
选择用于提供要控制对其访问的一个或多个应用程序的组。然后在操作窗格中选择编辑交付组。
-
在访问策略页面上,选择通过 Citrix Gateway 的连接和 Connection meeting any of the following(满足以下任一情况的连接)。
-
单击添加。
-
添加场为 XM 且过滤器为 XMCompliantDevice 的访问策略。
-
单击应用以应用您所做的任何更改并使窗口保持打开,或单击确定应用更改并关闭窗口。
在 Endpoint Management 中设置自动操作
您在交付组中为 HDX 应用程序设置的 SmartAccess 策略在某个设备不合规时拒绝访问该设备。使用自动化操作将设备标记为不合规。
-
在 Endpoint Management 控制台中,单击配置 > 操作。此时将显示操作页面。
-
单击添加以添加操作。此时将显示操作信息页面。
-
在操作信息页面上,键入操作的名称和说明。
-
单击下一步。此时将显示操作详细信息页面。在以下示例中,创建了一个在设备的用户属性名称为 eng5 或 eng6 时立即将其标记为不合规的触发器。
-
在触发器列表中,选择设备属性、用户属性或已安装应用程序的名称。SmartAccess 不支持事件触发器。
-
在操作列表中:
- 选择 将设备标记为不合规。
- 选择是。
- 选择 True。
- 要将操作设置为满足触发条件时立即将设备标记为不合规,请将时间范围设置为 0。
-
选择要应用此操作的一个或多个 Endpoint Management 交付组。
-
检查操作的摘要。
-
单击下一步,然后单击保存。
当设备被标记为不合规时,HDX 应用程序不会再在 Secure Hub 应用商店中显示。用户将无法再订阅这些应用程序。不会向设备发送任何通知,并且 Secure Hub 应用商店中没有任何迹象指示以前提供过 HDX 应用程序。
如果希望用户在设备被标记为不合规时接收通知,请创建一个通知,然后创建一项用于发送该通知的自动化操作。
本示例将在设备被标记为不合规时创建并发送以下通知:Device serial number or telephone number no longer complies with the device policy and HDX applications will be blocked(设备序列号或电话号码不再符合设备策略,HDX 应用程序将被阻止)。
创建当设备被标记为不合规时用户看到的通知
-
在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
-
单击通知模板。此时将显示通知模板页面。
-
单击添加在通知模板页面上进行添加。
-
配置以下设置:
- 名称: HDX 应用程序阻止
- 说明: 设备不合规时的代理通知
- 类型: 临时通知
- Secure Hub: 已激活
-
消息: 设备
${firstnotnull(device.TEL_NUMBER,device.serialNumber)}不再符合设备策略,HDX 应用程序将被阻止。
-
单击保存。
创建当设备标记为不合规时用于发送通知的操作
-
在 Endpoint Management 控制台中,单击配置 > 操作。此时将显示操作页面。
-
单击添加以添加操作。此时将显示操作信息页面。
-
在操作信息页面上,输入操作的名称和说明:
- 名称: HDX 阻止了通知
- 说明: 由于设备不合规,HDX 阻止了通知
-
单击下一步。此时将显示操作详细信息页面。
-
在触发器列表中:
- 选择设备属性。
- 选择 不合规。
- 选择是。
- 选择 True。
-
在操作列表中,指定满足触发条件时发生的操作:
- 选择发送通知
- 选择 HDX Application Block, the notification you created(HDX 应用程序阻止,您创建的通知)
- 选择 0。将此值设置为 0 会导致通知在满足触发条件时立即发送。
-
选择要应用此操作的一个或多个 Endpoint Management 交付组。在此示例中,请选择 AllUsers。
-
检查操作的摘要。
-
单击下一步,然后单击保存。
有关设置自动化操作的详细信息,请参阅自动化操作。
用户如何重新获取对 HDX 应用程序的访问权限
用户可以在设备恢复合规后再次获取对 HDX 应用程序的访问权限:
-
在设备上,转至 Secure Hub 应用商店以刷新应用商店中的应用程序。
-
转至该应用程序并轻按添加以添加该应用程序。
添加后,该应用程序将在“我的应用程序”中显示,旁边带有一个蓝点,因为这是新安装的应用程序。
