安全私有访问与 Director 集成 (预览版)
安全私有访问与 Director 集成允许技术支持管理员或完全管理员监控和排查 Director 中的所有安全私有访问会话。要支持此功能,您必须使用 2402 或更高版本的 Director、安全私有访问、Citrix Workspace™ 应用程序和 VDA。
可用操作包括查看以下内容的详细信息:
- 用户的安全私有访问活动会话,位于“选择会话”弹出窗口 > “会话”选项卡 > “Web SaaS 和客户端/服务器应用程序”
- 安全私有访问失败或被阻止的枚举以及失败的应用程序启动,位于“选择会话”弹出窗口 > “拒绝访问”选项卡
- 活动和失败的应用程序启动的会话和应用程序详细信息视图
- 失败和被阻止的枚举的会话和应用程序详细信息视图
注意:
安全私有访问与 Director 集成仅支持 Director 基于表单的身份验证,不支持集成 Windows 身份验证或基于智能卡的身份验证。
先决条件
-
要支持此功能,您必须使用以下各项:
- 导向器 2402 或更高版本
- 安全私有访问 2402 或更高版本
- Citrix 工作区 应用程序 2402 或更高版本
- 确保至少一个 Citrix 虚拟应用和桌面™ 站点已在 Director 上配置。
- 设置 安全私有访问。
-
确保 Director 服务器与 安全私有访问 服务器之间具有网络连接。
注意:
必须在 Secure Private Access 服务器上安装受信任的证书,才能成功建立与 Citrix Director 的连接。
-
确保 Director 管理员用户具有以下权限:
- 安全私有访问 管理控制台中的 安全私有访问 完全管理员或只读管理员。
- Citrix Studio 控制台中的 Citrix 虚拟应用™ 或 桌面 帮助台、完全管理员或只读管理员。
配置 Director 与 安全私有访问 集成
- 在安装了 Director 的计算机上以管理员身份打开命令提示符。
-
通过运行以下命令,转到
DirectorConfig工具的路径:cd c:\inetpub\wwwroot\Director\tools <!--NeedCopy--> -
运行以下命令以配置安全私有访问:
DirectorConfig.exe /configspa <!--NeedCopy--> -
输入安装了安全私有访问的计算机的 FQDN 以及端口号。
-
确保与 Secure Private Access(服务器或负载平衡器)的连接是安全的,并且已应用受信任的证书。
Director 安全专用访问 配置工具(/zh-cn/citrix-virtual-apps-desktops/2511/media/director-spa-config-tool.png)
注意:
管理员必须添加到 Secure Private Access 控制台才能在 Director 中查看 Secure Private Access 会话详细信息。有关详细信息,请参阅 管理管理员。
按用户查看安全专用访问会话
在 Director 控制板上,单击“搜索”并输入用户名。此时将显示“选择会话”屏幕。
完全管理员:
技术支持管理员:
查看安全私有访问会话的活动管理器
Citrix Director 为 Secure Private Access 会话提供了活动管理器视图,可让您全面了解会话活动。活动管理器提供了所有成功打开、未能打开的应用程序和桌面的全面视图,以及 Secure Private Access 应用程序中设置的策略结果。此功能适用于 Citrix Virtual Apps and Desktops 2407 或更高版本。
先决条件:
- Director 软件 2407 或更高版本
- 安全私有访问 2407 或更高版本
活动管理器显示“可用应用程序”和“已启动应用程序”详细信息。您可以找到以下会话详细信息:
- 启动时间
- 资源名称
- 资源类型
- 访问的资源
- 状态
- 事务 ID
要查看活动管理器,请执行以下操作:
- 在 Director 控制板上,单击“搜索”并输入用户名。“选择会话”屏幕随即显示。
-
选择使用安全专用访问会话打开的会话。所选会话的活动管理器随即显示。
- 单击“可用应用程序”以查看 Citrix Workspace 应用程序中可用的应用程序。
或者,
单击“已启动的应用程序(会话)”以查看在 Citrix Workspace 应用程序中打开的应用程序。
您可以根据安全专用访问应用程序中设置的资源状态筛选资源:
- 允许 - 允许用户访问的资源。此状态是使用安全专用访问应用程序下的策略设置的。此资源在 Citrix Workspace 应用程序中为用户显示。
- 拒绝 - 拒绝用户访问的资源。此状态是使用安全专用访问应用程序下的策略设置的。此资源在 Citrix Workspace 应用程序中为用户显示。
- 错误 - 允许用户在安全专用访问应用程序下访问的资源。但是,由于某些错误,该资源在 Citrix Workspace 应用程序中不可用。错误分为两种类型:枚举错误和会话错误。
查看可用应用程序
在 Citrix Workspace 应用程序中可用的 Web 和 SaaS 应用程序显示在“可用应用程序”部分下。此部分显示应用程序的上次枚举尝试以及枚举尝试的状态。
您可以查看以下详细信息:
- 资源名称
- 状态
- 事务 ID
您还可以根据应用程序状态(例如“允许”、“拒绝”和“错误”)筛选上述详细信息。您还可以使用向上和向下箭头对详细信息进行排序。
注意:
TCP/UDP 应用程序未显示在“可用应用程序”部分中。
查看已启动的应用程序
在 Citrix Workspace 应用程序中打开的应用程序显示在“已启动的应用程序(会话)”部分下。您可以查看以下详细信息:
- 启动时间
- 资源名称
- 资源类型
- 已访问的资源
- 状态
- 事务 ID
您还可以根据应用程序状态(例如“允许”、“拒绝”和“错误”)筛选上述详细信息。您还可以使用向上和向下箭头对详细信息进行排序。
安全私有访问应用程序的会话拓扑视图
您可以查看使用 Secure Private Access 打开的应用程序的会话拓扑。从“活动管理器”中单击所需的应用程序以查看所选应用程序的会话拓扑。
网络/软件即服务应用程序:
TCP/UDP 应用程序:
会话拓扑视图展示了应用程序启动的整个流程。端点连接到 Citrix Gateway,而 Citrix Gateway 则连接到 Secure Private Access 插件。应用程序通过 Secure Private Access 插件提供的信息得以启动。此功能自 Citrix Virtual Apps and Desktops 2407 版本或更高版本起可用。
先决条件:
- 管理控制台 2407 或更高版本
- 安全私有访问 2407 或更高版本
- Citrix 安全访问 24.8.1.x 或更高版本
您可以查看以下内容:
- 端点 - 显示应用程序打开的端点。可能的选项是 Citrix Workspace 应用程序和 Citrix Secure Agent。显示设备 ID。
- 内部网络 - 显示枚举的应用程序数量和配置的策略数量。
- 策略评估 - 显示在 Secure Private Access 应用程序上设置的策略结果。不同的值包括 允许、拒绝、受限访问 和 错误。这仅适用于 Web 或 SaaS 应用程序。
- 应用程序启动 - 显示应用程序类型和应用程序启动状态。应用程序类型的可能值为 Web/SaaS 应用程序或 TCP/UDP 应用程序。同样,应用程序启动状态的可能值为 允许、拒绝、受限访问 和 错误。
您现在可以在 Secure Private Access 应用程序的会话拓扑视图中查看以下额外详细信息。此更改适用于 Web 和 SaaS 应用程序以及 TCP/UDP 应用程序。
端点:
单击端点中的链接以查看以下内容:
- 端点类型: 这可以是安全访问代理或 Citrix Workspace 应用程序。
- 访问详细信息: 查看端点如何访问,无论是通过 StoreFront™ 还是 Citrix Workspace 应用程序。
- 端点操作系统: 例如,Windows。
- 位置类型: 指示位置是内部还是外部。
资源位置:
单击资源位置中的链接以查看以下内容:
注意: 这仅适用于 Web 和 SaaS 应用程序。
- 枚举应用程序数量:显示枚举应用程序的数量和商店 URL。
- 访问方法:指示是通过 StoreFront 还是 Citrix Workspace 应用程序访问端点。
安全专用访问:
- 已配置策略:显示已配置策略的数量。
- FQDN 插件:显示处理请求的代理的 FQDN。
Web 和 SaaS 应用程序 / 客户端-服务器应用程序 (TCP/UDP):
单击“Web 和 SaaS 应用程序 / 客户端-服务器应用程序”中的链接以查看以下内容:
- 应用程序名称:应用程序的名称。
- 顶级 URL:对于 Web 或 SaaS 应用程序,显示已发布的应用程序的 URL。对于 TCP/UDP 应用程序,显示应用程序的协议 IP 地址。
- 应用程序类型:指示应用程序是 Web 或 SaaS 应用程序,还是 TCP/UDP 应用程序。
- 应用程序发布类型:指示应用程序是外部发布还是内部发布。
查看成功启动的 Web 应用程序和 SaaS 应用程序
成功启动的应用程序显示在“Web SaaS 和客户端/服务器应用程序”部分。
单击“Web SaaS 和客户端/服务器应用程序”部分中的应用程序以查看详细信息。
有关成功代码的更多信息,请参阅 Citrix Director 相关代码。
查看访问被拒绝应用程序的详细信息
在“选择会话”屏幕上,单击“检查访问详细信息”。
注意:
当没有活动会话时,将显示“检查访问详细信息”按钮。
或者,
单击“拒绝访问”选项卡以查看访问被拒绝的应用程序。
“拒绝访问”选项卡随即打开。
将显示会话详细信息,例如时间、资源、端点名称和失败原因。有关错误代码的更多信息,请参阅 Citrix Director 相关代码。
目前,已识别出以下问题:
- 由于策略条件,枚举被拒绝
- 应用程序启动错误
- 枚举过程中出现的错误
- 由于策略条件,应用程序启动被拒绝
从“拒绝访问”选项卡 > “资源”列中选择一个应用程序以查看详细信息:
Director SPA 无法访问详细信息(/zh-cn/citrix-virtual-apps-desktops/2511/media/director-spa-failed-app.png)
针对成功或失败的会话,将显示以下详细信息:
- 关于应用程序
- 策略的评估
- 会话详细信息
关于应用程序
显示成功、失败或被拒绝的应用程序名称。同时,还会显示应用程序的以下成功或失败详细信息:
| 字段 | 详细描述 |
|---|---|
| 事务 ID | 会话或枚举期间的 Citrix 事务 ID。 |
| 资源类型 | 显示资源类型。可能的值包括 Web、SaaS、TCP/UDP(服务器到客户端)和 TCP/UDP(客户端到服务器)。 |
| 访问的资源 | 会话或枚举期间访问的资源的 URL。如果是 TCP 或 UDP 应用程序,则显示访问的资源类型是 TCP 还是 UDP。 |
| 已配置的策略 | 在一个会话或枚举过程中所使用的策略数量。 |
| 原因 | 对会话或枚举活动进行的分析。 |
| 已应用的安全性限制 | 显示在 Secure Private Access 应用程序中应用的安全性限制。 |
策略的评估
显示成功会话评估期间未发现任何问题。对于失败的会话或枚举,将显示以下已评估策略的详细信息:
| 字段 | 详细描述 |
|---|---|
| ID | 思杰事务 ID。 |
| 策略名称 | 策略的名称。如果存在多个策略,则显示与设置条件匹配的第一个策略。 |
| 状态 | 策略的当前状态 |
| 应用的动作 | 应用于策略的动作。例如,拒绝访问。 |
| 策略条件评估结果 | |
| 类型 | 策略条件的具体类型 |
| 条件判断标准 | 在失败的会话或枚举中应用的策略的条件标准。 |
| 值 | 策略的设定值 |
| 评估执行状态 | 策略的评估状态。不同的值包括允许、拒绝、受限访问和错误。 |
会话详细信息
对于失败的会话,将显示会话失败的原因。对于成功的会话,将显示以下详细信息:
| 字段 | 描述信息 |
|---|---|
| 会话状态 | 显示会话是处于活动状态还是非活动状态。 |
| 开始时间 | 显示会话开始时间。 |
| 上次活动时间 | 显示成功会话的上次活动时间。 |
| 网关虚拟 IP | 此功能显示成功会话所连接的网关的虚拟 IP 地址。 |
| 上下文标记 | 显示上下文标记。Secure Private Access 插件上的上下文标记是应用于已验证用户会话的 NetScaler® Gateway 策略(会话、预身份验证、EPA)的名称。 |
| 访问的域(内部) | 显示通过成功的会话访问的内部域信息。 |
| 访问的域(外部) | 显示通过成功的会话访问的外部域信息。 |