PoC 指南-ZTNA 到客户端-服务器应用程序(基于代理)

概述

使用远程工作时,用户需要访问内部应用程序。提供更好的体验意味着避免 VPN 部署模式,这通常会导致以下挑战:

  • VPN 风险 1:难以安装和配置
  • VPN 风险 2:要求用户在可能使用不受支持的操作系统的端点设备上安装 VPN 软件
  • VPN 风险 3:需要配置复杂的策略,以防止不受信任的端点设备不受限制地访问公司网络、资源和数据
  • VPN 风险 4:难以在 VPN 基础架构和本地基础架构之间保持安全策略同步

为了改善整体用户体验,组织必须能够统一所有已批准的应用程序并简化用户登录操作,同时仍然强制执行身份验证标准。

Citrix Secure Private Access 概述

组织必须交付和保护 SaaS、Web、Windows、Linux 应用程序、桌面和本机 TCP 应用程序,即使其中一些资源存在于数据中心范围之外,并且可以访问数据中心以外的资源。Citrix Secure Private Access 服务为组织提供了对用户授权资源的安全、无 VPN 的访问权限。

在此概念验证场景中,用户使用 Active Directory、Azure Active Directory、Okta、谷歌、Citrix Gateway 或他们选择的 SAML 2.0 提供商作为主用户目录向 Citrix Cloud 进行身份验证。Citrix Secure Private Access 提供与客户端-服务器应用程序的连接。

身份验证概述

下面的动画显示了一个用户从其远程终端节点访问内部托管的 Microsoft SQL (MSSQL) 数据库。

Citrix 客户端服务器演示

此演示显示了用户启动 Citrix 安全访问代理的流程。系统将提示用户输入自适应身份验证凭据。已建立与 Citrix Cloud 的安全连接。然后,用户可以使用 Microsoft SQL Server Management Studio 客户端,通过托管数据库的资源位置中的连接器设备访问 MSSQL 数据库。

本概念验证指南演示了如何:

  1. 设置 Citrix Workspace
  2. 集成主用户目录
  3. 设置对 MSSQL 数据库的 TCP 访问权限
  4. 配置终端节点
  5. 验证配置

设置 Citrix Workspace

向 Citrix 客户团队建立 Citrix Secure Private Access 服务授权后,登录到 Citrix Cloud 后,您将在我的服务下方找到 Citrix Secure Private Access 图标。有关更多信息,请参阅 Citrix Secure Private Access 入门。登录后,您可以设置您的工作区 URL。

设置工作区 URL

  1. 连接到 Citrix Cloud 并以管理员帐户登录
  2. 在 Citrix Workspace 中,从左上角菜单访问 工作区配置
  3. 访问选项卡中,输入组织的唯一 URL,然后选择“已启用”

Workspace URL

集成主用户目录

用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为在 Workspace 中对应用程序的所有请求都使用单点登录到次要身份。

组织可以使用以下任何一个主用户目录

  • Active Directory:要启用 Active Directory 身份验证,必须按照Cloud Connector 器 安装指南将云连接 器部署在与 Active Directory 域控制器相同的数据中心内。
  • 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
  • Azure Active Directory:用户可以使用 AAzure Active Directory 身份向 Citrix Workspace 进行身份验证。本 指南 提供了有关配置此选项的详细信息。
  • Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供者。本 指南 提供了有关集成的详细信息。
  • Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。
  • SAML 2.0:组织可以将所选的 SAML 2.0 提供程序与其本地Active Directory (AD) 配合使用。本 指南 提供了配置此选项的说明。

在此场景中,我们选择了 Citrix Gateway。有关其实施的更多信息,请参阅 技术洞察:身份验证-Citrix Gateway

设置对 MSSQL 数据库的 TCP 访问权限

要成功设置对 MSSQL 数据库的 TCP 访问权限,管理员需要执行以下操作

  • 部署连接器设备
  • 配置客户端-服务器应用程序

部署连接器设备

  • 在 Citrix Cloud 中,从菜单栏中选择资源位置

连接器电器 01

  • 在与包含 Web 应用程序的站点关联的资源位置中,选择 Connect or 设备
  • 选择 添加连接器装置 连接器装置 01b
  • 下载与相应的虚拟机管理程序关联的映像,并保持此浏览器窗口处于打开状态
  • 下载后,将映像导入虚拟机管理程序
  • 映像启动时,它将提供用于访问控制台的 URL

连接器电器 02

  • 登录 Connector 并更改管理员密码,然后设置网络 IP 地址
  • 为设备命名并登录到该资源位置的域
  • 选择 注册 并复制注册码

连接器电器 03

  • 返回 Citrix Cloud 页面并提交注册码以完成连接器设备设置

连接器电器 04

  • (最佳做法是重复该过程,为生产环境安装第二个 Connector 设备)

配置客户端-服务器应用程序

  • 在 Citrix Cloud 中,从“Secure Private Access”磁贴中选择管理
  • 选择 “ 应用程序 ”,然后选择 “ 添加应用程序 SPA 设置” 1
  • 在 “选择模板” 向导中,选择 “ 跳过 SPA 设置 2
  • 在应用详细信息窗口中,选择 在我的公司网络
  • 将 TCP/UDP 指定为 应用程序类型
  • 提供 应用程序的名称 和描述
  • 其次是 目标端口协议。在我们的示例中,我们使用了 MSSQL 数据库 ws-sql02.workspaces.wwco.net、端口 1433 和 TCP 的内部 FQDN
  • 选择 下一个 SPA 设置 3
  • 在 “ 应用程序连接 ” 窗口中,验证 “ 类型 ” 设置为 “内部”,并将 资源位置 设置为早期 SPA Setup 4安装 Connector Appliance 的位置
  • 选择 下一步
  • 在 “ 应用程序订阅者 ” 窗口中, 从下拉列表中选择一个域 ,然后 选择要将应用程序分配给 SPA Setup 5 的 组或用户
  • 选择 完成

配置终端节点

要成功配置端点,管理员需要执行以下操作:

  • 安装 Citrix 安全访问代理
  • 配置注册表项
  • 安装Microsoft Edge 运行时
  • 配置工作区 URL 连接

安装 Citrix 安全访问代理

  • 登录 Citrix.com/下载
  • 选择 Citrix Gateway > 插件/客户端
  • 滚动到适用于 Windows-64 位的 Citrix Gateway 插件 ,选择 下载文件,然后按照协议步骤完成下载
  • 双击 .msi 安装程序并按照提示完成安装 Endpoint S etup 1

配置注册表项

  • 在您的 Windows 端点上,以管理员身份打开 注册表编辑器
  • 导航到 HKEY_LOCAL_MACHINE\ 软件\ Citrix\ Secure Access Client 名称
  • 创建密钥 cloudAuthAllowed;类型:REG_DWORD;值数据:1
  • 关闭 注册表编辑器 端点安装程序 2

安装Microsoft Edge 运行时

配置工作区 URL 连接

  • 打开 Citrix 安全访问代理
  • 输入您之前创建的 Citrix Cloud 环境的 URL 端点安装 3
  • 选择 “连接”

验证

  • 输入登录凭据(或先打开 Citrix Secure Access 代理,然后选择 “连接”(如果未在上一步中完成)
  • 选择 登录
  • 连接设置完成后,打开 Microsoft SQL Server 管理Studio 并输入管理凭据以访问数据库 Citrix 客户端服务器演示
PoC 指南-ZTNA 到客户端-服务器应用程序(基于代理)