支持企业 Web 应用程序

使用 Citrix Gateway 服务交付 Web 应用程序使企业特定应用程序能够作为基于 Web 的服务远程交付。常用的 Web 应用程序包括 SharePoint、Confluence、OneBug 等。

可以使用 Citrix Gateway 服务使用 Citrix Workspace 访问 Web 应用程序。Citrix Gateway 服务与 Citrix Workspace 结合使用可为配置的 Web 应用程序、SaaS 应用程序、配置的虚拟应用程序或任何其他工作区资源提供统一的用户体验。

SSO 和 Web 应用程序的远程访问可作为以下服务包的一部分提供:

  • 网关服务标准
  • 工作区标准、工作区高级版或工作空间高级版

系统要求

Citrix Gateway Connector — 一种虚拟设备,可方便远程访问企业 Web 应用程序。Citrix Gateway Connector 是虚拟设备。虚拟机规范必须至少具有:

  • vCPU 的数量必须正好为 2。
  • 最低 4 GB 内存。
  • 1 个网络适配器(虚拟 NIC)。您可以根据需要添加额外的虚拟网卡。

在配置企业 Web 应用程序之前,先安装网关连接器,以便更清洁。

重要提示:

如果必须部署 Citrix Gateway Connector 的本地数据中心中有 SSL 拦截设备,则如果为这些 FQDN 启用了 SSL 拦截,则连接器注册不会成功。必须为这些 FQDN 禁用 SSL 拦截才能成功注册连接器。 有关 Citrix Gateway Connector 的详细信息,请参阅 Citrix CloudGateway Connector

连接器设备 -您可以将连接器设备与 Citrix Secure Workspace Access 服务结合使用,以支持对客户数据中心中的企业 Web 应用程序进行无 VPN 访问。有关详细信息,请参阅 https://docs.citrix.com/en-us/preview/connector-appliance-swa.html。使用 Connector 设备的安全工作区访问目前正在私人技术预览版

工作原理

Citrix Gateway 服务使用本地部署的 Citrix CloudGateway Connector 安全地连接到本地数据中心。此连接器充当本地部署的企业 Web 应用程序和 Citrix Gateway 服务之间的桥梁。这些连接器可以部署在 HA 对中,只需要出站连接。

网关连接器和云中 Citrix Gateway 服务之间的 TLS 连接可保护枚举到云服务中的本地应用程序。使用无 VPN 的连接通过 Workspace 访问和交付 Web 应用程序。 下图说明了使用 Citrix Workspace 访问 Web 应用程序。

Web 应用程序如何工作

配置企业 Web 应用程序的方法

可以通过以下两种方式配置和发布企业 Web 应用程序:

手动配置和发布企业 Web 应用程序

以下配置以 SharePoint 应用程序为例,手动配置和发布应用程序:

  1. Citrix Gateway 服务磁贴上,单击管理

  2. 单击 单点登录磁贴下方的添加 Web/SaaS 应用程序

  3. 单击 跳过 以手动配置 SharePoint 应用程序。

    跳过添加模板

  4. 检查 在我的公司网络内部 单选按钮。

    在 “应用程序详细信息” 部分输入以下详细信息,然后单击

    名称 — 要添加的应用程序的名称。

    URL — 包含您的客户 ID 的 URL。该 URL 必须包含您的客户 ID(Citrix Cloud 客户 ID)。要获取客户 ID,请参阅注册 Citrix Cloud。如果 SSO 失败或您不想使用 SSO,则用户将被重定向到此 URL。

    客户域名客户域 ID -客户域名和 ID 用于在 SAML SSO 页面中创建应用程序 URL 和其他后续 URL。

    例如,如果您要添加 Salesforce 应用程序,则您的域名为 salesforceformyorg 且 ID 为 123754,那么应用程序 URL 为 https://salesforceformyorg.my.salesforce.com/?so=123754.

    客户域名和客户 ID 字段特定于某些应用程序。

    相关域 — 相关域将根据您提供的 URL 自动填充。相关域可帮助服务将 URL 识别为应用程序的一部分,并相应地路由流量。您可以添加多个相关域。

    图标 — 单击 更改图标 可更改应用程序图标。图标文件大小必须为 128x128 像素。如果不更改图标,则会显示默认图标。

    描述 — 您在此处输入的此描述将在工作区中向用户显示。

    不向用户显示应用程序图标 - 如果要在 Citrix Workspace 门户中隐藏此应用程序,请选中该复选框。当应用程序在 Citrix Workspace 门户中隐藏时,Secure Workspace Access 服务在枚举期间不会返回此应用程序。但是,用户仍然可以访问隐藏的应用程序。

    Web 应用详细信息

  5. 在增强安全性部分中,选择 启用增强安全 性以选择要应用于应用程序的安全选项。

    重要:

    仅当您有权使用安全 Workspace 访问服务时,增强的安全性部分才可用。有关详细信息,请参阅 https://www.citrix.com/products/citrix-cloud/

    • 可以为应用程序启用以下增强的安全选项。

      • 限制剪贴板访问: 禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作
      • 限制打印: 禁用在 Citrix Workspace 应用程序浏览器中进行打印的功能
      • 限制导航: 禁用下一个/返回应用程序浏览器按钮
      • 限制下载: 禁用用户从应用程序内下载
      • 显示水印: 在用户屏幕上显示水印,显示用户计算机的用户名和 IP 地址

      增强的安全选项

    • 可以为应用程序启用以下高级应用程序保护策略。

      限制键盘记录: 防止键盘记录器。当用户尝试使用用户名和密码登录应用程序时,所有密钥都会在密钥记录器上加密。此外,用户在应用程序上执行的所有活动都受到保护,防止密钥记录。例如,如果为 Office365 启用了应用程序保护策略,并且用户编辑了 Office365 Word 文档,则所有按键记录器都会在密钥记录器上加密。

      限制屏幕截图: 禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕,则会捕获一个空白屏幕。

      重要:

      • 只有在启用启用增强的安全性选项后,才能启用高级应用程序保护策略。
      • 应用程序保护策略按应用程序启用,因为并非所有应用都可能需要这些限制
      • 仅当应用程序通过 Citrix 嵌入式浏览器交付时,应用程序保护策略才有效。
    • 选择 始终在 Citrix Secure Browser 服务 中启动应用程序,以始终在 Secure Browser 服务中启动应用程序,无论其他

      注意:

      • 应用程序在安全浏览器中启动后,其他增强的安全选项仍会强制执行。

      • 如果要从 Citrix Workspace 应用程序或 Citrix Workspace for Web 访问应用程序,则该应用程序将分别在嵌入式浏览器或本机浏览器中启动,直到在移动设备上强制执行策略为止。

    • 选择 在移动设备上实施策略 以在移动设备上启用前面提到的增强安全选项。

      注意

      如果选择了在移动设备上实施策略并启用增强的安全性,则应用程序访问的用户体验对桌面用户和移动用户的影响将受到负面影响。

  6. 现在,您必须连接到资源位置。您可以选择现有资源位置或创建一个资源位置。要选择现有资源位置,请从资源位置列表中单击其中一个资源位置,例如 “我的资源位置”,然后单击 “ 一步”。有关添加资源位置的指导,请单击 https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

    添加新的资源位置

  7. 选择要用于应用程序的首选单点登录类型,然后单击 保存。可以使用以下单点登录类型。

    • 基本 — 如果您的后端服务器向您提出 basic-401 挑战,请选择 基本 SSO。您无需为基本 SSO 类型提供任何配置详细信息。
    • Kerberos — 如果您的后端服务器向您提供了协商 401 挑战,请选择 Kerberos。您无需为 Kerberos SSO 类型提供任何配置详细信息。
    • 基于表 单 — 如果后端服务器向您提供用于身份验证的 HTML 表单,请选择 基于表单。输入基于表单的 SSO 类型的配置详细信息。
    • SAML -为基于 SAML 的 SSO 选择 SAML 进入 Web 应用程序。输入 SAML SSO 类型的配置详细信息。
    • 不要使用 SSO — 当您不需要在后端服务器上对用户进行身份验证时,请使用不要使用 SSO 选项。选择不使用 SSO 选项时,用户将被重定向到在应用程序详细信息部分下配置的 URL。

    基于表单的详细信息:在单点登录部分输入以下基于表单的配置详细信息,然后单击保存

    保存 config1

    • 操作 URL -键入要向其提交完成的表单的 URL。
    • 登录表单 URL — 键入显示登录表单的 URL。
    • 户名格式 -选择用户名的格式。
    • 户名表单字段 — 键入用户名属性。
    • 密码表单字段 — 键入密码属性。

    SAML:在登录部分输入以下详细信息,然后单击保存

    保存 config2

    • 签名断言 -签名断言或响应可确保在将响应或断言传递给信赖方 (SP) 时消息的完整性。您可以选择断言、响应、两者
    • 断言 URL — 断言 URL 由应用程序供应商提供。SAML 断言被发送到此 URL。
    • 中继状态 — 中继状态参数用于标识用户登录并定向到信赖方的联合服务器后访问的特定资源。中继状态为用户生成单个 URL。用户可以单击此 URL 登录到目标应用程序。
    • 受众 — 受众由应用程序供应商提供。此值确认为正确的应用程序生成了 SAML 断言。
    • 名称 ID 格式 — 选择支持的名称标识符格式。

    • 名称 ID — 选择支持的名称 ID。
  8. 单击完成

    单击 完成后,该应用程序将添加到库中,并显示以下三个选项。

    • 添加另一个应用
    • 编辑应用
    • 去图书馆

为已发布的应用程序分配用户或用户组

应用发布后,您可以将用户或群组分配给该应用程序。

  1. Citrix Cloud 屏幕上,单击 转到库。或者,您也可以单击左上角菜单中的库。

    请注意,库中新添加的应用程序功能。

    图书馆

  2. 要为应用程序分配用户,请将指针悬停在右侧的省略号上,然后单击 管理订阅者

    管理订阅者

  3. 单击 选择域列表, 然后选择一个域。单击 选择组或用户 并分配用户。

    分配用户或组

    注意: 通过选择用户并单击 状态旁边的删除图标,可以取消订阅用户。

  4. 要获取要与应用程序用户共享的 Workspace URL,请在 Citrix Cloud上单击菜单图标并导航至 工作区配置

    获取工作区 URL

管理已发布的应用

您可以编辑或删除已发布的应用程序,并向已发布应用程序添加更多订阅者。

编辑已发布的应用

要编辑已发布的应用程序,请执行以下步骤:

  1. 转到 并确定要编辑的应用程序。

  2. 将指针悬停在右侧的省略号上,然后单击 编辑

  3. 编辑 应用详细信息 部分下的条目,然后单击 保存

  4. 编辑单点登录部分下的条目,单击保存,然后单击完成

删除已发布的应用

要删除已发布的应用程序,请执行以下步骤:

  1. 转到 并确定要删除的应用程序。
  2. 单击右侧的点图标,然后单击 删除

管理已发布应用的订阅者

要添加更多订阅者,请执行以下步骤:

  1. 转到 并确定要修改的应用程序。
  2. 将指针悬停在右侧的省略号上,然后单击 管理订阅者

启动已配置的应用 — 最终用户流

要启动已配置的应用程序,请执行以下步骤:

  1. 使用 AD 用户凭据登录 Citrix Workspace。 将显示管理员配置的应用程序。
  2. 单击应用程序以启动应用程序。 应用程序已启动,用户已登录到该应用程序。

通过本地浏览器启用无 VPN 访问企业 Web 应用程序

您可以使用 Citrix Secure Workspace Access 浏览器扩展程序通过本地浏览器启用无 VPN 访问企业 Web 应用程序的权限。谷歌 Chrome 浏览器和微软 Edge 浏览器都支持 Citrix Secure Workspace Access 浏览器扩展程序。

如何安装 Citrix Secure Workspace Access 浏览器扩展

  1. 从 Google Chrome 应用商店下载 Citrix Secure Workspace Access 浏览器扩展程序。
  2. 单击注册以注册服务器 FQDN。
  3. 输入服务器 FQDN,然后单击下一步。 注册浏览器扩展
  4. 输入您的 Citrix Workspace URL。
  5. 单击下一步。
  6. 输入用户名和密码。
    • 输入正确的用户凭据后,用户将登录到 Workspace Web 门户和浏览器扩展程序。
    • 浏览器扩展图标变为蓝色,表示已启用内部应用程序访问
    • 成功登录后,浏览器扩展窗口会自动关闭。 注册浏览器扩展程序
  7. 现在可直接在浏览器中启用对受制裁的内部 Web 应用程序链接的访问。如果为 SSO 配置了 Web 应用程序,则用户将登录到该应用程序。

注意:

  • 当您处于内部网络中且不需要浏览器扩展程序来启用对这些 URL 的访问时,可以将 “内部应用程序访问” 滑块设置为 OFF,然后访问 URL。
  • 如果要从本地浏览器禁用内部 Web 应用程序访问,则可以退出浏览器扩展程序
  • 您还可以通过单击删除按钮删除帐户注册,将扩展程序重置回原始状态。注销帐户后,您将无法从本机浏览器访问企业 Web 应用程序。

配置会话超时

管理员可以为 Citrix Secure Workspace Access 浏览器扩展配置会话超时。

  1. 在 Citrix Gateway 服务磁贴上,单击管理
  2. 单击 管理 选项卡。
  3. 浏览器扩展行为的不活动超时中,根据要求选择超时。

重要提示:

路由规则不能暂时发送到浏览器扩展程序。