支持企业 Web 应用程序

通过使用 Secure Private Access 服务交付 Web 应用程序,可以将企业特定应用程序作为基于 Web 的服务进行远程交付。常用的 Web 应用程序包括 SharePoint、Confluence、OneBug 等。

可以使用 Citrix Workspace 使用 Secure Private Access 访问 Web 应用程序。Secure Private Access 服务与 Citrix Workspace 相结合,可为已配置的 Web 应用程序、SaaS 应用程序、已配置的虚拟应用程序或任何其他工作区资源提供统一的用户体验。

SSO 和 Web 应用程序的远程访问可作为以下服务包的一部分提供:

  • Secure Private Access Standard
  • Secure Private Access Advanced

系统要求

Connector Appliance - 将 Connector Appliance 与 Citrix Secure Private Access 服务结合使用,以支持对客户数据中心中的企业 Web 应用程序进行没有 VPN 的访问。有关详细信息,请参阅使用 Connector Appliance 保护 Workspace 访问的安全

工作原理

Citrix Secure Private Access 服务使用部署在本地的连接器安全地连接到本地数据中心。此连接器充当本地部署的企业 Web 应用程序与 Citrix Secure Private Access 服务之间的桥梁。这些连接器可以部署在 HA 对中,只需要出站连接。

Connector Appliance 和云中的 Citrix Secure Private Access 服务之间的 TLS 连接可保护枚举到云服务中的本地应用程序。使用无 VPN 的连接通过 Workspace 访问和交付 Web 应用程序。

下图说明了使用 Citrix Workspace 访问 Web 应用程序。

Web 应用程序如何工作

配置 Web 应用程序

配置 Web 应用程序涉及以下高级步骤。

  1. 配置应用程序详细信息
  2. 设置首选登录方法
  3. 定义应用程序路由

配置应用程序详细信息

  1. 在“Secure Private Access”图块上,单击管理。

  2. 在 Secure Private Access 登录页面上,单击继续,然后单击添加应用程序

    注意:

    继续按钮仅在您首次使用向导时出现。在后续使用中,您可以直接导航到“应用程序”页面,然后单击“添加应用程序”。

  3. 选择要添加的应用程序,然后单击跳过。

  4. 应用程序位置在哪里?中,选择位置。

  5. 在“应用程序详细信息”部分中输入以下详细信息,然后单击下一步。

    SPA 应用程序详情

    • 应用程序类型 — 选择应用程序类型。您可以从 HTTP/ HTTPSUDP/TCP 应用程序中进行选择。

    • 应用程序名称 -应用程序的名称。

    • 应用程序描述 - 应用程序的简要描述。您在此处输入的描述将在工作区中显示给您的用户。

    • 应用程序类别 - 添加类别和子类别名称(如果适用),您发布的应用程序必须在 Citrix Workspace 用户界面中显示在该类别和子类别下方。您可以为每个应用程序添加新类别,也可以使用 Citrix Workspace 用户界面中的现有类别。为 Web 或 SaaS 应用程序指定类别后,该应用程序将显示在 Workspace 用户界面中的特定类别下。

      • 类别/子类别可由管理员配置,管理员可以为每个应用程序添加新类别。
      • 应用程序类别字段适用于 HTTP/HTTPS 应用程序,对于 TCP/UDP 应用程序,则处于隐藏状态。
      • 类别/子类别名称必须用反斜杠分隔。例如,业务与生产力\工程。此外,此字段区分大小写。管理员必须确保他们定义了正确的类别。如果 Citrix Workspace UI 中的名称与在应用程序类别字段中输入的类别名称不匹配,则该类别将被列为新类别。

        例如,如果您在应用程序类别字段中错误地将业务和工作效率类别输入为业务和工作效率类别 ,则除业务和工作效率类别外,Citrix Workspace UI 中还会列出一个名为业务和工作效率的新类别。

      应用程序类别

    • 应用程序图标 — 单击更改图标以更改应用程序图标。图标文件大小必须为 128x128 像素。如果不更改图标,则会显示默认图标。

      如果您不想显示应用程序图标,请选择不向用户显示应用程序图标。

    • 选择直接访问以允许用户直接从客户端浏览器访问应用程序。有关详细信息,请参阅 直接访问企业 Web 应用程序

    • URL — 包含您的客户 ID 的 URL。该 URL 必须包含您的客户 ID(Citrix Cloud 客户 ID)。要获取客户 ID,请参阅注册 Citrix Cloud。如果 SSO 失败或您不想使用 SSO,则用户将被重定向到此 URL。

      客户域名客户域 ID -客户域名和 ID 用于在 SAML SSO 页面中创建应用程序 URL 和其他后续 URL。

      例如,如果要添加一个 Salesforce 应用程序,则您的域名为 salesforceformyorg,ID 为 123754,则应用程序的 URL 为 https://salesforceformyorg.my.salesforce.com/?so=123754.

      客户域名和客户 ID 字段特定于某些应用程序。

    • 相关域名 - 相关域名将根据您提供的 URL 自动填充。相关域可帮助服务将 URL 识别为应用程序的一部分,并相应地路由流量。您可以添加多个相关域。

    • 单击“自动将应用程序添加到收藏夹”,将此应用程序添加为 Citrix Workspace 应用程序中的常用应用程序。

      • 单击“允许用户从收藏夹中删除”,允许应用程序订阅者从 Citrix Workspace 应用程序的收藏夹应用程序列表中删除该应用程序。选择此选项时,Citrix Workspace 应用程序中应用程序的左上角会出现一个黄色星形图标。
      • 单击“不允许用户从收藏夹中删除”,以防止订阅者从 Citrix Workspace 应用程序的收藏夹应用程序列表中删除该应用程序。选择此选项时,Citrix Workspace 应用程序中应用程序的左上角会出现带有挂锁的星形图标。

        “收藏夹”应用程序

        如果您从 Secure Private Access 服务控制台中删除标记为收藏夹的应用程序,则必须从 Citrix Workspace 的收藏夹列表中手动删除这些应用程序。如果从 Secure Private Access 服务控制台中删除这些应用程序,则不会自动从 Workspace 应用程序中删除。

  6. 单击“下一步”。

重要:

  • 要启用基于零信任的应用程序访问权限,默认情况下会拒绝应用程序的访问权限。只有当访问策略与应用程序关联时,才会启用对应用程序的访问权限。有关创建访问策略的详细信息,请参阅创建访问策略
  • 如果使用相同的 FQDN 或通配符 FQDN 的某些变体配置多个应用程序,则可能会导致配置冲突。为防止配置冲突,请参阅 Web 和 SaaS 应用程序配置的最佳实践

设置首选登录方法

  1. 在“单点登录”部分中,选择要用于应用程序的首选单点登录类型,然后单击“保存”。可以使用以下单点登录类型。

    SPA 单点登录

    • 基本 — 如果您的后端服务器向您提出 basic-401 挑战,请选择 基本 SSO。您无需为基本 SSO 类型提供任何配置详细信息。
    • Kerberos — 如果您的后端服务器向您提供了协商 401 挑战,请选择 Kerberos。您无需为 Kerberos SSO 类型提供任何配置详细信息。
    • 基于表 单 — 如果后端服务器向您提供用于身份验证的 HTML 表单,请选择 基于表单。输入基于表单的 SSO 类型的配置详细信息。
    • SAML -为基于 SAML 的 SSO 选择 SAML 进入 Web 应用程序。输入 SAML SSO 类型的配置详细信息。
    • 不使用 SSO — 当您 不需要对后端服务器上的用户进行身份验证时,请使用不使用 SSO 选项。选择不使用 SSO 选项时,用户将被重定向到在应用程序详细信息部分下配置的 URL。

    基于表单的详细信息:在“单点登录”部分中输入以下基于表单的配置详细信息,然后单击“保存”。

    保存 config1

    • 操作 URL -键入要向其提交完成的表单的 URL。
    • 登录表单 URL — 键入显示登录表单的 URL。
    • 户名格式 -选择用户名的格式。
    • 户名表单字段 — 键入用户名属性。
    • 密码表单字段 — 键入密码属性。

    SAML:在“单点登录”部分中输入以下详细信息,然后单击“保存”。

    保存 config2

    • 签名断言 -签名断言或响应可确保在将响应或断言传递给信赖方 (SP) 时消息的完整性。您可以选择断言、响应、两者
    • 断言 URL — 断言 URL 由应用程序供应商提供。SAML 断言被发送到此 URL。
    • 中继状态 - 中继状态参数用于识别用户登录并定向到依赖方的联合服务器后访问的特定资源。中继状态为用户生成单个 URL。用户可以单击此 URL 登录到目标应用程序。
    • 受众 — 受众由应用程序供应商提供。此值确认为正确的应用程序生成了 SAML 断言。
    • 名称 ID 格式 — 选择支持的名称标识符格式。

    • 名称 ID — 选择支持的名称 ID。
  2. 高级属性(可选)中,添加有关用户的其他信息,这些信息将被发送到应用程序以做出访问控制决策。

  3. 单击 SAML 元数据下的链接下载元数据文件。使用下载的元数据文件在 SaaS 应用服务器上配置 SSO。

    注意:

    • 您可以复制登录 URL 下的 SSO 登录 URL ,并在 SaaS 应用程序服务器上配置 SSO 时使用此 URL。
    • 您还可以从证书列表中下载 证书 ,并在 SaaS 应用服务器上配置 SSO 时使用该证书。
  4. 单击“下一步”。

定义应用程序路由

  1. 在“应用程序连接”部分中,如果域必须通过 Citrix Connector Appliance 在外部或内部路由,则可以为应用程序的相关域定义路由。有关详细信息,请参阅在 SaaS 和 Web 应用程序中的相关域相同的情况下路由表以解决冲突

    SPA 应用程序连接

  2. 单击“完成”。

    单击完成后,该应用程序将添加到“应用程序”页面。配置应用程序后,您可以从“应用程序”页面编辑或删除该应用程序。为此,请单击应用程序上的省略号按钮,然后相应地选择操作。

    • 编辑应用程序
    • 删除

当您通过 Secure Private Access 服务发布 Web 或 SaaS 应用程序时,如果该应用程序未被隐藏,则 Citrix Enterprise Browser 应用会自动显示在 Citrix Workspace 用户界面中。此外,默认情况下,Citrix Enterprise Browser 也被添加为常用应用程序。最终用户可以在没有 URL 的情况下启动 Workspace Browser,并使用 Workspace Browser 访问内部网站。

Enterprise-browser-app

重要:

  • 要向用户授予对应用程序的访问权限,管理员需要创建访问策略。在访问策略中,管理员添加应用程序订阅者并配置安全控制。有关详细信息,请参阅创建访问策略
支持企业 Web 应用程序