使用自适应身份验证的智能访问

Citrix Cloud 客户可以使用自适应身份验证作为 Citrix Workspace 的 IdP 向 Citrix DaaS 提供智能访问(自适应访问)。

智能访问功能允许自适应身份验证服务向 Citrix Workspace 或 Citrix DaaS 显示有关用户的所有策略信息。自适应身份验证服务可以提供设备状态 (EPA)、网络位置(企业网络内部或外部、地理位置)、用户属性(如用户组)、时间或这些参数的组合作为策略信息的一部分。然后,Citrix DaaS 管理员可以使用此策略信息配置对 Citrix DaaS 的上下文访问权限。Citrix DaaS 可以根据之前的参数(访问策略)进行枚举,也可以不枚举。还可以控制某些用户操作,例如剪贴板访问、打印机重定向、客户端驱动器或 USB 映射。

示例用例:

  1. 管理员可以将应用程序组配置为仅从特定网络位置(如公司网络)显示或访问。
  2. 管理员可以将应用程序组配置为仅从企业托管设备显示或访问。例如,EPA 扫描可以检查设备是企业托管设备还是自带设备。根据EPA扫描结果,可以为用户枚举相关的应用程序。

必备条件

  • 必须为 Citrix Workspace 配置作为 IdP 的自适应身份验证。有关详细信息,请参阅 自适应身份验证服务

    网关作为 Idp

  • Citrix DaaS 的自适应身份验证服务已启动并正在运行。

了解智能接入的事件流程

  1. 用户登录到 Citrix Workspace。
  2. 用户被重定向到配置为 IdP 的自适应身份验证服务。
  3. 自适应身份验证服务会执行 EPA 检查以及其他检查。
  4. 配置为 IdP 的自适应身份验证服务执行身份验证。
  5. 自适应身份验证服务将标记推送到 Citrix Graph 服务。 用户将被重定向到 Citrix Workspace 登录页面。
  6. Citrix Workspace 会获取此用户会话的策略信息,匹配筛选器,并评估必须枚举的应用程序或桌面。
  7. 在 Citrix DaaS 上配置访问策略以限制用户的 ICA 访问权限。

配置方案-基于设备状态扫描的应用程序枚举

步骤 1-在 Citrix 自适应身份验证实例上配置智能访问策略:

在以下示例配置中,基于 domain-joinednon-domain joined 登录枚举了一组不同的应用程序。

  1. 导航到“安全”>“AAA 应用程序流量”>“策略”>“身份验证”>“高级策略”>“智能访问”>“配置文件”。

  2. 在“配置文件”选项卡上,单击“添加”以创建一个名为 Domainjoined-SmartAccessProfile 的配置文件,标记为 DomainJoined。同样,创建另一个名为 NonDomainJoined-SmartAccessProfile 的策略,标记为 NonDomainJoined

    智能访问配置文件

  3. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 智能访问 > 策略

  4. 在“配置身份验证智能访问策略”页上,单击“添加”以创建名为 Domainjoined-SmartAccessPol 的策略。

  5. 在“配置身份验证智能访问策略”页的“操作”下,选择先前创建的 DomainJoined-SmartAccessProfile,然后单击“添加”。

    智能访问策略配置

  6. 在表达式中,键入 AAA.USER.GROUPS.CONTAINS(“DomainJoinedGroup”),然后单击“确定”。

  7. 同样,创建另一个名为 nondomainJoined-SmartAccessPol 的策略(在“操作”下,选择以前创建的 NonDomainJoined-SmartAccessProfile)。

    智能访问配置文件

  8. 将智能访问策略绑定到身份验证和授权虚拟服务器。

步骤 2-Citrix DaaS 配置:

  1. 单击 Citrix DaaS 磁贴上的 管理

  2. 导航到交付组,然后单击 编辑交付组

  3. 右键单击交付组并选择 编辑 以配置何时必须枚举该交付组的应用程序并允许其启动。
  4. 单击“访问策略”并添加所需的标签。必须始终将场设置为 Workspace ,并且筛选器必须具有您根据之前的配置创建的任何标记。
  5. 重复上述步骤以添加更多标签。使用多个标签时,如果至少有一个标签存在,则交付组可供客户使用。

    !Smart-access-edit-delivery-group

注意:

  • 确保标记为大写。
  • 如果管理员删除了自适应身份验证服务上特定标记的配置,则还必须从 Web Studio 和交付组中删除该标记。管理员不得重复使用已删除的标记名称。管理员必须始终使用新的标签名称。

成功配置后,加入域的登录将枚举以下应用程序。

智能访问域加入组

成功配置后,未加入域的登录会枚举以下应用程序。

!Smart-access-non-domain-joined-group

步骤 3-为智能访问标记添加访问策略:

  1. 在管理下,导航到 策略,然后创建策略。
  2. 选择相应的 ICA 策略控件。
  3. 在“将策略分配给”中,选择“访问控制”。“

智能访问分配策略

  1. 在访问条件中分配智能访问标签(大写)。

!Smart-access-assign-to-access-control

故障排除

- 如果没有推送标签怎么办:

高可用性设置的其他更改:

在高可用性设置中,有时可能会出现延迟的文件同步。因此,无法按时读取 Citrix ADM 注册时创建的密钥。

我们正在寻找次要文件上的以下三个文件。

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

要解决文件同步问题,请执行以下步骤在辅助服务器上重新运行“set cloud”命令。

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
使用自适应身份验证的智能访问