PoC 指南:ZTNA 到私有 Web 应用程序(无代理)
概述
通过远程办公,用户需要访问基于 Web 的内部应用程序提供更好的体验意味着避免 VPN 部署模式,这通常会导致以下挑战:
- VPN 风险 1:难以安装和配置
- VPN 风险 2:要求用户在终端设备上安装 VPN 软件,这可能会使用不受支持的操作系统
- VPN 风险 3:需要配置复杂的策略,以防止不受信任的端点设备不受限制地访问公司网络、资源和数据
- VPN 风险 4:难以在 VPN 基础架构和本地基础架构之间保持安全策略同步
为了改善整体用户体验,组织必须能够统一所有已批准的应用程序并简化用户登录操作,同时仍然强制执行身份验证标准。
组织必须交付和保护 SaaS、Web、Windows、Linux 应用程序和桌面,即使其中一些资源存在于数据中心范围之外,并且可以访问数据中心以外的资源。Citrix Secure Private Access 服务使组织能够通过 Citrix Workspace 安全地访问用户授权的资源,无需使用 VPN。
在此概念验证场景中,用户使用 Active Directory、Azure Active Directory、Okta、Google、Citrix Gateway 或他们选择的 SAML 2.0 提供商作为主用户目录向 Citrix Workspace 进行身份验证。Citrix Workspace 为一组定义的企业 Web 应用程序提供单点登录服务。
如果将 Citrix Secure Private Access 服务分配给 Citrix 订阅,则会在 Web 应用程序之上应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制和键盘模糊处理。
动画显示用户使用 Citrix 提供的 SSO 访问内部 Sharepoint Web 应用程序,并使用 Citrix Secure Private Access 服务进行保护。
此演示演示了一个流程,在该流程中,用户从 Citrix Workspace 启动应用程序,该应用程序使用与数据中心的无 VPN 连接。由于用户从外部设备访问内部 Web 应用程序,因此访问请求必须来自 Citrix Workspace 内部。
本概念验证指南演示了如何:
- 设置 Citrix Workspace
- 集成主用户目录
- 为位于数据中心内的 Sharepoint Web 应用程序合并单点登录
- 验证配置
设置 Citrix Workspace
设置环境的初始步骤是让 Citrix Workspace 为组织做好准备,其中包括
- 向 Citrix 客户团队建立 Citrix Secure Private Access 服务授权后,您将在我的服务下找到 Citrix Secure Private Access 图标。有关更多信息, 请参阅。
- 设置工作区 URL
设置 Workspace URL
- 连接到 Citrix Cloud 并以管理员帐户登录
- 在 Citrix Workspace 中,从左上角菜单访问 Workspace 配置
- 在访问选项卡中,输入组织的唯一 URL,然后选择“已启用”
集成主用户目录
用户必须先配置 主用户目录 ,然后才能向 Workspace 进行身份验证。主用户目录是用户需要的唯一身份,因为在 Workspace 中对应用程序的所有请求都使用单点登录到次要身份。
组织可以使用以下任一主用户目录:
- Active Directory:要启用 Active Directory 身份验证,必须按照Cloud Connector 器 安装指南将云连接 器部署在与 Active Directory 域控制器相同的数据中心内。
- 使用基于时间的一次性密码的 Active Directory:基于 Active Directory 的身份验证还可以包括使用基于时间的一次性密码 (TOTP) 的多因素身份验证。本 指南 详细介绍了启用此身份验证选项所需的步骤。
- Azure Active Directory:用户可以使用 Azure Active Directory 身份对 Citrix Workspace 进行身份验证。本 指南 提供了有关配置此选项的详细信息。
- Citrix Gateway:组织可以利用本地 Citrix Gateway 充当 Citrix Workspace 的身份提供者。本 指南 提供了有关集成的详细信息。
- Okta:组织可以将 Okta 用作 Citrix Workspace 的主用户目录。本 指南 提供了配置此选项的说明。
- SAML 2.0:组织可以将所选的 SAML 2.0 提供程序与其本地Active Directory (AD) 配合使用。本 指南 提供了配置此选项的说明。
配置单点登录
要成功将 Web 应用程序与 Citrix Workspace 集成,管理员需要执行以下操作:
- 部署连接器设备
- 配置 Web 应用程序
- 授权 Web 应用程序并配置增强的安全性
部署连接器设备
- 在 Citrix Cloud 中,从菜单栏中选择资源位置
- 在与包含 Web 应用程序的站点关联的资源位置中,选择 Connect or 设备
- 在“添加 Connector Appliance”对话框中,下载与相应虚拟机管理程序关联的映像并保持此浏览器窗口处于打开状态
- 下载后,将映像导入虚拟机管理程序
- 映像启动时,它将提供用于访问控制台的 URL
- 登录 Connector 并更改管理员密码,然后设置网络 IP 地址
- 为设备命名并登录到该资源位置的域
- 选择“注册”并复制注册码
- 返回 Citrix Cloud 页面并提交注册码以完成连接器设备设置
配置 Web 应用程序
- 在 Citrix Cloud 中,从“Secure Private Access”磁贴中选择管理
- 选择“应用程序”,然后选择“添加应用程序”
- 在“选择模板”向导中,选择“跳过”
- 在 应用程序详细信息 窗口中,选择 进入我的公司网络
- 将 HTTP/HTTPS 指定为 应用程序类型
- 提供 应用程序的名称 和描述
- (可选)选择直接访问以启用通过可通过公共 Internet 解析的 FQDN 直接访问。如果选中,则需要以 .pfx 或 .pem 格式上载相关 SSL 证书。此外,您还需要将站点 FQDN 的别名记录映射到 Citrix Gateway 服务
- 输入 Web 应用程序的 URL
- 根据需要为 Web 应用程序添加其他 相关域
- 如果需要,添加自定义 App 图标
- 选择 下一步
- 在“单点登录”窗口中,为 Web 应用程序选择适当的 SSO 选项。
这通常需要 Web 应用程序所有者的帮助。
您将有 5 个 SSO 选项可供选择:
- 基本:如果您的后端服务器向您提出了 basic-401 挑战,请选择基本 SSO
- Kerberos:如果您的后端服务器向您提出 negotiate-401 挑战,请选择 Kerberos SSO
- 基于表单:如果您的后端服务器向您提供用于身份验证的 HTML 表单,请选择基于表单的 SSO
- SAML:选择 SAML 将基于 SAML 的 SSO 导入 Web 应用程序。输入 SAML SSO 类型的配置详细信息。
- 无 SSO:不需要在后端服务器上对用户进行身份验证时,请使用无 SSO 选项
- 选择 基本 SSO 和 用户主体名称 (UPN) 作为用户名格式
- 选择 下一步
- 在“应用程序连接”窗口中,为 URL 和“相关域”条目选择“资源位置”(您之前安装了 Connector 设备的位置)(并验证连接器是否已启动)
- 选择 保存
- 选择 完成
授权 Web 应用程序并配置增强的安全性
- 在“Secure Private Access”菜单中,选择“访问策略”
- 在“访问策略”部分中,选择“创建策略”
- 输入 策略名称 和简短的 策略描述
- 在 应用程序 下拉列表中,搜索“中心(内联网)”并将其选中
注意
您可以创建多个访问规则,并在单个策略中为不同的用户或用户组配置不同的访问条件。这些规则可以分别应用于 HTTP/HTTPS 和 TCP/UDP 应用程序,全部应用于单个策略。 有关多重访问规则的更多信息,请参阅 使用多条规则配置访问策略。
- 选择“创建规则”为策略创建规则
- 输入规则名称和规则的简要描述,然后选择 下一步
- 添加有权启动应用程序的相应用户/组,然后选择下一步
注意
单击 + 可根据上下文添加多个条件。
- 指定是否可以不受限制地访问 HTTP/HTTPS 应用程序
以下屏幕截图配置了所有限制。
请注意,防密钥记录和防屏幕捕获需要 Citrix Workspace 桌面客户端。 - 指定 TCP/UDP 应用程序操作
以下屏幕截图拒绝访问 TCP/UDP 应用程序。 - 选择 下一步
- 摘要页面显示策略规则详细信息
验证详细信息并选择 完成
- 在“创建策略”对话框中,确认已选中“保存时启用策略”,然后选择“保存”。
验证
- 以用户身份登录 Citrix Workspace
- 选择已配置的 Web 应用程序
- 用户自动登录应用程序
- 应用适当的增强安全策略
故障排除
增强的安全策略失败
用户可能会遇到增强的安全策略(水印、打印或剪贴板访问)失败。通常,这是因为 Web 应用程序使用多个域名。在 Web 应用程序的应用程序配置设置中,有一个 相关域的条目。
增强的安全策略将应用于这些相关域。要识别缺失的域名,管理员可以使用本地浏览器访问 Web 应用程序,然后执行以下操作:
- 导航到应用程序中策略失败的部分。
- 在 Google Chrome 和 Microsoft Edge(Chromium 版)中,选择浏览器右上角的三个点以显示菜单屏幕。
- 选择“更多工具”。
- 选择 开发者工具
- 在开发人员工具中,选择“来源”。这为应用程序的该部分提供了访问域名列表。为了为应用的这一部分启用增强的安全策略,必须将这些域名输入到应用配置的 相关域 字段中。添加相关域名,例如下面的
*.domain.com
