PoC 指南-自适应访问 SaaS 和私有 Web 应用程序

概述

随着用户使用更多基于 SaaS 的应用程序,组织必须统一所有受批准的应用程序,简化用户登录操作,同时强制执行身份验证标准。组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix Workspace 为组织提供了对 SaaS 应用的安全访问。

在这种情况下,用户使用 Active Directory、Azure Active Directory、Okta、Google 或 Citrix Gateway 作为主用户目录向 Citrix Workspace 进行身份验证。Citrix Workspace 为一组定义的 SaaS 应用程序提供单点登录服务。

单点登录概述

如果将 Citrix Secure Private Access 服务分配给 Citrix 订阅,则会应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆以及保护用户免受不可信链接的侵害在 SaaS 应用程序中名列前茅。

以下动画显示了一个用户在访问 SaaS 应用程序时使用 Citrix 提供 SSO 并使用 Citrix Secure Private Access 进行保护。

Citrix SSO 演示

本演示展示了 IDP 启动的 SSO 流程,用户在该流程中在 Citrix Workspace 中启动应用程序。本 PoC 指南还支持 SP 启动的 SSO 流程,用户尝试直接从首选浏览器访问 SaaS 应用程序。此外,本指南还演示如何使用自适应访问策略根据用户角色、网络位置或设备状态等条件提供条件访问。

本概念验证指南演示了如何:

  1. 设置 Citrix Workspace
  2. 集成主用户目录
  3. 为 SaaS 应用程序合并单点登录
  4. 验证配置
  5. 配置和验证自适应访问

设置 Citrix Workspace

设置环境的初始步骤是让 Citrix Workspace 为组织做好准备,其中包括

设置工作区 URL

  1. 连接到 Citrix Cloud 并以管理员帐户登录
  2. 在 Citrix Workspace 中,从左上角菜单访问 工作区配置
  3. 访问选项卡中,输入组织的唯一 URL,然后选择“已启用”

Workspace URL

验证

Citrix Workspace 需要花费一些时间来更新服务和 URL 设置。从浏览器中验证自定义 Workspace URL 是否处于活动状态。但是,在定义和配置主用户目录之前,登录才可用。

集成主用户目录

用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为在 Workspace 中对应用程序的所有请求都使用单点登录到次要身份。

组织可以使用以下任何一个主用户目录

  • Active Directory:要启用 Active Directory 身份验证,必须按照Cloud Connector 器 安装指南将云连接 器部署在与 Active Directory 域控制器相同的数据中心内。
  • 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
  • Azure Active Directory:用户可以使用 AAzure Active Directory 身份向 Citrix Workspace 进行身份验证。本 指南 提供了有关配置此选项的详细信息。
  • Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供者。本 指南 提供了有关集成的详细信息。
  • Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。
  • SAML 2.0:组织可以将所选的 SAML 2.0 提供程序与其本地Active Directory (AD) 配合使用。本 指南 提供了配置此选项的说明。

配置单点登录

要成功将 SaaS 应用程序与 Citrix Workspace 集成,管理员需要执行以下操作

  • 配置 SaaS 应用
  • 授权 SaaS 应用

配置 SaaS 应用程序

  • 在 Citrix Workspace 中,从 Secure Private Access 磁贴中选择管理
  • 选择 应用
  • 选择 添加应用程序
  • 在 “选择模板” 向导中,搜索并选择正确的模板(在本例中 为 **Zoho**),然后单击下一步设置 SaaS App 01
  • 在应用程序详细信息窗口中,为 SaaS 应用程序键入组织的唯一域名。URL 和相关域名将自动填充

注意:增强的安全策略使用 “相关域” 字段来确定要保护的 URL。将根据上一步中的 URL 自动添加一个相关域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名,则必须将其添加到相关域字段中,这通常是 *.<companyID>.SaaSApp.com (例如 *.citrix.slack.com

设置 SaaS 应用程序 02

  • 在 “ 增强安全性 ” 窗口中,选择 “ 启用增强安全性-显示水印 (和/或其他适用于环境的安全策略)”
  • 在 “ 单点登录 ” 窗口中,复制 登录 URL
  • 选择 下载以下 载 PEM 格式的 X.509 证书

设置 SaaS 应用程序 03

  • 在 Zoho 帐户应用程序中,选择组织 > SAML 身份验证以调出设置。(需要创建企业用户对象的永久或试用企业许可证)
  • 选择 “ 立即安装

设置 SaaS 应用程序 05

  • 对于登录 URL 和更改密码 URL,粘贴从 Citrix Secure Private Access 配置中获得的 登录 URL
  • 对于 X.509 证书,请上载从 Citrix Secure Private Access 配置中下载的 .PEM 文件
  • 对于 Zoho 服务,请输入 “人员”
  • 选择配置

设置 SaaS 应用程序 06

  • 在 Citrix Secure Private Access 配置中,选择 下一步
  • App Conn ectivity 窗口中,注意必需的域名会自动设置为外部路由,然后选择下一步
  • 在 “ 应用程序订阅者 ” 窗口中,添加有权启动应用程序的相应用户/组
  • 选择 “ 下一步”,然后选择 “ 完成

授权 SaaS 应用程序 02

验证配置

IDP 发起的验证

  • 以用户身份登录 Citrix Workspace
  • 选择已配置的 SaaS 应用程序。
  • SaaS 应用程序成功启动
  • 用户自动登录应用
  • 应用了增强的安全性

Citrix SSO 演示

SP 发起的验证

  • 启动浏览器
  • 转到公司定义的 SaaS 应用程序的 URL
  • 浏览器将浏览器定向到 Citrix Workspace 进行身份验证
  • 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,SaaS 应用程序将在本地浏览器中启动。如果启用了增强的安全性,安全浏览器实例将启动 SaaS 应用程序

配置和验证自适应访问

管理员

  • 在 Citrix Secure Private Access 磁贴中,选择 管理
  • 从左侧菜单中选择 访问策略
  • 选择 “ 创建策略
  • 在 “ 对于这些应用程序的用户 ” 下输入 Zoho People
  • “如果满足以下条件 ” 下,请注意几个 条件选项。选择 “ 网络位置”,然后选择 “ 匹配任意
  • 选择 创建网络位置,输入名称和标记,对于公用 IP 地址范围,查找 POC 端点的公有 IP 地址,然后输入 /32,表示它是主机 IP 地址 自适应访问
  • 在 “ 然后执行以下操作” 下,注意 允许使用访问限制的几个预设选项。在我们的例子中,我们选择 拒绝访问
  • 输入 策略名称
  • 启用策略并选择保存 自适应访问权限

用户

  • 以用户身份登录 Citrix Workspace
  • 从左侧菜单中选择 “应用程序”
  • 请注意,已应用自适应访问、网络位置策略,而 Zoho People 现在已从可用应用程序列表中丢失

自适应接入

故障排除

增强的安全策略失败

用户可能会遇到增强的安全策略(水印、打印或剪贴板访问)失败。通常,发生这种情况是因为 SaaS 应用程序使用多个域名。在 SaaS 应用程序的应用程序配置设置中,有一个 “ 相关域” 条目

设置 SaaS 应用程序 02

增强的安全策略将应用于这些相关域。要识别缺少的域名,管理员可以使用本地浏览器访问 SaaS 应用程序,然后执行以下操作:

  • 导航到策略失败的应用程序部分
  • 在谷歌浏览器和Microsoft Edge(Chromium版本)中,选择浏览器右上角的三个点以显示菜单屏幕
  • 选择 “ 更多工具
  • 选择 开发者工具
  • 在开发人员工具中,选择 “ 来源”。这提供了该应用程序部分的访问域名列表。要启用此应用程序的增强安全策略,必须在应用程序配置的 “ 相关域 ” 字段中输入这些域名。添加相关域名,例如下面的 *.domain.com

增强安全故障排除 01

PoC 指南-自适应访问 SaaS 和私有 Web 应用程序