参考体系结构:Workspace 应用程序

受众

本参考体系结构文档定义了一组体系结构构建块,用于交付 Citrix Workspace 应用程序和 Citrix Workspace。目标受众是寻求有关如何使用 Citrix Workspace 服务和 Citrix Workspace 应用程序提供统一用户体验的技术专业人员和架构师。

本文档的目的

Citrix Workspace 应用程序可与 Citrix Workspace Platform 配合使用,提供统一的用户体验,实现了通过 Citrix Workspace 中的服务源单点登录访问 Windows、Linux、SaaS/Web 和移动应用程序。 本文档的范围仅限于:

  • Citrix Workspace 应用程序和 Workspace Platform 解决方案的体系结构组件
  • Workspace 应用程序的高级部署过程
  • Workspace 应用程序的示例用例

Citrix Workspace 应用程序和 Citrix Workspace Platform 概述

Workspace 是一个设备特定的环境,供用户与其应用程序和数据进行交互。Citrix Workspace 应用程序提供的功能包括访问 Citrix Virtual Apps and Desktops、全面的 SaaS 应用程序控制以及通过 Citrix Content Collaboration 访问文件和数据。Citrix Workspace Experience UI(来自 Citrix Workspace 服务的服务授权之一)可以通过兼容 HTML5 的浏览器或本机操作系统客户端(例如 Windows、macOS、iOS 和 Android 操作系统)提供给最终用户。Citrix Workspace Premium Plus 是推荐的 Citrix Workspace Platform 服务,用于通过 Citrix Workspace 应用程序提供完整的统一用户体验。

Citrix Workspace 应用程序

Citrix Workspace 应用程序统一用户体验界面提供应用程序和数据访问权限。这种统一的用户界面允许用户快速访问 SaaS Web 应用程序和托管的虚拟化 Windows 应用程序,同时在一个位置一起浏览和访问聚合的云托管文件和本地文件。借助这种统一的文件和应用程序访问解决方案,客户可以显著提高用户工作效率,并允许管理员对 SaaS 和 Internet 策略实施精细的安全控制。

WSAPP-Image-1

Citrix Workspace 应用程序将多个引擎合并到一个统一的客户端应用程序中。这一统一的 Workspace 应用程序中封装了 6 个引擎,简化了用户对应用程序和数据的访问。企业浏览器允许管理员通过增强的安全控制提供对 SaaS 应用程序的本机访问权限。Citrix HDX 引擎允许远程访问虚拟桌面和应用程序。Content Collaboration 引擎将对所有云和本地文件存储库的访问集成到一个位置。网络连接引擎为后端资源提供安全和优化的连接。Analytics 引擎提供用户和设备行为监视,并支持对用户活动进行风险分析。管理引擎提供自动更新和集中管理。

WSAPP-Image-2

Citrix Workspace Platform

Citrix Workspace Platform 提供了一个使用基于云的管理工具提供统一管理体验的单个平台。在 Workspace Platform 内,客户可以订阅不同的云服务来配置所需的用户工作区体验。Workspace Platform 中提供的服务示例包括 Virtual Apps and Desktops、Secure Browser、Gateway、Content Collaboration、Endpoint Management、Analytics 等。这些服务由 Citrix 更新和管理,减少了管理员的部署和系统更新工作量,并允许管理人员专注于其他更具战略性的任务。要了解有关 Workspace Platform 服务的详细信息,请单击此处

WSAPP-Image-3

有多种 Citrix Cloud 服务结合起来可提供完整的工作区用户体验。此参考体系结构基于 Citrix Workspace Premium Plus。

概念性服务部署体系结构

Citrix Workspace 应用程序是一个使用 Citrix Workspace 服务的客户端应用程序在这个概念性体系结构中,我们使用 Citrix Workspace Premium Plus 服务向 Citrix Workspace 应用程序用户提供移动、虚拟和 Web 应用程序。

Citrix Workspace Platform 主要由 Citrix 作为 SaaS 服务进行管理和更新。大部分配置是在云管理门户中执行的。向最终用户配置和部署 Citrix Workspace 应用程序和 Citrix Workspace Experience UI 有 7 个概念性步骤。在下一节中,我们将介绍使用 Citrix Cloud Services 完成设置所需的系统要求和高级步骤。这种混合云方法可以显著简化客户的部署和配置流程,同时提供更快的功能更新、由 Citrix 管理的新版本以及出色的集中管理体验。在这个概念性服务体系结构中,我们专注于服务体系结构集成,并提供指向更多资源和详细信息的资源链接。

WSAPP-Image-4

步骤 1 创建 Citrix Cloud 帐户并部署 Citrix Cloud Connector

Citrix Workspace Platform Services 是一项由 Citrix 在云端管理的服务产品。要访问 Citrix Workspace Platform Services,客户需要通过 https://onboarding.cloud.com/ 申请并激活 Citrix Cloud 帐户。创建所需帐户后,管理员可以将 Citrix Cloud Connector 下载并部署到包含 Active Directory 和虚拟机托管平台的一个或多个资源位置。Citrix Cloud Connector 是安装在 Windows Server 2012 R2 或 Windows Server 2016 已加入域的服务器上的软件包。Cloud Connector 进行身份验证并加密 Citrix Cloud 与资源位置之间的所有通信。从 Citrix Cloud Connector 到 Citrix Cloud 平台服务的所有通信都是通过出站 SSL 连接建立的。有关详细信息,请参阅 Internet 连接要求

Citrix Cloud 控制平面托管在美国、欧盟和亚太地区。客户在首次注册时选择他们想要使用的控制平面位置。控制平面中不保存任何敏感的客户信息。有关 Cloud Connector 安全相关实践和其他注意事项的详细信息,请参阅 Citrix Cloud 平台安全部署指南。有关 Citrix Cloud Connector 功能的列表,请参阅此处

建议在每个资源位置部署两个或更多 Citrix Cloud Connector,以实现高可用性和可扩展性。例如,对于托管不超过 5000 个工作站 VDA 的站点,建议使用一组三个 4-vCPU 的 Cloud Connector。有关更多指导,请参阅 Cloud Connector 的扩展和大小注意事项

资源位置的概念是定义虚拟机管理程序的位置或物理服务器/云位置。Citrix Cloud Connector 没有要安装的数据库或管理要求。

WSAPP-Image-5

步骤 2 配置和发布 Citrix Virtual Apps and Desktops

请使用 Citrix Workspace Platform 托管的管理控制台配置 Citrix 应用程序和桌面。有关分步配置,请参阅此处。有关 Citrix Virtual Apps and Desktops 服务的参考体系结构,请参阅此处。有关如何在资源位置中设置高可用性的指南,请参阅此处。如果管理员想要将现有的本地 Citrix Virtual Apps and Desktops 部署添加到 Citrix Workspace 中,可以在 Citrix Workspace Platform 中使用站点聚合功能。有关详细信息,请参阅将本地站点添加到 Citrix Workspace 中。要了解有关站点聚合的概念的详细信息,请观看此视频

WSAPP-Image-6

步骤 3 配置 Citrix Workspace 并启用网关服务

要启用与 Citrix Workspace 的安全用户连接,管理员需要为 Virtual Apps and Desktops 服务配置网关服务,或者在现场使用 Citrix Gateway。有关详细信息,请参阅此处

管理员可以在资源位置中应用现有的 Citrix Gateway 服务器,这样可以更好地控制资源位置中的网络流量,并允许在资源位置中启用额外的 Citrix Gateway 网络服务。Micro VPN 服务属于一个示例,可以在此处找到更多信息。

对于远程办公室或分支办公室位置较小的客户,可能无法添加和管理专用 Citrix Gateway 服务器。在这种情况下,管理员可以使用托管 Citrix Gateway 服务来满足要求。

WSAPP-Image-7

对于不需要外部网络用户访问资源位置中的 Virtual Apps and Desktops 的客户,可以将 Citrix Workspace 配置为仅向内部用户提供 Virtual Apps and Desktops。在这种情况下,用户仅通过内部 IP 连接 Virtual Apps and Desktops。

步骤 4 启用对 Web/SaaS 应用程序的单点登录 (SSO) 以进行发布

Citrix Gateway 服务(仅限云服务)的一部分是单点登录到 SaaS 应用程序。SSO 为基于 Web 的 SaaS 应用程序 SSO 和发布到 Citrix Workspace Experience 用户界面提供统一的用户体验。管理员需要向用户提供服务 URL 才能访问 Citrix Workspace。为了启用单点登录用户体验,SaaS 应用程序将信任 Citrix Gateway 服务提供的 SAML 断言。有关如何配置 SSO 的详细信息,请参阅此处。要启用对 SaaS 应用程序的单点登录,现在只需几个 Web 表单即可简化该流程,单击配置页面可大大简化部署过程。有关支持的 SaaS 应用程序的列表,请参阅此处。对于内部网络托管的 SaaS 应用程序,管理员可以应用网关连接器(预览版)将基于 Web 的内部 SaaS 应用程序访问代理给外部 Workspace 应用程序用户。

WSAPP-Image-8

WSAPP-Image-9

步骤 5 启用 Secure Private Access 服务以监视和阻止恶意、危险或未知 Web 站点

Secure Private Access 服务允许管理员在 Workspace 应用程序上查看用户活动,并为 SaaS 应用程序添加增强的安全功能,例如水印、复制粘贴限制和防止下载。

管理员可以在配置 SaaS 应用程序 SSO 或发布流程时启用增强的安全性。(注意:需要在“添加 Web/SaaS 应用程序”用户界面中配置增强的安全性设置)

WSAPP-Image-10

WSAPP-Image-11

配置网关和 SaaS 应用程序发布后,管理员可以通过配置 Web 筛选来允许/阻止最终用户访问并将其重定向到 Citrix Secure Browser Service,从而扩展 Workspace 应用程序 SaaS 应用程序访问的安全控制。最重要的是,将 Secure Private Access 和 Workspace 应用程序客户端软件相结合,管理员可以通过跟踪用户 SaaS 应用程序使用情况和应用程序使用模式的分析服务查看宝贵的用户见解。 借助 Citrix Secure Private Access,管理员能够控制最终用户如何通过 Citrix Workspace Experience Web UI 或本机 Citrix Workspace 应用程序客户端访问 SaaS 应用程序。

要详细了解 Secure Private Access 服务如何与 Workspace 应用程序配合使用,请观看此视频。有关如何配置 Secure Private Access 的信息,请参阅此处

WSAPP-Image-12

步骤 6 将 Content Collaboration 帐户和 Endpoint Management 服务关联到 Citrix Workspace 服务

要在 Workspace 应用程序中启用 Content Collaboration,管理员必须创建 Content Collaboration 帐户或将其关联到 Citrix Cloud。有关如何配置 Content Collaboration 的详细信息,请参阅此处

WSAPP-Image-13

Workspace Configuration(Workspace 配置)> Service Integrations(服务集成)下启用 Endpoint Management 服务集成。

WSAPP-Image-14

链接 Content Collaboration 服务将允许 Workspace 应用程序用户通过单点登录访问存储区域和外部云文件存储供应程序中的数据。启用 Citrix Endpoint Management 集成还将改善设备安全管理,并允许管理员加密移动设备上的精选公司数据。

WSAPP-Image-15

步骤 7 部署 Citrix Workspace 应用程序或者使用兼容 HTML5 的浏览器访问 Citrix Workspace Experience UI 并为 Workspace 应用程序启用分析服务

将 Citrix Workspace 应用程序部署到移动设备(iOS 或 Android)、Mac 和 Windows PC。单击此处下载 Workspace 应用程序。

请通过配置所需的数据源来启用分析服务。要了解更多信息,请参阅此处

WSAPP-Image-16

管理员还可以创建更多规则来自动执行某些操作。

WSAPP-Image-17

完成这 7 个步骤后,管理员将能够监视跨多个资源位置的用户活动,并加强对 Workspace 应用程序用户信息访问的安全控制。

最终用户可以通过 Endpoint Management 和 Workspace Hub 提供的本地和移动应用程序来享受集成的用户体验,还可以通过 Secure Private Access 和 SSO 安全地访问 SaaS 和 Web 应用程序。可以通过网关服务将现有的 Citrix Virtual Apps and Desktops 站点与 Citrix Virtual Apps and Desktops 资源位置聚合在一起。请通过将外部 Web 应用程序重定向到 Secure Browser 来降低访问风险。请使用本地存储区域或公共云存储平台对外部用户应用 Content Collaboration。

Citrix Workspace 应用程序用例

现代工作环境正在迅速从传统的客户端/服务器应用程序转变为云托管的 SaaS 应用程序。用户要求随时随地在任何设备上访问应用程序。IT 需要一种新的安全方法。它可以很好地控制访问权限,并根据位置和用户行为等情境因素进行调整。IT 需要能够在内部威胁和外部恶意行动者面前保持领先地位。

解决方案:

  • 使用 Citrix Cloud Services 交付 Citrix Workspace 以维护常青环境。
  • 使用 Gateway Service 单点登录到 SaaS 应用程序,以降低多用户密码的复杂性。简化支持并提高用户工作效率。
  • 启用增强的安全策略,以允许 Workspace 应用程序限制 Web 应用程序和已发布的应用程序和桌面。
  • 启用高级 Secure Private Access 以更好地保护 SaaS 应用程序安全,并使用 Web 筛选来阻止对列入黑名单的访问或将高风险 URL 重定向到 Secure Browser 以降低风险。
  • 提供 Content Collaboration 服务,将云内容聚合到一个位置。
  • 启用 Endpoint Management 以强制执行端点设备合规性并在端点上管理和部署移动应用程序。
  • 使用 Analytics 服务提高用户行为活动的可见性,并在检测到异常时执行策略。

WSAPP-Image-18

摘要

Citrix Workspace 应用程序是面向最终用户的统一前端应用程序。要充分利用 Workspace 应用程序,用户还必须订阅 Citrix Workspace Premium Plus Service。

Citrix Virtual Apps and Desktops 提供全面的 Windows 和 Linux 应用程序和桌面虚拟化。

Citrix Secure Private Access 提供点产品的整合,这些产品将 SSO、Web 筛选和安全浏览作为单独的产品提供。它提供了一个单一的解决方案,可通过 Web 筛选和 Secure Browser 服务满足您对 SSO 和转发代理功能的要求。对于希望只实施 SSO 的客户来说,Citrix 是唯一向 Citrix Virtual Apps、Citrix Citrix Virtual Desktops、SaaS 和 Web 应用程序提供 SSO 的供应商。这有助于将现有的 ICA 代理与您现在可以使用的任何第三方 SSO 解决方案进行整合。

Content Collaboration 允许用户共享、同步和保护来自云和本地存储服务的内容。

Citrix Endpoint Management 是一种解决方案,用于管理端点,以及提供移动设备管理 (MDM) 和移动应用程序管理 (MAM) 功能。借助 Endpoint Management,您可以管理设备和应用程序策略,并将应用程序交付给用户。您的企业信息将受严格的身份、设备、应用程序、数据和网络安全保护。将 Citrix Secure Hub 移动生产力应用程序和 Citrix Workspace 应用程序相结合,管理员可以更好地控制移动设备。

通过将 Workspace 应用程序和 Workspace Premium Plus Service 相结合,管理员可以在任何设备上提供数字工作区,同时保持安全控制和良好的用户体验。