支持客户端-服务器应用程序
借助 Citrix Secure Private Access,您现在可以使用本机浏览器或通过计算机上运行的 Citrix Secure Access 客户端使用本机客户端应用程序访问所有专用应用程序,包括 TCP/UDP 和 HTTPS 应用程序。
借助 Citrix Secure Private Access 中对客户端-服务器应用程序的额外支持,您现在可以消除对传统 VPN 解决方案的依赖,从而为远程用户提供对所有私有应用程序的访问权限。
预览版功能
工作原理
最终用户只需在客户端设备上安装 Citrix Secure Access 客户端,即可轻松访问所有经批准的专用应用程序。
-
对于 Windows,可以从 https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html 下载客户端版本(22.3.1.5 及更高版本)。
-
对于 macOS,可以从 App Store 下载客户端版本(22.02.3 及更高版本)。
管理配置 — 基于 Citrix Secure Access 客户端访问 TCP/UDP 应用程序
必备条件
确保满足以下要求才能访问 TCP/UDP 应用程序。
- 在 Citrix Cloud 中访问 Citrix Secure Private Access。
- Citrix Cloud Connector - 安装适用于 Active Directory 域配置的 Citrix Cloud Connector,如 Cloud Connector 安装中所述。
- 身份和访问管理-完成配置。有关详细信息,请参阅 身份和访问管理。
- Connector Appliance — Citrix 建议在资源位置的高可用性设置中安装两个 Connector Appliance。连接器可以安装在本地、数据中心虚拟机管理程序或公共云中。有关 Connector Appliance 及其安装的更多信息,请参阅适用于云服务的 Connector Appliance。
- 对于 TCP/UDP 应用程序,必须使用 Connector Appliance。
重要信息:
有关应用程序的完整端到端配置,请参阅 管理员指导的工作流程,以轻松上手和设置。
- 在 Citrix Secure Private Access 磁贴上,单击“管理”。
-
单击继续,然后单击添加应用程序。
注意:
继续按钮仅在您首次使用向导时出现。在后续使用中,您可以直接导航到应用程序页面,然后单击添加应用程序。
应用程序是目标的逻辑分组。我们可以为多个目标创建一个应用程序-每个目标意味着后端有不同的服务器。例如,一个应用程序可以有一个 SSH、一个 RDP、一个数据库服务器和一个 Web 服务器。您不必为每个目标创建一个应用程序,但一个应用程序可以有多个目的地。
- 在“选择模板”部分中,单击“跳过”手动配置 TCP/UDP 应用程序。
-
在“应用程序详细信息”部分中,选择“在我的企业网络中”,输入以下详细信息,然后单击“下一步”。
- 应用程序类型 — 选择 TCP/UDP。
- 应用程序名称 -应用程序的名称。
- 应用程序图标— 将显示应用程序图标。此字段为可选字段。
- 应用程序描述 — 您要添加的应用程序的描述。此字段为可选字段。
-
目标 — 驻留在资源位置的后端计算机的 IP 地址或 FQDN。可以按如下方式指定一个或多个目的地。
- IP 地址 v4
- IP 地址范围 — 示例:10.68.90.10-10.68.90.99
- CIDR — 示例:10.106.90.0/24
-
计算机的 FQDN 或域名 — 单一域或通配符域。例如:ex.destination.domain.com、*.domain.com
重要:
即使管理员已使用 IP 地址配置应用程序,最终用户也可以使用 FQDN 访问应用程序。这是可能的,因为 Citrix Secure Access 客户端可以将 FQDN 解析为真实 IP 地址。 下表提供了各种目的地以及如何使用这些目的地访问应用程序的示例:
目的地输入 如何访问应用程序 10.10.10.1-10.10.10.100 最终用户只能通过此范围内的 IP 地址访问应用程序。 10.10.10.0/24 最终用户只能通过 IP CIDR 中配置的 IP 地址访问应用程序。 10.10.10.101 最终用户只能通过 10.10.10.101 访问应用程序 *.info.citrix.com最终用户应该访问 info.citrix.com和info.citrix.com(父域)的子域。例如,info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com注意: 通配符必须始终是域的起始字符,并且只允许使用一个 *.。info.citrix.com 最终用户 info.citrix.com只能访问子域,而不能访问子域。例如,sub1.info.citrix.com不可访问。
-
端口 — 运行应用程序的端口。管理员可以为每个目标配置多个端口或端口范围。
下表提供了可以为目标配置的端口示例。
端口输入 说明 * 默认情况下,port 字段设置为 “*”(任何端口)。目标支持从 1 到 65535 的端口号。1300–2400 目标支持从 1300 到 2400 的端口号。 38389 目标仅支持端口号 38389。 22,345,5678 目标支持端口 22、345、5678。 1300–2400, 42000-43000,22,443 端口号范围为 1300 到 2400、42000—43000, 目标支持端口 22 和 443。 注意:
通配符端口 (*) 不能与端口号或端口范围共存。
- 协议 — TCP/UDP
- 在应用程序连接部分中,可以使用应用程序域表的迷您版本来做出路由决策。对于每个目标,您可以选择不同的资源位置或相同的资源位置。在上一步中配置的目标将填充在“目标”列下。此处添加的目标也会添加到主“应用程序域”表中。应用程序域表是做出路由决策以将连接建立和流量指向正确的资源位置的真实来源。有关“应用程序域”表和可能的 IP 冲突情形的详细信息,请参阅 应用程序域-IP 地址冲突解决方案 部分。
-
对于以下字段,从下拉菜单中选择输入,然后单击 下一步。
注意:
仅支持内部路由类型。
-
资源位置 — 从下拉菜单中,必须连接到至少安装了一个 Connector Appliance 的资源位置。
注意:
应用程序连接部分支持 Connector Appliance 安装。您也可以在 Citrix Cloud 门户的“资源位置”部分下进行安装。有关创建资源位置的详细信息,请参阅 设置资源位置。
-
资源位置 — 从下拉菜单中,必须连接到至少安装了一个 Connector Appliance 的资源位置。
-
单击完成。该应用程序已添加到应用程序页面。配置应用程序后,可以从“应用程序”页面编辑或删除应用程序。为此,请单击应用程序上的省略号按钮,然后相应地选择操作。
- 编辑应用程序
- 删除
注意:
管理配置 — 基于 Citrix Secure Access 客户端访问 HTTP/HTTPS 应用程序
注意:
要使用 Citrix Secure Access 客户端访问现有或新的 HTTP/HTTPS 应用程序,您必须在资源位置安装至少一个(为了高可用性,建议安装两个)Connector Appliance。Connector Appliance 可以安装在本地、数据中心虚拟机管理程序或公有云中。有关 Connector Appliance 及其安装的详细信息,请参阅适用于云服务的 Connector Appliance。
必备条件
- 在 Citrix Cloud 中访问 Citrix Secure Private Access。
注意事项
- 通过增强安全控制强制执行的内部 Web 应用程序无法通过 Citrix Secure Access 客户端进行访问。
-
如果您尝试访问已启用增强安全控制的 HTTP(S) 应用程序,则会显示以下弹出消息。为 <”app name”(FQDN) > 应用程序启用了其他安全控制。请从 Citrix Workspace 访问。
- 如果要启用 SSO 体验,请使用 Citrix Workspace 应用程序或门户网站访问 Web 应用程序。
配置 HTTP (S) 应用程序的步骤与 支持企业 Web 应用程序中介绍的现有功能相同。
自适应访问 TCP/UDP 和 HTTP (S) 应用程序
自适应访问使管理员能够根据多种情境因素(例如Device Posture检查、用户地理位置、用户角色以及 Citrix Analytics 服务提供的风险评分)来管理对业务关键型应用程序的访问。
注意:
您可以拒绝访问 TCP/UDP 应用程序,管理员根据用户、用户组、用户访问应用程序的设备以及访问应用程序的位置(国家/地区)创建策略。默认情况下允许访问应用程序。
为应用程序进行的用户订阅适用于为 TCP/UDP 应用程序配置的所有 TCP/UDP 应用程序目的地。
创建自适应访问策略
管理员可以使用管理员指导的工作流向导在 Secure Private Access 服务中配置 SaaS 应用程序、内部 Web 应用程序和 TCP/UDP 应用程序的零信任网络访问权限。
注意:
- 有关创建自适应访问策略的详细信息,请参阅 创建访问策略。
- 有关 Secure Private Access 服务中的 SaaS 应用程序、内部 Web 应用程序和 TCP/UDP 应用程序的零信任网络访问的端到端配置,请参阅管理员指导的工作流程,以便于入门和设置。
注意事项
- 通过 Secure Access 客户端拒绝访问启用了增强安全性的现有 Web 应用程序。将显示一条错误消息,建议您使用 Citrix Workspace 应用程序登录。
- 通过 Citrix Workspace 应用程序基于用户风险评分、Device Posture检查等的 Web 应用程序的策略配置适用于通过 Secure Access 客户端访问应用程序。
- 绑定到应用程序的策略适用于应用程序中的所有目标。
DNS 解析
Connector Appliance 必须具有 DNS 解析的 DNS 服务器配置。
在 Windows 计算机上安装 Citrix Secure Access 客户端的步骤
支持的操作系统版本:
Windows – Windows 11、Windows 10、Windows Server 2016 和 Windows Server 2019。
以下是在 Windows 计算机上安装 Citrix Secure Access 客户端的步骤。
- 从 https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html 下载 Citrix Secure Access 客户端。
- 单击“安装”在 Windows 计算机上安装客户端。如果您已有 Citrix Gateway 客户端,则会升级同样的客户端。
- 单击完成以完成安装。
注意:
不支持 Windows 中的多用户会话。
Microsoft Edge 运行时安装步骤
现在,Secure Access 客户端上的身份验证用户界面需要 Microsoft Edge Runtime。 默认情况下,它安装在最新的 Windows 10 和 Windows 11 计算机中。对于早期版本的计算机,请执行以下步骤。
- 转到以下链接:https://go.microsoft.com/fwlink/p/?LinkId=2124703。
- 下载并安装 Microsoft Edge。如果用户系统没有安装 Microsoft Edge Runtime,当您尝试连接到 Workspace URL 时,Citrix Secure Access 客户端会提示您安装。
注意:
您可以使用诸如 SCCM 软件或组策略之类的自动解决方案将 Citrix Secure Access 客户端或 Microsoft Edge Runtime 推送到客户端计算机。
在 macOS 计算机上安装 Citrix Secure Access 客户端的步骤
必备条件:
- 从 App Store 下载适用于 macOS 的 Citrix Secure Access 客户端。此应用程序可从 macOS 10.15(Catalina)及更高版本中获得。
- 预览版本仅适用于 macOS Monterey (12.x) 的 TestFlight 应用程序。
- 如果要在 App Store 应用程序和 TestFlight 预览应用程序之间切换,则必须重新创建要用于 Citrix Secure Access 应用程序的配置文件。例如,如果您一直将连接配置文件与一起使用
blr.abc.company.com,请删除 VPN 配置文件,然后再次创建相同的配置文件。
支持的操作系统版本:
-
macOS:12.x (Monterey)。支持 11.x(Big Sur)和 10.15(Catalina)。
-
移动设备:不支持 iOS 和 Android。
启动已配置的应用程序-最终用户流程
- 在客户端设备上启动 Citrix Secure Access 客户端。
- 在 Citrix Secure Access 客户端的 URL 字段中输入客户管理员提供的 Workspace URL,然后单击“连接”。这是一次性活动,URL已保存以供后续使用。
- 系统会根据在 Citrix Cloud 中配置的身份验证方法提示用户进行身份验证。 成功进行身份验证后,用户可以访问配置的私有应用程序。
用户通知消息
在以下情况下会出现弹出式通知消息:
-
该应用程序未获得管理员对用户的授权。
原因: 为访问的目标 IP 地址或 FQDN 配置的应用程序未为登录用户订阅。
-
访问策略评估会导致拒绝访问。
原因: 对目标 IP 地址或 FQDN 的访问被拒绝,因为绑定到应用程序的策略被评估为“拒绝对登录用户的访问”。
-
已为应用程序启用增强的安全控制。
原因: 已对访问目标的应用程序启用了增强的安全控制。该应用程序可以使用 Citrix Workspace 应用程序启动。
其他信息
应用程序域-IP 地址冲突解决方案
创建应用程序时添加的目的地将添加到主路由表中。 路由表是做出路由决策以将连接建立和流量指向正确的资源位置的真实来源。
- 目标 IP 地址在资源位置之间必须是唯一的。
- Citrix 建议您避免路由表中的 IP 地址或域重叠。如果您遇到重叠,您必须解决它。
以下是冲突情景的类型。完全重叠 是唯一一种在冲突解决之前限制管理员配置的错误场景。
| 冲突场景 | 现有应用程序域条目 | 来自应用添加的新条目 | 行为 |
|---|---|---|---|
| 子集重叠 | 10.10.10.0-10.10.10.255 RL1 | 10.10.10.50-10.10.10.60 RL1 | 允许;警告信息 - IP 域与现有条目的子集重叠 |
| 子集重叠 | 10.10.10.0-10.10.10.255 RL1 | 10.10.10.50-10.10.10.60 RL2 | 允许;警告信息 - IP 域与现有条目的子集重叠 |
| 部分重叠 | 10.10.10.0-10.10.10.100 RL1 | 10.10.10.50-10.10.10.200 RL1 | 允许;警告信息-IP 域与现有条目部分重叠 |
| 部分重叠 | 10.10.10.0-10.10.10.100 RL1 | 10.10.10.50-10.10.10.200 RL2 | 允许;警告信息-IP 域与现有条目部分重叠 |
| 完全重叠 | 10.10.10.0/24 RL1 | 10.10.10.0-10.10.10.255 RL1 | 错误; <Completely overlapping IP domain's value> IP 域与现有条目完全重叠。请更改现有路由 IP 条目或配置其他目的地 |
| 完全重叠 | 10.10.10.0/24 RL1 | 10.10.10.0-10.10.10.255 RL2 | 错误; <Completely overlapping IP domain's value> IP 域与现有条目完全重叠。请更改现有路由 IP 条目或配置其他目的地 |
| 精确匹配 | 20.20.20.0/29 RL1 | 20.20.20.0/29 | 允许;域名路由表中存在域。所做的更改将更新域路由表 |
注意:
如果添加的目标导致完全重叠,则在应用程序 详细信息 部分配置应用程序时会显示错误。管理员必须通过修改 应用程序连接 部分中的目标来解决此错误。
如果“应用程序详细信息”部分没有错误,管理员可以继续保存应用程序的详细信息。但是,在 App Con nectivity 部分中,如果目标之间存在子集和部分重叠,或者主路由表中的现有条目重叠,则会显示一条警告消息。在这种情况下,管理员可以选择解决错误或继续配置。
Citrix 建议保留一个干净的 应用程序域 表。如果 IP 地址域被划分为适当的块而没有重叠,则配置新的路由条目会更容易。
登录和注销脚本配置注册表
当 Citrix Secure Access 客户端连接到 Citrix Secure Access 云服务时,Citrix Secure Private Access 客户端将从以下注册表访问登录和注销脚本配置。
注册表:HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client
- 登录脚本路径:SecureAccessLogInScript 类型 REG_SZ
- 注销脚本路径:SecureAccessLogOutScript 类型 REG_SZ