Citrix Gateway

身份验证后策略

身份验证后策略是用户设备为保持会话活动状态而必须满足的一组通用规则。如果策略失败,与 Citrix Gateway 的连接将终止。配置身份验证后策略时,可以为可以设置条件的用户连接配置任何设置。

注意:

此功能仅适用于 Citrix Secure Access 代理。如果用户使用 Citrix Workspace 应用程序登录,则端点分析扫描仅在登录时运行。

您可以使用会话策略配置身份验证后策略。首先,创建应用该策略的用户。然后,将用户添加到组中。接下来,将会话、流量策略和 Intranet 应用程序绑定到组。

您还可以将组指定为授权组。这种类型的组允许您根据会话策略中的客户端安全表达式将用户分配到组。

如果用户设备不符合该策略的要求,您还可以配置身份验证后策略以将用户置于隔离组中。简单策略包括客户端安全表达式和客户端安全消息。当用户位于隔离组中时,用户可以登录 Citrix Gateway;但是,他们对网络资源的访问权限有限。

不能使用相同的会话配置文件和策略创建授权组和隔离组。创建身份验证后策略的步骤相同。创建会话策略时,可以选择授权组或隔离组。您可以创建两个会话策略,并将每个策略绑定到组。

身份验证后策略也可用于 SmartAccess。有关 SmartAccess 的更多信息,请参阅 在 Citrix Gateway 上配置 SmartAccess

配置身份验证后策略

您可以使用会话策略配置身份验证后策略。简单策略包括客户端安全表达式和客户端安全消息。

使用 GUI 配置身份验证后策略

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击 会话
  2. 在详细信息窗格的 策略 选项卡上,单击 添加
  3. 名称中,键入策略的名称。
  4. 请求配置文件旁边,单击 新建
  5. 名称中,键入配置文件的名称。
  6. 在 “安全” 选项卡上,单击 “ 高级设置”
  7. 客户端安全下,单击 覆盖全局, 然后单击 新建
  8. 配置客户端安全表达式,然后单击 创建
  9. 在 “ 客户端安全” 下的 “隔离组” 中,选择一个组。
  10. 错误消息中,键入身份验证后扫描失败时希望用户收到的消息。
  11. 在授权组下,单击 覆盖全局,选择一个组,单击 添加,单击 确定,然后单击 创建
  12. 在 “ 创建会话策略 ” 对话框的 “命名表达式” 旁边,选择 “ 常规”,选择 True 值,单击 “添加表达式”,单击 “ 创建”,然后单击 “ 关闭”。

配置身份验证后扫描的频率

您可以将 Citrix Gateway 配置为按指定的时间间隔运行身份验证后策略。例如,您配置了客户端安全策略,并希望它每 10 分钟在用户设备上运行一次。您可以通过在策略中创建自定义表达式来配置此频率。

注意:

身份验证后策略的频率检查功能仅适用于 Citrix Secure Access 代理。如果用户使用 Citrix Workspace 应用程序登录,则端点分析扫描仅在登录时运行。

您可以按照配置 身份验证后策略的过程设置配置客户端安全策略的频率(以分钟为单位)。下图显示了可以在 “ 添加表达式 ” 对话框中输入频率值的位置。

显示用于配置身份验证后扫描频率的对话框图。

隔离和授权组

当用户登录 Citrix Gateway 时,您可以将他们分配给在 Citrix Gateway 或安全网络中的身份验证服务器上配置的组。如果用户未能通过身份验证后扫描,则可以将该用户分配到称为隔离组的受限组,该组会限制对网络资源的访问。

您还可以使用授权组来限制用户对网络资源的访问。例如,您可能有一组合同人员只能访问您的电子邮件服务器和文件共享。当用户设备通过您在 Citrix Gateway 上定义的安全要求时,用户可以动态成为组的成员。

您可以使用全局设置或会话策略来配置绑定到用户、组或虚拟服务器的隔离和授权组。您可以根据会话策略中的客户端安全表达式将用户分配到组。当用户是组成员时,Citrix Gateway 会根据组成员资格应用会话策略。

配置授权组

配置 Endpoint Analysis 扫描时,可以在用户设备通过扫描时将用户动态添加到授权组。例如,您可以创建端点分析扫描来检查用户设备域成员身份。在 Citrix Gateway 上,创建一个名为 “加入域的计算机” 的本地组,然后将其添加为通过扫描的任何人的授权组。当用户加入群组时,用户将继承与该组关联的策略。

您无法将授权策略全局绑定或绑定到虚拟服务器。当用户未配置为 Citrix Gateway 上另一个组的成员时,可以使用授权组提供一组默认的授权策略。

使用会话策略配置授权组

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略,然后单击会话。
  2. 在详细信息窗格的 策略 选项卡上,单击 添加。
  3. 在名称中,键入策略的名称。
  4. 在 请求配置文件旁边,单击 新建。
  5. 在名称中,键入配置文件的名称。
  6. 在安全选项卡上,单击高级设置。
  7. 在授权组下,单击覆盖全局,从下拉列表中选择一个组,单击添加,单击确定,然后单击创建。
  8. 在创建会话策略对话框的命名表达式旁边,选择常规,选择 True 值,单击添加表达式,单击创建,然后单击关闭。

创建会话策略后,可以将其绑定到用户、组或虚拟服务器。

配置全局授权组

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置。
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在安全选项卡上,单击高级设置。
  4. 在授权组下,从下拉列表中选择一个组,单击添加,然后单击确定两次。

如果要全局或从会话策略中删除授权组,请在 “安全设置-高级” 对话框中,从列表中选择授权组,然后单击 “删除”。

配置隔离组

配置隔离组时,可以使用会话配置文件中的安全设置-高级设置对话框配置客户端安全表达式。

为隔离组配置客户端安全表达式

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略,然后单击会话。
  2. 在详细信息窗格的 策略 选项卡上,单击 添加。
  3. 在名称中,键入策略的名称。
  4. 在 请求配置文件旁边,单击 新建。
  5. 在名称中,键入配置文件的名称。
  6. 在安全选项卡上,单击高级设置。
  7. 在客户端安全下,单击覆盖全局,然后单击新建。
  8. 在 “客户端表达式” 对话框中,配置客户端安全表达式,然后单击创建。
  9. 在隔离组中,选择该组。
  10. 在 “错误消息” 中,键入向用户描述问题的消息,然后单击 “创建”。
  11. 在创建会话策略对话框的命名表达式旁边,选择常规,选择 True 值,单击添加表达式,单击创建,然后单击关闭。

创建会话策略后,将其绑定到用户、组或虚拟服务器。

注意

如果 Endpoint Analysis 扫描失败并将用户置于隔离组中,则绑定到隔离组的策略只有在没有直接绑定到该用户且优先级编号与绑定到隔离组的策略相同或低的策略时,绑定到隔离组的策略才有效。

配置全局隔离组

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置。
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在安全选项卡上,单击高级设置。
  4. 在客户端安全中,配置客户端安全表达式。
  5. 在隔离组中,选择该组。
  6. 在 “错误消息” 中,键入向用户描述问题的消息,然后单击 “确定”。
身份验证后策略