参考架构:联系中心的 DaaS 参考架构

概述

当涉及到客户互动和客户满意度时,联络中心至关重要。通常,客户服务代理是公司的“面孔”,代表了公司与客户之间的唯一接口。疫情期间,联络中心的平均处理时间、排队时间和等待时间都在增加,这让客户感到沮丧。同时,联络中心面临着较高的员工流失率。员工更替会导致成本增加,因为每位新代理都需要进行设置和培训,然后才能高效地工作。联络中心需要重新定义座席体验,以便在吸引新人才的同时留住现有员工。因此,整个联络中心环境(包括呼叫质量和应用程序性能)在座席提供最佳客户体验和满意度方面可以发挥重要作用。

CompanyA 是一家联络中心公司。随着 COVID-19 的出现,CompanyA 对其客户变得更加重要。CompanyA知道必须重新考虑其未来的IT战略,以降低运营费用,降低停机和停机风险,提高安全性,并建立一个注重客户和座席体验的环境,从而实现收入增长。在 COVID-19 期间,CompanyA 超过 75% 的代理商必须在家办公。即使取消了限制,CompanyA仍希望继续允许代理商以某种身份在家办公。他们之所以决定这样做,是因为根据《哈佛商业评论》的报道,在家代理可以接听的电话比在办公室的同行多13.5%。此外,灵活的居家办公策略使他们能够扩大人才库并留住现有人才,同时降低总体成本。CompanyA 决定迁移到 Citrix Cloud 服务,并在谷歌 Chromebook 上进行标准化,以获得可靠、灵活和安全的环境。

该参考架构解释了CompanyA如何规划其环境,使他们能够维持居家办公战略,快速轻松地进行扩展,并降低成本。

成功标准

A公司定义了一系列成功标准,这些标准构成了总体设计的基础。

用户体验

成功标准 说明 解决方案
无缝体验 为了减少对用户的干扰,最终用户具有相似的外观和感觉 Citrix Workspace
轻松入职 新代理必须能够快速高效地上岗而无需第三方协助 Citrix Workspace + 谷歌 Chromebook
远程办公的灵活性 随时随地在任何设备上工作 Citrix Workspace
单点登录 无需重新进行身份验证即可安全访问所有应用程序(Windows、SaaS 和 Web 应用程序) Citrix DaaS
支持的联络中心应用程序、外围设备和端点 支持所需的联系中心应用程序、端点和外围设备 Chromebook
优化了最终用户体验 与本地应用程序相比,虚拟应用程序的用户体验相同或更好 HDX

管理员体验

成功标准 说明 解决方案
减少开支 在公司拥有的设备上实现标准化,这些设备可以低成本发送给代理 谷歌 Chromebook
抵御基于互联网的威胁 提高安全性以保护其 IP Citrix Secure Internet Access
网络弹性 即使从家庭网络进行连接,也能确保网络弹性和通话质量 Citrix SD-WAN
网络优化 智能地优化网络流量并确定其优先级 Citrix SD-WAN
减少本地占用空间 降低维护本地环境的持续成本 Citrix Cloud 服务
零信任网络访问 删除 VPN 依赖关系以允许代理远程工作 Citrix DaaS
保护免受内部威胁 保护客户信息免受零日攻击和恶意内部人员的攻击 Citrix Analytics for Security
浪涌保护 发生浪涌时快速高效地扩展 Citrix Cloud 服务自动缩放
托管端点 能够管理提供给代理的端点 Citrix Endpoint Management

概念体系结构

根据上述要求,CompanyA 创建了以下高级概念架构。此架构满足上述所有要求,同时为 CompanyA 将来扩展到其他用例奠定了基础。

概念体系结构

体系结构框架分为多个层。该框架为了解兼并和收购情景的技术架构奠定了基础。所有层一起流动,创建完整的端到端解决方案。

在高级别上:

用户层: 用户层描述用于连接资源的最终用户环境和端点设备。

  • 无论设备如何,用户都可以从 Workspace 应用程序访问资源,从而在各种外形规格和设备平台上提供一致的体验。
  • CompanyA 为他们的代理商提供谷歌 Chromebook,以获得快速轻松的入门体验。Chromebook 将直接发货给座席,并在首次登录时自动进行配置。
  • 最终用户可以使用耳机和网络摄像头等外围设备。
  • CompanyA希望确保设备上不存储任何数据,并且可以在终端丢失、被盗或代理离开公司时将其删除。

接入层: 访问层描述了有关用户如何对其工作区和辅助资源进行身份验证的详细信息。

  • Citrix Workspace 为所有后续资源提供了主身份验证代理。CompanyA 需要多因素身份验证来提高身份验证安全
  • 环境中的许多授权资源使用的凭据与用于主 Workspace 身份的凭据集不同。CompanyA 使用每项服务的单点登录功能来更好地保护这些辅助身份。对于 SaaS 应用程序,应用程序只允许基于 SAML 的身份验证,这会阻止用户直接访问 SaaS 应用程序并绕过安全策略。

资源层: 资源层为定义的用户和组授权特定 SaaS、Web 和虚拟资源,同时定义与资源关联的安全策略。

  • 用户有权访问与其角色相关的应用程序和桌面。
  • CompanyA 通过 Citrix Workspace 向其代理提供必要的联络中心应用程序。
  • 为了更好地保护数据,CompanyA 要求禁用从托管资源中打印、下载和复制/粘贴内容到终端节点的策略。
  • CompanyA要求使用隔离的浏览器或虚拟会话对资源进行零信任网络访问。
  • HDX 技术使座席能够获得对语音和视频通信至关重要的最佳用户体验。

控制层: 控制层定义底层解决方案如何根据用户的底层活动进行调整。

  • 即使在受保护的 Workspace 资源中,用户也可以与不受信任的 Internet 资源进行交互。CompanyA 使用 Secure Internet Access 来保护用户免受来自SaaS应用程序、Web应用程序、虚拟应用程序和端点设备应用程序的外部威胁。
  • 在灵活的环境中工作时,所有策略都能保护用户,因此仍然存在风险。CompanyA 使用 Security Analytics 服务来识别受影响的用户,并自动采取措施来维护安全的环境。
  • Citrix DaaS 管理虚拟应用程序和桌面的授权和代理。
  • Citrix Endpoint Management 可确保管理员可以管理发送到代理的 Chromebook。

后续章节将更详细地介绍CompanyA联络中心参考架构的具体设计决策。

用户层

在优化 Web 流量的同时确保网络弹性

家庭网络

对于许多用户来说,访问他们的工作空间只是连接到家庭网络的问题,家庭网络在工作和个人使用之间共享。但是,根据某些最终用户的要求,CompanyA需要安全的家庭网络。 CompanyA 使用 SD-WAN 110 设备为座席的工作设备创建安全的 WiFi 网络。如果 SD-WAN 110 设备检测到 ISP 链路存在可靠性问题,它将自动通过备用 LTE 连接重新路由远程工作网络。这样可以确保座席始终保持连接,以便能够与客户通信。

尽管 SD-WAN 110 设备部署在用户家中,但它们是集中管理的。集中管理设备使 CompanyA 能够按照以下指南为家庭用户实施零接触部署方法:

了解有关面向 家庭办公用户的 SD-WAN 110 的更多信息

高可用性和出色的用户体验对于 CompanyA 非常重要,SD-WAN 在这两个方面都能提供帮助。Citrix SD-WAN 执行每个数据包 QOS,并基于每个数据包实时分析流量,包括延迟、丢失和抖动。通过绑定两个相对便宜的互联网连接,Citrix SD-WAN 可以提供更高的带宽、尽可能低的延迟以及各种 服务质量功能

默认情况下,Citrix SD-WAN 会自动设置单端口多流 HDX AutoQoS(包括语音和视频)。Citrix SD-WAN 优先考虑实时和交互式流量,优先于批量和后台流量。使用 QoS 实现可靠、安全、高性能的网络连接对于为虚拟应用程序和桌面提供卓越的用户体验至关重要。Citrix SD-WAN 通过多链路数据包级处理来掩盖网络故障,让用户享受持续的高性能连接。直接工作负载连接还使 Citrix SD-WAN 能够提供 HDX AutoQoS,这是一项宝贵的用户体验功能,可通过与 Citrix DaaS 的协作处理来实现 QoS 自动化。 有关 SD-WAN 的更多信息可以 在这里找到。

用户端点和外围设备

CompanyA 已决定向其代理商提供谷歌 Chromebook。这允许代理在一台设备上实现标准化。 CompanyA 使用 Citrix Endpoint Management 来管理 Chromebook,并将最新版本的适用于 Chrome 操作系统的 Citrix Workspace 应用程序推送到 Chromebook 上。

用户只需在初始设置时注册设备。在注册过程中,会自动应用和维护相应的应用程序和安全策略。之后,代理将通过 Citrix Workspace 访问其所有应用程序和桌面。

有关代理如何注册设备的演示可 在此处找到。

最终用户使用经批准的 Citrix Ready 外围设备。CompanyA 向其代理商提供森海塞尔和保利耳机。

Microsoft Teams 优化

在员工分散的情况下,CompanyA使用联络中心应用程序,该应用程序严重依赖于使用Microsoft Teams集成的虚拟会议。通过优化 Microsoft Teams 语音和视频通信数据包的跨线方式,Citrix DaaS 提供了与传统 PC 相同的虚拟会议体验。 要了解有关 Microsoft Teams 集成和优化的更多信息,请查看以下内容:

资源层

联络中心应用程序

在确定他们应该在哪个联络中心应用程序上进行标准化时,CompanyA 希望确保该应用程序经过测试和验证,可以与 Citrix 和 Google 解决方案配合使用。Citrix 就绪计划提供技术支持和资源,以帮助第三方合作伙伴完成集成并获得 Citrix Ready 验证称号。以下是已完成验证流程的合作伙伴名单,以及我们计划很快进行测试的一些合作伙伴。

以上不是与 Citrix 配合使用的联系中心应用程序的完整列表。

访问层

身份验证

出于安全考虑,CompanyA 需要强大的身份验证策略。CompanyA 使用两阶段的方法。 第 1 阶段的重点是使用上下文多因素方法在 Citrix Workspace 中保护用户的主要身份。

身份验证

如果设备未通过终端安全扫描,身份验证策略将拒绝访问。扫描验证设备是否已通过企业安全策略进行管理和保护。扫描成功后,用户可以使用其 Active Directory 凭据和 TOTP 令牌进行身份验证。 第 2 阶段身份验证方案侧重于辅助资源(SaaS 应用程序、Web 应用程序、虚拟应用程序和桌面)。几乎每个辅助资源都需要身份验有些使用与用户主身份相同的身份提供商,而另一些则使用独立的身份提供商,这在 SaaS 应用程序中最常见。

  • SaaS 应用程序:对于 SaaS 应用程序,CompanyA 使用基于 SAML 的身份验证,而 Citrix Workspace 充当 Active Directory 的身份代理。配置完成后,SaaS 应用程序只允许基于 SAML 的身份验证。任何使用特定于 SaaS 应用程序的用户名/密码登录的尝试都将失败。此策略允许 CompanyA 提高身份验证的强度,同时使因用户帐户受损而禁用访问变得更加容易。
  • Web 应用程序:CompanyA 中的 Web 应用程序清单都使用用户的 Active Directory 凭据。对于 Web 应用程序,CompanyA 使用表单、Kerberos 和基于 SAML 的身份验证的组合来提供单点登录。选项之间的选择取决于每个 Web 应用程序的独特方面。
  • 虚拟应用程序/桌面:对于虚拟应用程序和桌面,CompanyA 使用 Citrix Workspace 的直通身份验证,从而消除了次要身份验证难题。

Workspace 单点登录技术简介 包含有关 SaaS、Web、虚拟应用程序、虚拟桌面和 IdP 链接选项的单点登录的其他信息。

资源访问

CompanyA 需要考虑代理如何访问内部资源。必须保护公司内部资源免受不可信和不安全的位置的影响。为帮助防止恶意软件入侵,不允许设备直接访问内部网络。 为了提供对私有 Web 应用程序、虚拟应用程序和虚拟桌面等内部资源的访问权限,CompanyA 计划使用 Citrix DaaS。这两种服务使用零信任网络访问解决方案,这是传统VPN的更安全的替代方案。 Citrix DaaS 使用由 Cloud Connector 建立的出站控制通道连接。这些连接允许用户远程访问内部资源。但是,这些连接具有以下特点

  • 范围有限,因此只有定义的资源可以访问
  • 基于用户的主要安全身份
  • 仅适用于禁止网络遍历的特定协议

控制层

Citrix DaaS

CompanyA 之所以选择使用 Citrix DaaS,是因为它为他们提供了灵活性,他们需要从统一的管理控制台从多个资源位置部署资源。它还减少了部署和管理其虚拟应用程序和桌面环境的管理开销。它使他们能够最大限度地降低硬件成本并部署 DaaS 资源。借助 Citrix DaaS,交付控制器、SQL 数据库、Studio、Director 和许可是控制层的核心组件。在激活虚拟应用程序和桌面服务期间,Citrix 将在 Citrix Cloud 上置备这些组件。Citrix 处理这些组件的冗余、更新和安装。

有关 Citrix DaaS 的更多深入信息可在此处找到。

服务连续性

对于CompanyA而言,重要的是他们的用户不会因为停机或云问题而遭受生产力损失。因此,他们在 Citrix Cloud 中启用了服务连续性。服务连续性允许用户连接到在停机期间或 Citrix Cloud 组件无法访问时可访问的资源。此功能让 CompanyA 高枕无忧,确保即使在极少数的云中断情况下,其用户仍能保持高效工作。通过使用 Progressive Web Apps 服务工作线程技术在用户界面中缓存资源,服务连续性改善了停机期间已发布资源的可视化表示。服务连续性指明中断期间哪些资源可用。 服务连续性使用 Workspace 连接租约来允许用户在停机期间访问应用程序和桌面。工作空间连接租约是长期存在的授权令牌。

有关服务连续性如何工作的更多信息, 请点击此处

AutoScale

CompanyA 选择部署 AutoScale 来优化云成本。AutoScale 允许您智能地使用、分配和释放资源。

CompanyA 最初根据典型的工作日使用以下基于时间表的 AutoScale 参数:

高峰时段 非高峰时段 活动的计算机
工作日 7am-5pm 5pm-7am 峰值:50% 非高峰期:10%
周末 9am-6pm 6pm-9am 峰值:50% 非高峰期:10%

为了容纳更多用户,CompanyA 还使用以下参数启用了基于负载的扩展:

容量缓冲区(峰值) 容量缓冲区(非高峰)
工作日 20% 5%
周末 20% 5%

有关自动缩放的更多信息可以 在这里找到。

Secure Internet Access

当用户与 SaaS、Web、虚拟、本地和移动应用进行交互时,他们经常访问公共互联网站点。尽管 CompanyA 有一个互联网安全合规类,所有代理都必须每年完成一次,但它并未完全阻止攻击,通常源自网络钓鱼诈骗。 为了帮助保护代理和组织,CompanyA 在其架构中加入了 Secure Internet Access 服务和 Security Analytics。

Secure Internet Access

组织内的应用程序、桌面和设备库的任何 Internet 流量都通过 Secure Internet Access 服务进行路由。在此服务中,将扫描任何 URL 以验证其安全。某些公共网站内的功能被拒绝或修改。下载内容将自动扫描和验证。

由于许多网站现在已加密,因此此安全过程的一部分是解密流量并进行检查。CompanyA 希望允许用户在公司拥有的设备上灵活访问个人网站。为确保员工隐私,某些类别的网站不会被解密,例如财务和健康相关网站。为了实现完全透明,CompanyA 计划在内部提供整体安全策略计划。

在设计互联网安全策略时,CompanyA希望从基线策略开始。随着 CompanyA 继续评估组织内的风险,他们将酌情放松/加强政策。

默认情况下,所有类别都被解密并允许。CompanyA 进行了以下在全球范围内应用的修改:

类别 更改 原因
金融和投资 不要解密 代理隐私问题
运行状况 不要解密 代理隐私问题
成人内容 阻止  
药物 阻止  
文件共享 阻止  
赌博 阻止  
非法活动 阻止  
恶意来源 阻止  
恶意软件内容 阻止  
色性/裸体 阻止  
病毒/恶意软件 阻止  
暴力/仇恨 阻止  

CompanyA 安装了以下两个 chrome 扩展程序:

  • Chromebook Connector:这将 Chromebook 连接到云代理,以在 Chromebook 设备上扩展所有云安全功能
  • Chromebook 应用程序兼容性插件:这是确保与在 Chrome 浏览器之外运行的应用程序兼容所必需的

Citrix Endpoint Management

CEM

CompanyA 使用 Citrix Endpoint Management 来管理发送给代理的 Chromebook。CompanyA 将 Citrix Workspace 推送到 Chromebook 上,这是代理访问其应用程序的主要方式。Secure Internet Access 代理也通过 Citrix Endpoint Management 推送。

CompanyA 还使用 Citrix Endpoint Management 来推送以下设备策略:

  • 应用程序限制政策:CompanyA 使用此政策来限制他们不希望在公司拥有的 Chromebook 上允许的任何应用程序
  • 控制操作系统更新:CompanyA 使用它来确保所有端点都使用特定的操作系统版本。如果需要,他们使用它来延迟更新。
  • 内容设备政策:CompanyA 使用此策略来设置其浏览器的主页
  • 限制政策:CompanyA 使用此策略来设置以下限制:
    • 禁用开启打印
    • 禁用从安全浏览警告页面继续
    • 安全浏览模式开启
    • 外部存储辅助功能-已禁用

Security Analytics

CompanyA 使用 Security Analytics 来缓解和阻止威胁。

为了帮助保护环境,CompanyA 使用 Citrix Security Analytics 来识别内部威胁和受感染用户。 通常,单个威胁实例并不需要采取严厉行动,但一系列威胁可能表示存在安全漏洞。

CompanyA 制定了以下初始安全策略:

名称 条件 操作 原因
异常访问 从可疑 IP 登录并从异常位置访问 锁定用户 如果用户从异常位置和可疑 IP 登录,则会有强烈的迹象表明该用户受到威胁。
异常的应用行为 应用程序使用和从异常位置访问的异常时间 请求用户响应 如果用户在奇怪的时间和地点访问虚拟应用程序,则用户可能会受到威胁。Security Analytics 会通知用户确认用户是否识别了活动。
潜在的凭证漏洞 过多的身份验证失败和从异常位置访问 添加到播放列表 如果用户在异常位置出现多次身份验证失败,则可能表示有人试图闯入系统。但是,攻击者尚未成功。只需将用户添加到监视列表中即可。
参考架构:联系中心的 DaaS 参考架构