Citrix Secure Web™
Citrix Secure Web 是一款移动网络浏览器,可提供对内部和外部站点的安全访问。您可以配置 Secure Web,使其在设备注册到 Citrix Secure Hub 时自动推送到用户设备。或者,用户可以从 Endpoint Management 应用商店添加该应用。
有关 Secure Web 和其他移动生产力应用的系统要求,请参阅系统要求。
集成和交付 Secure Web
重要:
MDX Toolkit 10.7.10 是支持包装移动生产力应用的最终版本。用户可从公共应用商店访问 10.7.5 及更高版本的移动生产力应用。
要集成和交付 Secure Web,请遵循以下常规步骤:
- 要启用对内部网络的单点登录 (SSO),请配置 Citrix Gateway。
- 对于 HTTP 流量,Citrix ADC 可以为 Citrix ADC 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量,Web 密码缓存策略使 Secure Web 能够通过 MDX 对代理服务器进行身份验证并提供 SSO。MDX 仅支持基本、摘要和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 Endpoint Management 共享保管库中,这是一个用于敏感应用数据的安全存储区域。有关 Citrix Gateway 配置的详细信息,请参阅 Citrix Gateway。
-
- 下载 Secure Web。
- 确定如何配置用户与内部网络的连接。
- 使用与其他 MDX 应用相同的步骤将 Secure Web 添加到 Endpoint Management,然后配置 MDX 策略。有关 Secure Web 特有策略的详细信息,请参阅本文后面的“关于 Secure Web 策略”。
配置用户连接
Secure Web 支持以下用户连接配置:
- 隧道 – Web SSO: 隧道连接到内部网络时,可以使用客户端 VPN 的变体,称为“隧道 – Web SSO”。“隧道 – Web SSO”是为首选 VPN 模式策略指定的默认配置,建议用于需要单点登录 (SSO) 的连接。
- 完整 VPN 隧道: 隧道连接到内部网络时,可以使用完整 VPN 隧道,通过首选 VPN 模式策略进行配置。完整 VPN 隧道建议用于使用客户端证书或到内部网络中资源的端到端 SSL 的连接。完整 VPN 隧道可处理任何基于 TCP 的协议,除了 iOS 和 Android 设备外,还可与 Windows 和 Mac 计算机配合使用。
-
允许 VPN 模式切换策略允许根据需要自动在完整 VPN 隧道和隧道 – Web SSO 模式之间切换。默认情况下,此策略处于关闭状态。启用时,如果网络请求因首选 VPN 模式无法处理的身份验证请求而失败,则会以备用模式重试。例如,完整 VPN 隧道模式可适应客户端证书的服务器质询,但隧道 – Web SSO 模式不能。同样,在使用隧道 – Web SSO 模式时,HTTP 身份验证质询更有可能通过 SSO 得到服务。
-
下表说明了 Secure Web 是否根据配置和站点类型提示用户输入凭据:
-
连接模式 站点类型 密码缓存 是否为 Citrix Gateway 配置了 SSO Secure Web 在首次访问网站时是否提示输入凭据 Secure Web 在后续访问网站时是否提示输入凭据 Secure Web 在密码更改后是否提示输入凭据 -
隧道 – Web SSO HTTP 否 是 否 否 否 -
隧道 – Web SSO HTTPS 否 是 否 否 否 -
完整 VPN HTTP 否 是 否 否 否 完整 VPN HTTPS 是。如果 Secure Web MDX 策略“启用 Web 密码缓存”为“开”。 否 是;需要将凭据缓存到 Secure Web 中。 否 是
Secure Web 策略
添加 Secure Web 时,请注意这些 Secure Web 特有的 MDX 策略。适用于所有受支持的移动设备:
允许或阻止的网站
Secure Web 通常不筛选网页链接。您可以使用此策略配置允许或阻止站点的特定列表。您将 URL 模式配置为限制浏览器可以打开的网站,格式为逗号分隔列表。列表中的每个模式前面都有一个加号 (+) 或减号 (-)。浏览器会按照列出的顺序将 URL 与模式进行比较,直到找到匹配项。找到匹配项后,前缀决定要执行的操作,如下所示:
- 减号 (-) 前缀指示浏览器阻止该 URL。在这种情况下,该 URL 被视为 Web 服务器地址无法解析。
- 加号 (+) 前缀允许正常处理 URL。
- 如果模式未提供 + 或 -,则假定为 +(允许)。
-
如果 URL 与列表中的任何模式都不匹配,则允许该 URL。
-
要阻止所有其他 URL,请以减号后跟星号 (-*) 结束列表。例如:
- 策略值
+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*允许mycorp.com域内的 HTTP URL,但在其他地方阻止它们,允许 HTTPS 和 FTP URL 访问任何位置,并阻止所有其他 URL。 - 策略值
+http://*.training.lab/*,+https://*.training.lab/*,-*允许用户通过 HTTP 或 HTTPS 打开 training.lab 域(内网)中的任何站点。但是,用户无法打开公共 URL,例如 Facebook、Google 或 Hotmail,无论协议如何。
默认值为空(允许所有 URL)。
阻止弹出窗口
弹出窗口是网站未经您许可打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果为“开”,Secure Web 会阻止网站打开弹出窗口。默认值为“关”。
预加载的书签
-
定义 Secure Web 浏览器的预加载书签集。该策略是一个逗号分隔的元组列表,其中包括文件夹名称、友好名称和网址。每个三元组必须采用 folder, name, url 形式,其中 folder 和 name 可以选择用双引号 (“) 括起来。
-
例如,策略值
,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx定义了三个书签。第一个是主链接(无文件夹名称),标题为“Mycorp, Inc. home page”。第二个链接放置在名为“MyCorp Links”的文件夹中,并标记为“Account logon”。第三个链接放置在“MyCorp Links”文件夹的“Investor Relations”子文件夹中,并显示为“Contact us”。 -
默认值为空。
主页 URL
- 定义 Secure Web 启动时加载的网站。默认值为空(默认起始页)。
仅适用于受支持的 Android 和 iOS 设备:
浏览器用户界面
此策略规定了 Secure Web 浏览器用户界面控件的行为和可见性。通常,所有浏览控件都可用。其中包括前进、后退、地址栏以及刷新/停止控件。您可以配置此策略以限制其中某些控件的使用和可见性。默认值为“所有控件可见”。
选项
- 所有控件可见。所有控件均可见,用户不受限制地使用它们。
- 只读地址栏。所有控件均可见,但用户无法编辑浏览器地址字段。
- 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
- 隐藏所有控件。隐藏整个工具栏以提供无边框浏览体验。
启用 Web 密码缓存
当 Secure Web 用户在访问或请求 Web 资源时输入凭据时,此策略确定 Secure Web 是否在设备上静默缓存密码。此策略适用于在身份验证对话框中输入的密码,而不适用于在 Web 表单中输入的密码。
如果设置为开,Secure Web 将缓存用户在请求 Web 资源时输入的所有密码。如果设置为关,Secure Web 不会缓存密码并删除现有缓存的密码。默认值为关。
仅当您还将首选 VPN 策略设置为此应用程序的“完整 VPN 隧道”时,此策略才启用。
代理服务器
- 在“隧道 - Web SSO”模式下使用 Secure Web 时,您还可以为其配置代理服务器。有关详细信息,请参阅此博客文章。
DNS 后缀
在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。有关配置 DNS 后缀的详细信息,请参阅通过使用 Android 设备的 DNS 后缀支持 DNS 查询。
为 Secure Web 准备 Intranet 站点
本节适用于需要为 Android 和 iOS 版 Secure Web 准备 Intranet 站点的网站开发人员。为桌面浏览器设计的 Intranet 站点需要进行更改才能在 Android 和 iOS 设备上正常运行。
Secure Web 依靠 Android WebView 和 iOS WkWebView 提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括:
- AngularJS
- ASP .NET
- JavaScript
- jQuery
- WebGL
-
WebSockets
-
Secure Web 不支持的一些 Web 技术包括:
- Flash
- Java
下表显示了 Secure Web 支持的 HTML 呈现功能和技术。“X”表示该功能适用于平台、浏览器和组件的组合。
| 技术 | iOS Secure Web | Android 6.x/7.x Secure Web |
- | — | — | — |
-
JavaScript 引擎 JavaScriptCore V8 -
本地存储 X X -
AppCacheX X -
IndexedDBX -
SPDYX -
WebPX -
srcetX X -
WebGLX -
requestAnimationFrameAPIX -
Navigation Timing API X -
Resource Timing API X
技术在不同设备上的工作方式相同;但是,Secure Web 会为不同的设备返回不同的用户代理字符串。要确定 Secure Web 使用的浏览器版本,您可以查看其用户代理字符串。在 Secure Web 中,导航到 https://whatsmyuseragent.com/。
Intranet 站点故障排除
要在 Secure Web 中查看 Intranet 站点时排查呈现问题,请比较该网站在 Secure Web 和兼容的第三方浏览器上的呈现方式。
对于 iOS,用于测试的兼容第三方浏览器是 Chrome 和 Dolphin。
对于 Android,用于测试的兼容第三方浏览器是 Dolphin。
备注:
Chrome 是 Android 上的本机浏览器。请勿将其用于比较。
在 iOS 中,请确保浏览器具有设备级 VPN 支持。您可以通过导航到设置 > VPN > 添加 VPN 配置在设备上配置 VPN。
您还可以使用 App Store 上提供的 VPN 客户端应用程序,例如 Citrix VPN、Cisco AnyConnect 或 Pulse Secure。
- 如果网页在两个浏览器中呈现效果相同,则问题出在您的网站。请更新您的网站,并确保它在操作系统上运行良好。
- 如果网页问题仅在 Secure Web 中出现,请联系 Citrix 支持部门以提交支持工单。请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果 Secure Web for iOS 存在渲染问题,请按照以下步骤所述,附上该页面的 Web 存档。这样做有助于 Citrix 更快地解决问题。
创建 Web 存档文件
在 macOS 10.9 或更高版本上使用 Safari 时,您可以将网页保存为 Web 存档文件(称为阅读列表)。生成的存档文件包含所有链接文件,例如图像、CSS 和 JavaScript。
-
在 Safari 中,清空“阅读列表”文件夹:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名
~/Library/Safari/ReadingListArchives/,然后删除该位置中的所有文件夹。 -
在菜单栏中,转到 Safari > 偏好设置 > 高级,然后启用在菜单栏中显示“开发”菜单。
-
在菜单栏中,转到开发 > 用户代理,然后输入 Secure Web 用户代理:
(Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。 -
在 Safari 中,打开要保存为阅读列表(Web 存档文件)的网站。
-
在菜单栏中,转到书签 > 添加到阅读列表。此任务可能需要几分钟。存档在后台进行。
-
找到存档的阅读列表:在菜单栏中,转到视图 > 显示阅读列表侧边栏。
-
验证存档文件:
- 关闭 Mac 的网络连接。
-
从阅读列表中打开网站。
网站将完全呈现。
-
压缩存档文件:在 Finder 菜单栏中,单击前往 > 前往文件夹,键入路径名
~/Library/Safari/ReadingListArchives/,然后压缩文件名为随机十六进制字符串的文件夹。在提交支持工单时,您可以将压缩的文件夹发送给 Citrix 支持部门。
Secure Web 功能
Secure Web 使用移动数据交换技术为用户创建专用 VPN 隧道,以访问内部和外部网站以及所有其他网站。这包括在组织策略保护的环境中访问包含敏感信息的站点。
Secure Web 与 Secure Mail 和 Citrix Files 的集成在安全的 Endpoint Management 容器中提供了无缝的用户体验。以下是一些集成功能的示例:
- 当用户点击
Mailto链接时,Citrix Secure Mail™ 中会打开一封新电子邮件,无需额外身份验证。 - 在 iOS 中,用户可以通过在 URL 前面插入
ctxmobilebrowser://从本机邮件应用程序中打开 Secure Web 中的链接。例如,要从本机邮件应用程序中打开example.com,请使用 URLctxmobilebrowser://example.com。 - 当用户点击电子邮件中的内网链接时,Secure Web 会转到该站点,无需额外身份验证。
- 用户可以将从 Secure Web 中下载的文件上传到 Citrix Files。
Secure Web 用户还可以执行以下操作:
- 阻止弹出窗口。
注意:
Secure Web 的大部分内存都用于渲染弹出窗口,因此通过在“设置”中阻止弹出窗口通常可以提高性能。
- 收藏他们喜欢的站点。
- 下载文件。
- 离线保存页面。
- 自动保存密码。
- 清除缓存/历史记录/Cookie。
- 禁用 Cookie 和 HTML5 本地存储。
- 与其他用户安全共享设备。
- 在地址栏中搜索。
- 允许他们使用 Secure Web 运行的 Web 应用程序访问其位置。
- 导出和导入设置。
- 直接在 Citrix Files 中打开文件,而无需下载文件。要启用此功能,请在 Endpoint Management 的“允许的 URL”策略中添加
ctx-sf:。 - 在 iOS 中,使用 3D Touch 操作直接从主屏幕打开新选项卡并访问离线页面、收藏站点和下载内容。
- 在 iOS 中,下载任意大小的文件并在 Citrix Files 或其他应用程序中打开。
注意:
将 Secure Web 置于后台会导致下载停止。
-
使用在页面中查找在当前页面视图中搜索术语。
Secure Web 还支持动态文本,因此它会显示用户在其设备上设置的字体。
支持的文件格式
iOS 支持以下文件格式:
| 音频 | 图像 | 文档 |
|---|---|---|
| .aac | .jpeg | .txt |
| .mp3 | .png | |
| .wav | .gif | .ppt |
| 动画 GIF | .doc | |
| .docx | ||
| .xls | ||
| .xlsx |
Secure Web for iOS 使用 WkWebView 显示 Web 内容,并支持 WkWebView 辅助的所有类型的视频播放。
Android 支持以下文件格式:
| 音频 | 图像 | 文档 |
|---|---|---|
| .flac | .jpeg | .txt |
| .aac | .png | .pdf。仅下载。在 QuickEdit 或其他应用程序中打开以预览。 |
| .m4a | .gif | .ppt |
| .3gp (AMR-NB) | 动画 .gif | .doc |
| .mp3 | .docx | |
| .wav | .xls | |
| .wma | .xlsx |
Secure Web for Android 使用 WebView 显示 Web 内容,并支持 WebView 辅助的所有类型的视频播放。要播放下载的视频,Secure Web 使用一个媒体库,该媒体库支持 Android 框架列出的格式。