PoC-Leitfaden: Sicherer Zugriff auf von Azure verwaltete SaaS-Anwendungen und Citrix Secure Private Access

Übersicht

Wenn Benutzer auf vertrauliche Inhalte in SaaS-Anwendungen zugreifen, müssen Unternehmen in der Lage sein, die Benutzeranmeldevorgänge zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen. Unternehmen müssen in der Lage sein, SaaS-Anwendungen zu sichern, obwohl sie über die Grenzen des Rechenzentrums hinaus existieren. Citrix Workspace bietet Unternehmen erweiterte Sicherheitskontrollen für SaaS-Anwendungen.

In diesem Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit Active Directory als primärem Benutzerverzeichnis und startet eine von Azure verwaltete SaaS-App.

Wenn der Citrix Secure Private Access-Dienst dem Citrix-Abonnement zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die vom Anwenden bildschirmbasierter Wasserzeichen über das Einschränken von Druck-/Downloadaktionen bis hin zu Einschränkungen bei der Bildschirmaufnahme, der Verschleierung der Tastatur und dem Schutz von Benutzern vor nicht vertrauenswürdigen Links reichen Top der SaaS-Anwendungen.

Die folgende Animation zeigt einen Benutzer, der mit von Azure bereitgestelltem SSO auf eine SaaS-App zugreift und mit Citrix Secure Private Access gesichert ist.

Diese Demonstration zeigt einen IdP-initiierten SSO-Flow, bei dem der Benutzer die Anwendung aus Citrix Workspace startet. Dieses PoC-Handbuch unterstützt auch einen SP-initiierten SSO-Flow, bei dem der Benutzer versucht, direkt von seinem bevorzugten Browser aus auf die SaaS-App zuzugreifen.

Annahmen:

• Azure ist bereits konfiguriert, um SSO für eine SaaS-App bereitzustellen
• Benutzer können sich erfolgreich im Azure-App-Portal anmelden und die SaaS-App starten

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

1. Einrichten von Citrix Workspace
2. Integriere ein primäres Benutzerverzeichnis
3. Integrieren Sie Single Sign-On für SaaS-Anwendungen
4. Definieren von Richtlinien zum Websitefiltern
5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

1. Einrichten der Workspace-URL
2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

1. Stellen Sie eine Verbindung mitCitrix Cloudher und melden Sie sich als Administratorkonto an
2. 菜单oben Greifen Citrix的工作区中您超级daslinks aufWorkspace-Konfigurationzu
3. Geben Sie auf der RegisterkarteZugriffeine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Dienste aktivieren

Aktivieren Sie auf der RegisterkarteService-Integrationdie folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf SaaS-Apps zu unterstützen.

1. Secure Private Access
2. Secure Browser

Überprüfen

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch verfügbar, sobald ein primäres Benutzerverzeichnis definiert und konfiguriert wurde.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor sich Benutzer bei Workspace authentifizieren können, muss einprimäres Benutzerverzeichniskonfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anforderungen für Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden:

• Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie demCloud Connector-Installationshandbuchfolgen.
• Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) beinhalten. In diesemHandbuchwerden die erforderlichen Schritte beschrieben, um diese Authentifizierungsoption zu aktivieren.
• Azure Active Directory: Benutzer können sich mit einer Azure Active Directory-Identität bei Citrix Workspace authentifizieren. In diesemHandbuchwerden die erforderlichen Schritte beschrieben, um diese Authentifizierungsoption zu aktivieren.

  Hinweis

  Wenn Sie AAD als primäres Authentifizierungsverzeichnis verwenden, können Sie die primäre Domäne (Anmeldedomäne des Benutzers) nicht verbinden, da dadurch eine Schleife entsteht. In solchen Fällen得您杯Verbund(一体化)皮草死neue Domain erstellen.

  Für AAD-Benutzerkonten muss das AttributimmutableIDfestgelegt sein. Andernfalls schlägt die Authentifizierung mit der folgenden Fehlermeldung fehl:AADSTS51004
  Für synchronisierte Azure AD Connect-Konten wird dieses Attribut automatisch festgelegt.

• Citrix Gateway: Unternehmen können ein lokales Citrix Gateway verwenden, um als Identitätsanbieter für Citrix Workspace zu fungieren. DiesesHandbuchenthält Einzelheiten zur Integration.
• Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. DiesesHandbuchenthält Anweisungen zur Konfiguration dieser Option.

SaaS-App erstellen

Um das SaaS erfolgreich mit Citrix Workspace zu erstellen, muss der Administrator Folgendes tun:

• Konfigurieren der SaaS App
• Autorisieren Sie SaaS App

Konfigurieren der SaaS App

Wenn die SaaS-App in Azure konfiguriert ist, kann die SaaS-App in Citrix Workspace konfiguriert werden.

• Wählen Sie in AzureAzure Active Directory
• Wählen SieUnternehmens-Anwendungen

• Wählen Sie in der Liste die SaaS-App aus, die die Anwendungsübersicht enthält
• Wählen SieEigenschaften

• Kopieren Sie dieURL für den Benutzerzugriffund erinnern Sie sich für eine spä
• Wählen Sie in Citrix Cloud in der Secure Private Access-Kachel die OptionVerwaltenaus.

• Wählen Sie im Menü Secure Private Access die OptionAnwendungen
• Wählen Sie im Abschnitt Anwendung dieOption App hinzufügen

Anwendungen - Vorlage

• Suchen Sie im Assistenten zum Auswählen einer Vorlage die richtige Vorlage. In diesem Beispiel wählen SieHumanity

• Wählen SieWeiter

Anwendungen — App-Details

• Ersetzen Sie auf dem BildschirmApp-DetailsdieURLdurch die aus Azure kopierteBenutzer-Zugriffs-URL.
• Fügen Sie am Ende derURLFolgendes hinzu:&whr=federated_domainersetztfederated_domaindurch die Domäne, die mit der Identität des Benutzers verknüpft ist (Informationen nach dem @-Anmelden in der E-Mail des Benutzers). Der Eintrag für Verbunddomäne informiert Azure, auf die richtige Konfiguration der Verbunddomäne umzuleiten. Die Informationen der föderierten Domäne werden in einem bevorstehenden Abschnitt in Azure konfiguriert.

Hinweis: Sie können den Datenverkehr auch über die in Ihrem Rechenzentrum installierte Connector Appliance weiterleiten. Daher müssen Sie von “Außerhalb meines Unternehmensnetzwerks” zu “In meinem Unternehmensnetzwerk” wechseln. .

• Wählen SieWeiter

Anwendungen — Single Sign-On

• Stellen Sie imSingle Sign-On-Fenster dieAssertion-URLaufhttps://login.microsoftonline.com/login.srf(1) ein.
• Stellen Sie alsZielgruppedie Optionurn:federation:MicrosoftOnline(2) ein
• Uberprufen您,dassNamen IDFormat=PersistentundNamen ID=Active Directory GUID(3) ist
• Wählen Sie das Feld麻省理工学院应用der angegebenen URL starten(周效磺胺-乙胺嘧啶在itiiert). (4)
  Nach der Authentifizierung wird der Benutzer automatisch zur SaaS-App und nicht zum Azure App Portal weitergeleitet.
• Überprüfen Sie unter den erweiterten AttributenAttribute Name=IDPEmail,Attribute Format=UnspecifiedundAttribute Value=Email(5)

Hinweis

Die zweite Advanced-Attributoption wird automatisch hinzugefügt, um die MFA-Authentifizierungsanforderung zu unterdrücken, wenn der Benutzer den MFA bereits bei der Benutzerauthentifizierung bei Citrix Workspace eingegeben hat.

Attributname:http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Attributformat:Unspecified
Attributwert:Custom value
Benutzerdefinierter Wert:http://schemas.microsoft.com/claims/multipleauthn

Damit Azure AD diese Behauptung akzeptiert, müssen wir beim Einrichten des Domainverbandes einen Parameter-SupportsMfa $truehinzufugen。

*Hinweis:Die Schritte (6), (7) und (8) müssen nur für die erste App ausgeführt werden.*

• Wählen SieHerunterladen, um dasCRT-basierteZertifikat zu erfassen. (6)
• Wählen Sie neben derAnmelde-URLdie SchaltflächeKopierenaus, um die Anmelde-URL zu erfassen. Diese URL wird später verwendet. (7)
• Wählen Sie denSAML-Metadaten-Link(8)

• Suchen Sie in der SAML-Metadaten-Datei nachEntityID. Bitte kopieren Sie die gesamte URL und speichern Sie sie für die spätere Verwendung. Nach der Erfassung kann die SAML-Metadaten-Datei geschlossen werden.

• Wählen SieWeiter

Anwendungen — App-Konnektivität

• Überprüfen Sie im FensterApp Connectivity, wie der Datenverkehr weitergeleitet werden soll (in diesem Fall direkt vom Client zur SaaS-Anwendung).

• Wählen SieWeiter
• Wählen SieFertig stellen,嗯Konfiguration der胡死去manity SaaS-Apps abzuschließen.

Autorisieren Sie die SaaS-App und konfigurieren Sie die erweiterte Sicherheit

• Wählen Sie im Menü Secure Private Access die OptionZugriffsrichtlinien
• Wählen Sie im Abschnitt Zugriffsrichtlinie die OptionRichtlinie erstellenaus.

• Suchen Sie in der DropdownlisteAnwendungennach “Humanity” und wählen Sie es aus.
• Fugen您死entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten
• Geben Sie an, ob auf die App mit oder ohne erhöhte Sicherheit zugegriffen werden kann.
  Im obigen Screenshot ist keine erweiterte Sicherheit konfiguriert.
  Wenn eine erhöhte Sicherheit erforderlich ist, ändern Sie “Zugriff zulassen” in “Mit Einschränkungen zulassen” und aktivieren Sie alle zutreffenden Optionen.

Hinweis: Für erste SSO-Tests ist es immer eine gute Idee, die erweiterte Sicherheit zu konfigurieren, indem die Option “Im Remote-Browser öffnen” gesetzt ist.

Verbund der Azure-Authentifizierung mit Citrix Workspace

Um die SaaS-App erfolgreich mit Citrix Workspace zu verbinden, muss der Administrator Folgendes tun:

• Authentifizierungsdomäne überprüfen
• Domänenverbund konfigurieren

Authentifizierungsdomäne überprüfen

Azure muss den vollqualifizierten Domänennamen verifizieren, um die Authentifizierung bei Citrix Workspace zu verbinden. Führen Sie im Azure-Portal die folgenden Schritte aus:

• Zugreifen auf Azure Active Directory
• Wählen SieBenutzerdefinierte Domainnamenim Navigationsfenster
• Wählen SieBenutzerdefinierte Domain hinzufügen
• Geben Sie den vollqualifizierten Domänennamen ein

• Wählen SieDomain hinzufügen
• Azure bietet Aufzeichnungen, die Sie in Ihren Domainnamen-Registrar integrieren können. Wenn Sie fertig sind, wählen SieVerifizierenaus

• Nach Abschluss enthält die Domain eine verifizierte Marke

Domänenverbund konfigurieren

Die endgültige Konfiguration besteht darin, dass Azure Citrix Workspace als Verbundautorität für die verifizierte Domäne verwendet. Die Konfiguration des Verbunds muss mit PowerShell erfolgen.

• PowerShell starten
• Fugen您死entsprechenden Module mit den folgenden Befehlen hinzu

Install-ModuleAzureAD-ForceImport-ModuleAzureAD-ForceInstall-ModuleMSOnline-ForceImport-moduleMSOnline-Force<!--NeedCopy-->

• Stellen Sie über PowerShell eine Verbindung zu Microsoft Online her und authentifizieren Sie sich mit einem Microsoft Cloud-Konto (z. B.admin.user@onmicrosoft.com)

Connect-MSOLService<!--NeedCopy-->

• Überprüfen Sie, ob die Domäne derzeit in Azure aufManagedfestgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomain<!--NeedCopy-->

• Verwenden Sie den folgenden Code in einem PowerShell-Skript, um diese Domäne zu einemVerbundzu machen, indem Sie die Variablen ändern, um sie an Ihrer Umgebung anzupassen

$dom="workspaces.wwco.net"# The fully qualified domain name verified within Azure$fedBrandName="CitrixWorkspaceSAMLIdP"# A name to help remember the configuration purpose$uri="https://app.netscalergateway.net/ngs/[entityID]/saml/login?APPID=[APPID]"# The Login URL from the Humanity app configuration$logoffuri="https://app.netscalergateway.net/cgi/logout"# Standard entry for all. Do not change$cert=New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2("")# Path to the downloaded certificate file from Humanity app configuration (e.g., C:\temp\filename.crt)$certData=[system.convert]::tobase64string($cert.rawdata)$IssuerUri="//m.giftsix.com/[entityID]"# The entityID taken from the Office365 app configuration SAML Metadata fileSet-MsolDomainAuthentication`-DomainName$dom`–federationBrandName$fedBrandName`-AuthenticationFederated`-PassiveLogOnUri$uri`-LogOffUri$logoffuri`-SigningCertificate$certData`-IssuerUri$IssuerUri`-PreferredAuthenticationProtocolSAMLPTosuppressanMFAauthenticationrequestwhentheuserhasalreadyenteredtheMFAduringuserauthenticationtoCitrixWorkspace,usethefollowing命令:Set-MsolDomainAuthentication`-DomainName$dom`–federationBrandName$fedBrandName`-AuthenticationFederated`-PassiveLogOnUri$uri`-LogOffUri$logoffuri`-SigningCertificate$certData`-IssuerUri$IssuerUri`-PreferredAuthenticationProtocolSAMLP`-SupportsMfa$true<!--NeedCopy-->

• Stellen Sie sicher, dass die Domäne derzeit in Azure aufVerbundfestgelegt ist, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomain<!--NeedCopy-->

• Überprüfen Sie die Verbundeinstellungen in Azure, indem Sie den folgenden PowerShell-Befehl ausführen

Get-MsolDomainFederationSettings-DomainName$dom<!--NeedCopy-->

Hinweis

Wenn die Verbundeinstellungen entfernt werden müssen, führen Sie den folgenden PowerShell-Befehl aus:
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed

Überprüfen

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• Wählen Sie die SaaS-Anwendung
• Beachten Sie die URL, um zu sehen, wie sie kurz durch Azure umgeleitet wird
• Das SaaS-Portal startet erfolgreich

SP-initiierte Validierung

• Starten Sie einen Browser
• Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
• Der Browser leitet zur Authentifizierung zu Azure Active Directory und dann zu Citrix Workspace weiter
• Sobald sich der Benutzer mit dem primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App mit Citrix gestartet und bietet Single Sign-On

Definieren von Richtlinien zum Websitefiltern

Citrix Secure Private Access bietet Websitefiltern in SaaS- und Web-Apps, um Benutzer vor Phishing-Angriffen zu schützen. Im Folgenden wird gezeigt, wie Sie Richtlinien zum Websitefiltern einrichten.

• Verwalten Sie in der Citrix Cloud die KachelSecure Private Access

• Wenn diese Anleitung befolgt wurde, sind die SchritteEndbenutzerauthentifizierung einrichtenundEndbenutzerzugriff auf SaaS-, Web- und virtuelle Anwendungen konfigurierenabgeschlossen. Wählen SieEinstellungen
• Wechseln Sie zum TabWebfiltern
• Wählen SieBearbeiten
• Aktivieren Siedie OptionWebsite-Kategorien filtern
• Wählen Sie im FeldBlockierte Kategoriendie OptionHinzufügen
• Wählen Sie die Kategorien aus, um den Zugriff von Benutzern zu blockieren

• Wenn alle zutreffenden Kategorien ausgewählt sind, wählen SieHinzufügen

• Tun Sie das Gleiche für erlaubte Kategorien
• Tun Sie das Gleiche für umgeleitete Kategorien. Diese Kategorien werden auf eine Secure Browser-Instanz umgeleitet
• Bei Bedarf können Administratoren abgelehnte, zugelassene und umgeleitete Aktionen für bestimmte URLs nach demselben Verfahren filtern, das auch für die Definition von Kategorien verwendet wird. Website-URLs haben Vorrang vor Kategorien.

Validieren Sie die Konfiguration

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• Wählen Sie die SaaS-App aus.
  Wenn die erweiterte Sicherheit deaktiviert ist, wird die App im lokalen Browser gestartet. Andernfalls wird Enterprise Browser verwendet.
• Der Benutzer meldet sich automatisch bei der App an
• Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die sich in den gesperrten, zulässigen und umgeleiteten URLs befindet
• Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

• Starten Sie einen Browser
• Gehen Sie auf die SaaS-App-Website undmelden Sie sich an. Wenn es eine Option für SSO gibt, wählen Sie die Option aus.
• Der Browser leitet den Browser zur Authentifizierung an Citrix Workspace um
• Geben Sie den Benutzernamen ein.
• Sobald sich der Benutzer mit dem primären Benutzerverzeichnis authentifiziert hat, wird Office365 im lokalen Browser gestartet, falls die erweiterte Sicherheit deaktiviert ist.
  Wenn erhöhte Sicherheit aktiviert ist, startet eine Secure Browser-Instanz die SaaS-App.

Bleiben Sie angemeldet

In der Standardkonfiguration zeigt Azure Active Directory während des Anmeldevorgangs ein Dialogfeld an, in dem die Benutzer angemeldet bleiben können.

Dies ist eine Azure-Einstellung, die einfach wie folgt geändert werden kann:

• Wählen Sie in AzureAzure Active Directory
• Wählen SieCompany Branding
• Wählen Sie das aktivierte Locale
• Wählen Sie im BereichUnternehmensbranding bearbeitenfür die Anzeige die OptionNeinaus, um angemeldet zu bleiben

• Wählen SieSpeichern

Problembehandlung

Benutzerkonto existiert nicht im Verzeichnis

Beim Versuch, Microsoft 365 zu starten, erhält der Benutzer möglicherweise die folgende Fehlermeldung:
AADSTS51004: The user account "account name" does not exist in the "GUID" directory. To sign into this application, the account must be added to the directory.

Im Folgenden finden Sie Vorschläge zur Lösung dieses Problems:

• Stellen Sie sicher, dass der Benutzer berechtigt ist, die SaaS-App in Azure Active Directory zu verwenden
• Stellen Sie sicher, dass die im Fehler identifizierte E-Mail-Adresse mit dem primären Benutzerverzeichnis, Azure Active Directory und der SaaS-App übereinstimmt.

• Stellen Sie sicher, dass das AttributimmutableIdam Benutzerobjekt festgelegt ist.
  (Dies ist in reinen AAD-Umgebungen nicht der Fall!)
  immutableIdSie können einfach mit den folgenden PowerShell-Befehlen berechnet und gesetzt werden:

  $userUPN="john.doh@company.com" #change the userPricipalName before executing Install-Module AzureAD -Force Import-Module AzureAD -Force Install-Module MSOnline -Force Import-module MSOnline -Force Connect-MsolService $userObjectID=(Get-MsolUser -UserPrincipalName $userUPN).objectId $userImmutableId=[System.Convert]::ToBase64String([System.Guid]::New($userObjectID).ToByteArray()) Set-MsolUser -UserPrincipalName $userUPN -ImmutableId $userImmutableId 

Federation Realm Object

Während der Validierung erhält ein Benutzer möglicherweise den folgenden Fehler:
AADSTS50107: The requested federation realm object 'https:///adfs/services/trust' does not exist.

Dies wird häufig dadurch verursacht, dass die Domain nicht verifiziert oder ordnungsgemäß verbunden wird. Lesen Sie die folgenden Abschnitte des PoC-Leitfadens:

• Authentifizierungsdomäne überprüfen
• Domänenverbund konfigurieren

Erweiterte Sicherheitsrichtlinien scheitern

Bei Benutzern kann es zu Fehlern bei erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Zugriff auf die Zwischenablage) kommen. In der Regel passiert dies, weil die SaaS-Anwendung mehrere Domainnamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die SaaS-App gab es einen Eintrag fürRelated Domains.

Die erweiterten Sicherheitsrichtlinien werden auf diese verwandten Domänen angewendet. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die SaaS-App zugreifen und folgende Schritte ausführen:

• Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
• Wählen Sie in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
• Wählen SieWeitere Toolsaus.
• Wählen SieEntwicklertools
• Wählen Sie in den Entwicklertools die OptionQuellen. Dies enthält eine Liste von Access-Domain-Namen für diesen Anwendungsabschnitt. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domänennamen in das FeldVerwandte Domäneninnerhalb der App-Konfiguration eingegeben werden. Verwandte Domains werden wie folgt hinzugefügt:*.domain.com