PoC 指南:使用 Citrix Secure Private Access 权限安全访问 Office 365

概述

当用户访问 Microsoft 365 (Office 365) 中的机密内容时,组织必须能够在实施身份验证标准的同时简化用户登录操作。组织必须能够保护 Microsoft 365,即使它存在于数据中心的范围之外。Citrix Workspace 为组织提供了针对 Microsoft 365 的增强安全控制。

在这种情况下,用户使用任一 Active Directory 作为主用户目录向 Citrix Workspace 进行身份验证。

Active Directory 和 Okta SSO

如果将 Citrix Secure Private Access 服务分配给 Citrix 订阅,则会应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆以及保护用户免受不可信链接的侵害在Microsoft 365 应用程序中名列前茅。

以下动画显示了使用 SSO 访问 Microsoft 365 并使用 Citrix Secure Private Access 进行保护的用户。

Okta SSO 演示

此演示显示了一个 IDP 启动的 SSO 流程,用户可在其中从 Citrix Workspace 中启动应用程序。本 PoC 指南还支持 SP 启动的 SSO 流程,用户尝试直接从首选浏览器访问 SaaS 应用程序。

本概念验证指南演示了如何:

  1. 设置 Citrix Workspace
  2. 集成主用户目录
  3. 为 SaaS 应用程序合并单点登录
  4. 定义网站过滤策略
  5. 验证配置

设置 Citrix Workspace

设置环境的初始步骤是让 Citrix Workspace 为组织做好准备,其中包括

  1. 设置工作区 URL
  2. 启用适当的服务

设置工作区 URL

  1. 连接到 Citrix Cloud 并以管理员帐户登录
  2. 在 Citrix Workspace 中,从左上角菜单访问 工作区配置
  3. 访问选项卡中,输入组织的唯一 URL,然后选择“已启用”

Workspace URL

启用服务

在 “ 服务集成 ” 选项卡中,启用以下服务以支持 SaaS 应用程序的安全访问使用情形

  1. 网关
  2. Secure Browser

Workspace Service

验证

Citrix Workspace 需要花费一些时间来更新服务和 URL 设置。从浏览器中验证自定义 Workspace URL 是否处于活动状态。但是,在定义和配置主用户目录之前,登录将不可用。

集成主用户目录

用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为 Workspace 中的所有应用程序请求都使用单点登录到辅助身份。

组织可以将以下任何一个主用户目录与 Microsoft 365 结合使用:

  • Active Directory:要启用 Active Directory 身份验证,必须按照Cloud Connector 器 安装指南将云连接 器部署在与 Active Directory 域控制器相同的数据中心内。
  • 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
  • Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供者。本 指南 提供了有关集成的详细信息。
  • Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。

注意:目前,将 Azure Active Directory 用作用户的主要身份将无法正常运行。

将 Azure 身份验证联合到 Citrix Workspace

要成功将 Microsoft 365 与 Citrix Workspace 联合起来,管理员需要执行以下操作

  • 配置 SaaS 应用程序
  • 授权 SaaS 应用
  • 验证身份验证域
  • 配置域联合

配置 SaaS 应用程序

在 Azure 中验证域后,可以在 Citrix Workspace 中配置Microsoft 365 SaaS 应用程序。

  • 在 Citrix Cloud 中,从网关磁贴中选择 管理

设置 SaaS 应用程序 01

  • 选择 添加 Web/SaaS 应用
  • 在 “选择模板” 向导中,选择 Office 365

设置 SaaS 应用程序 02

  • 选择 下一步
  • 应用程序详细信息 屏幕中,根据需要更改 名称图标描述 ,同时保持所有剩余条目不变。

设置 SaaS 应用程序 03

  • 选择 下一步
  • 增强的安全策略使用 “相关域” 字段来确定要保护哪些 URL。将根据默认 URL 自动添加一个相关域。增强的安全策略需要与应用程序关联的任何 URL 相关的域。Microsoft 365 包含许多 URL,这些网址可以在 Microsoft 365 相关域名部分找到。

  • 增强安全性窗口中,为环境选择适当的安全策略

设置 SaaS 应用程序 04

  • 单点登 录窗口中,验证 名称 ID 格式 = 持久名称 ID=Active Directory GUID
  • 在高级属性下,验证 属性名称 =IDpeMail属性格式 = 未指定属性值 = 电子邮
  • 选择 下载 以捕获基于 CRT 的证书。
  • 登录 URL旁边,选择 复制 按钮以捕获登录 URL。稍后会使用此 URL。
  • 选择 S AML 元数据 链接

设置 SaaS 应用程序 05

  • 在 SAML 元数据文件中,查找 EntityId。复制整个 URL 并存储以备以后使用。捕获后,可以关闭 SAML 元数据文件。

设置 SaaS 应用程序 06

  • 选择 保存
  • 选择 完成 以完成 Microsoft 365 SaaS 应用程序的配置。

授权 SaaS 应用

  • 在 Citrix Cloud 中,从菜单中选择 资料库

授权 SaaS 应用程序 01

  • 找到 Microsoft 365 应用程序,然后选择 管理订阅者
  • 添加有权启动应用程序的适应用户/组

授权 SaaS 应用程序 02

验证身份验证域

要将身份验证联合到 Citrix Workspace,Azure 必须验证完全限定的域名。在 Azure 门户中,执行以下操作:

  • 访问 Azure Active Directory
  • 在导航窗口中选择 自定义域名
  • 选择 添加自定义域
  • 输入完全限定的域名

域名验证 01

  • 选择 添加域
  • Azure 提供了要纳入域名注册商的记录。完成后,选择 验证

域名验证 02

  • 完成后,域名将包含经过验证的标记

域名验证 03

配置域联合

最终配置是让 Azure 使用 Citrix Workspace 作为已验证域的联合权威机构。必须使用 PowerShell 来配置联合身份验证。

  • 启动 PowerShell
  • 使用以下命令添加适当的模块
Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->
  • 通过 PowerShell 连接到Microsoft 在线并进行身份验证
Connect-MSOLService
<!--NeedCopy-->
  • 通过运行以下 PowerShell 命令验证域当前是否设置为 Azure 中 托管
Get-MsolDomain
<!--NeedCopy-->

域名联盟 01

  • 在 PowerShell 脚本中使用以下代码,通过更改变量以与您的环境保持一致,使此域 联合
 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $IssuerUri = "https://citrix.com/fdafdjk4" # The entityID taken from the Citrix Worksapce SAML Metadata file
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $uri = "https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be" # The Login URL from the Citrix Workspace Microsoft 365 app configuration
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt") # Path to the downloaded certificate file from Citrix Workspace
 $certData = [system.convert]::tobase64string($cert.rawdata)

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP
<!--NeedCopy-->
  • 运行以下 PowerShell 命令,验证域当前是否在 Azure 中设置为
Get-MsolDomain
<!--NeedCopy-->

域名联合 02

  • 通过运行以下 PowerShell 命令验证 Azure 中的联合身份验证设置
Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

域名联合 03

*** 注意:如果需要删除联合身份验证设置,请运行以下 PowerShell 命令 *

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed
<!--NeedCopy-->

验证

IDP 发起的验证

  • 以用户身份登录 Citrix Workspace
  • 选择 Microsoft 365 应用程序
  • 观察 URL 以通过 Azure 进行简短的重定向
  • Microsoft 365 门户成功启动

SP 发起的验证

  • 启动浏览器
  • 转到公司定义的 SaaS 应用程序的 URL
  • 浏览器将重定向到 Azure Active Directory,然后再到 Citrix Workspace 进行身份验证
  • 用户通过主用户目录进行身份验证后,SaaS 应用程序将启动,Citrix 提供单点登录

定义网站过滤策略

Citrix Secure Private Access 服务在 SaaS 和 Web 应用程序中提供网站筛选,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。

  • 在 Citrix Cloud 中,在 Secure Private Access 磁贴中进行管理

Citrix Secure Private Access 1

  • 如果遵循本指南,则完成 设置最终用户身份验证 步骤和 配置最终用户对 SaaS、Web 和虚拟应用的访问权限 步骤。选择配置内容访问
  • 选择编辑
  • 启用筛选网站类别 选项
  • 在 “ 阻止的类别 ” 框中,选择 添加
  • 选择要阻止用户访问的类别

Citrix Secure Private Access 2

  • 选择所有适用的类别后,选择 添加

Citrix Secure Private Access 3

  • 对允许的类别执行同样操作
  • 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
  • 如果需要,管理员可以按照用于定义类别的过程过滤特定 URL 的拒绝、允许和重定向的操作。网站 URL 优先于类别。

验证配置

IDP 发起的验证

  • 以用户身份登录 Citrix Workspace
  • 选择Microsoft 365。如果禁用增强的安全性,应用程序将在本地浏览器中启动,否则将使用嵌入式浏览器
  • 用户自动登录应用
  • 应用适当的增强安全策略
  • 如果已配置,请在 SaaS 应用程序中选择被阻止、允许和重定向类别中的 URL
  • 如果已配置,请在 SaaS 应用程序中选择阻止、允许和重定向的 URL 中的 URL
  • SaaS 应用程序成功启动

SP 发起的验证

  • 启动浏览器
  • 转到 Office 365 网站并选择 登录
  • 输入用户名。
  • 浏览器将浏览器重定向到 Citrix Workspace 进行身份验证
  • 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,Microsoft 365 将在本地浏览器中启动。如果启用了增强的安全性,则安全浏览器实例将启动 Microsoft 365

Microsoft 365 相关域

在 Citrix Workspace 中创建新应用程序时,相关域字段可用。增强的安全策略利用这些相关域来确定何时强制执行策略。

以下列表是与 Microsoft 365 关联的当前域。

注意: 这些域名可以随时更改

  • *.office.com
  • *.office365.com
  • *.sharepoint.com
  • *.live.com
  • *.onenote.com
  • *.microsoft.com
  • *.powerbi.com
  • *.dynamics.com
  • *.microsoftstream.com
  • *.powerapps.com
  • *.yammer.com
  • *.windowsazure.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msocdn.com
  • *.microsoftonline.com
  • *.windows.net
  • *.microsoftonline-p.com
  • *.akamaihd.net
  • *.sharepointonline.com
  • *.辦criptsservice.com
  • *.live.net
  • *.办公e.net
  • *.msftauth.net

Microsoft 365 应用程序

如果最好启动特定的 Microsoft 365 应用程序(Word、PowerPoint 或 Excel)而不是 Microsoft 365 门户,则管理员需要在 Citrix Cloud 中为每个应用程序创建单独的应用程序实例。每个应用程序都有一个唯一的 URL,其中必须包含本指南中配置的联合域的正确值。联合域条目通知 Azure 重定向到正确的联合域配置。

  • 词: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=联邦域
  • PowerPoint: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=联合域
  • Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=联合域
  • CRM/Dynamics Online: https://<tenant>.crm.dynamics.com/?whr=联合域
  • OneDrive for Business:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=联合域
  • Outlook 日历: https://outlook.office.com/owa/?realm=联合域&path=/calendar/view/Month
  • Outlook Web Access 到 Exchange Online: https://outlook.com/owa/联合域
  • SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=联合域

  • 在 Citrix Cloud 中,从网关磁贴中选择 管理

设置 SaaS 应用程序 01

  • 选择 添加 Web/SaaS 应用
  • 在 “选择模板” 向导中,选择 Office 365

设置 SaaS 应用程序 02

  • 选择 下一步
  • 在应用 程序详细信息 屏幕中,使用上面的特定于应用程序的 URL 并将其放在 URL 字段中。
  • 根据需要更改 名称图标描述 ,同时保持所有剩余条目不变。

设置 SaaS 应用程序 02

  • 选择 下一步
  • 增强的安全策略使用 “相关域” 字段来确定要保护哪些 URL。将根据默认 URL 自动添加一个相关域。增强的安全策略需要与应用程序关联的任何 URL 相关的域。Microsoft 365 包含许多 URL,这些网址可以在 Microsoft 365 相关域名部分找到。

  • 增强安全性窗口中,为环境选择适当的安全策略

设置 SaaS 应用程序 04

  • 单点登录 窗口中,验证中 继状态 URL 是否与上述应用程序特定的 URL 对齐
  • 验证名 称 ID 格式 = 持久名称 ID=Active Directory GUID
  • 启用设置使用 指定的 URL 启动应用程序。当用户从 Workspace 启动应用程序(IDP 启动的流程)时,用户将始终在 Azure 门户页面上结束。此设置包括 SAML 断言中的中继状态 URL,指示 Azure 显示 URL 而不是 Azure 门户页面。
  • 在高级属性下,验证 属性名称 =IDpeMail属性格式 = 未指定属性值 = 电子邮

设置 SaaS 应用程序 05

  • 选择 保存
  • 选择 完成 以完成 Microsoft 365 SaaS 应用程序的配置。

保持登录

在默认配置中,Azure Active Directory 会在登录过程中显示一个对话框,允许用户保持登录状态。

持续登录 01

这是 Azure 设置,可以通过执行以下操作轻松更改:

  • 在 Azure 中,选择 Azure Active Directory
  • 选择 公司品牌
  • 选择已启用的语言环境
  • 在“编辑公司品牌”窗格中,在显示选项中选择以保持登录状态

持续登录 01

  • 选择 保存

故障排除

目录中不存在用户帐户

尝试启动 Microsoft 365 时,用户可能会收到以下错误:“GUID” 目录中不存在用户帐户 “帐户名称”。

用户帐户故障排除 01

以下是关于如何解决此问题的建议:

  • 验证用户是否有权在 Microsoft 365 管理员控制台中使用 Microsoft 365
  • 验证主用户目录 Azure Active Directory 和 Microsoft 365 之间错误中标识的电子邮件地址是否匹配。

联邦领域对象

在验证期间,用户可能会收到以下错误:

联邦领域故障排除 01

这通常是由于域未经验证或正确联合而导致的。查看 PoC 指南的以下部分:

增强的安全策略失败

用户可能会遇到增强的安全策略(水印、打印或剪贴板访问)失败。通常,发生这种情况是因为 SaaS 应用程序使用多个域名。在 SaaS 应用程序的应用程序配置设置中,有一个 相关域的条目。

设置 SaaS 应用程序 02

增强的安全策略将应用于这些相关域。本 PoC 指南的 Microsoft 365 相关域 部分包含初始的相关域集,Microsoft 可以随时更改这些域。

如果增强的安全策略在应用程序的某些部分中无法正常运行,则相关域仍然缺失。要识别缺少的域名,管理员可以使用本地浏览器访问 SaaS 应用程序,然后执行以下操作:

  • 导航到策略失败的应用程序部分
  • 在谷歌 Chrome 和 Microsoft Edge(Chromium 版)中,选择浏览器右上角的三个点以显示菜单屏幕。
  • 选择 “ 更多工具”。
  • 选择 开发者工具
  • 在开发人员工具中,选择 “ 来源”。这为应用程序的该部分提供了访问域名列表。要为应用程序的这一部分启用增强安全策略,必须将这些域名输入到应用程序配置的 相关域 字段中。添加相关域名,例如下面的 *.domain.com

增强安全故障排除 01

PoC 指南:使用 Citrix Secure Private Access 权限安全访问 Office 365