Citrix Secure Private Access

基于设备状态的上下文访问

January 9, 2024

投稿者:

Citrix Secure Private Access 服务通过使用本地 Citrix Gateway 或客户托管的 Citrix Gateway（自适应身份验证）作为 Citrix Workspace 的 IdP，根据设备状态提供上下文访问。根据 EPA 检查结果和配置的智能访问策略，可以枚举或对最终用户隐藏 Enterprise Web 或 SaaS 应用程序。

注意：自适应身份验证是一项 Citrix Cloud 服务，可为登录到 Citrix Workspace 的用户启用高级身份验证。自适应身份验证提供在云中运行的网关实例，您可以根据需要为此实例配置身份验证机制。

必备条件

必须为 Citrix Workspace 配置 Citrix Gateway 作为 IdP。有关详细信息，请参阅使用本地 Citrix Gateway 作为 Citrix Cloud 的身份提供商。
Citrix ADC 发布版本 13.0 版本构建 82.109 或更高版本。
智能访问标签是在 Citrix Gateway 设备上配置的。

了解事件的流程

用户使用本机 Citrix Workspace 应用程序在浏览器中输 Citrix Workspace URL 或连接到 Citrix Workspace 应用商店。
用户将重定向到配置为 IdP 的 Citrix Gateway。
系统会提示用户允许在其设备上执行 EPA 检查。
Citrix Gateway 在用户同意扫描设备后执行 EPA 检查，并根据设备 ID 将智能访问标签写入 CAS。
用户使用 Citrix Gateway IdP 和配置的身份验证机制登录 Citrix Workspace。
Citrix Gateway 为 Citrix Workspace 和 Secure Private Access 提供智能访问策略信息。
用户将重定向到 Citrix Workspace 主页。
Citrix Workspace 处理配置为 IdP 的 Citrix Gateway 提供的智能访问标签，然后确定必须枚举并向最终用户显示的应用程序。

配置方案 — 基于Device Posture扫描的企业 Web 或 SaaS 应用程序枚举

步骤 1：使用 Citrix Gateway GUI 配置智能访问策略

导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 配置文件。
在配置文件选项卡上，单击添加以创建配置文件。

为Device Posture检查创建配置文件

在标记中，输入智能访问标记名称。这是您在创建上下文访问策略时必须手动输入的标记。
导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略。
单击添加以创建策略。

为Device Posture检查创建策略

在操作中，选择先前创建的配置文件，然后单击添加。
在表达式中，创建策略表达式并单击确定。

步骤 2：创建上下文相关访问策略

执行创建上下文相关访问策略中详述的步骤。

上下文访问匹配条件

在“如果满足以下条件”中，选择“Device Posture检查”。
如果您配置了多个智能访问标签，请根据需要选择以下选项之一。
- 全部匹配 — 登录 Citrix Workspace 时，设备 ID 必须与针对设备 ID 写入的所有智能访问标签匹配。
- 匹配（如果有 ）— 设备 ID 必须与登录 Citrix Workspace 时针对设备 ID 写入的智能访问标签之一匹配。
在 输入自定义标签中，手动键入智能访问标签。这些标签必须与 Citrix Gateway（创建身份验证智能访问配置文件 > 标记）中配置的标签相同。

注意事项

仅当您登录 Citrix Workspace 时才会进行状态评估（仅在身份验证期间）。
在当前版本中，没有进行连续的Device Posture评估。如果用户登录 Citrix Workspace 后设备上下文发生更改，则策略条件不会对Device Posture评估产生任何影响。
设备 ID 是为每个最终用户设备生成的 GUID。如果更改了用于访问 Citrix Workspace 的浏览器、删除 Cookie 或使用了隐身/私有模式，则设备 ID 可能会更改。但是，这一变化不会影响策略评估。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

基于设备状态的上下文访问

January 9, 2024

投稿者:

January 9, 2024

投稿者:

在本文中

必备条件
了解事件的流程
配置方案 — 基于Device Posture扫描的企业 Web 或 SaaS 应用程序枚举
注意事项