基于设备状态的上下文访问
Citrix Secure Private Access 服务通过使用本地 Citrix Gateway 或客户托管的 Citrix Gateway(自适应身份验证)作为 Citrix Workspace 的 IdP,根据设备状态提供上下文访问。根据 EPA 检查结果和配置的智能访问策略,可以枚举或对最终用户隐藏 Enterprise Web 或 SaaS 应用程序。
注意: 自适应身份验证是一项 Citrix Cloud 服务,可为登录到 Citrix Workspace 的用户启用高级身份验证。自适应身份验证提供在云中运行的网关实例,您可以根据需要为此实例配置身份验证机制。
必备条件
- 必须为 Citrix Workspace 配置 Citrix Gateway 作为 IdP。有关详细信息,请参阅 使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供商。
- Citrix ADC 发布版本 13.0 版本构建 82.109 或更高版本。
- 智能访问标签是在 Citrix Gateway 设备上配置的。
了解事件的流程
- 用户使用本机 Citrix Workspace 应用程序在浏览器中输 Citrix Workspace URL 或连接到 Citrix Workspace 应用商店。
- 用户将重定向到配置为 IdP 的 Citrix Gateway。
- 系统会提示用户允许在其设备上执行 EPA 检查。
- Citrix Gateway 在用户同意扫描设备后执行 EPA 检查,并根据设备 ID 将智能访问标签写入 CAS。
- 用户使用 Citrix Gateway IdP 和配置的身份验证机制登录 Citrix Workspace。
- Citrix Gateway 为 Citrix Workspace 和 Secure Private Access 提供智能访问策略信息。
- 用户将重定向到 Citrix Workspace 主页。
- Citrix Workspace 处理配置为 IdP 的 Citrix Gateway 提供的智能访问标签,然后确定必须枚举并向最终用户显示的应用程序。
配置方案 — 基于Device Posture扫描的企业 Web 或 SaaS 应用程序枚举
步骤 1:使用 Citrix Gateway GUI 配置智能访问策略
- 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 配置文件。
- 在配置文件选项卡上,单击 添加 以创建配置文件。
- 在标记中,输入智能访问标记名称。这是您在创建上下文访问策略时必须手动输入的标记。
- 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略。
- 单击添加以创建策略。
- 在 操作中,选择先前创建的配置文件,然后单击 添加。
- 在表达式中,创建策略表达式并单击确定。
步骤 2:创建上下文相关访问策略
执行创建上下文相关访问策略中详述的步骤。
- 在“如果满足以下条件”中,选择“Device Posture检查”。
- 如果您配置了多个智能访问标签,请根据需要选择以下选项之一。
- 全部匹配 — 登录 Citrix Workspace 时,设备 ID 必须与针对设备 ID 写入的所有智能访问标签匹配。
- 匹配(如果有 )— 设备 ID 必须与登录 Citrix Workspace 时针对设备 ID 写入的智能访问标签之一匹配。
- 在 输入自定义标签中,手动键入智能访问标签。这些标签必须与 Citrix Gateway(创建身份验证智能访问配置文件 > 标记)中配置的标签相同。
注意事项
- 仅当您登录 Citrix Workspace 时才会进行状态评估(仅在身份验证期间)。
- 在当前版本中,没有进行连续的Device Posture评估。如果用户登录 Citrix Workspace 后设备上下文发生更改,则策略条件不会对Device Posture评估产生任何影响。
- 设备 ID 是为每个最终用户设备生成的 GUID。如果更改了用于访问 Citrix Workspace 的浏览器、删除 Cookie 或使用了隐身/私有模式,则设备 ID 可能会更改。但是,这一变化不会影响策略评估。
已复制!
失败!