技术简报:Citrix Workspace Essentials 和 Secure Private Access 入门指南
简介
本指南演示了如何在 Citrix Workspace 中使用单点登录 (SSO) 配置 SaaS 和内部 Web 应用程序。以下是读者使用本部署指南能够完成的操作:
- 了解在 Citrix Workspace 中配置对内部 Web 应用程序的无 VPN 访问的分步过程
- 了解在 Citrix Workspace 中配置对 SaaS 应用程序的安全访问的分步过程
- 了解为 Citrix Workspace 启用第二因素身份验证所需的配置
- 了解使 SSO 到 SaaS/Web 应用程序与第三方 SAML IdP(如 Okta 和 Azure Active Directory)集成所需的配置
解决方案概
Citrix Workspace Essentials 通过单点登录和多因素身份验证,为最终用户提供了简化、安全且无 VPN 的访问权限,以及 IT 提供的 SaaS、Web 应用程序和数据。
图 1:Citrix Workspace 基本概述
单点登录到所有应用程序
用户的主 Workspace 身份授权他们访问 SaaS 和本地 Web 应用程序。许多授权资源需要另一种身份验证,其身份通常不同于用户的主工作区身份。Citrix Workspace 通过向这些辅助资源提供单点登录,为用户提供无缝体验。
图 2:访问 SaaS 和本地 Web 应用
有关 Citrix Workspace 的主要身份选项的其他信息,请参阅 Workspace - 主要身份技术简介。
您注意到的第一件事是易用性。有 300 多个 SAML SSO 模板可用于快速配置 Web 和 SaaS 应用程序。如果您的应用程序没有预先存在的模板,只需再点击几下即可进行配置。
图 3:可用于快速配置的 SAML SSO 模板
使用基于时间的一次性密码 (TOTP) 进行多因素身份验证 (MFA)
Citrix Workspace Esspace Essentials 为使用 Windows Active Directory 作为主要身份的组织提供了云托管的 TOTP 选项。TOTP 是 Citrix Workspace 体验中的一种简单的双重身份验证,它使用在注册设备上为用户生成的时间敏感的一次性密码。观看此 视频 以了解更多信息。
用户可以请求和安装新令牌,管理员可以用最少的努力启用和禁用 TOTP 多因素身份验证。在 Citrix Workspace 体验中启用双重身份验证后,将对所有接入点上的所有用户强制执行双重身份验证。
- 本机生成的一次性密码 (OTP)
- 支持本地 Active Directory
- 用户设备/应用程序必须注册Citrix Cloud
- OTP 令牌生成和登录
- 自助服务
- Citrix SSO 应用程序、谷歌身份验证器、Microsoft 身份验证器应
图 4:本机生成的一次性密码
支持 Workspace 体验(Workspace 应用程序)
Citrix Workspace 基础版通过 Citrix Workspace 应用程序支持
阅读此 Citrix Workspace 应用程序 技术洞察 ,了解更多信息。
全球 POP 网络
Citrix Workspace Essentials 在全球范围内在不同国家和不同地区的多个接入点 (POP) 运营,并持续扩展。有了Microsoft Azure POP 和 Amazon Web Services 中的 POP,客户距离服务节点永远不会太远。
如果存在故障转移,每个 PoP 都具有高可用性,并且在 PoP 中运行冗余服务。如果在灾难性事件中,整个 POP 崩溃的概率很低,那么用户仍然可以通过下一个最接近的 POP 获得服务。Citrix Workspace Essentials 在 PoP 内部和跨 POP 都具有高度的内置弹性。
SaaS 和 Web 应用程序的使用情况分析
Citrix Workspace Essentials 包括使用情况分析,可提供整个 SaaS 和 Web 应用基础架构的端到端使用情况IT 部门可以跟踪用户登录失败,并深入了解用户对应用程序的采用情况、高使用期以及每个用户和应用程序上载和下载的数据。此功能使 IT 部门能够通过弃用低使用率应用程序来扩展需求并降低成本。
图 5:使用情况分析提供端到端使用情况
SaaS 和 Web 应用程序仪表板可让 Citrix Analytics 管理员深入了解 Citrix Workspace 中发布的 SaaS 和 Web 应用程序以下信息可以在 SaaS 和 Web 应用程序控制面板中找到:
- 使用 SaaS 和 Web 应用程序的唯一用户数
- 顶级 SaaS 和 Web 应用程序用户
- 启动的 SaaS 和 Web 应用程序的数量
- 顶级 SaaS 和 Web 应用程序
- 用户访问的热门域
- 跨用户、应用程序和域上载和下载的数据总量
推荐的架构
推荐的体系结构包括以下组件:
- Citrix Workspace 是首选最终用户门户
- Microsoft Active Directory 是用户目录
- Web 应用程序位于公司数据中心
- Citrix Analytics 提供SaaS/网页应用程序的使用情况
- Okta 和 Azure AD 是 SaaS 和 Web 应用程序的 SAML IdP(可选)
- 访问 Content Collaboration(获得许可时)
图 6:推荐的体系结构和组件
配置应用访问的先决条件
- Citrix Cloud入门
- 确保您有正确的权利并启用/或试用
- 设置解决方案所需的 Citrix Workspace 平台配置
- 设置 Citrix Workspace
- 用户身份验证
- 技术简报 ,其中包含 Citrix Workspace 的所有不同类型的身份验证方法
用例 1:安全访问内部 Web 应用
Citrix Workspace Essentials 通过 SSO 提供对内部网 Web 应用程序的安全访问。按照文章中的 SSO 到 Web 配置步骤 部署此功能。
图 7:使用 SSO 安全访问内部网 Web 应用程序
用例 2:安全访问 SaaS 应用
Citrix Workspace Essentials 通过 SSO 提供对受批准的 SaaS 应用程序的安全访问。按照文章中的 SSO 到 SaaS 配置步骤 部署此功能。
图 8:使用 SSO 安全访问受制裁的 SaaS 应用程序
用例 3:为 Citrix Workspace 配置第二因素身份验证
Citrix Workspace Esspace Essentials 在用户登录到 Citrix Workspace 期间启用第二因素按照 身份和访问管理和 [部署 Citrix Cloud Connector](/zh-cn/citrix-cloud/citrix-cloud-resource-locations/citrix-cloud-connector/installation.html) 指南中的配置 AD + 令牌中的 步骤部署此功能。
图 9:用户登录 Citrix Workspace 期间的第二因素身份验证
Citrix Secure Private Access
除了 Citrix Workspace Essentials 提供的 SaaS 和 Web 应用程序的即时单点登录 (SSO) 访问之外,Citrix Secure Private Access 还引入了更多安全功能。与传统 VPN 不同,Secure Private Access 提供了零信任方法来安全地访问公司 Web、SaaS 和虚拟应用程序。借助针对托管、非托管和 BYO 设备的高级安全控制,它是 IT 和员工的理想选择。
Secure Private Access 结合了多种 Citrix Cloud 服务的元素,为最终用户和管理员提供集成的体验。这些策略包括精细和上下文安全策略、适用于所有应用的应用程序保护策略、Web 浏览器隔离和 Web 过滤策略。
有关 Citrix Secure Private Access 的更多信息,请参阅 Citrix 产品文档中的 Citrix Secure Private Access 和 Citrix Secure Private Access 技术简报
Secure Private Access 用例 1 - 将增强的安全性应用于 SaaS 和 Web 应用程序
SaaS 应用程序越来越受欢迎,因为它们的简单性和零依赖于托管基础设施。但是,许多人缺乏 IT 部门满足公司安全标准所需的安全控制和治理。此外,许多组织欢迎有机会为其本地 Web 应用程序添加安全层。
Citrix Secure Private Access 使 IT 能够将这些新增的安全控制措施应用于 SaaS 和 Web 应用程序,以防止数据泄露。控件包括限制复制和粘贴、打印、下载、导航、水印(覆盖显示终端节点用户名和 IP 地址的基于屏幕的水印)等的策略。
Citrix Secure Private Access 包括 Citrix Enterprise Browser(以前称为 Citrix Workspace Browser)它是一款安全的企业浏览器,能够应用增强的安全策略。当使用桌面版 Citrix Workspace 应用程序时,每项策略都会通过浏览器强制实施限制,或者在网络或移动设备上使用 Citrix Workspace 应用程序时使用 Citrix 远程浏览器隔离服务。
借助应用程序保护增强安全性,IT 人员可以在提供给员工的 Web 和 SaaS 应用程序上强制执行安全策略。这些策略通过应用 增强安全性中详述的安全控制来保护存储在这些应用程序中的数据。
Secure Private Access 用例 2 - 保护自带设备和非托管设备
灵活工作的增加和使用个人设备进行工作,带来了安全挑战。如果不了解设备运行状况,IT 部门无法防御受恶意软件感染的设备在具有键盘记录器或屏幕截图恶意软件的设备上尤其如此,攻击者能够泄露敏感的企业数据。
企业管理的设备定期进行健康检查,以确保设备满足安全要求。但是,大多数最终用户对个人设备并不采取同样的谨慎措施。因此,如果用户访问应用程序或文档存储库等公司资源,恶意软件可能会泄露登录信息和用户屏幕上显示的任何数据。
应用程序保护通过打击键并将屏幕截图作为空白屏幕返回、保护企业数据免受键盘记录器或屏幕截图恶意软件的侵害来保护未受管设备的安全。
通过使用增强的安全策略,Secure Private Access 使管理员能够保护其组织免受数据丢失和凭据盗用的影响。当员工使用个人设备访问公司资源时,增强的安全策略更为重要。在此处阅读更多: 保护自带设备
Secure Private Access 用例 3 - 使用 Secure Browser 策略和隔离
浏览互联网给企业带来了另一种风险,使企业暴露在网站、浏览器和浏览器插件中的漏洞。可能存在于员工设备上的恶意软件也可能对公司资源构成严重风险。
尽管大多数用户都知道他们不应该在公司发行的设备上访问潜在风险的网站,但他们可能不会像个人那样谨慎。作为回应,一些组织甚至完全禁止互联网浏览,严重影响了生产力。
每当启用增强的安全策略时,都会使用浏览器。但是,假设用户使用的不是 Citrix Workspace,而是使用本机浏览器。然后需要一个更安全的机制。
Citrix 远程浏览器隔离服务是一款托管在 Microsoft Azure 中的基于 Chromium 的浏览器,它使用户能够安全地浏览网页和应用程序,而不会给企业环境带来风险。通过访问恶意网站可能带来的威胁会被隔离在公司网络和设备之外。浏览器是无状态的,并在每次会话结束时丢弃,从而确保浏览网页时遇到的任何恶意软件永远不会进入您的公司基础设施。
Secure Private Access 使最终用户能够安全地浏览 Internet。当最终用户从 Citrix Workspace 启动 SaaS 应用程序时,会动态做出多个决策来决定如何最好地为此 SaaS 应用程序提供服务。Secure Private Access 提供了三种向最终用户提供此应用程序的方法。在这里阅读更多: 浏览器隔离
Secure Private Access 用例 4 - SaaS 和 Web 应用程序的安全分析
Citrix 产品组合非常广泛,云服务是从头开始设计的,旨在互动和放大彼此。作为此产品组合的一部分,您拥有 Citrix Analytics for Security。Citrix Analytics for Security 与 Citrix Secure Private Access 本机集成。它提供持续的监控、风险评估和缓解措施,以便在用户初始登录期间和之后,跨不同应用程序和云环境保护组织,从而实现合规性和治理。
使用这种持续监控,该系统可以识别不一致和可疑的活动,从而对身份、设备、位置、网络、应用程序和文件的用户行为提供切实可行的见解。
例如,假设用户通过无 VPN 连接下载过量的数据。在这种情况下,可以触发操作以请求用户的响应以验证用户的身份,或者通过电子邮件向用户发送电子邮件以验证其活动并将其放在监视列表中。根据用户的回复响应,可以启动次要操作。
可以将这些规则配置为根据持续评估的用户风险评分阈值触发用户账户的特定操作。例如,可以根据风险评分的实时变化注销在 Citrix Workspace 中进行身份验证的最终用户会话。
最终用户总是可以访问启用了增强安全性的 SaaS 应用程序。Citrix Workspace 应用程序、Citrix Gateway 服务和远程浏览器隔离服务为安全分析服务提供了有关以下用户和应用程序行为的信息。使用情况分析提供对 Secure Private Access 的基本使用数据的见解。管理员可以了解用户如何与组织中正在使用的 SaaS 和 Web 应用程序进行交互。在此处阅读更多: 安全分析
Secure Private Access 增强安全演示
了解 Citrix Secure Private Access 如何为 Web 和 SaaS 应用程序提供增强的安全性以及最终用户体验。
观看此视频 观看演示:
Citrix Secure Private Access SSO 到 SaaS 应用程序演示
了解 Citrix Secure Private Access 如何提供单点登录到 SaaS 应用程序和最终用户体验。
观看此视频 观看演示:
Citrix Secure Private Access 无 VPN 访问演示
了解 Citrix Secure Private Access 如何提供对 Web 应用程序的无 VPN 访问和最终用户体验。
观看此视频 观看演示:
Citrix Secure Private Access 网站筛选演示
了解 Citrix Secure Private Access 如何为 Web 和 SaaS 应用程序提供网站筛选以及最终用户体验。
观看此视频 观看演示:
在本文中
- 简介
- 解决方案概
- 推荐的架构
- 用例 1:安全访问内部 Web 应用
- 用例 2:安全访问 SaaS 应用
- 用例 3:为 Citrix Workspace 配置第二因素身份验证
-
Citrix Secure Private Access
- Secure Private Access 用例 1 - 将增强的安全性应用于 SaaS 和 Web 应用程序
- Secure Private Access 用例 2 - 保护自带设备和非托管设备
- Secure Private Access 用例 3 - 使用 Secure Browser 策略和隔离
- Secure Private Access 用例 4 - SaaS 和 Web 应用程序的安全分析
- Secure Private Access 增强安全演示
- Citrix Secure Private Access SSO 到 SaaS 应用程序演示
- Citrix Secure Private Access 无 VPN 访问演示
- Citrix Secure Private Access 网站筛选演示