Citrix Secure Private Access - 旧版

使用 Secure Private Access 配置工具配置应用程序和策略 - 旧版

您可以在 Citrix Virtual Apps and Desktops Delivery Controller 上使用 Secure Private Access 配置工具来快速创建 SaaS 或 Web 应用程序。此外,您可以使用此工具设置应用程序限制、流量路由和创建 NetScaler Gateway。该工具生成脚本文件作为输出,可以在相应的计算机上运行以部署配置。

支持的产品版本

确保您的产品符合最低版本要求。

  • Citrix Workspace 应用程序
    • Windows — 2303 及更高版本
    • macOS — 2304 及更高版本
  • Citrix Virtual Apps and Desktops - 支持的 LTSR 和当前版本
  • StoreFront — LTSR 2203 或非 LTSR 2212 及更高版本
  • NetScaler — 12.1 及更高版本

使用配置工具的先决条件

  • 可以从“下载”页面下载配置工具。
  • 在 Citrix Virtual Apps and Desktops 控制器上运行配置工具的管理员权限。
  • Delivery Controller 上至少存在一个交付组。

开始使用配置工具

您可以使用配置工具执行以下任务。

工作流程

发布新应用程序

  1. 运行配置工具。
  2. 在“选择应用程序”部分中,在下拉列表中选择“新建应用程序”,然后单击“添加”。

    工作流程

  3. 完成应用程序配置。

    • 桌面交付组:选择必须允许该应用程序访问的交付组。 桌面交付组中列举了所有现有的交付组。
    • 应用程序名称:输入应用程序名称。
    • 应用程序 URL:指定应用程序的 URL。
    • 用户组:以“域\ 组”格式输入域名和组名。用户组可以包含空格。例如,“cgwsanity.net\grp-microsoft”、“cgwsanity.net\grp microsoft”。 这些组必须已经存在于Active Directory 中。

      Note:

      • Built-in domain security groups such as “Domain Users” or “Domain Admins” are not supported. Only the manually created user groups must be used.
      • The user group is only used in NetScaler Gateway authorization policies and not for app assignments in Citrix Virtual Apps and Desktops. Hence, the user group that you enter here is not visible in Studio.
    • 应用程序图标:如果检测到该工具,则使用 URL 的 favicon.ico。如有必要,管理员还可以自定义图标。如果管理员未提供任何图标,则将默认图标分配给应用程序。
  4. 单击 Create(创建)。

该应用程序在 Delivery Controller 上发布,可供 StoreFront 用户组中的用户使用。

设置应用程序限制

发布新应用程序后,您可以启用或禁用该应用程序的限制。

  1. 选择应用程序 部分中,从下拉列表中选择要对其强制执行设置的应用程序。

    应用程序设置

  2. 在“应用程序设置”部分中配置 应用程序设置

    • 相关域名模式:相关域 URL 根据应用程序 URL 自动填充。管理员可以添加其他用逗号分隔的域名。
    • Active Directory 组:输入必须可以访问此应用程序的组。此字段为必填字段。 您可以输入用逗号分隔的多个组。这些组必须与 Active Directory 中的可用组相匹配。未对您在此处输入的组名进行验证。因此,请务必注意输入与 Active Directory 中的组名相匹配的组名。
    • 应用程序设置:默认情况下,所有应用程序设置均受限制(选中)。您可以为用户组选择或清除所需的相应设置。
    • 代理流量:选择 secureBrowse。此设置允许 Citrix Enterprise Browser 通过 NetScaler Gateway 将流量通过通道传送到网页。
  3. 单击应用

配置 StoreFront 和 NetScaler Gateway 设置

您可以配置通过 NetScaler Gateway 路由流量的设置。您可以在Gateway 和 StoreFront 设置部分配置现有的 NetScaler Gateway 或创建新的 NetScaler Gateway。

流量路由设置

  • 默认路由:如果未为应用程序定义策略,则将默认路由应用于应用程序。

    • secureBrowse:Citrix Enterprise Browser 通过 NetScaler Gateway 将流量传送到网页。
    • 直接:Citrix Enterprise Browser 允许直接访问应用程序。
  • NetScaler Gateway:输入 NetScaler Gateway URL。
  • StoreFront 应用商店 URL:输入完整的 StoreFront 应用商店 URL。例如,http://<directory path>/Citrix/<StoreName>。您可以从 StoreFront 控制台获取 URL。
  • (可选) 创建新网关:选中复选框以创建新的 NetScaler Gateway,然后单击“创建”。

创建新的 NetScaler Gateway(可选)

如果您不想更改现有网关设置,则可以创建新的 NetScaler Gateway。

如果您已经有 NetScaler Gateway,则可以使用配置工具为应用程序配置授权策略和绑定。

  1. 您必须为新的 NetScaler Gateway 输入以下详细信息。该工具不会对您在创建新网关时输入的值进行验证。因此,务必注意输入准确的值。

    新网关

    • 网关 IP:NetScaler Gateway 的 IP 地址。

    • 身份验证配置文件:输入已在 NetScaler 上配置的身份验证配置文件名称。有关详细信息,请参阅 验证配置
    • 服务器证书名称:输入已在 NetScaler 上配置的 SSL 证书名称。有关详细信息,请参阅 SSL 证书
    • :用于对内部网络中的应用程序进行 SSO。有关详细信息,请参阅 VPN 会话操作
  2. 单击应用
  3. 单击“生成策略和脚本”。

    policy.json、storefront.ps1 和 gateway_config 文件是生成并存储在您运行配置工具的位置。

    输出脚本文件

在支持的应用程序中打开 gateway_config 文件时,可以查看输出文件中的两个部分。

  • 与 NetScaler Gateway 配置相关的部分(仅适用于创建新网关时)
  • 与授权策略、用户组和用户组绑定策略相关的部分。

下图显示了新的 NetScaler Gateway 配置的 gateway_config 文件。

输出 1

下图显示了更新后的 NetScaler Gateway 配置的 gateway_config 文件。

输出 2

使用新的 NetScaler Gateway 配置 StoreFront

  • 要在工具中配置 StoreFront 和 NetScaler Gateway 设置,您需要以下内容:

    • NetScaler Gateway FQDN
    • StoreFront 应用商店 URL
  • StoreFront 配置要求:

    • NetScaler Gateway:远程访问已启用。
    • 来自 NetScaler Gateway 的直通身份验证已启用。
    • 活动目录:管理员访问权限,用于添加或更新用户或组,以及在 NetScaler 上配置身份验证配置文件或策略。

有关更多详细信息,请参阅 将 NetScaler Gateway 与 StoreFront 集成。

使用配置工具输出文件部署应用程序和策略配置

配置工具生成以下文件。这些文件保存在上载和运行该工具的位置/目录中。

  • policy.json
  • storefront.ps1
  • gateway_config
  1. 将 storefront.ps1 文件复制到 StoreFront。
  2. 以管理员身份在 PowerShell 上运行 storefront.ps1 脚本。

    如果 Resources\SecureBrowser 文件夹在存储路径中尚不可用,则脚本会创建该文件夹。

    该脚本还更新了 policy.json 文件路由的 web.config 文件。

  3. 将 policy.json 文件复制到 storefront.ps1 在应用商店下创建的 Resources\SecureBrowser 文件夹。

  4. 将 gateway_config 复制到 NetScaler,然后在 NetScaler CLI 上使用以下批处理命令运行脚本。

    batch -fileName /var/tmp/gateway_config -outfile /var/tmp/gateway_config_output

注意:

  • 在工具中进行任何配置更改时,必须重新生成脚本和策略。您必须再次将 policy.json 文件复制到 StoreFront 计算机上的 Resources\SecureBrowser 文件夹,然后必须在 NetScaler 上再次运行 gateway_config 脚本。
  • 如果应用商店名称/URL 未更改,则不必再次运行 storefront.ps1。

其他参考资料

有关更多详细信息,请参阅以下文档。

使用 Secure Private Access 配置工具配置应用程序和策略 - 旧版