PoC 指南:使用 Okta 和 Citrix Secure Private Access 安全访问 SaaS 应用程序

概述

随着用户使用越来越多的基于 SaaS 的应用程序,组织必须能够统一所有批准的应用程序,简化用户登录操作,同时仍然强制执行身份验证标准。组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix Workspace 为组织提供了对 SaaS 应用的安全访问。

在这种情况下,用户使用 Active Directory 或 Okta 作为主用户目录向 Citrix Workspace 进行身份验证。Okta 还为一组定义的 SaaS 应用程序提供单点登录服务。

Active Directory 和 Okta SSO

Active Directory 和 Okta SSO

如果将 Citrix Secure Private Access 服务分配给 Citrix 订阅,则将应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘模糊处理以及保护用户免受不可信链接的侵害基于 Okta 的 SaaS 应用程序的顶部。

以下动画显示了用户在使用 Okta 提供 SSO 并使用 Citrix Secure Private Access 保护的情况下访问 SaaS 应用程序。

Okta SSO 演示

此演示显示了一个 IdP 启动的 SSO 流程,用户可在其中从 Citrix Workspace 中启动应用程序。本 PoC 指南还支持 SP 启动的 SSO 流程,用户尝试直接从首选浏览器访问 SaaS 应用程序。

假设:

  • Okta 已配置为向 Office 365 和其他 SaaS 应用程序提供 SSO
  • 用户可以成功登录 Okta 门户并启动 Office 365 和其他 SaaS 应用
  • Citrix Workspace 已将 Active Directory 或 Okta 配置为用户的主身份目录。

本概念验证指南演示了如何:

  1. 设置 Citrix Workspace
  2. 集成主用户目录
  3. 为 SaaS 应用程序合并单点登录
  4. 定义网站过滤策略
  5. 验证配置

设置 Citrix Workspace

设置环境的初始步骤是让 Citrix Workspace 为组织做好准备,其中包括

  1. 设置 Workspace URL
  2. 启用适当的服务

设置 Workspace URL

  1. 连接到 Citrix Cloud 并以管理员帐户登录
  2. 在 Citrix Workspace 中,从左上角菜单访问 Workspace 配置
  3. 访问选项卡中,输入组织的唯一 URL,然后选择“已启用”

Workspace URL

启用服务

在“服务集成”选项卡中,启用以下服务以支持安全访问 SaaS 应用程序用例

  1. Secure Private Access
  2. Remote Browser Isolation

Workspace Service

验证

Citrix Workspace 需要花费一些时间来更新服务和 URL 设置。在浏览器中,验证自定义 Workspace URL 是否处于活动状态。但是,在定义和配置主用户目录之前,登录不可用。

集成主用户目录

用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为 Workspace 中的所有应用程序请求都使用单点登录到辅助身份。

组织可以使用以下任何一个主用户目录

  • Active Directory (AD):要启用 Active Directory 身份验证,必须按照 Cloud Connector 安装指南将 Cloud Connector与 Active Directory 域控制器部署在同一个数据中心内。
  • 带有基于时间的一次性密码的 Active Directory (AD):基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
  • Azure Active Directory (AAD):用户可以使用 Azure Active Directory 身份对 Citrix Workspace 进行身份验证。本 指南 提供了有关配置此选项的详细信息。
  • Citrix Gateway:组织可以使用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供商。本 指南 提供了有关集成的详细信息。
  • Google:组织可以使用 Google 作为 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。
  • Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。

添加 Okta 作为单点登录提供商

要成功将 Okta 应用程序与 Citrix Workspace 集成,管理员需要执行以下操作

  • 识别 SAML 登录 URL
  • 识别 IdP 发行者 URI
  • 设置 SAML 身份提供商
  • 配置 SaaS 应用程序
  • 授权 SaaS 应用
  • 设置 IdP 路由

识别 SAML 登录 URL

  • 以管理员身份登录 Okta
  • 选择 应用
  • 选择要添加到 Citrix Workspace 的应用程序。在此示例中,使用了Microsoft Office 365。
  • 规下,向下滚动直到找到正确的 应用程序嵌入链接 。这将用作 Citrix Workspace 的 SAML 登录 URL。

SAML 登录 URL

识别 IdP 发行者 URI

  • 以管理员身份登录 Citrix Cloud
  • 身份和访问管理 部分下,选择 API 访问
  • 捕获 客户 ID 参数。这用于以下格式创建 IdP 发行者 URI: https://citrix.com/<customerID>

IdP 发行者 URI

设置 SAML 身份提供商

Okta 需要使用 Citrix Workspace 作为 SAML 身份提供商,从而使 Okta 成为 SAML 配置中的服务提供商。

  • 以管理员身份登录 Okta
  • 选择 安全 -> 身份提供商
  • 选择 添加身份提供商 -> 添加 SAML 2.0 IdP

设置 SAML IdP 01

  • 提供一个 名字
  • 对于 IdP 用户名,使用以下表达式: idpUser.username (区分大小写)
  • 匹配应该是 Okta 用户名或电子邮件
  • 如果未找到匹配项,请选择“重定向到 Okta 登录页面
  • 对于 IdP 发行者 URI,请使用 URL https://citrix.com/<customerID>。CustomerID 来自 IdP 发行者 URI 部分

设置 SAML IdP 02

  • 将流程的这部分保持打开状态,直到我们能够从 Citrix Cloud 获取单点登录 URL 和 SSL 证书。

配置 SaaS 应用程序

  • 在 Citrix Cloud 中,从“Secure Private Access”磁贴中选择“管理”。

设置 SaaS 应用程序 SPA 磁贴

  • 在“Secure Private Access”菜单中,选择“应用程序
  • 在应用程序部分中,选择 添加应用程序
  • 在“选择模板”向导中,选择“跳过
  • 因为这是 SaaS 应用程序,请选择 我的公司网络之外
  • 在应用程序详细信息窗口中,提供 应用程序名称
  • 对于 URL,请使用身份 SAML 登录 URL 部分中的应用 程序嵌入链接
  • 增强的安全策略使用相关域字段来确定要保护的 URL。将根据在上一步中添加的输入 URL 自动添加一个相关域。该特定的相关域名与 Okta 应用程序链接相关联。增强的安全策略要求实际应用程序使用相关域,这通常是 *.<companyID>.SaaSApp.com (例如 *.citrix.slack.com)

设置 SaaS 应用程序 02

  • 选择 下一步
  • 在“单点登录”窗口中,选择“下载”以获取基于 PEM 的证书。
  • 选择 复制 按钮以捕获登录 URL

设置 SaaS 应用程序 03

  • 切换回 Okta 配置。添加身份提供程序 对话框应该仍然可见
  • 对于 IdP 单点登录 URL,请使用从上一步复制的 Citrix 登录 URL。它应该类似 https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=<appid>
  • IdP 签名证书中,浏览下载的 PEM 证书

设置 SaaS 应用程序 04

  • 向导完成后,复制 断言使用者服务 URL 和受 众 URI

设置 SaaS 应用程序 05

  • 切换回 Citrix 配置。
  • 在“单点登录”窗口中,对于 断言 URL,使用从 SAML 身份提供者部分获得的断言消费者服务 URL 项目
  • 对于 受众,请使用从 SAML 身份提供程序部分获得的 受众 URI 项目。
  • 姓名 ID 格式和姓名 ID 可以保留为电子邮件。Okta 使用电子邮件地址与 Okta 用户关联。

设置 SaaS 应用程序 06

  • 选择 下一步
  • 在“应用程序连接”窗口中,选择 下一步
  • 选择 完成

授权 SaaS 应用

  • 在“Secure Private Access”菜单中,选择“访问策略
  • 在“访问策略”部分中,选择 创建策略

授权 SaaS 应用程序 01

  • 输入 策略名称 和简短的 策略描述
  • 在“应用程序”下拉字段中,找到并选择 SaaS 应用程序

注意

您可以创建多个访问规则,并在单个策略中为不同的用户或用户组配置不同的访问条件。这些规则可以分别应用于 HTTP/HTTPS 和 TCP/UDP 应用程序,全部应用于单个策略。有关多重访问规则的更多信息,请参阅 使用多条规则配置访问策略

  • 单击“创建规则”为策略创建规则。

授权 SaaS 应用程序 02

  • 输入规则名称和规则的简要描述,然后单击“下一步”。

授权 SaaS 应用程序 03

  • 添加有权启动应用程序的相应用户/组,然后单击“下一步”。

注意

单击 + 可根据上下文添加多个条件。

授权 SaaS 应用程序 04

  • 指定是否可以不受限制地访问 HTTP/HTTPS 应用程序。
    之前的屏幕截图没有配置任何限制。 如果需要增强安全性,请将“允许访问”更改为“允许有限制访问”。
  • 指定 TCP/UDP 应用程序操作。
    上面的屏幕截图拒绝访问 TCP/UDP 应用程序。
  • 单击下一步

授权 SaaS 应用程序 05

  • 摘要页面显示策略规则的详细信息。
    验证详细信息,然后单击“完成”。

授权 SaaS 应用程序 06

  • 在“创建策略”对话框中,确认已选中“保存时启用策略”,然后单击“保存”。

设置 IdP 路由

到目前为止,该配置支持 IDP 启动的启动过程,用户可以在 Citrix Workspace 内启动应用程序。为了启用 SP 启动的进程,即用户使用直接 URL 启动应用程序,Okta 需要定义 IdP 路由规则。

  • 在 Okta 管理员控制台中,选择安全性 - 身份提供商
  • 选择 路由规则
  • 选择 添加路由规则
  • 提供 规则名称
  • 对于使用此 身份提供程序选项,请选择之前创建的 Citrix 身份提供商

Okta 身份提供者路由规则

  • 选择 激活

注意:在配置过程中,Okta 管理员可能无法登录 Okta 管理员控制台,因为入站 SAML 配置不完整。如果发生这种情况,管理员可以使用以下地址访问 Okta 环境来绕过 IdP 路由规则: https://companyname.okta.com/login/default

验证

IdP 发起的验证

  • 以用户身份登录 Citrix Workspace
  • 选择配置的 SaaS 应用程序
  • 观察 Okta 登录过程短暂出现
  • SaaS 应用程序成功启动

SP 发起的验证

  • 启动浏览器
  • 转到公司定义的 SaaS 应用程序的 URL
  • 浏览器重定向到 Okta,然后重定向到 Citrix Workspace 进行身份验证
  • 用户通过主用户目录进行身份验证后,SaaS 应用程序将启动,Okta 提供单点登录

定义未经批准的 Web 站点

未经批准的 Web 站点是指未在 Secure Private Access 配置中配置但可以从 Citrix Enterprise Browser 访问的应用程序。您可以为这些未经批准的 Web 站点配置规则。例如,SaaS 应用程序中的链接可能指向恶意网站。通过这些规则,管理员可以获取特定的 Web 站点 URL 或 Web 站点类别并允许访问、阻止访问或将请求重定向到托管的安全浏览器实例,从而帮助防止基于浏览器的攻击。

  • 在 Citrix Cloud 中,在 Secure Private Access 磁贴中进行管理

Citrix Secure Private Access 1

  • 如果遵循本指南,则完成了“设置最终用户身份验证”步骤和“配置最终用户对 SaaS、Web 和虚拟应用程序的访问权限”步骤。
  • 在“Secure Private Access”菜单中,选择“设置
  • 在“设置”部分中,选择“未经批准的网站
  • 选择编辑
  • 启用筛选网站列表”选项

Citrix Secure Private Access 2

  • 单击相应部分中的“添加”以屏蔽网站、允许网站或将用户重定向到安全浏览器(远程浏览器隔离)
  • 例如,要在“屏蔽类别”部分中屏蔽网站,请单击“添加
  • 输入用户无法访问的网站,然后单击“添加
  • 单击“保存”使更改生效

验证配置

IdP 发起的验证

  • 以用户身份登录 Citrix Workspace
  • 选择已配置的 SaaS 应用程序。如果禁用增强安全性,则应用程序将在本地浏览器中启动。否则,将使用企业浏览器
  • 用户自动登录应用
  • 应用适当的增强安全策略
  • 如果已配置,请在 SaaS 应用程序中选择被阻止、允许和重定向类别中的 URL
  • 如果已配置,请在 SaaS 应用程序中选择阻止、允许和重定向的 URL 中的 URL
  • SaaS 应用程序成功启动

SP 发起的验证

  • 启动浏览器
  • 转到公司定义的 SaaS 应用程序的 URL
  • 浏览器将浏览器定向到 Citrix Workspace 进行身份验证
  • 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,SaaS 应用程序将在本地浏览器中启动。如果启用了增强的安全性,Secure Browser 实例将启动 SaaS 应用程序

故障排除

增强的安全策略失败

用户可能会因增强的安全策略(水印、打印或剪贴板访问)而遇到故障。通常,发生这种情况是因为 SaaS 应用程序使用多个域名。在 SaaS 应用程序的应用程序配置设置中,有一个 相关域的条目。

设置 SaaS 应用程序 02

增强的安全策略应用于那些相关的域。要识别缺少的域名,管理员可以使用本地浏览器访问 SaaS 应用程序,然后执行以下操作:

  • 导航到策略失败的应用程序部分
  • 在 Google Chrome 和 Microsoft Edge(Chromium 版)中,选择浏览器右上角的三个点以显示菜单屏幕。
  • 选择“更多工具”。
  • 选择 开发者工具
  • 在开发人员工具中,选择“来源”。这为应用程序的该部分提供了访问域名列表。要为应用程序的这一部分启用增强安全策略,必须将这些域名输入到应用程序配置的 相关域 字段中。应按下面的 *.domain.com 所示添加相关域名

增强安全故障排除 01

PoC 指南:使用 Okta 和 Citrix Secure Private Access 安全访问 SaaS 应用程序