访问控制

贡献者

作者: Daniel Feller

随着用户使用更多基于 SaaS 的应用程序,组织必须能够统一所有受批准的应用程序,简化登录操作,同时仍然强制执行身份验证标准,并捕获用户行为。对于监视供应商 SLA 和应用程序利用率分析也至关重要。

统一体验

Citrix Workspace

Citrix Workspace 将所有资源聚合到单个个性化用户界面中。用户可以选择本地安装的 Workspace 应用程序(桌面和移动),也可以使用本地浏览器访问基于 Web 的工作区。无论选择的方法和选择的设备如何,体验仍然是熟悉和一致的。

Citrix Workspace 应用程序概述

带上自己的身份

每个组织为用户对 Workspace 的初始登录选择自己的唯一身份提供程序。

  • Azure Active Directory:Workspace 登录过程重定向到 Azure Active Directory,该目录可以包含自定义外观设置、多重身份验证、密码策略、审核等。
  • Windows Active Directory:利用组织的本地 Active Directory 环境初始登录用户的 Workspace 体验。为了将本地 Active Directory 与 Citrix Cloud 联合起来,管理员将冗余 Cloud Connector 部署在与 Active Directory 相同的资源位置。每个 Cloud Connector 都建立指向组织 Citrix Cloud 订阅的出站链接。

Citrix 自带身份

Single Sign-On

用户通过主身份向 Citrix Workspace 进行身份验证后,通过 Citrix Cloud 中的 Single Sign-On µ-service 使用 SAML 断言自动完成对 SaaS 和 Web 应用程序的后续身份验证挑战。

默认情况下,SAML 断言使用与用户 Active Directory 帐户(身份提供商)关联的电子邮件地址以及与用户的 SaaS 或 Web 应用程序帐户(服务提供商)关联的电子邮件地址。

Citrix Access Control SSO

内容控制

为了保护内容,组织在 SaaS 应用程序中纳入了增强的安全策略。将 Workspace 应用程序用于桌面时,每个策略都会对嵌入式浏览器执行限制,或在使用 Workspace 应用程序(Web 或移动)时在 Secure Browser 上执行限制。

  • 首选浏览器:禁用本地浏览器使用,并依赖于嵌入式浏览器引擎(Workspace 应用程序 - 桌面)或 Secure Browser 服务(Workspace 应用程序 - 移动和 Web)
  • 限制剪贴板访问:禁用应用程序和端点剪贴板之间的剪切/复制/粘贴操作。
  • 限制打印:禁用从应用程序浏览器中打印的功能。
  • 限制导航:禁用下一个/后退浏览器按钮。
  • 限制下载:禁用用户从 SaaS 应用程序中下载的功能。
  • isplay 水印:覆盖基于屏幕的水印,显示端点的用户名和 IP 地址。如果用户尝试打印或截取屏幕截图,水印将显示在屏幕上。

Citrix Access Control SSO 增强的安全性

上下文访问

尽管授权的 SaaS 应用被认为是安全的,但 SaaS 应用中的内容实际上可能是危险的,构成安全风险。当用户单击 SaaS 应用程序中的超链接时,流量将通过 Web 过滤 µ-service 路由,从而为超链接提供风险评估。基于超链接的风险评估和 URL 类别的自定义列表,Web 过滤 µ-service 允许,拒绝或重定向来自用户的超链接请求,如下所示:

  • 已批准:超链接被认为是安全的,并且由 Workspace 应用程序中的嵌入式浏览器访问
  • 拒绝:超链接被认为是危险的,访问被拒绝
  • 重定向:超链接请求将重定向到安全浏览器服务,其中用户的 Internet 浏览活动与终端设备、公司网络和 SaaS 应用隔离。

Citrix Access Control URL 筛选

大多数 SaaS 应用程序使用来自多个网站的内容。使用 Web 筛选时,必须对 SaaS 应用程序进行彻底测试,以验证二级内容源没有被阻止或重定向。用户选择 URL 和浏览器加载页面所花费的时间可能会稍长,因为在 SaaS 应用程序中访问的每个 URL 都会由在 Citrix Cloud 中运行的 Web 筛选 µ-service 进行分析。

安全性和性能分析

安全分析可识别风险行为,并为每个用户提供总体风险评分。

Citrix Analytics

Citrix Analytics 服务使用机器学习和人工智能监视用户活动,并识别可能会增加或减少用户风险评分的与历史行为的偏差。

用户必然会访问具有增强固有安全性的 SaaS 应用。Workspace 应用程序、网关服务和 Secure Browser 服务为安全分析服务提供了有关以下用户和应用程序行为的信息,因为这些行为会影响用户的总体风险分数:

  • 应用程序启动时间
  • 应用程序结束时间
  • 打印操作
  • 剪贴板访问
  • URL 访问
  • 数据上传
  • 数据下载

Web 过滤 µ-服务评估 SaaS 应用程序中选择的每个超链接的风险。访问这些站点并监视用户行为的变化会提高用户的整体风险评分,因为这表明终端设备受到威胁并开始感染或加密数据,或者用户和设备盗窃知识产权。

访问控制