概念验证:通过 Citrix Secure Workspace Access 安全访问 SaaS 应用程序
概述
随着用户使用越来越多的基于 SaaS 的应用程序,组织必须能够统一所有受制裁的应用程序,简化用户登录操作,同时仍然强制执行组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix Workspace 为组织提供了对 SaaS 应用的安全访问。
在这种情况下,用户使用 Active Directory、Azure Active Directory、Okta、谷歌或 Citrix Gateway 作为主用户目录向 Citrix Workspace 进行身份验证。Citrix Workspace 为一组定义的 SaaS 应用程序提供单点登录服务。
如果将 Citrix Secure Workspace Access 服务分配给 Citrix 订阅,将应用增强的安全策略,从应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘模糊处理和保护用户免受不可信链接的侵害在 SaaS 应用程序之上。
以下动画显示了使用 Citrix 提供 SSO 并使用 Citrix Secure Workspace Access 保护的 SaaS 应用程序访问的用户。
此演示显示了一个 IDP 启动的 SSO 流程,用户可在其中从 Citrix Workspace 中启动应用程序。本 PoC 指南还支持 SP 启动的 SSO 流程,用户尝试直接从首选浏览器访问 SaaS 应用程序。
本概念验证指南演示了如何:
- 设置 Citrix Workspace
- 集成主用户目录
- 为 SaaS 应用程序合并单点登录
- 定义网站过滤策略
- 验证配置
设置 Citrix Workspace
设置环境的初始步骤是让 Citrix Workspace 为组织做好准备,其中包括
- 设置工作区 URL
- 启用适当的服务
设置工作区 URL
- 以管理员帐户身份连接到 Citrix Cloud 并登录
- 在 Citrix Workspace 中,从左上角菜单访问 工作区配置
- 在访问选项卡中,输入组织的唯一 URL,然后选择“已启用”
启用服务
在服务集成选项卡中,启用以下服务以支持对 SaaS 应用程序的安全访问使用案例
- 网关
- Secure Browser
验证
Citrix Workspace 需要花费一些时间来更新服务和 URL 设置。从浏览器中验证自定义 Workspace URL 是否处于活动状态。但是,在定义和配置主用户目录之前,登录才可用。
集成主用户目录
在用户向 Workspace 进行身份验证之前,必须先配置 主用户目录。主用户目录是用户需要的唯一身份,因为 Workspace 中的所有应用程序请求都使用单点登录到辅助身份。
组织可以使用以下任何一个主用户目录
- Active Directory:要启用 Active Directory 身份验证,必须按照 Cloud Connector 安装 指南将 Cloud Connector 部署在与 Active Directory 域控制器相同的数据中心内。
- 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。此 指南 详细说明了启用此身份验证选项所需的步骤。
- Azure Active Directory:用户可以使用 Azure Active Directory 身份向 Citrix Workspace 进行身份验证。此 指南 提供了配置此选项的详细信息。
- Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供商。此 指南 提供了有关集成的详细信息。
- Okta:组织可以使用 Okta 作为 Citrix Workspace 的主要用户目录。此 指南 提供了配置此选项的说明。
配置单点登录
要成功将 SaaS 应用程序与 Citrix Workspace 集成,管理员需要执行以下操作
- 配置 SaaS 应用
- 授权 SaaS 应用
配置 SaaS 应用程序
- 在 Citrix Cloud 中,从网关磁贴中选择 管理 。
- 选择 添加 Web/SaaS 应用
- 在 “选择模板” 向导中,搜索并更正模板,在本例中为 “ 人类”
- 在应用程序详细信息窗口中,为 SaaS 应用程序键入组织的唯一域名。URL 和相关域将自动填充。
注意:增强的安全策略使用 “相关域” 字段来确定要保护的 URL。将根据上一步中的 URL 自动添加一个相关域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名,则必须将其添加到相关域字段中,这通常是 *.<companyID>.SaaSApp.com (例如 *.citrix.slack.com)
- 在增强安全性窗口中,为环境选择适当的安全策略
- 在 单点登 录窗口中,复制 登录 URL。
- 选择 SAML 元数据 的链接以确定 SaaS 应用程序所需的 SAML 设置。
- 在 SAML 元数据文件中,复制 X509 证书,表示为字母数字字符串。
- 在人类 SaaS 应用程序中,使用右上角的齿轮图标来调出设置。选择 单点登录
- 对于 SAML 发布者 URL,请使用从 Citrix Workspace 配置获取的 登录 URL 。
- 将 Citrix 元数据文件中的 x.509 证书字符串进入人类 SaaS 应用程序。
- 将设置保存在人类中。
- 在 Citrix Workspace 中,选择 保存
- 选择 完成
授权 SaaS 应用
- 在 Citrix Cloud 中,从菜单中选择 资料库
- 找到 SaaS 应用程序并选择 管理订阅者
- 添加有权启动应用程序的适应用户/组
验证
IDP 发起的验证
- 以用户身份登录 Citrix Workspace
- 选择配置的 SaaS 应用程序
- SaaS 应用程序成功启动
SP 发起的验证
- 启动浏览器
- 转到公司定义的 SaaS 应用程序的 URL
- 浏览器将重定向到 Citrix Workspace 进行身份验证
- 用户通过主用户目录进行身份验证后,SaaS 应用程序将启动,Citrix 提供单点登录
定义网站过滤策略
Citrix Secure Workspace Access 服务在 SaaS 和 Web 应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。
- 在 Citrix Cloud 中,在 Secure Workspace Access 磁贴中进行 管理
- 如果遵循本指南,则完成 设置最终用户身份验证 步骤和 配置最终用户对 SaaS、Web 和虚拟应用的访问权限 步骤。选择配置内容访问
- 选择编辑
- 启用筛选网站类别 选项
- 在 “ 阻止的类别 ” 框中,选择 “ 添加”
- 选择要阻止用户访问的类别
- 选择所有适用的类别后,选择 添加
- 对允许的类别执行同样操作
- 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
- 如果需要,管理员可以按照用于定义类别的相同过程过滤特定 URL 的拒绝、允许和重定向的操作。网站 URL 优先于类别。
验证配置
IDP 发起的验证
- 以用户身份登录 Citrix Workspace
- 选择已配置的 SaaS 应用程序。如果禁用增强的安全性,应用程序将在本地浏览器中启动,否则将使用嵌入式浏览器
- 用户自动登录应用
- 应用适当的增强安全策略
- 如果已配置,请在 SaaS 应用程序中选择被阻止、允许和重定向类别中的 URL
- 如果已配置,请在 SaaS 应用程序中选择阻止、允许和重定向的 URL 中的 URL
- SaaS 应用程序成功启动
SP 发起的验证
- 启动浏览器
- 转到公司定义的 SaaS 应用程序的 URL
- 浏览器将浏览器定向到 Citrix Workspace 进行身份验证
- 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,SaaS 应用程序将在本地浏览器中启动。如果启用了增强的安全性,安全浏览器实例将启动 SaaS 应用程序
故障排除
增强的安全策略失败
用户可能会遇到增强安全策略(水印、打印或剪贴板访问)失败的情况。通常,发生这种情况是因为 SaaS 应用程序使用多个域名。在 SaaS 应用程序的应用程序配置设置中,有一个 相关域的条目。
增强的安全策略将应用于这些相关域。要识别缺少的域名,管理员可以使用本地浏览器访问 SaaS 应用程序,然后执行以下操作:
- 导航到策略失败的应用程序部分
- 在谷歌 Chrome 和 Microsoft Edge(Chromium 版)中,选择浏览器右上角的三个点以显示菜单屏幕。
- 选择 “ 更多工具”。
- 选择 开发者工具
- 在开发人员工具中,选择 “ 来源”。这为应用程序的该部分提供了访问域名列表。为了为应用的这一部分启用增强的安全策略,必须将这些域名输入到应用配置的 相关域 字段中。添加相关域名,例如下面的
*.domain.com
