管理员指导的工作流程,便于入门和设置
Secure Private Access 服务提供了全新的简化管理员体验,其中包含配置对 SaaS 应用程序、内部 Web 应用程序和 TCP 应用程序的零信任网络访问的分步流程。它包括在单个管理控制台中配置自适应身份验证、包括用户订阅在内的应用程序、自适应访问策略和其他应用程序。
此向导可帮助管理员在入门或经常使用期间实现无错误的配置。此外,还提供了一个新的控制板,可以全面了解总体使用情况指标和其他关键信息。
高级步骤包括以下内容:
- 选择订阅者登录 Citrix Workspace 的身份验证方法。
- 为用户添加应用程序。
- 通过创建所需的访问策略来分配应用程序访问权限。
- 查看应用程序配置。
访问 Secure Private Access 管理员指导的工作流程向导
要访问向导,请执行以下步骤。
- 在 Secure Private Access 服务图块上,单击“管理”。
- 在“概述”页面中,单击继续。
步骤 1:设置身份和身份验证
选择订阅者登录 Citrix Workspace 的身份验证方法。自适应身份验证是一项 Citrix Cloud 服务,可为登录 Citrix Workspace 的客户和用户启用高级身份验证。自适应身份验证服务是 Citrix 托管、Citrix 托管、云托管的 Citrix ADC,提供所有高级身份验证功能,如下所示。
- 多因素身份验证
- Device Posture扫描
- 条件身份验证
-
对 Citrix Virtual Apps and Desktops 进行自适应访问
- 要配置自适应身份验证,请选择 配置并使用自适应身份验证(技术预览版) ,然后完成配置。有关自适应身份验证的更多详细信息,请参阅 自适应身份验证服务。配置自适应身份验证后,如有必要,可以单击 管理 修改配置。
- 如果您最初选择了其他身份验证方法并切换到自适应身份验证,请单击“选择并配置”,然后完成配置。
要更改现有身份验证方法或更改现有身份验证方法,请单击 Workspace 身份验证。
步骤 2:添加和管理应用程序
选择身份验证方法后,配置应用程序。对于初次使用的用户,应用程序登录页面不显示任何应用程序。通过单击添加应用程序来 添加应用程序。您可以从此页面添加 SaaS 应用程序、Web 应用程序和 TCP/UDP 应用程序。要添加应用程序,请单击添加应用程序。
添加应用程序后,您可以在此处看到它列出。
完成下图中显示的步骤以添加应用程序。
- 添加企业 Web 应用程序
- 添加 SaaS 应用程序
- 配置客户端-服务器应用程序
- 启动应用
- 启用管理员的只读访问权限
步骤 3:配置具有多条规则的访问策略
您可以创建多个访问规则,并在单个策略中为不同的用户或用户组配置不同的访问条件。这些规则可以分别应用于 HTTP/HTTPS 和 TCP/UDP 应用程序,全部应用于单个策略。
Secure Private Access 中的访问策略允许您根据用户或用户设备的环境启用或禁用对应用程序的访问。此外,您可以通过添加以下安全限制来启用对应用程序的受限访问:
- 限制剪贴板访问
- 限制打印
- 限制下载
- 限制上载
- 显示水印
- 限制密钥记录
- 限制屏幕截图
有关这些限制的更多信息,请参阅可用的访问限制选项。
-
在导航窗格上,单击“访问策略”,然后单击“创建策略”。
对于首次使用的用户, 访问策略 登录页面不显示任何策略。创建策略后,可以看到此处列出的策略。
- 输入策略名称和策略描述。
- 在 应用程序中,选择必须强制执行此策略的应用程序或一组应用程序。
-
单击“创建规则”为策略创建规则。
-
输入规则名称和规则的简要描述,然后单击“下一步”。
-
选择用户的条件。用户条件是向用户授予应用程序访问权限时必须满足的强制性条件。选择以下选项之一:
- 匹配任一项 - 仅允许与字段中列出的任何名称相匹配且属于所选域的用户或组进行访问。
- 不匹配任何项 - 允许除字段中列出并属于选定域的用户或组以外的所有用户或组进行访问。
-
(可选)单击 + 可根据上下文添加多个条件。
当您基于上下文添加条件时,只有在满足 用户 和基于上下文的可选条件时,才会对策略进行评估的条件应用 AND 运算。您可以根据上下文应用以下条件。
- 台式机或移动设备 - 选择要为其启用应用程序访问权限的设备。
-
地理位置 - 选择用户访问应用程序的条件和地理位置。
- 匹配以下任一项: 只有从列出的任何地理位置访问应用程序的用户或用户组才可以访问应用程序。
- 不匹配: 除列出的地理位置的用户或用户组外,所有用户或用户组均已启用访问权限。
-
网络位置 -选择用户访问应用程序所使用的条件和网络。
- 匹配以下任一项: 只有从列出的任何网络位置访问应用程序的用户或用户组才允许访问应用程序。
- 不匹配任何项: 除列出的网络位置的用户或用户组外,所有用户或用户组均已启用访问权限。
- Device Posture 检查 - 选择用户设备访问应用程序必须满足的条件。
- 用户风险评分 - 选择风险评分类别,必须根据这些类别向用户提供应用程序访问权限。
-
Workspace URL - 管理员可以根据与 Workspace 对应的完全限定域名指定过滤器。此选项目前处于预览状态。
- 匹配任意一个 - 仅当传入用户连接满足任何已配置的 Workspace URL 时才允许访问。
- 全部匹配 - 仅当传入用户连接满足所有已配置的 Workspace URL 时才允许访问。
- 单击下一步。
-
根据条件评估选择必须应用的操作。
- 对于 HTTP/HTTPS 应用程序,您可以选择以下选项:
- 允许访问
- 允许访问但有限制
- 拒绝访问
注意:
如果选择“允许有限制的访问”,则必须选择要对应用程序强制执行的限制。有关限制的详细信息,请参阅可用的访问限制选项。您还可以指定是要在远程浏览器还是 Citrix Secure Browser 中打开应用程序。
- 对于 TCP/UDP 访问,您可以选择以下选项:
- 允许访问
- 拒绝访问
- 对于 HTTP/HTTPS 应用程序,您可以选择以下选项:
- 单击下一步。摘要页面显示策略的详细信息。
-
您可以验证详细信息,然后单击“完成”。
创建策略后要记住的几点
-
您创建的策略显示在“策略规则”部分下方,默认情况下处于启用状态。如果需要,您可以禁用规则。但是,请确保至少启用一条规则才能使策略处于活动状态。
-
默认情况下,会为策略分配优先顺序。值较低的优先级具有最高优先级。优先级编号最低的规则将首先评估。如果规则 (n) 与定义的条件不匹配,则评估下一个规则 (n+1),依此类推。
使用优先顺序评估规则示例:
假设您创建了两条规则,即规则 1 和规则 2。 规则 1 分配给用户 A,规则 2 分配给用户 B,然后评估这两条规则。 假设规则 1 和规则 2 都分配给用户 A。在这种情况下,规则 1 的优先级更高。如果规则 1 中的条件得到满足,则应用规则 1 并跳过规则 2。否则,如果规则 1 中的条件未得到满足,则规则 2 将应用于用户 A。
注意:
如果未评估任何规则,则不会向用户枚举应用程序。
可用的访问限制选项
选择“允许有限制的访问”操作时,必须至少选择一项安全限制。这些安全限制是在系统中预定义的。管理员无法修改或添加其他组合。可以为应用程序启用以下安全限制。
- 限制剪贴板访问权限: 禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作。
- 限制打印: 禁用在 Citrix Enterprise Browser 中打印的功能。
- 限制下载: 禁用用户从应用程序内下载的功能。
- 限制上载:禁用用户在应用程序内上载的权限。
- 显示水印: 在用户屏幕上显示水印,显示用户计算机的用户名和 IP 地址。
- 限制按键记录: 防范按键记录器。当用户尝试使用用户名和密码登录应用程序时,所有密钥都会在密钥记录器上加密。此外,用户在应用程序上执行的所有活动都受到密钥记录的保护。例如,如果为 Office 365 启用了 App Protection 策略,并且用户编辑 Office 365 Word 文档,则所有按键记录器上的按键都经过加密。
-
限制屏幕截图: 禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕,则会捕获一个空白屏幕。
-
在远程浏览器中打开:在 Citrix Remote Browser 中打开应用程序。
-
如果选择“在远程浏览器中打开”,并且如果缺少“Secure Private Access”的远程浏览器目录,则会显示以下消息:
没有可供托管此应用程序的已发布远程隔离目录。转到 Remote Browser Isolation 控制台发布目录。
-
此外,当您尝试启动 Web 或 SaaS 应用程序时,如果缺少 RBI 目录并且出现以下消息,则应用程序启动将失败:
尚未创建任何目录来处理此请求。请与您的管理员联系。
有关 Citrix Remote Browser Isolation 的更多信息,请参阅 Remote Browser Isolation。
-
步骤 4:查看每种配置的摘要
在“审核”页面中,您可以查看完整的应用程序配置,然后单击关闭。
下图显示了完成四步配置后的页面。
重要提示:
- 使用向导完成配置后,您可以直接转到该部分来修改该部分的配置。您不必遵循顺序。
- 如果您删除了所有已配置的应用程序或策略,则必须重新添加它们。在这种情况下,如果您删除了所有策略,则会显示以下屏幕。