Citrix Gateway

配置访问方案回退

SmartAccess 允许 Citrix Gateway 根据端点分析扫描的结果自动确定允许用户设备使用的访问方法。如果用户设备未通过初始端点分析扫描,访问方案回退允许用户设备使用 Citrix Workspace 应用程序从 Citrix Secure Access 代理回退到 Web 界面或 StoreFront,从而进一步扩展了此功能。

要启用访问方案回退,请配置身份验证后策略,以确定用户在登录 Citrix Gateway 时是否收到替代访问方法。此身份验证后策略定义为客户端安全表达式,您可以全局配置或作为会话配置文件的一部分进行配置。如果配置会话配置文件,则该配置文件将与会话策略相关联,然后将其绑定到用户、组或虚拟服务器。启用访问方案回退时,Citrix Gateway 将在用户身份验证后启动端点分析扫描。不符合身份验证后回退扫描要求的用户设备的结果如下:

  • 如果启用了客户端选项,则用户只能使用 Citrix Workspace 应用程序登录 Web Interface 或 StoreFront。
  • 如果禁用了无客户端访问和客户端选择,则可以将用户隔离到仅提供 Web Interface 或 StoreFront 访问权限的组中。
  • 如果 Citrix Gateway 上启用了无客户端访问和 Web Interface 或 StoreFront,并且禁用了 ICA 代理,则用户将回退到无客户端访问。
  • 如果未配置 Web Interface 或 StoreFront 且无客户端访问设置为允许,则用户将回退到无客户端访问。

禁用无客户端访问时,必须为访问方案回退配置以下设置组合:

  • 为身份验证后备扫描定义客户端安全参数。
  • 定义 Web Interface 主页。
  • 禁用客户端选择。
  • 如果用户设备未通过客户端安全检查,则会将用户置于隔离组中,该组仅允许访问 Web Interface 或 StoreFront 以及已发布的应用程序。

为访问方案回退创建策略

要配置 Citrix Gateway 以进行访问方案回退,您需要通过以下方式创建策略和组:

  • 创建一个隔离组,如果端点分析扫描失败,用户将被放置在该组中。
  • 创建在端点分析扫描失败时使用的全局 Web Interface 或 StoreFront 设置。
  • 创建覆盖全局设置的会话策略,然后将会话策略绑定到组。
  • 创建在端点分析失败时应用的全局客户端安全策略。

配置访问方案回退时,请遵循以下准则:

  • 要使用客户端选择或访问方案回退,所有用户都需要使用 Endpoint Analysis 插件。如果端点分析无法运行,或者用户在扫描期间选择了跳过扫描,则拒绝用户访问。 注意:Citrix Gateway 10.1 版本 120.1316.e 中删除了跳过扫描的选项。
  • 启用客户端选项后,如果用户设备未能通过端点分析扫描,用户将被置于隔离组中。用户可以继续使用 Citrix Secure Access 代理或 Citrix Workspace 应用程序登录到 Web Interface 或 StoreFront。 注意:如果启用客户端选项,Citrix 建议您不要创建隔离组。未能通过端点分析扫描的用户设备将被隔离,其处理方式与通过端点扫描的用户设备的处理方式相同。
  • 如果端点分析扫描失败并将用户置于隔离组中,则绑定到隔离组的策略只有在没有直接绑定到该用户且优先级编号与绑定到隔离组的策略相同或低的策略时,绑定到隔离组的策略才有效。
  • 您可以为访问界面和 Web Interface 或 StoreFront 使用不同的 Web 地址。配置主页时,访问界面主页优先于 Citrix Secure Access 代理,Web 界面用户优先 Web 界面主页。Citrix Workspace 应用程序主页优先于 StoreFront。

创建隔离组

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 用户管理,然后单击 AAA 组
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在 “ 组名称” 中,键入组的名称,单击 “ 创建”, 然后单击 “ 关闭”。 重要提示:隔离组的名称不得与用户可能属于的任何域组的名称匹配。如果隔离组与 Active Directory 组名称匹配,则即使用户设备通过了端点分析安全扫描,也会隔离用户。

创建组后,将 Citrix Gateway 配置为在用户设备无法通过端点分析扫描时回退到 Web Interface 。

配置设置以隔离用户连接

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 全局 Citrix Gateway 设置 ” 对话框中,在 “ 已发布的应用程序 ” 选项卡上的 ICA 代理旁边,选择 “ ”。
  4. Web Interface 地址旁边,键入 StoreFront 或 Web Interface 的网址。
  5. 单点登录域旁边,键入 Active Directory 域的名称,然后单击 确定

配置全局设置后,创建覆盖全局 ICA 代理设置的会话策略,然后将会话策略绑定到隔离组。

为访问方案回退创建会话策略

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击 会话
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 名称中,键入策略的名称。
  4. 请求配置文件旁边,单击 新建
  5. 在 “ 已发布的应用程序 ” 选项卡上,单击 ICA Proxy旁边的 “ 覆盖全局”,选择 “ 开”, 然后单击 “ 创建
  6. 在 “ 创建会话策略 ” 对话框中,在 “ 命名表达式” 旁边,选择 “ 常规”,选择 “ True value”,单击 “ 添加表达式”,单击 “ 创建”, 然后单击 “ 关闭”。

创建会话策略后,将策略绑定到隔离组。

将会话策略绑定到隔离组

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 用户管理,然后单击 AAA 组
  2. 在详细信息窗格中,选择一个组,然后单击 打开
  3. 单击会话。
  4. 在 “ 略” 选项卡上,选择 “ 会话”,然后单击 “ 插入策略”。
  5. 在 “ 策略名称” 下,选择策略,然后单击 “ 确定”。

在 Citrix Gateway 上创建启用 Web Interface 或 StoreFront 的会话策略和配置文件后,创建全局客户端安全策略。

创建全局客户端安全策略

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 安全 ” 选项卡上,单击 “ 高级设置”
  4. 客户端安全中,输入表达式。有关配置系统表达式的详细信息,请参阅 配置系统表达式配置复合客户端安全
  5. 隔离组中,选择在组过程中配置的组,然后单击 确定
配置访问方案回退