默认情况下拒绝访问应用程序
要启用基于零信任的应用程序访问权限,默认情况下会拒绝应用程序的访问权限。只有当访问策略与应用程序关联时,才会启用对应用程序的访问权限。
-
访问已发布的应用程序:
-
当最终用户访问与已发布应用程序关联的 FQDN 时,只有使用允许访问操作显式配置访问策略时,才允许访问。
注意:
如果有多个与应用程序 FQDN 匹配的应用程序,则会根据策略优先级评估匹配应用程序的策略。
-
如果访问策略与已发布的应用程序不匹配,或者如果应用程序未与访问策略相关联,则默认情况下会拒绝访问该应用程序。
有关访问策略的详细信息,请参阅访问策略。
-
-
访问未发布的应用程序或内部应用程序。根据配置应用程序时定义的路由类型,启用对未发布或内部应用程序的访问权限。
- 如果路由类型定义为“外部”,则流量将直接流向 Internet。已为此类应用程序启用访问权限。
- 如果通过连接器将路由类型定义为内部路由或外部路由,则此类应用程序的访问将被拒绝。
- 如果未为未发布的 FQDN 定义路由类型,则该应用程序将被视为外部应用程序。对此类应用程序的访问权限取决于为未经批准的应用程序配置的规则(如果启用)。有关详细信息,请参阅为未经批准的网站配置规则。
路由类型是在 Secure Private Access 用户界面中定义的。单击“设置”>“应用程序域”。有关详细信息,请参阅路由表。
配置冲突可能会导致应用程序访问问题
如果使用相同的 FQDN 或通配符 FQDN 的某些变体配置多个应用程序,则您可能会遇到以下问题。
- 网站停止加载或可能显示空白页面。
- 当您访问 URL 时,可能会出现“阻止访问”页面。
- 登录页面可能无法加载。
建议
为了解决上述问题,我们提出以下建议:
-
在单个应用程序中配置所有常见的 FQDN 及其相关域。
例如,如果您有几个使用 Azure AD 作为 IdP 的应用程序,您需要配置
login.microsoftonline.com
和其他相关域 (*.msauth.net
),然后创建一个使用login.microsoftonline.com
作为 FQDN、*.login.microsoftonline.com
和*.msauth.net
作为相关域的常用应用程序。如果要在 Citrix Workspace 应用中隐藏常用应用程序,则在配置应用程序时选择“不向用户显示应用程序图标”选项。有关详细信息,请参阅 配置 Web 应用程序。
- 为通用应用程序创建访问策略并启用对所有用户的访问权限。有关详细信息,请参阅配置访问策略。
- 验证诊断日志,以确认 FQDN 是否与应用程序相匹配以及策略是否按预期执行。