Machbarkeitsnachweis: Sicherer Zugriff auf SaaS-Apps mit Microsoft Azure SSO und Citrix Secure Workspace Access

Übersicht

Wenn Benutzer auf vertrauliche Inhalte in SaaS-Anwendungen zugreifen, müssen Unternehmen in der Lage sein, die Benutzeranmeldevorgänge zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen. Unternehmen müssen in der Lage sein, SaaS-Anwendungen zu sichern, obwohl sie über die Grenzen des Rechenzentrums hinaus existieren. Citrix Workspace bietet Unternehmen erweiterte Sicherheitskontrollen für SaaS-Anwendungen.

In diesem Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit Active Directory als primärem Benutzerverzeichnis und startet eine von Azure verwaltete SaaS-App.

Wenn der Citrix Secure Workspace Access-Dienst dem Citrix Abonnement zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von bildschirmbasierten Wasserzeichen über das Einschränken von Druck-/Download-Aktionen, Beschränkungen für das Ergreifen von Bildschirmen, die Verschleierung der Tastatur bis hin zum Schutz der Benutzer vor nicht vertrauenswürdigen Links reichen zusätzlich zu den SaaS-Anwendungen.

Die folgende Animation zeigt einen Benutzer, der mit von Azure bereitgestelltem SSO auf eine SaaS-App zugreift und mit Citrix Secure Workspace Access gesichert ist.

Diese Demonstration zeigt einen IdP-initiierten SSO-Flow, bei dem der Benutzer die Anwendung aus Citrix Workspace startet. Dieser PoC-Leitfaden unterstützt auch einen SP-initiierten SSO-Flow, bei dem der Benutzer versucht, direkt von seinem bevorzugten Browser auf die SaaS-App zuzugreifen.

Annahmen:

• Azure ist bereits konfiguriert, um SSO für eine SaaS-App bereitzustellen
• Benutzer können sich erfolgreich im Azure-App-Portal anmelden und die SaaS-App starten

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

1. Einrichten von Citrix Workspace
2. Integriere ein primäres Benutzerverzeichnis
3. Integrieren Sie Single Sign-On für SaaS-Anwendungen
4. Definieren von Richtlinien zur Website-
5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

1. Einrichten der Workspace-URL
2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

1. Verbinden Sie sich mit Ihrem AdministratorkontoCitrix Cloudund melden Sie sich an
2. Greifen Sie in Citrix Workspace über das Menü oben links aufWorkspace-Konfigurationzu
3. Geben Sie auf der RegisterkarteZugriffeine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Dienste aktivieren

Aktivieren Sie auf der Registerkarte Service Integration die folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf SaaS-Apps zu unterstützen

1. 网关
2. Secure Browser

Verifizieren

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch erst verfügbar, wenn ein primäres Benutzerverzeichnis definiert und konfiguriert wird.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor Benutzer sich bei Workspace authentifizieren können,primäres Benutzerverzeichnismuss a konfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen nach Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden

• Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud-Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie derCloud Connector-InstallationAnleitung folgen.
• Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) umfassen. DiesLeitfadenbeschreibt die erforderlichen Schritte, um diese Authentifizierungsoption zu aktivieren.
• Azure Active Directory: Benutzer können sich bei Citrix Workspace mit einer Azure Active Directory-Identität authentifizieren. DiesLeitfadenenthält Details zur Konfiguration dieser Option.
• Citrix Gateway: Unternehmen können ein on-premises geladenes Citrix Gateway nutzen, um als Identitätsanbieter für Citrix Workspace zu fungieren. DiesLeitfadenliefert Details zur Integration.
• Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. DiesLeitfadenenthält Anweisungen zum Konfigurieren dieser Option.

SaaS-App erstellen

Um das SaaS erfolgreich mit Citrix Workspace zu erstellen, muss der Administrator Folgendes tun

• Konfigurieren der SaaS App
• Autorisieren Sie SaaS App

Konfigurieren der SaaS App

Wenn die SaaS-App in Azure konfiguriert ist, kann die SaaS-App in Citrix Workspace konfiguriert werden.

• 民意调查您in AzureAzure Active Directory
• 民意调查您Unternehmens-Anwendungen

• 民意调查您in der Liste die SaaS-App aus, die die Anwendungsübersicht enthält
• 民意调查您Eigenschaften

• Kopieren Sie dieURL für den Benutzerzugriffund erinnern Sie sich für eine spä
• 民意调查您in Citrix Cloud die OptionVerwaltenaus der Gateway-Kachel aus.

• 民意调查您Web-/SaaS-App hinzufügen
• Suchen Sie im Assistenten zum Auswählen einer Vorlage die richtige Vorlage. In diesem Beispiel wählen SieHumanity

• 民意调查您Weiter
• Ersetzen Sie auf dem BildschirmApp-DetailsdieURLdurch die aus Azure kopierteBenutzer-Zugriffs-URL.
• Fügen Sie am Ende derURLFolgendes hinzu:&whr=federated_domainersetztfederated_domaindurch die Domäne, die mit der Identität des Benutzers verknüpft ist (Informationen nach dem @-Anmelden in der E-Mail des Benutzers). Der Eintrag für verbundene Domäne informiert Azure, auf die richtige Konfiguration der föderierten Domäne umzuleiten. Die Informationen der föderierten Domäne werden in einem bevorstehenden Abschnitt in Azure konfiguriert.

• Erweiterte Sicherheitsrichtlinien verwenden das Feld “Verwandte Domänen”, um zu bestimmen, welche URLs gesichert werden sollen. Eine verwandte Domain wird automatisch basierend auf der Standard-URL hinzugefügt. Fügen Sie zusätzlich zu der automatisch erstellten eine zusätzliche Domain für die tatsächliche URL für die SaaS-App hinzu.
• 民意调查您Weiter
• 民意调查您im Fenster “Erweiterte Sicherheit“ die entsprechenden Sicherheitsrichtlinien für die Umgebung aus

• Legen Sie imSingle Sign-On-FensterAssertion URLauf ahttps://login.microsoftonline.com/login.srf
• Setzen Sie dasPublikumalsurn:Federation:MicrosoftOnline
• Festlegen derNamens-ID Format=PersistentundName-ID=Active Directory-
• Aktivieren Sie das Feld mitder Bezeichnung App mit der angegebenen URL starten (SP Initiated). Nach der Authentifizierung wird der Benutzer anstelle des Azure App Portal automatisch zur SaaS-App weitergeleitet.
• Fügen Sie unter “Erweiterte Attribute”Attribute Name=IDPEmail,Attribute Format=UnspecifiedundAttribute Value=Emaihinzu
• **Hinweis:** Es muss nur für die erste App durchgeführt werden. Wählen SieDownload, um dasCRT-basierteZertifikat zu erfassen.
• **Hinweis: Dies muss** nur für die erste App durchgeführt werden. Wählen Sie neben derLogin-URLdie SchaltflächeKopieren, um die Anmelde-URL zu erfassen. Diese URL wird später verwendet.
• **Hinweis:** Es muss nur für die erste App durchgeführt werden. Wählen Sie den LinkSAML-Metadaten

• Suchen Sie in der SAML-Metadaten-Datei nachEntityID. Kopieren Sie die gesamte URL und speichern Sie sie zur späteren Verwendung. Nach der Erfassung kann die SAML-Metadaten-Datei geschlossen werden.

• 民意调查您Speichern
• 民意调查您Fertig stellen, um die Konfiguration der SaaS-App abzuschließen.

Autorisieren Sie SaaS App

• 民意调查您in Citrix Cloud im Menü die OptionBibliothekaus

• Suchen Sie die SaaS-App und wählen SieAbonnenten verwalten
• Fügen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten

Verbänden der Azure-Authentifizierung mit Citrix Workspace

Um die SaaS-App erfolgreich mit Citrix Workspace zu föderieren, muss der Administrator Folgendes tun

• Authentifizierungsdomäne überprüfen
• Konfigurieren der Domänen

Authentifizierungsdomäne überprüfen

Um die Authentifizierung bei Citrix Workspace zu vereinenden, muss Azure den vollqualifizierten Domänennamen überprüfen. Führen Sie im Azure-Portal die folgenden Schritte aus:

• Zugreifen auf Azure Active Directory
• 民意调查您Benutzerdefinierte Domainnamenim Navigationsfenster
• 民意调查您Benutzerdefinierte Domain hinzufügen
• Geben Sie den vollqualifizierten Domänennamen ein

• 民意调查您Domain hinzufügen
• Azure bietet Aufzeichnungen, die Sie in Ihren Domainnamen-Registrar integrieren können. Wenn Sie fertig sind, wählen SieVerifizierenaus

• Nach Abschluss enthält die Domain eine verifizierte Marke

Konfigurieren der Domänen

Die endgültige Konfiguration besteht darin, dass Azure Citrix Workspace als Verbundautorität für die verifizierte Domäne verwendet. Die Konfiguration des Verbunds muss mit PowerShell erfolgen.

• PowerShell starten
• Fügen Sie die entsprechenden Module mit den folgenden Befehlen hinzu

Install-ModuleAzureAD-ForceImport-ModuleAzureAD-ForceInstall-ModuleMSOnline-ForceImport-moduleMSOnline-Force<!--NeedCopy-->

• Stellen Sie über PowerShell eine Verbindung zu Microsoft Online her und authentifizieren Sie

Connect-MSOLService<!--NeedCopy-->

• Überprüfen Sie, ob die Domäne derzeit in Azure aufManagedfestgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomain<!--NeedCopy-->

• 在e Verwenden您窝folgenden代码inem PowerShell-Skript, um diese Domäne zuföderieren, indem Sie die Variablen ändern, um sie an Ihrer Umgebung anzupassen

$dom="workspaces.wwco.net"# The fully qualified domain name verified within Azure$fedBrandName="CitrixWorkspaceSAMLIdP"# A name to help remember the configuration purpose$IssuerUri="//m.giftsix.com/fdafdjk4"# The entityID taken from the Citrix Worksapce SAML Metadata file$logoffuri="https://app.netscalergateway.net/cgi/logout"# Standard entry for all. Do not change$uri="https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be"# The Login URL from the Citrix Workspace SaaS app configuration$cert=New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt")# Path to the downloaded certificate file from Citrix Workspace$certData=[system.convert]::tobase64string($cert.rawdata)Set-MsolDomainAuthentication`-DomainName$dom`–federationBrandName$fedBrandName`-AuthenticationFederated`-PassiveLogOnUri$uri`-LogOffUri$logoffuri`-SigningCertificate$certData`-IssuerUri$IssuerUri`-PreferredAuthenticationProtocolSAMLP<!--NeedCopy-->

• Stellen Sie sicher, dass die Domäne derzeit in Azure aufFederatedfestgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomain<!--NeedCopy-->

• Überprüfen Sie die Federation-Einstellungen in Azure, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomainFederationSettings-DomainName$dom<!--NeedCopy-->

**Hinweis: Wenn die Federation-Einstellungen entfernt werden müssen, führen Sie den folgenden PowerShell-Befehl aus

Set-MsolDomainAuthentication-DomainName$dom-AuthenticationManaged<!--NeedCopy-->

Überprüfen

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• 民意调查您die SaaS-Anwendung
• Beachten Sie die URL, um zu sehen, wie sie kurz durch Azure umgeleitet wird
• Das SaaS-Portal startet erfolgreich

SP-initiierte Validierung

• Starten Sie einen Browser
• Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
• Der Browser leitet zur Authentifizierung zu Okta und dann zu Citrix Workspace um
• Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App mit Okta gestartet und bietet Single Sign-On

Definieren von Richtlinien zur Website-

Der Citrix Secure Workspace Access-Dienst bietet Website-Filterung in SaaS und Web-Apps, um den Benutzer vor Phishing-Angriffen zu schützen. Im Folgenden wird gezeigt, wie Sie Richtlinien zur Website-Filterung einrichten.

• In Citrix Cloud innerhalb der Secure Workspace Access-Kachelverwalten

• Wenn dieses Handbuch befolgt wurde, sind der SchrittEndanwenderauthentifizierung einrichtenund die SchritteEndbenutzerzugriff auf SaaS, Web- und virtuelle Applciations konfigurierenabgeschlossen. Wählen SieContent-Zugriff konfigurieren
• 民意调查您Bearbeiten
• Aktivieren Siedie OptionWebsite-Kategorien filtern
• 民意调查您im FeldBlockierte Kategoriendie OptionHinzufügen
• 民意调查您die Kategorien aus, um den Zugriff von Benutzern zu blockieren

• Wenn alle zutreffenden Kategorien ausgewählt sind, wählen SieHinzufügen

• Tun Sie das Gleiche für erlaubte Kategorien
• Tun Sie das Gleiche für umgeleitete Kategorien. Diese Kategorien werden auf eine Secure Browser-Instanz umgeleitet
• 贝Bedarf能帮Administratoren abgelehnte zulassige und umgeleitete Aktionen für bestimmte URLs nach demselben Prozess filtern, der zum Definieren von Kategorien verwendet wurde. Website-URLs haben Vorrang vor Kategorien.

Validieren Sie die Konfiguration

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• 民意调查您die SaaS-App aus. Wenn die verbesserte Sicherheit deaktiviert ist, wird die App im lokalen Browser gestartet, andernfalls wird der eingebettete Browser verwendet
• Der Benutzer meldet sich automatisch bei der App an
• Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die sich in den gesperrten, zulässigen und umgeleiteten URLs befindet
• Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

• Starten Sie einen Browser
• Gehen Sie auf die SaaS-App-Website undmelden Sie sich an. Wenn es eine Option für SSO gibt, wählen Sie die Option aus.
• Der Browser leitet den Browser zur Authentifizierung an Citrix Workspace um
• Geben Sie den Benutzernamen ein.
• Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App im lokalen Browser gestartet, wenn die erhöhte Sicherheit deaktiviert ist. Wenn erhöhte Sicherheit aktiviert ist, startet eine Secure Browser-Instanz die SaaS-App.

Bleiben Sie angemeldet

In der Standardkonfiguration zeigt Azure Active Directory während des Anmeldevorgangs ein Dialogfeld an, in dem die Benutzer angemeldet bleiben können.

Dies ist eine Azure-Einstellung, die einfach wie folgt geändert werden kann:

• 民意调查您in AzureAzure Active Directory
• 民意调查您Company Branding
• 民意调查您das aktivierte Locale
• 民意调查您im BereichUnternehmensbranding bearbeitenfürAnzeigendie OptionNeinaus, um angemeldet zu bleiben

• 民意调查您Speichern

Problembehandlung

Benutzerkonto existiert nicht im Verzeichnis

Beim Versuch, die SaaS-App zu starten, erhält der Benutzer möglicherweise den folgenden Fehler: Der “Kontoname” des Benutzerkontos ist nicht im Verzeichnis “GUID” vorhanden.

Im Folgenden finden Sie Vorschläge zur Lösung dieses Problems:

• Stellen Sie sicher, dass der Benutzer autorisiert ist, die SaaS-App in Azure Active Directory zu verwenden
• Überprüfen Sie die identifizierte E-Mail-Adresse innerhalb der Fehlerübereinstimmungen zwischen dem primären Benutzerverzeichnis, Azure Active Directory und der SaaS-App.

Federation Realm-Objekt

Während der Validierung erhält ein Benutzer möglicherweise den folgenden Fehler:

死亡将haufig dadurch verursacht, dass Doma死去in nicht verifiziert oder ordnungsgemäß verbunden wird. Lesen Sie die folgenden Abschnitte des PoC-Leitfadens:

• Authentifizierungsdomäne überprüfen
• Konfigurieren der Domänen

Erweiterte Sicherheitsrichtlinien scheitern

Es kann sein, dass die erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Zugriff auf die Zwischenablage) fehlschlagen. In der Regel passiert dies, weil die SaaS-Anwendung mehrere Domainnamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die SaaS-App gab es einen Eintrag fürRelated Domains.

Die erweiterten Sicherheitsrichtlinien werden auf diese zugehörigen Domänen angewendet. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die SaaS-App zugreifen und folgende Schritte ausführen:

• Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
• 民意调查您in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
• 民意调查您Weitere Toolsaus.
• 民意调查您Entwicklertools
• 民意调查您in den Entwicklertools die OptionQuellen. Dies bietet eine Liste der Zugriffsdomänennamen für diesen Abschnitt der Anwendung. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domänennamen in das FeldVerwandte Domäneninnerhalb der App-Konfiguration eingegeben werden. Verwandte Domains werden wie folgt hinzugefügt:*.domain.com