Machbarkeitsnachweis: Sicherer Zugriff auf SaaS-Anwendungen mit Citrix Secure Workspace Access

Übersicht

Da Benutzer mehr SaaS-basierte Anwendungen konsumieren, müssen Unternehmen in der Lage sein, alle sanktionierten Apps zu vereinheitlichen, den Anmeldebetrieb der Benutzer zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen. Unternehmen müssen in der Lage sein, diese Anwendungen zu sichern, auch wenn sie über die Grenzen des Rechenzentrums hinaus existieren. Citrix Workspace bietet Unternehmen sicheren Zugriff auf SaaS-Apps.

In diesem Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit Active Directory, Azure Active Directory, Okta, Google oder Citrix Gateway als primärem Benutzerverzeichnis. Citrix Workspace bietet Single-Sign-On-Services für einen definierten Satz von SaaS-Anwendungen.

Wenn der Citrix Secure Workspace Access-Dienst dem Citrix Abonnement zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von bildschirmbasierten Wasserzeichen über das Einschränken von Druck-/Download-Aktionen, Beschränkungen für das Ergreifen von Bildschirmen, die Verschleierung der Tastatur bis hin zum Schutz der Benutzer vor nicht vertrauenswürdigen Links reichen zusätzlich zu den SaaS-Anwendungen.

Die folgende Animation zeigt einen Benutzer, der auf eine SaaS-Anwendung zugreift, wobei Citrix SSO bereitstellt und mit Citrix Secure Workspace Access gesichert ist.

Diese Demonstration zeigt einen IdP-initiierten SSO-Flow, bei dem der Benutzer die Anwendung aus Citrix Workspace startet. Dieser PoC-Leitfaden unterstützt auch einen SP-initiierten SSO-Flow, bei dem der Benutzer versucht, direkt von seinem bevorzugten Browser auf die SaaS-App zuzugreifen.

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

1. Einrichten von Citrix Workspace
2. Integriere ein primäres Benutzerverzeichnis
3. Integrieren Sie Single Sign-On für SaaS-Anwendungen
4. Definieren von Richtlinien zur Website-
5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

1. Einrichten der Workspace-URL
2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

1. Verbinden Sie sich mit Ihrem AdministratorkontoCitrix Cloudund melden Sie sich an
2. Greifen Sie in Citrix Workspace über das Menü oben links aufWorkspace-Konfigurationzu
3. Geben Sie auf der RegisterkarteZugriffeine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Dienste aktivieren

Aktivieren Sie auf der Registerkarte Service Integration die folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf SaaS-Apps zu unterstützen

1. Gateway
2. Secure Browser

Verifizieren

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch erst verfügbar, wenn ein primäres Benutzerverzeichnis definiert und konfiguriert wird.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor Benutzer sich bei Workspace authentifizieren können,primäres Benutzerverzeichnis吵架konfiguriert了。Das primare Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen nach Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden

• Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud-Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie derCloud Connector-InstallationAnleitung folgen.
• Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) umfassen. DiesLeitfadenbeschreibt die erforderlichen Schritte, um diese Authentifizierungsoption zu aktivieren.
• Azure Active Directory: Benutzer können sich bei Citrix Workspace mit einer Azure Active Directory-Identität authentifizieren. DiesLeitfadenenthält Details zur Konfiguration dieser Option.
• Citrix Gateway: Unternehmen können ein on-premises geladenes Citrix Gateway nutzen, um als Identitätsanbieter für Citrix Workspace zu fungieren. DiesLeitfadenliefert Details zur Integration.
• Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. DiesLeitfadenenthält Anweisungen zum Konfigurieren dieser Option.

Konfigurieren von Single Sign-On

Um SaaS-Apps erfolgreich in Citrix Workspace zu integrieren, muss der Administrator Folgendes tun

• Konfigurieren der SaaS-App
• Autorisieren der SaaS-App

Konfigurieren der SaaS App

• Wählen Sie in Citrix Cloud die OptionVerwaltenaus der Gateway-Kachel aus.

• Wählen SieWeb-/SaaS-App hinzufügen
• Suchen und korrigieren Sie im Assistenten Vorlage auswählen die Vorlage, die in diesem FallHumanityist
• Geben Sie im Fenster App-Details den eindeutigen Domänennamen der Organisation für die SaaS-Anwendung ein. Die URL und die zugehörigen Domains werden automatisch ausgefüllt.

**Hinweis**: Erweiterte Sicherheitsrichtlinien verwenden das Feld “Verwandte Domänen”, um die zu sichernden URLs zu bestimmen. Eine verwandte Domain wird automatisch basierend auf der URL im vorherigen Schritt hinzugefügt. Erweiterte Sicherheitsrichtlinien erfordern verwandte Domains für die Anwendung. Wenn die Anwendung mehrere Domänennamen verwendet, muss diese in das Feld “Verwandte Domänen” hinzugefügt werden, was häufig*..SaaSApp.com(als Beispiel*.citrix.slack.com)

• Wählen Sie im Fenster “Erweiterte Sicherheit“ die entsprechenden Sicherheitsrichtlinien für die Umgebung aus
• Kopieren Sie imSingle Sign-On-FensterdieAnmelde-URL.
• Wählen Sie den Link fürSAML-Metadatenaus, um die für die SaaS-Anwendung erforderlichen SAML-Einstellungen zu identifizieren.

• Kopieren Sie innerhalb der SAML-Metadaten-Datei das X509-Zertifikat, das als alphanumerische Zeichenfolge dargestellt ist.

• Verwenden Sie in der Humanity SaaS-App das Zahnradsymbol in der oberen rechten Ecke, um Einstellungen aufzurufen. Wählen SieSingle Sign-On

• Verwenden Sie für die SAML-Aussteller-URL dieLogin-URL, die Sie aus der Citrix Workspace-Konfiguration erhalten haben.
• Nach der x.509-Zertifikatszeichenfolge aus der Citrix Metadatendatei in die SaaS-App von Humanity.

• Speichere die Einstellungen in Humanity.
• Wählen Sie in Citrix WorkspaceSpeichern
• Wählen SieFertig

Autorisieren Sie SaaS App

• Wählen Sie in Citrix Cloud im Menü die OptionBibliothekaus

• Suchen Sie die SaaS-App und wählen SieAbonnenten verwalten
• Fügen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten

Überprüfen

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• Wählen Sie die konfigurierte SaaS-Anwendung
• Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

• Starten Sie einen Browser
• Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
• Der Browser leitet zur Authentifizierung an Citrix Workspace um
• Sobald sich der Benutzer mit dem primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App mit Citrix gestartet und bietet Single Sign-On

Definieren von Richtlinien zur Website-

Der Citrix Access-Di安全工作区enst bietet Website-Filterung in SaaS und Web-Apps, um den Benutzer vor Phishing-Angriffen zu schützen. Im Folgenden wird gezeigt, wie Sie Richtlinien zur Website-Filterung einrichten.

• In Citrix Cloud innerhalb der Secure Workspace Access-Kachelverwalten

• Wenn dieses Handbuch befolgt wurde, sind der SchrittEndanwenderauthentifizierung einrichtenund die SchritteEndbenutzerzugriff auf SaaS, Web- und virtuelle Applciations konfigurierenabgeschlossen. Wählen SieContent-Zugriff konfigurieren
• Wählen SieBearbeiten
• Aktivieren Siedie OptionWebsite-Kategorien filtern
• Wählen Sie im FeldBlockierte Kategoriendie OptionHinzufügen
• Wählen Sie die Kategorien aus, um den Zugriff von Benutzern zu blockieren

• Wenn alle zutreffenden Kategorien ausgewählt sind, wählen SieHinzufügen

• Tun Sie das Gleiche für erlaubte Kategorien
• Tun Sie das Gleiche für umgeleitete Kategorien. Diese Kategorien werden auf eine Secure Browser-Instanz umgeleitet
• Bei Bedarf können Administratoren abgelehnte, erlaubte und umgeleitete Aktionen für bestimmte URLs nach demselben Prozess filtern, der zum Definieren von Kategorien verwendet wurde. Website-URLs haben Vorrang vor Kategorien.

Validieren Sie die Konfiguration

IdP-initiierte Validierung

• Melden Sie sich als Benutzer bei Citrix Workspace an
• 民意调查您死konfigurierte SaaS-Anwendung来自。Wenn die verbesserte Sicherheit deaktiviert ist, wird die App im lokalen Browser gestartet, andernfalls wird der eingebettete Browser verwendet
• Der Benutzer meldet sich automatisch bei der App an
• Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
• Wenn konfiguriert, wählen Sie eine URL innerhalb der SaaS-App aus, die sich in den gesperrten, zulässigen und umgeleiteten URLs befindet
• Die SaaS App wird erfolgreich eingeführt

SP-initiierte Validierung

• Starten Sie einen Browser
• Wechseln Sie zur unternehmensdefinierten URL für die SaaS-Anwendung
• Der Browser leitet den Browser zur Authentifizierung an Citrix Workspace weiter
• Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiziert hat, wird die SaaS-App im lokalen Browser gestartet, wenn die erhöhte Sicherheit deaktiviert ist. Wenn erhöhte Sicherheit aktiviert ist, startet eine Secure Browser-Instanz die SaaS-App

Problembehandlung

Erweiterte Sicherheitsrichtlinien scheitern

Benutzer können bemerken, dass die erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Cliboard-Zugriff) fehlschlagen. In der Regel passiert dies, weil die SaaS-Anwendung mehrere Domainnamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die SaaS-App gab es einen Eintrag fürRelated Domains.

Die erweiterten Sicherheitsrichtlinien werden auf diese zugehörigen Domänen angewendet. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die SaaS-App zugreifen und folgende Schritte ausführen:

• Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
• Wählen Sie in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
• Wählen SieWeitere Toolsaus.
• Wählen SieEntwicklertools
• Wählen Sie in den Entwicklertools die OptionQuellen. Dies bietet eine Liste der Zugriffsdomänennamen für diesen Abschnitt der Anwendung. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domainnamen in das FeldVerwandte Domänenin der App-Konfiguration eingegeben werden. Verwandte Domains werden wie folgt hinzugefügt:*.domain.com