Bereitstellungshandbuch: Citrix Secure Private Access On-Premises

Zielgruppe

Dieses Dokument richtet sich an Architekten, Netzwerkdesigner, technische Experten, Partner und Berater, die an der Implementierung der Citrix Secure Private Access On-Premises-Lösung interessiert sind. Es ist auch für Netzwerkadministratoren, Citrix-Administratoren, Managed Service Provider oder alle, die diese Lösung bereitstellen möchten, konzipiert.

Überblick über die Lösung

CitrixSecure Private AccessOn-Premises ist eine vom Kunden verwaltete Zero-Trust-Netzwerkzugriffslösung (ZTNA), die VPN-freien Zugriff auf interne Web- und SaaS-Anwendungen mit dem Prinzip der geringsten Rechte, Single Sign-On (SSO), Multifaktor-Authentifizierung und Bewertung des Gerätestatus, Sicherheitskontrollen auf Anwendungsebene und App-Schutzfunktionen sowie ein nahtloses Endbenutzererlebnis bietet. Die Lösung nutzt die on-premises StoreFront-App und die Citrix Workspace-App, um ein nahtloses und sicheres Zugriffserlebnis für den Zugriff auf Web- und SaaS-Apps innerhalb des Citrix Enterprise Browsers zu ermöglichen. Diese Lösung nutzt auch das NetScaler Gateway, um Authentifizierungs- und Autorisierungskontrollen durchzusetzen.

Die Citrix Secure Private Access On-Premises-Lösung verbessert die allgemeine Sicherheits- und Compliance-Situation eines Unternehmens. Sie bietet die Möglichkeit, Zero-Trust-Zugriff auf browserbasierte (interne Web-Apps und SaaS-Apps) einfach bereitzustellen. Dabei wird das on-premises StoreFront-Portal als einheitliches Zugangsportal für Web- und SaaS-Apps sowie virtuelle Apps und Desktops als integrierten Bestandteil von Citrix Workspace verwendet.

Citrix Secure Private Access kombiniert Elemente von NetScaler Gateway und StoreFront, um Endbenutzern und Administratoren ein integriertes Erlebnis zu bieten.

Anwendungsfälle

Die Citrix Secure Private Access (SPA) On-Premises-Lösung mit Citrix Virtual Apps and Desktops (CVAD) On-Premises bietet ein einheitliches und sicheres Endbenutzererlebnis sowohl für virtualisierte Ressourcen als auch für browserbasierte Apps (Web-Apps und SaaS-Apps) mit konsistenter Sicherheit.

Die SPA-On-Premises-Lösung wurde für die folgenden Anwendungsfälle entwickelt, indem eine vom Kunden verwaltete Lösung verwendet wird.

Anwendungsfall #1:Sicherer Zugriff von Mitarbeitern und Auftragnehmern auf interne Web- und SaaS-Apps von verwalteten oder nicht verwalteten Geräten aus, ohne einen Browser zu veröffentlichen oder VPN zu verwenden.

Anwendungsfall #2: SorgenSie für eine umfassende Zero-Trust-Durchsetzung der letzten Meile mit vom Administrator konfigurierbaren Browsersicherheitskontrollen für interne Web- und SaaS-Anwendungen von verwalteten oder nicht verwalteten Geräten aus, ohne einen Browser zu veröffentlichen oder VPN zu verwenden.

Anwendungsfall #3:Beschleunigen Sie den Benutzerzugriff bei Fusionen und Übernahmen (M & A) über mehrere Identitätsanbieter hinweg, sorgen Sie für konsistente Sicherheit und bieten Sie einen nahtlosen Endbenutzerzugriff für mehrere Benutzergruppen.

Anforderungen

Dieser Artikel enthält eine schrittweise Anleitung zur Bereitstellung von Secure Private Access mit StoreFront und NetScaler Gateway. Der Citrix Enterprise Browser (auch in der Citrix Workspace-App) ist die Clientsoftware, die für die sichere Interaktion mit Ihren SaaS- oder internen Web-Apps verwendet wird.
Global App Config Service (GACS) ist eine Voraussetzung für die Browserverwaltung von Citrix Enterprise Browser.
In diesem Handbuch wird davon ausgegangen, dass der Leser über ein grundlegendes Verständnis der folgenden Citrix- und NetScaler-Angebote sowie über allgemeine Administratorerfahrung mit Windows verfügt:

• Citrix Virtual Apps and Desktops
• StoreFront
• NetScaler Gateway
• Global App Configuration Service

Versionen:

• Citrix Workspace-App
  • Windows— 2303 und höher
  • macOS — 2304 und höher
• Citrix Virtual Apps and Desktops — Unterstütztes LTSR und aktuelle Versionen
• StoreFront — LTSR 2203 oder Nicht-LTSR 2212 und höher
• NetScaler Gateway — 12.1 und höher

Weitere Informationen finden Sie bei Bedarf in der folgenden Dokumentation:

• Citrix Virtual Apps and Desktops
  • Systemanforderungen
  • Technische Übersicht
• StoreFront
  • Systemanforderungen
  • StoreFront-Bereitstellung planes
• NetScaler Gateway
  • Vor dem Einstieg
  • Häufige Citrix Gateway-Bereitstellungen
• Globaler App-Konfigurationsdienst (GACS)
  • Citrix企业浏览器über den Global App Configuration Service verwalten

Technische Übersicht

Der Zugriff auf interne Web-Apps ist von jedem Ort mit jedem Gerät zu jeder Zeit über NetScaler Gateway mit installiertem Citrix Enterprise Browser (inkl. in der Citrix Workspace-App) möglich. Das Gleiche gilt für SaaS-Apps, mit dem Unterschied, dass der Zugriff direkt oder indirekt über NetScaler Gateway erfolgen kann.

Der Citrix Enterprise Browser und die Citrix Workspace-App kommunizieren über eine TLS-verschlüsselte Verbindung mit NetScaler Gateway. NetScaler Gateway bietet Zero-Trust-basierten Zugriff, indem es das Gerät des Benutzers bewertet, eine starke nFactor-Benutzerauthentifizierung, App-Autorisierung und Single Sign-On (SSO) durchführt.
Der Citrix Enterprise Browser verwendet das Citrix Secure Browse-Protokoll, um den Zugriff auf interne Domainnamen(z. B.https://website.company.local) zu ermöglichen,ohne dass ein öffentlich zugänglicher DNS-Name erforderlich ist.
Citrix Secure Private Access mit Citrix Enterprise Browser ermöglicht die Konfiguration zusätzlicher Sicherheitskontrollen für Web-Apps wie Wasserzeichen, Kopieren/Einfügen, Up/Herunterladen und Drucken. Diese Einschränkungen werden in einer Datei namens “policy.json” konfiguriert.

Prozess der Konfiguration

Schritt 1 — Veröffentlichen Sie eine Webanwendung

Bei der ersten Veröffentlichung einer neuen Web-App wird ein Windows PowerShell-Cmdlet verwendet, das mit Citrix Virtual Apps and Desktops installiert wurde. Sobald die Web-App erstellt wurde, kann die zukünftige Bearbeitung mit der Citrix Studio-Konsole vorgenommen werden.

• Offnen您一张Windows PowerShell auf einem Computer, auf dem das PowerShell-SDK installiert ist.
• Führen Sie den folgenden Befehl aus, um die Citrix-Cmdlets zu laden:
  Add-PSSnapIn citrix*
• Definieren Sie die notwendigen Variablen für die Web-App:
  Bevor Sie die Befehle ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter. (< >)

$deliveryGroupName = "" $appURL = "" $appName = "" $appIconFilePath = "" $appDescription = "KEYWORDS:SPAENABLED" 

Beispiel

deliveryGroupName =“CVAD-On-Prem appUR美元L = "https://finance.training.local" $appName = "Finance-Portal" $appIconFilePath = "C:\temp\Icon\finance.ico" $appDescription = "KEYWORDS:SPAENABLED" 

• Führen Sie die folgenden Befehle aus, um die neue Web-App zu veröffentlichen:

$deliveryGroupUid = (Get-BrokerDesktopGroup -Name $deliveryGroupName).Uid New-BrokerApplication -ApplicationType PublishedContent -CommandLineExecutable $appURL -Name $appName -DesktopGroup $deliveryGroupUid -Description $appDescription 

• (Optional)Führen Sie die folgenden Befehle aus, um das Symbol in der Web-App zu ändern:

$encodedIconData = [convert]::ToBase64String((Get-Content $appIconFilePath -Encoding byte)) New-BrokerIcon -EncodedIconData $encodedIconData $UidEncode = Get-BrokerIcon | Select-Object Uid $testUid = $UidEncode[-1].Uid $IconUid = [int]$testUid Set-BrokerApplication -name $appName -IconUid $IconUid 

• Führen Sie den folgenden Befehl aus, um die Web-App zu überprüfen:

Get-BrokerApplication -ApplicationType PublishedContent | Format-Table @{Label="Type"; Expression={$\_.ApplicationType}},Name,@{Label="URL"; Expression={$\_.CommandLineExecutable}},@{Label="Delivery group"; Expression={(Get-BrokerDesktopGroup -Uid $_.AssociatedDesktopGroupUids[0]).Name}},Description 

Beispiel für eine Ausgabe

| Typ | Name | URL | Bereitstellungsgruppe | Beschreibung| | —- | —- | — | ————– | ———– | | PublishedContent | Finance-Portal |https://finance.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED | | PublishedContent | Doctor |https://doctor.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED |

• InCitrix Studiosehen Sie im AbschnittAnwendungendie neue Webanwendung.
  Alle zukünftigen Änderungen werden in der Citrix Studio-Konsole vorgenommen.

Hinweis

Weitere Informationen zum Veröffentlichen von Inhalten finden Siehier.
Weitere Informationen zum Ändern des Standardsymbols finden Siehier.

Schritt 2 — Die Richtliniendatei erstellen und veröffentlichen

Die Richtliniendateipolicy.jsondefiniert die Routing- und Sicherheitskontrollen jeder veröffentlichten Web-App.
Sollten那些在静脉办公室365 - saas - app Sicherheitskontrollen aktiviert und über Ihr Rechenzentrum geleitet werden, oder sollte der Datenverkehr direkt fließen?

Hinweis: Wenn Sie die Struktur und die Werte der Richtliniendatei kennen, fahren Sie mit demBeispiel für die vollständige Policy.json-Dateifort.

Struktur der Richtliniendatei

Die Richtliniendatei ist im JSON-Format und enthält die folgenden Abschnitte:

• Richtlinien
  Der Abschnitt Richtlinien definiert Sicherheitskontrollen und Traffic-Routing für alle veröffentlichten SaaS-/Web-Apps. Für nicht veröffentlichte Websites ist eine Catch-All-Policy definiert.
  Hinweis: Wenn die Web-App aus verschiedenen Domainnamen besteht, müssen Sie alle angeben, um die Sicherheitskontrollen korrekt anzuwenden.

In der folgenden Tabelle sind die verfügbaren Zugriffsrichtlinienoptionen und ihre Werte aufgeführt:

Hinweis

Der Wertenabledsteht fürALLOWunddisabledfürBLOCK.

*KeyloggingschutzundScreenshotschutzerfordern die Installation der App-Schutzfunktion, die in der Citrix Workspace-App enthalten ist.*

Vorlage

"policies": [{ "name": "", "patterns": ["/\*", "/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct", } } ] 

• system
  Der Systemabschnitt definiert die NetScaler Gateway-Adresse, an die der Datenverkehr weitergeleitet wird.

Vorlage

"system": { "secureBrowseAddress": "https://" } 

Vollständiges Beispiel für eine Policy.json-Datei

{ "policies": [{ "name": "Finance-Portal", "patterns": ["\*.finance.training.local/\*"], "policy": { "watermark_v1": "enabled", "clipboard_v1": "enabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "name": "Doctor", "patterns": ["\*.doctor.training.local/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "enabled", "download_v1": "enabled", "upload_v1": "enabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct" } } ], "system": { "secureBrowseAddress": "https://citrix.training.com" } } 

Speicherort der Richtliniendatei

Die Dateipolicy.jsonmuss auf jedem StoreFront-Server unter
C:\inetpub\wwwroot\Citrix\\Resources\SecureBrowserabgelegt werden.

Hinweis: Die Ordnerstruktur “Resources” und “SecureBrowser” müssen zuerst erstellt werden.

Beispiel

In diesem Beispiel verwenden wir den standardmäßigen StoreFront-Store namens “Store”.

mkdir C:\inetpub\wwwroot\Citrix\Store\Resources mkdir C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser 

Platzieren Sie die Dateipolicy.jsonin das Verzeichnis “SecureBrowser”.

StoreFront-Speicher web.config

Um die neuen Richtliniendetails für die Citrix Workspace-App und den Citrix Enterprise Browser verfügbar zu machen, müssen wir die Dateiweb.configim StoreFront-Store-Verzeichnis ändern.
(Beispiel: C:\inetpub\wwwroot\Citrix\Store\web.config)

• Erstellen Sie eine Backup der aktuellen Dateiweb.configunterC:\inetpub\wwwroot\Citrix\\
  Beispiel:copy C:\inetpub\wwwroot\Citrix\Store\web.config C:\inetpub\wwwroot\Citrix\Store\web.config.orig
• Öffnen Sie Notepad, fügen Sie den folgenden Code ein und speichern Sie die Datei alsModifyWebConf.ps1, um die Dateiweb.configkorrekt zu bearbeiten.

function Editwebconf { param ( [parameter(Mandatory = $true)][String]$Global:webconfigfile ) # Read in the contents of the file $content = Get-Content $Global:webconfigfile # Define the multi-line string you want to replace $oldText = '' # Define the new string you want to replace it with $newText = '           ' # Iterate through each line in the content and replace the old text with the new text for ($i = 0; $i -lt $content.Count; $i++) { if ($content[$i] -match '') { Write-Host "web.config has already been modified" exit } if ($content[$i] -match $oldText) { $content[$i] = $content[$i] -replace $oldText, $newText } } # Write the modified content back to the file Set-Content $Global:webconfigfile $content Write-Host "$newText" } Editwebconf 

• Offnen您一张Windows PowerShell.
• Wechseln Sie in das Verzeichnis vonModifyWebConf.ps1.
• Führen Sie den folgenden Befehl aus.\ModifyWebConf.ps1.
• Wenn Sie nachGlobal:webconfigfile:gefragt werden, geben Sie den vollständigen Pfad einschließlich des Dateinamens zu Ihrer web.conf-Datei ein.
  Beispiel:C:\inetpub\wwwroot\Citrix\Store\web.config

Ausgabe

p C: \ temp \ ModifyWebConf >。ps1 cmdlet Editwebconfat command pipeline position 1 Geben Sie Werte für die folgenden Parameter an: Global:webconfigfile: C:\inetpub\wwwroot\Citrix\Store\web.config             

Schritt 3 — On-Premises NetScaler Gateway-Konfiguration

Die NetScaler Gateway-Konfiguration umfasst vier wichtige Schritte:

• Clientlosen Zugriff aktivieren
• Webadressenkodierung konfigurieren
• Secure Browse aktivieren
• Domänen vom Umschreiben im clientlosen Zugriffsmodus ausschließen

Hinweis

Der clientlose Zugriff funktioniert nur, wennICA Onlyauf dem virtuellen NetScaler Gateway-Server auffalsegesetzt ist.(Standardeinstellung für neue Bereitstellungen)

Geben Sie für den clientlosen Zugriff auf StoreFront eine Callback-URL in Ihrer StoreFront-Konfiguration an.

Der Zugriff auf veröffentlichte Web-Apps ist nur mit der Citrix Workspace-App und dem Citrix Enterprise Browser möglich.

Clientlosen Zugriff aktivieren

Für den Citrix Enterprise Browser ist ein clientloser Zugriff erforderlich, um eine Verbindung zu Web-Apps herzustellen.

Es gibt zwei Optionen, um den clientlosen Zugriff zu aktivieren:

• Weltweit — alle Benutzer
• Sitzungsrichtlinie — ausgewählte Gruppe oder Benutzer

Citrix empfiehlt die Aktivierung per Sitzungsrichtlinie, um eine bessere Kontrolle des clientlosen Zugriffs zu ermöglichen.

Clientloser Zugriff weltweit

Der global aktivierte clientlose Zugriff gilt für alle konfigurierten virtuellen NetScaler Gateway-Server.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche

  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gatewayund klicken Sie dann aufGlobale Einstellungen.
  2. Klicken Sie auf der Seite “Globale Einstellungen” aufGlobale Einstellungen ändern.
  3. Wählen Sie auf der RegisterkarteClient Experiencedie OptionOnfürClientless Accessaus.
  4. Wählen Sie auf der RegisterkarteVeröffentlichte Anwendungendie OptionOFFfürICA-Proxyaus und klicken Sie aufOK.

• NetScaler CLI

  1. Führen Sie den folgenden Befehl aus:
     set vpn parameter -clientlessVpnMode On -icaProxy OFF

Sitzungsrichtlinie für clientlosen Zugriff

Durch die Konfiguration der Richtlinie für den clientlosen Zugriff pro Sitzung können Sie die Einstellung für Benutzer, Gruppen oder virtuelle Gatewayserver einschränken. Das Erstellen einer neuen Sitzungsrichtlinie/Aktion mit denselben Einstellungen ist gut, um einfach zwischen den KonfigurationenicaProxyundclientless accesszu wechseln.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche

  1. Erweitern Sie Citrix Gateway auf der Registerkarte “Konfiguration”, erweitern SieRichtlinienund klicken Sie dann aufSitzung.
  2. Wechseln Sie auf der Sitzungsseite zur RegisterkarteSitzungsprofileund öffnen Sie das Sitzungsprofil für die Citrix Workspace-App.(Beispiel: AC_OS_192.168.0.100)
  3. Klicken Sie auf der RegisterkarteClient ExperiencenebenClientless AccessaufOverride Globalund wählen SieOnaus.
  4. Klicken Sie auf der RegisterkarteVeröffentlichte AnwendungennebenICA-ProxyaufOverride Global, wählen SieAUSund klicken Sie aufOK.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).
     set vpn sessionAction -clientlessVpnMode On -icaProxy OFF

Webadressenkodierung konfigurieren

Wenn Sie den clientlosen Zugriff aktivieren, können Sie die Adressen interner Web-Apps verschlüsseln oder die Adresse als Klartext belassen. Es wird empfohlen, die URL-Codierung für den clientlosen Zugriff aufClearzu setzen.

Es gibt zwei Optionen, um die URL-Codierung für den clientlosen Zugriff festzulegen:

• Weltweit — alle Benutzer
• Sitzungsrichtlinie — ausgewählte Gruppe oder Benutzer

URL-Codierung weltweit

Der global aktivierte clientlose Zugriff gilt für alle konfigurierten virtuellen NetScaler Gateway-Server.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gatewayund klicken Sie dann aufGlobale Einstellungen.
  2. Klicken Sie auf der Seite “Globale Einstellungen” aufGlobale Einstellungen ändern.
  3. Wählen Sie auf der RegisterkarteClient Experiencedie OptionClearfürClientless Access URL Encodingaus und klicken Sie aufOK.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:
     set vpn parameter -clientlessModeUrlEncoding TRANSPARENT

URL-Codierung mit Sitzungsrichtlinie

Durch die Konfiguration der URL-Codierung für den clientlosen Zugriff gemäß der Sitzungsrichtlinie können Sie die Einstellung für Benutzer, Gruppen oder virtuelle Gateway-Server einschränken.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie Citrix Gateway auf der Registerkarte “Konfiguration”, erweitern SieRichtlinienund klicken Sie dann aufSitzung.
  2. Wechseln Sie auf der Sitzungsseite zur RegisterkarteSitzungsprofileund öffnen Sie das Sitzungsprofil für die Citrix Workspace-App.(Beispiel: AC_OS_192.168.0.100)
  3. Klicken Sie auf der RegisterkarteClient ExperiencenebenClientless Access URL EncodingaufOverride Global, wählen SieClearaus und klicken Sie aufOK.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).
     set vpn sessionAction -clientlessModeUrlEncoding TRANSPARENT

Secure Browse aktivieren

Der Citrix Enterprise Browser verwendet sicheres Browsing, um auf Apps zuzugreifen, ohne ein veraltetes VPN zu benötigen.

Es gibt zwei Optionen, um sicheres Browsing zu konfigurieren:

• Weltweit — alle Benutzer
• Sitzungsrichtlinie — ausgewählte Gruppe oder Benutzer

Weltweit Secure Browse

Global aktiviertes Secure Browse gilt für alle konfigurierten virtuellen NetScaler Gateway-Server.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gatewayund klicken Sie dann aufGlobale Einstellungen.
  2. Klicken Sie auf der Seite “Globale Einstellungen” aufGlobale Einstellungen ändern.
  3. Wählen Sie auf der RegisterkarteSicherheitdie OptionAKTIVIERTfürSecure Browseaus und klicken Sie aufOK.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:
     set vpn parameter -secureBrowse ENABLED

Secure Browse-Sitzungsrichtlinie

Durch die Konfiguration von Secure Browse mit der Sitzungsrichtlinie können Sie die Einstellung für Benutzer, Gruppen oder virtuelle Gatewayserver einschränken.

Sie können es entweder mit der NetScaler-GUI oder der CLI aktivieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie Citrix Gateway auf der Registerkarte “Konfiguration”, erweitern SieRichtlinienund klicken Sie dann aufSitzung.
  2. Wechseln Sie auf der Sitzungsseite zur RegisterkarteSitzungsprofileund öffnen Sie das Sitzungsprofil für die Citrix Workspace-App.(Beispiel: AC_OS_192.168.0.100)
  3. Klicken Sie auf der RegisterkarteSicherheitnebenSecure BrowseaufOverride Global, wählen SieAKTIVIERTaus und klicken Sie aufOK.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).
     set vpn sessionAction -secureBrowse ENABLED

Domänen vom Umschreiben im clientlosen Zugriffsmodus ausschließen

Nach der Aktivierung des clientlosen Zugriffsmodus führt NetScaler serverseitige Neuschreibungen für “/cvpn”-Anforderungen durch. Schließen SieStoreFront server FQDN(s)oderStoreFront Load Balancer FQDNundcitrix.comaus.

Diese Konfiguration ist nur in den globalen NetScaler Gateway-Einstellungen verfügbar.

Sie können den Ausschluss entweder mit der NetScaler-GUI oder der CLI konfigurieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gatewayund klicken Sie dann aufGlobale Einstellungen.
  2. Klicken Sie auf der Seite “Globale Einstellungen” aufConfigure Domains for Clientless Access.
  3. Wählen SieDomänen ausschließenaus, geben SieStoreFront server FQDN(s)oderStoreFront Load Balancer FQDNein und klicken Sie auf dasPlus.
  4. Wiederholen Sie Schritt 3 fürcitrix.com.
  5. Klicken Sie aufOK.

• NetScaler CLI

  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).

     bind policy patset ns_cvpn_default_bypass_domains  bind policy patset ns_cvpn_default_bypass_domains citrix.com 

Schritt 4 — Autorisieren von Benutzern für den Zugriff auf veröffentlichte Web-Apps

Durch das Veröffentlichen von Web-Apps in CVAD können Sie den Benutzerzugriff nicht kontrollieren. Dies muss auf NetScaler Gateway mithilfe von Autorisierungsrichtlinien erfolgen. Autorisierungsrichtlinien sind an einen Benutzer oder eine Gruppe gebunden.

Es ist wichtig zu wissen, wie die Richtlinien angewendet werden:

• Benutzer
• Gruppe

Benutzerrichtlinien haben immer eine höhere Priorität als gruppengebundene Richtlinien. Wenn Sie eine Website auf Benutzerebene zulassen und diese Website auf Gruppenebene verweigern, wird der Zugriff ermöglicht, unabhängig davon, ob die Richtlinienpriorität auf Gruppenebene höher ist.

Mehrere Richtlinien, die an denselben Benutzer oder dieselbe Gruppe gebunden sind, unterscheiden sich nach ihrer Priorität. Es ist wichtig zu wissen, dass die höhere Priorität (niedrige Zahl) vor der niedrigeren Priorität (hohe Zahl) steht. Stellen Sie sicher, dass zulässige Richtlinien eine höhere Priorität haben als abgelehnte Richtlinien.

Wir empfehlen, für jede veröffentlichte Webanwendung eine Gruppe zu erstellen, um die Zugriffsberechtigungen zu kontrollieren.(Zero-Trust-Ansatz)

Standard-Autorisierungsrichtlinien

Zwei Autorisierungsrichtlinien sollten standardmäßig erstellt werden, um den Zugriff auf den StoreFront-Server zu ermöglichen und den Zugriff auf alle veröffentlichten Web-Apps zu verweigern:

• Allow_StoreFront
• Deny_ALL

Autorisierungsrichtlinien für Web-Apps

Da wir nun die Standard-Autorisierungsrichtlinien haben, besteht der nächste Schritt darin, Autorisierungsrichtlinien für jede veröffentlichte Web-App zu erstellen.

• Allow_
• Allow_

Autorisierungsrichtlinien erstellen

Sie können die Autorisierungsrichtlinien entweder mit der NetScaler-GUI oder der CLI konfigurieren.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gateway, erweitern SieRichtlinienund klicken Sie aufAutorisierung.
  2. Klicken Sie auf der Autorisierungsseite aufHinzufügen.
  3. Geben Sie einenNamenfür die Autorisierungsrichtlinie ein, wählen Sie dieAktionaus, wählen SieErweiterte Richtlinieaus und erstellen Sie IhrenAusdruck.
  4. Klicken Sie aufErstellen.

• NetScaler CLI
  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).
     add authorization policy "HTTP.REQ.HOSTNAME.CONTAINS(\"\")" ALLOW

Beispiel

Standard-Autorisierungsrichtlinien:

add authorization policy Allow_StoreFront "HTTP.REQ.HOSTNAME.CONTAINS("")" ALLOW add authorization policy Deny_ALL true DENY 

Autorisierungsrichtlinien für Web-Apps:

add authorization policy Allow_Finance "HTTP.REQ.HOSTNAME.CONTAINS("finance.training.local")" ALLOW add authorization policy Allow_Doctor "HTTP.REQ.HOSTNAME.CONTAINS("doctor.training.local")" ALLOW 

Verbindliche Autorisierungsrichtlinien

Sie können die Autorisierungsrichtlinien entweder über die NetScaler-GUI oder die CLI binden.

• NetScaler-Benutzeroberfläche
  1. Erweitern Sie auf der Registerkarte KonfigurationCitrix Gateway, erweitern SieBenutzerverwaltungund klicken Sie aufAAA-GruppenoderAAA-Gruppen.
  2. Klicken Sie auf der Seite AAA-Gruppen oder AAA-Benutzer aufHinzufügen.
  3. Geben Sie einen Benutzer- oderGruppennamenein und klicken Sie aufOK.
  4. Klicken Sie inden erweiterten EinstellungenaufAutorisierungsrichtlinien.
  5. Wählen Sie auf der SeiteRichtlinienbindungeine zu bindende Richtlinie aus, legen Sie diePrioritätfest, wählen Sie als TypAnforderungaus und klicken Sie aufBinden.
  6. Wiederholen Sie Schritt 5 für jede Richtlinie, die gebunden werden soll.
  7. Klicken Sie aufFertig.

• NetScaler CLI

  1. Führen Sie den folgenden Befehl aus:Bevor Sie den Befehl ausführen, ersetzen Sie die mit spitzen Klammern markierten Platzhalter (< >).

     add aaa group  bind aaa group  -policy  -priority  -gotoPriorityExpression END 

Beispiel

Benutzer — Zugriff auf eine bestimmte veröffentlichte Web-App erlauben:

添加aaa用户testuser01 bind aaa user testuser01 -policy Allow_Doctor -priority 63000 -gotoPriorityExpression END 

Gruppe — Zugriff auf die veröffentlichte Web-App StoreFront zulassen und alle anderen Anfragen ablehnen:

add aaa group Doctor bind aaa group Doctor -policy Allow_Doctor -priority 10 -gotoPriorityExpression END bind aaa group Doctor -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Doctor -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

add aaa group Finance bind aaa group Finance -policy Allow_Finance -priority 10 -gotoPriorityExpression END bind aaa group Finance -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Finance -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

Testen

• Öffnen Sie die Citrix Workspace-App auf einem internen oder externen Client und melden Sie sich bei ihr an

Problembehandlung

Nach erfolgreicher Anmeldung wird eine Fehlermeldung angezeigt. Weitere Informationen finden Sie unterNetScaler — Keine Intranet-IP verfügbar.

• Web-App starten
  Hinweis: Der angemeldete Benutzer kann auf die AnwendungDoctorzugreifen, ihm wird jedoch der Zugriff aufFinance-Portalverweigert.

Doktor

Finanzportal

Problembehandlung

Im Citrix Enterprise Browser wird ein Fehlercode angezeigt:

• PS1001
• PS1003

Sichtbarkeit, Überwachung und Fehlerbehebung

ADM — Gateway Insight
Gateway Insight bietet Einblick in die Fehler, auf die alle Benutzer, unabhängig vom Zugriffsmodus, zum Zeitpunkt der Anmeldung bei NetScaler Gateway gestoßen sind. Sehen Sie sich eine Liste aller verfügbaren Benutzer, der Anzahl der aktiven Benutzer, der Anzahl der aktiven Sitzungen sowie der Bytes und Lizenzen an, die von allen Benutzern zu einem bestimmten Zeitpunkt verwendet wurden. Sehen Sie sich die Endpunktanalyse (EPA), die Authentifizierung, das Single Sign-On (SSO) und die Fehler beim Start von Anwendungen für einen Benutzer an.

Weitere Informationen finden Sie in derDokumentation zu ADM — Gateway Insight.

Das Problembehandlungs-Dashboard vonCitrix Director
ermoglicht Zusta死去ndsüberwachung der Citrix Virtual Apps or Desktops-Site in Echtzeit und im Verlauf. Auf diese Weise können Fehler in Echtzeit angezeigt werden, was eine bessere Vorstellung davon bietet, was die Endbenutzer erleben.

Weitere Informationen finden Sie in derDokumentation zu Citrix Virtual Apps and Desktops — Director.

Zusammenfassung

Citrix Secure Private Access für on-premises ermöglicht Zero-Trust-basierten Zugriff auf SaaS und interne Web-Apps. In diesem Bereitstellungsleitfaden wurden die spezifischen Schritte behandelt, die für die Veröffentlichung von Web-Apps und die Einrichtung von Sicherheitskontrollen erforderlich sind. Das Endergebnis ist eine integrierte Lösung mit echtem Single Sign-On, mit der Benutzer auf SaaS und interne Web-Apps genauso zugreifen können wie virtuelle Apps.

Fehlerbehebung bei der Bereitstellung

NetScaler - Keine Intranet-IP verfügbar

Nach einer erfolgreichen Anmeldung bei der Citrix Workspace-App werden dem Benutzer keine Anwendungen angezeigt, und die folgende Meldung wird eingeschriebenns.log.
default SSLVPN Message 659106 0 : "Failed to process setclient for id , user due to "

Dies ist ein bekanntes Problem (CTX461242) und kann behoben werden, indem Sie in Ihrem Sitzungsprofil für die Citrix Workspace-App die EinstellungUse Mapped IPaufNSundUse Intranet IPaufOFFfestlegen.

NetScaler-Benutzeroberflache:

NetScaler CLI:
set vpn sessionAction AC_OS_192.168.0.100 -useMIP NS -useIIP OFF

CEB — PS1001

Dieser Fehlercode weist darauf hin, dass die Citrix Workspace-App die Datei “policy.json” nicht von StoreFront abrufen kann.
Lesen Sie die folgenden Abschnitte:

• Speicherort der Richtliniendatei
• StoreFront-Speicher web.config
• Schritt 3 - NetScaler Gateway-Konfiguration伏尔或t

CEB — PS1003

Dieser Fehlercode weist darauf hin, dass etwas mit der Datei “policy.json” nicht stimmt.
Lesen Sie den AbschnittVollständiges Beispiel für eine policy.json-Datei.