支持企业 Web 应用程序

通过使用 Secure Private Access 服务交付 Web 应用程序,可以将企业特定的应用程序作为基于 Web 的服务远程交付。常用的 Web 应用程序包括 SharePoint、Confluence、OneBug 等。

可以使用 Citrix Workspace 使用 Secure Private Access 访问 Web 应用程序。Secure Private Access 服务与 Citrix Workspace 相结合,可为已配置的 Web 应用程序、SaaS 应用程序、已配置的虚拟应用程序或任何其他工作区资源提供统一的用户体验。

SSO 和 Web 应用程序的远程访问可作为以下服务包的一部分提供:

  • Secure Private Access Standard
  • Secure Private Access Advanced

系统要求

连接器设备 - 将连接器设备与 Citrix Secure Private Access 服务结合使用,以支持对客户数据中心中的企业 Web 应用程序进行没有 VPN 的访问。有关详细信息,请参阅使用 连接器设备Secure Workspace Access。

重要:

  • 计划在即将发布的版本中弃用 Citrix Gateway 连接器。Citrix 建议您迁移到作为单个零信任网络访问连接器的连接器设备。有关连接器设备的详细信息,请参阅 适用于云服务的连接器设备

  • 要将网关连接器迁移到连接器设备,请参阅 将网关连接器迁移到连接器设备

  • 对于 TCP 应用程序,必须使用连接器设备。

Citrix Gateway Connector — 一种虚拟设备,可方便远程访问企业 Web 应用程序。Citrix Gateway Connector 是虚拟设备。虚拟机规范必须至少具有:

  • vCPU 的数量必须正好为 2。
  • 最低 4 GB RAM。
  • 1 个网络适配器(虚拟 NIC)。您可以根据需要添加额外的虚拟网卡。

在配置企业 Web 应用程序之前,先安装网关连接器,以便更清洁。

有关 Citrix Gateway 连接器的详细信息,请参阅 Citrix Gateway 连接器

注意:

如果必须部署 Citrix Gateway Connector 的本地数据中心中有 SSL 拦截设备,则如果为这些 FQDN 启用 SSL 拦截,则连接器注册将不会成功。必须为这些 FQDN 禁用 SSL 拦截才能成功注册连接器。 有关 Citrix Gateway Connector 的详细信息,请参阅 Citrix CloudGateway Connector

工作原理

Citrix Secure Private Access 服务使用部署在本地的连接器安全地连接到本地数据中心。此连接器充当本地部署的企业 Web 应用程序与 Citrix Secure Private Access 服务之间的桥梁。这些连接器可以部署在 HA 对中,只需要出站连接。

网关连接器与云中的 Citrix Secure Private Access 服务之间的 TLS 连接可保护枚举到云服务的本地应用程序。使用无 VPN 的连接通过 Workspace 访问和交付 Web 应用程序。

下图说明了使用 Citrix Workspace 访问 Web 应用程序。

Web 应用程序如何工作

配置企业 Web 应用程序

  1. Secure Private Access 磁贴上,单击管理。

  2. 在 Secure Private Access 登录页面上,单击继续,然后单击添加应用程序

    注意:

    继续按钮仅在您首次使用向导时出现。在后续使用中,您可以直接导航到应用程序页面,然后单击添加应用程序。

  3. 选择要添加的应用程序,然后单击跳过。

  4. 应用程序位置在哪里?中,选择位置。

  5. 应用程序详细信息部分中输入以下详细信息,然后单击下一步

    SPA 应用程序详情

    • 应用程序类型 — 选择应用程序类型。您可以从 HTTP/ HTTPSUDP/TCP 应用程序中进行选择。

    • 应用程序名称 -应用程序的名称。

    • 应用程序描述 -应用程序的简要描述。您在此处输入的描述将显示给工作区中的用户。

    • 应用程序图标 — 单击更改图标以更改应用程序图标。图标文件大小必须为 128x128 像素。如果不更改图标,则会显示默认图标。

      如果您不想显示应用程序图标,请选择不向用户显示应用程序图标。

    • 选择直接访问以允许用户直接从客户端浏览器访问应用程序。有关详细信息,请参阅 直接访问企业 Web 应用程序

    • URL — 包含您的客户 ID 的 URL。该 URL 必须包含您的客户 ID(Citrix Cloud 客户 ID)。要获取客户 ID,请参阅注册 Citrix Cloud。如果 SSO 失败或您不想使用 SSO,则用户将被重定向到此 URL。

      客户域名客户域 ID -客户域名和 ID 用于在 SAML SSO 页面中创建应用程序 URL 和其他后续 URL。

      例如,如果您要添加 Salesforce 应用程序,则您的域名为 salesforceformyorg 且 ID 为 123754,那么应用程序 URL 为 https://salesforceformyorg.my.salesforce.com/?so=123754.

      客户域名和客户 ID 字段特定于某些应用程序。

    • 相关域 — 相关域将根据您提供的 URL 自动填充。相关域可帮助服务将 URL 识别为应用程序的一部分,并相应地路由流量。您可以添加多个相关域。

  6. 单击下一步。

  7. 选择要用于应用程序的首选单点登录类型,然后单击保存。可以使用以下单点登录类型。

    SPA 单点登录

    • 基本 — 如果您的后端服务器向您提出 basic-401 挑战,请选择 基本 SSO。您无需为基本 SSO 类型提供任何配置详细信息。
    • Kerberos — 如果您的后端服务器向您提供了协商 401 挑战,请选择 Kerberos。您无需为 Kerberos SSO 类型提供任何配置详细信息。
    • 基于表 单 — 如果后端服务器向您提供用于身份验证的 HTML 表单,请选择 基于表单。输入基于表单的 SSO 类型的配置详细信息。
    • SAML -为基于 SAML 的 SSO 选择 SAML 进入 Web 应用程序。输入 SAML SSO 类型的配置详细信息。
    • 不使用 SSO — 当您 不需要对后端服务器上的用户进行身份验证时,请使用不使用 SSO 选项。选择不使用 SSO 选项时,用户将被重定向到在应用程序详细信息部分下配置的 URL。

    基于表单的详细信息:在“单点登录”部分中输入以下基于表单的配置详细信息,然后单击“保存”。

    保存 config1

    • 操作 URL -键入要向其提交完成的表单的 URL。
    • 登录表单 URL — 键入显示登录表单的 URL。
    • 户名格式 -选择用户名的格式。
    • 户名表单字段 — 键入用户名属性。
    • 密码表单字段 — 键入密码属性。

    SAML:在“单点登录”部分中输入以下详细信息,然后单击“保存”。

    保存 config2

    • 签名断言 -签名断言或响应可确保在将响应或断言传递给信赖方 (SP) 时消息的完整性。您可以选择断言、响应、两者
    • 断言 URL — 断言 URL 由应用程序供应商提供。SAML 断言被发送到此 URL。
    • 中继状态 — 中继状态参数用于标识用户登录并定向到信赖方的联合服务器后访问的特定资源。中继状态为用户生成单个 URL。用户可以单击此 URL 登录到目标应用程序。
    • 受众 — 受众由应用程序供应商提供。此值确认为正确的应用程序生成了 SAML 断言。
    • 名称 ID 格式 — 选择支持的名称标识符格式。

    • 名称 ID — 选择支持的名称 ID。
  8. 高级属性(可选)中,添加有关用户的其他信息,这些信息将被发送到应用程序以做出访问控制决策。

  9. 单击 SAML 元数据下的链接可下载元数据文件。使用下载的元数据文件在 SaaS 应用服务器上配置 SSO。

    注意:

    • 您可以复制登录 URL 下的 SSO 登录 URL ,并在 SaaS 应用程序服务器上配置 SSO 时使用此 URL。
    • 您还可以从证书列表中下载 证书 ,并在 SaaS 应用服务器上配置 SSO 时使用该证书。
  10. 单击下一步。

  11. 应用程序连接 部分中,如果必须通过 Citrix Gateway 连接器在外部或内部路由这些域,则为应用程序的相关域定义路由。有关详细信息,请参阅在 SaaS 和 Web 应用程序中的相关域相同的情况下路由表以解决冲突

    SPA 应用程序连接

  12. 单击完成。

    单击完成后,该应用程序将添加到“应用程序”页面。配置应用程序后,可以从“应用程序”页面编辑或删除应用程序。为此,请单击应用程序上的省略号按钮,然后相应地选择操作。

    • 编辑应用程序
    • 删除

注意:

要向用户授予对应用程序的访问权限,管理员需要创建访问策略。在访问策略中,管理员添加应用程序订阅者并配置安全控制。有关详细信息,请参阅创建访问策略

支持企业 Web 应用程序