如果 SaaS 和 Web 应用程序中的相关域相同,则路由表以解决冲突

Citrix Secure Private Access 服务的应用程序域功能使客户能够做出路由决策,允许通过 Citrix Gateway 连接器在外部或内部路由应用程序的相关域。

考虑到客户在 SaaS 应用程序和内部 Web 应用程序中配置了相同的相关域。 例如,如果 Okta 是 Salesforce(SaaS 应用程序)和 Jira(内部 Web 应用程序)的 SAML IdP,则管理员可能会在这两个应用程序的配置中配置 *.okta.com 为相关域。这会导致冲突,最终用户会遇到不一致的行为。在这种情况下,管理员可以根据要求定义规则,以通过 Citrix Gateway Connector 在外部或内部路由这些应用程序。

应用程序域功能还使管理员能够配置 Citrix Gateway Connector 以绕过客户的 Web 代理服务器访问内部 Web 服务器。这些绕过策略之前是通过在 Citrix Gateway Connector 上运行 NSCLI 命令手动配置的。

路由表的工作原理

管理员可以通过 Gateway Connector 将应用程序的路由类型定义为“外部”、“内部”或“外部”,具体取决于他们希望如何定义流量。

  • 外部 — 流量直接流向互联网。
  • 内部 — 流量通过网关连接器流动。
    • 对于 Web 应用程序,流量在数据中心内流动。
    • 对于 SaaS 应用程序,流量通过 Citrix Gateway Connector 路由到网络外部。
  • 内部 — 绕过代理 -域流量通过 Citrix CloudGateway 连接器路由,绕过在网关连接器上配置的客户 Web 代理。
  • 通过网关连接器进行外部 - 应用程序为外部应用程序,但流量必须通过 Citrix Gateway Connector 流向外部网络。

注意:

  • 路由条目不会影响在应用程序上配置的安全策略。
  • 如果管理员不打算使用路由表中的条目,或者相应的应用程序未按预期运行,管理员可以直接禁用该条目,而不是将其删除。
  • 无论应用程序类型为何,特定客户的所有 Citrix Gateway Connector 都将获得 SSO 设置。以前,特定应用程序的 SSO 设置与资源位置相关联。

主路由表

主路由表可从 Secure Private Access 磁贴访问。

  1. 登录 Citrix Cloud 帐户。
  2. 在 Secure Private Access 磁贴上,单击管理
  3. 在导航窗格中,单击“设置”。此时将显示“应用程序域”页面。

主路由表

主路由表显示以下列。

  • FQDN/IP: 需要为其配置流量路由类型的 FQDN 或 IP 地址。
  • 类型:应用程序类型。添加应用程序时选择的内部部或外部通过网关连接器

    重要提示:

    如果存在冲突,则会为表格中的相应行显示一个警报图标。要解决冲突,管理员必须单击三角形图标,然后在主表中更改应用程序类型。

  • 资源地点:内部”类型的工艺路线的资源地点。如果未分配资源位置,则相应应用程序的“资源位置”列中会显示一个三角形图标。当您将鼠标悬停在图标上时,将显示以下消息。

    缺少资源位置。确保资源位置与此 FQDN 关联。

  • 状态:状态列中的切换开关可用于禁用路由条目的路由,而无需删除应用程序。 将切换开关转为“关”时,路径条目不会生效。此外,如果存在完全匹配的 FQDN,管理员可以选择要启用或禁用的路由。
  • 注释: 显示注释(如果有)。
  • 操作: 编辑图标用于添加资源位置或更改路径条目的类型。删除图标用于删除路由。

将 FQDN 添加到应用程序域表

管理员可以将 FQDN 添加到应用程序域表中,然后为其选择适当的路由类型。

  1. 单击应用程序域页面中的 添加
  2. 输入 FQDN 名称,然后为 FQDN 选择适当的路由类型。

添加路线条目

迷你路由表

应用程序域表的迷你版本可用于在应用程序配置期间做出路由决策。Citrix Gateway 服务用户界面的“应用程序连接”部分中提供的迷你路由表。

向迷你路由表添加路由

在 Citrix Gateway Service UI 中添加应用程序的步骤与 软件即服务应用程序的支持和企业 Web 应用程序支持主题中所述的 步骤保持不变,但以下两项更改除外:

  1. 完成以下步骤:
    • 选择一个模板。
    • 输入应用详细信息。
    • 根据需要选择增强的安全详细信息。
    • 选择单点登录方法(如果适用)。
  2. 单击 应用程序连接。-应用程序域表的迷你版本可用于在应用程序配置期间做出路由决策。

    迷你路由表

    • 域:域 列显示特定应用程序的一行或多行。第一行显示管理员在添加应用程序详细信息时输入的实际应用程序 URL。其他行是在添加应用程序详细信息时输入的所有相关域。如果应用程序 URL 和相关域名相同,它们将显示在一行中。

    如果选择了 SAML SSO,则一行显示 SAML 断言 URL。

    • 类型: 选择以下选项之一。
      • 外部 — 流量直接流向互联网。
      • 内部 — 流量通过网关连接器流动,应用程序被视为 Web 应用程序。

        • 对于 Web 应用程序,流量在数据中心内流动。

        • 对于 SaaS 应用程序,流量通过 Citrix Gateway Connector 路由到网络外部。

      • 内部 — 绕过代理 — 域流量通过 Citrix Cloud Gateway 连接器路由,绕过在网关连接器上配置的客户 Web 代理。
      • 通过网关连接器进行外 部 — 应用程序是外部应用程序,但流量必须通过 Citrix Gateway Connector 流向外部网络。
    • 资源位置: 为应用程序选择“内部”类型时自动填充资源位置。如果需要其他资源位置,请更改它。
    • 网关连接器状态: 当您为应用程序选择内部类型时,自动填充以及资源位置。

注意:

您还可以使用“安装网关连接器”链接在新的资源位置添加网关连接器,然后获取用于注册的激活码。有关详细信息,请参阅安装 Citrix Gateway Connector 的方法

如果 SaaS 和 Web 应用程序中的相关域相同,则路由表以解决冲突