基于设备状态的上下文访问 - 技术预览版

Citrix Secure Workspace Access 服务通过使用本地 Citrix Gateway 或客户托管的 Citrix Gateway(自适应身份验证)作为 Citrix Workspace 的 IdP 来提供基于设备状态的上下文访问。根据 EPA 检查结果和配置的智能访问策略,可以枚举或对最终用户隐藏 Enterprise Web 或 SaaS 应用程序。

自适应身份验证是一项 Citrix Cloud 服务,可为登录 Citrix Workspace 的用户启用高级身份验证。自适应身份验证提供在云中运行的网关实例,您可以根据需要为此实例配置身份验证机制。

注意:

目前,自适应身份验证处于技术预览阶段。您可以从 ShareFile 位置访问文档 https://citrix.sharefile.com/d-s4f9e541296f248f2b6a65740cfce166c

必备条件

  • Citrix Workspace 中的上下文访问功能已启用。
  • 必须为 Citrix Workspace 配置 Citrix Gateway 作为 IdP。有关详细信息,请参阅 使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供商
  • Citrix ADC 发布版本 13.0 版本构建 82.109 或更高版本。
  • 智能访问标签是在 Citrix Gateway 设备上配置的。

了解事件的流程

  • 用户使用本机 Citrix Workspace 应用程序在浏览器中输入工作区 URL 或连接到工作区应用商店。
  • 用户将重定向到配置为 IdP 的 Citrix Gateway。
  • 系统会提示用户允许在其设备上执行 EPA 检查。
  • Citrix Gateway 在用户同意扫描设备后执行 EPA 检查,并根据设备 ID 将智能访问标签写入 CAS。
  • 用户使用 Citrix Gateway IdP 和配置的身份验证机制登录 Citrix Workspace。
  • Citrix Gateway 向 Citrix Workspace 和安全工作区访问提供智能访问策略信息。
  • 用户将重定向到 Citrix Workspace 主页。
  • Citrix Workspace 处理配置为 IdP 的 Citrix Gateway 提供的智能访问标签,然后确定必须枚举并向最终用户显示的应用程序。

配置方案 — 基于设备状态扫描的企业 Web 或 SaaS 应用程序枚举

步骤 1:启用上下文访问功能

导航到 工作区配置 > 访问 并启用 上下文访问 功能切换。启用 上下文访问 功能时,会在令牌中添加设备 ID。

启用上下文相关访问功能

步骤 2:使用 Citrix Gateway GUI 配置智能访问策略

  1. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 配置文件
  2. 在配置文件选项卡上,单击 添加 以创建配置文件。

为设备状态检查创建配置文件

  1. 记中,输入智能访问标记名称。这是您在创建上下文访问策略时必须手动输入的标记。
  2. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略
  3. 单击 添加 以创建策略。

为设备状态检查创建策略

  1. 操作中,选择先前创建的配置文件,然后单击 添加
  2. 表达式中,创建策略表达式,然后单击 确定

步骤 3:创建上下文相关访问策略

执行创建上下文相关访问策略中详述的步骤。

上下文访问匹配条件

  • 在 “ 如果满足以下条件” 中,选择 “ 设备状态检查”。
  • 如果您配置了多个智能访问标签,请根据需要选择以下选项之一。
    • 全部匹配 — 登录 Citrix Workspace 时,设备 ID 必须与针对设备 ID 写入的所有智能访问标签匹配。
    • 匹配(如果有 )— 设备 ID 必须与登录 Citrix Workspace 时针对设备 ID 写入的智能访问标签之一匹配。
  • 输入自定义标签中,手动键入智能访问标签。这些标签必须与 Citrix Gateway(创建身份验证智能访问配置文件 > 标记)中配置的标签相同。

注意事项

  • 仅当您登录 Citrix Workspace 时才会进行状态评估(仅在身份验证期间)。
  • 在当前版本中,没有进行连续的设备状态评估。如果用户登录 Citrix Workspace 后设备上下文发生更改,则策略条件不会对设备状态评估产生任何影响。
  • 设备 ID 是为每个最终用户设备生成的 GUID。如果更改了用于访问 Citrix Workspace 的浏览器、删除 Cookie 或使用了隐身/私有模式,则设备 ID 可能会更改。但是,这一变化不会影响政策评估。
基于设备状态的上下文访问 - 技术预览版