PoC 指南-ZTNA 到客户端-服务器应用程序(基于代理)
概述
使用远程工作时,用户需要访问内部应用程序。提供更好的体验意味着避免 VPN 部署模式,这通常会导致以下挑战:
- VPN 风险 1:难以安装和配置
- VPN 风险 2:要求用户在可能使用不受支持的操作系统的端点设备上安装 VPN 软件
- VPN 风险 3:需要配置复杂的策略,以防止不受信任的端点设备不受限制地访问公司网络、资源和数据
- VPN 风险 4:难以在 VPN 基础架构和本地基础架构之间保持安全策略同步
为了改善整体用户体验,组织必须能够统一所有已批准的应用程序并简化用户登录操作,同时仍然强制执行身份验证标准。
组织必须交付和保护 SaaS、Web、Windows、Linux 应用程序、桌面和本机 TCP 应用程序,即使其中一些资源存在于数据中心范围之外,并且可以访问数据中心以外的资源。Citrix Secure Private Access 服务为组织提供了对用户授权资源的安全、无 VPN 的访问权限。
在此概念验证场景中,用户使用 Active Directory、Azure Active Directory、Okta、谷歌、Citrix Gateway 或他们选择的 SAML 2.0 提供商作为主用户目录向 Citrix Cloud 进行身份验证。Citrix Secure Private Access 提供与客户端-服务器应用程序的连接。
下面的动画显示了一个用户从其远程终端节点访问内部托管的 Microsoft SQL (MSSQL) 数据库。
此演示显示了用户启动 Citrix 安全访问代理的流程。系统将提示用户输入自适应身份验证凭据。已建立与 Citrix Cloud 的安全连接。然后,用户可以使用 Microsoft SQL Server Management Studio 客户端,通过托管数据库的资源位置中的连接器设备访问 MSSQL 数据库。
本概念验证指南演示了如何:
- 设置 Citrix Workspace
- 集成主用户目录
- 设置对 MSSQL 数据库的 TCP 访问权限
- 配置终端节点
- 验证配置
设置 Citrix Workspace
向 Citrix 客户团队建立 Citrix Secure Private Access 服务授权后,登录到 Citrix Cloud 后,您将在我的服务下方找到 Citrix Secure Private Access 图标。有关更多信息,请参阅 Citrix Secure Private Access 入门。登录后,您可以设置您的工作区 URL。
设置 Workspace URL
- 连接到 Citrix Cloud 并以管理员帐户登录
- 在 Citrix Workspace 中,从左上角菜单访问 Workspace 配置
- 在访问选项卡中,输入组织的唯一 URL,然后选择“已启用”
集成主用户目录
用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为在 Workspace 中对应用程序的所有请求都使用单点登录到次要身份。
组织可以使用以下任何一个主用户目录
- Active Directory:要启用 Active Directory 身份验证,必须按照Cloud Connector 器 安装指南将云连接 器部署在与 Active Directory 域控制器相同的数据中心内。
- 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
- Azure Active Directory:用户可以使用 Azure Active Directory 身份对 Citrix Workspace 进行身份验证。本 指南 提供了有关配置此选项的详细信息。
- Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供者。本 指南 提供了有关集成的详细信息。
- Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。
- SAML 2.0:组织可以将所选的 SAML 2.0 提供程序与其本地Active Directory (AD) 配合使用。本 指南 提供了配置此选项的说明。
在此场景中,我们选择了 Citrix Gateway。有关其实施的更多信息,请参阅 技术洞察:身份验证-Citrix Gateway
设置对 MSSQL 数据库的 TCP 访问权限
要成功设置对 MSSQL 数据库的 TCP 访问权限,管理员需要执行以下操作
- 部署连接器设备
- 配置客户端-服务器应用程序
部署连接器设备
- 在 Citrix Cloud 中,从菜单栏中选择资源位置
- 在与包含 Web 应用程序的站点关联的资源位置中,选择 Connect or 设备
- 选择“添加 Connector Appliance”
- 下载与相应的虚拟机管理程序关联的映像,并保持此浏览器窗口处于打开状态
- 下载后,将映像导入虚拟机管理程序
- 映像启动时,它将提供用于访问控制台的 URL
- 登录 Connector 并更改管理员密码,然后设置网络 IP 地址
- 为设备命名并登录到该资源位置的域
- 选择“注册”并复制注册码
- 返回 Citrix Cloud 页面并提交注册码以完成连接器设备设置
- (最佳做法是重复该过程,为生产环境安装第二个 Connector 设备)
配置客户端-服务器应用程序
- 在 Citrix Cloud 中,从“Secure Private Access”磁贴中选择管理
- 选择 “ 应用程序 ”,然后选择 “ 添加应用程序”
- 在“选择模板”向导中,选择“跳过”
- 在应用详细信息窗口中,选择 在我的公司网络中
- 将 TCP/UDP 指定为 应用程序类型
- 提供 应用程序的名称 和描述
- 其次是 目标、 端口和 协议。在我们的示例中,我们使用了 MSSQL 数据库 ws-sql02.workspaces.wwco.net、端口 1433 和 TCP 的内部 FQDN
- 选择 下一步
- 在“应用程序连接”窗口中,确认“类型”设置为“内部”,“资源位置”是否设置为之前安装 Connector Appliance 的位置
- 选择 下一步
- 在“应用程序订阅者”窗口中,在下拉列表中选择一个域,然后选择要向其分配应用程序的 组或用户
- 选择 完成
配置终端节点
要成功配置端点,管理员需要执行以下操作:
- 安装 Citrix 安全访问代理
- 配置注册表项
- 安装Microsoft Edge 运行时
- 配置工作区 URL 连接
安装 Citrix 安全访问代理
- 登录 Citrix.com/下载
- 选择 Citrix Gateway > 插件/客户端
- 滚动到适用于 Windows-64 位的 Citrix Gateway 插件 ,选择 下载文件,然后按照协议步骤完成下载
- 双击 .msi 安装程序并按照提示完成安装
配置注册表项
- 在您的 Windows 端点上,以管理员身份打开 注册表编辑器
- 导航到 HKEY_LOCAL_MACHINE\ 软件\ Citrix\ Secure Access Client 名称
- 创建密钥 cloudAuthAllowed;类型:REG_DWORD;值数据:1
- 关闭注册表编辑器
安装Microsoft Edge 运行时
- 导航到 Microsoft Edge 运行时
- 按照提示完成安装
配置工作区 URL 连接
- 打开 Citrix 安全访问代理
- 输入您之前创建的 Citrix Cloud 环境的 URL
- 选择 “连接”
验证
- 输入登录凭据(或先打开 Citrix Secure Access 代理,然后选择 “连接”(如果未在上一步中完成)
- 选择 登录
- 连接设置完成后,打开 Microsoft SQL Server 管理Studio 并输入管理凭据以访问数据库