Machbarkeitsnachweis: Sicherer Zugriff auf SaaS-Anwendungen mit Okta和Citrix安全工作区访问

Ubersicht

Da Benutzer mehr SaaS-basierte Anwendungen konsumien, msssen internehmen in der Lage sein, alle sanktionierten Apps zu vereinheitlichen, Anmeldebetrieb der Benutzer zu vereinfachen和gleichzetig Authentifizierungsstandards durchzusetzen。Unternehmen msen in der Lage sein, diese Anwendungen zu sicheren, auch wenne sie ber die Grenzen des Rechenzentrums hinaus existieren。思杰的工作空间将在sap - apps的框架内实现。

在eem场景中，authenticiziert在Citrix工作空间中使用activedirectory命令Okta也使用primärem Benutzerverzeichnis。Okta对每个单点登录系统(Single-Sign-On-Dienste)进行了定义，并定义了saz - von SaaS-Anwendungen和。

Wenn der Citrix安全工作空间访问- dienst dem Citrix abonment zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von bildschirmbasierten Wasserzeichen ber das Einschränken von Druck-/Download-Aktionen, Beschränkungen frr das Ergreifen von Bildschirmen, die Verschleierung der stutz der Benutzer vor nicht vertrauensw rdigen Links reichen zusätzlich zun den okka -basierten SaaS-Anwendungen。

在此基础上，建立了一个基于安全工作空间访问和安全工作空间访问的安全工作空间访问列表。

disese演示的大小为idp启动的SSO-Flow，由Benutzer模块和Citrix工作空间启动。didier PoC-Leitfaden unterst为每个sp - initierten SSO-Flow, bedem der Benutzer versucht，直接为seinem bevorzugten浏览器audie SaaS-App zuzugreifen。

Annahmen:

• 首先是配置文件，然后是 Office 365和安卓的SSO配置文件
• Benutzer können将在Okta-Portal、Office 365和andere SaaS-Apps启动后，对其进行全面整合
• Citrix Workspaces列表包含了Active Directory目录(Okta)和primärem Identitätsverzeichnis des Benutzers konfigureert。

Dieser Leitfaden zum Proof of Concept重量:

1. Einrichten von Citrix工作区
2. 积分ein primäres Benutzerverzeichnis
3. integrieen Sie单点登录系统 r SaaS-Anwendungen
4. Richtlinien zur网站-
5. Überprüfen der configuration

Einrichten von Citrix工作区

Citrix工作空间管理系统(Workspace - system system)， eenschließ lich

1. Einrichten der工作区- url
2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

1. Verbinden siich mit imhrem AdministratorkontoCitrix云我把它熔化了
2. Greifen Sie在Citrix工作空间中，她的链接MenüWorkspace-Konfiguration祖茂堂
3. Geben是注册会计师Zugriffeine eindeutige URL 组织ein und wählen Sie " Aktiviert "

Dienste aktivieren

注册服务集成管理系统(registry - karte Service Integration)、服务集成管理系统(registry - karte Service Integration)、服务集成管理系统(Anwendungsfall)、服务集成管理系统(SaaS-Apps)、服务集成管理系统(SaaS-Apps)

1. 网关
2. 安全浏览器

Verifizieren

Citrix Workspace benötigt einige Augenblicke, um Dienste和URL-Einstellungen zu aktualisieren。vergewise在einem浏览器中，可以定义工作空间- url活动列表。[3] [endenteref: 1] [endenteref: 1] [endenteref: 1] [endenteref: 1] [endenteref: 1] [endenteref: 1]。

集成技术在新技术中的应用

Bevor Benutzer sich bei Workspace authentifizieren können，primares BenutzerverzeichnisMuss a konfigureert werden。Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen nach Apps in Workspace Single Sign-On f r sekundäre Identitäten verwenden。

组织kann eines der folgenden primären Benutzerverzeichnisse verwenden

• 活动目录: Active Directory-Authentifizierung zu aktivieren, Cloud-Connector - selben Rechenzentrum - ein Active Directory-Domänencontroller ereitgestellt werden, indem Sie der云插件装配Anleitung伊。
• 活动目录管理系统: Active Directory-basierte authenticizierung可以作为multifactor - authenticizierung的一部分，可以作为ttp (TOTP) umfassen的一部分。死Leitfadenbeschreibt die erforderlichen Schritte，呃，我是说:“鉴定学”。
• Azure Active Directory: Benutzer können sibei Citrix Workspace mit iner Azure Active Directory-Identität authentifizien。死Leitfadenenthält详细信息zur配置选项。
• Citrix网关: ternehmen können in on-premises geladenes Citrix Gateway nutzen，以及Identitätsanbieter f r Citrix Workspace zu fungieren。死Leitfadenliefert Details zur Integration。
• Okta: Organisationen können Okta als primäres Benutzerverzeichnis f r Citrix Workspace verwenden。死Leitfadenenthält Anweisungen zum konfigureeren diesel Option。

还有单点登录- anbieter hinzuf

在Citrix工作空间中包含的Okta-Apps组件是集成的，管理员组件是集成的

• 通过SAML-Anmelde-URL进行标识
• IdP-Austeller-URI标识符
• SAML-Identitatsanbieter einrichten
• 配置saas应用程序
• 自动化的saas应用程序
• Einrichten von IdP-Routing

通过SAML-Anmelde-URL进行标识

• 梅尔登·西西也是奥克塔的行政长官
• 民意调查您Anwendungen
• Wählen sidie Anwendung aus, die sidie Citrix Workspace hinzuf gen möchten。Beispiel似乎使用了微软Office 365软件。
• 孩子们Allgemein每一天，他都是一个富有的人应用嵌入链接befindet。该软件为Citrix工作空间管理软件。

IdP-Austeller-URI标识符

• Melden是Citrix Cloud的管理员
• Wählen我是berich身份和访问管理API-Zugriff
• Erfassen Sie den参数derKunden-ID．文件格式:文件格式://m.giftsix.com/ < customerID >

SAML-Identitatsanbieter einrichten

Okta muss Citrix Workspace也是SAML-Identitätsanbieter verwenden，是dazu fhrt，在saml - configuration中通过Okta ein Dienstanbieter。

• 梅尔登·西西也是奥克塔的行政长官
• 民意调查您Sicherheit->Identitatsanbieter
• 民意调查您Identitatsanbieterhinzuf -> SAML 2.0 IdPhinzufugen

• 再见，再见以
• 德国工业与工业发展协会:idpuser.userName(die Groß- und Kleinschreibung wind bercksichtigt)
• Ubereinstimmung sollteOkta-Benutzername order E-Mail盛
• 温恩基恩Übereinstimmung gefunden wind, wählen SieZur Okta-Anmeldeseite unleiten
• Verwenden sif - IdP-Aussteller-URI - URL//m.giftsix.com/ < customerID >．CustomerID戳戳:Abschnitt IdP-Issuer URI

• Lassen sidien Teil des prozess经常使用url单点登录和SSL-Zertifikat von Citrix Cloud erhalten können。

配置SaaS应用程序

• Wählen siin der Citrix Cloud die OptionVerwalten奥斯·德·盖特韦-卡切尔·奥斯

• 民意调查您Web - / SaaS-App hinzufugen
• Wählen Sie im Assistenten zum Auswählen einer凹模选项Uberspringen
• Da在SaaS-App列表中，wählen SieAußerhalb meines Unternehmensnetzwerks
• 在Fenster应用程序-详细信息以死亡，安文东和
• Verwenden Sie f r die URL den应用嵌入链接im Abschnitt“Identity SAML-Anmelde-URL”
• Erweiterte Sicherheitsrichtlinien verwenden das field " Zugehörige Domänen "， um die zu sichernden URLs zu bestestimmen。e. verwandte Domain wind自动生成基础数据库auder eingegebenen URL hinzugef gt, die im vorherigen Schritt hinzugef gt wurde。disese spezifische verwandte Domäne ist mit dem Okta-Anwendungs-Link verkn pft。Verbesserte Sicherheitsrichtlinien erfordern verwandte Domains f r die eigentliche Anwendung，是häufig*。< companyID > .SaaSApp.com(也叫Beispiel *.citrix.slack.com)

• Wählen我是范斯特”Erweiterte Sicherheit“die entsprechenden sicherheitsrichtlinen f r die Umgebung auss”
• Wählen看我单点登录窗口下载所以，嗯，我是说，我是说，我是说，我是说，我是说。
• Wählen我死SchaltflächeKopieren，嗯，我是Anmelde-URL zu erfassen

• 我们的selseln Sie zurkzur okta - configuration。Das DialogfeldIdentitatsanbieter hinzufugenSollte weiterin在一个视觉栏中
• Verwenden Sie f r dieIdP url单点登录“Citrix Login-URL, die aus dem vorherigen Schritt kopiert wurde”。Es solltehttps://app.netscalergateway.net/ngs/ < customerid > / saml /登录? APPID = 2347894324327ahnlich盛
• 即时通讯IdP签名证书这是她的下一篇论文

• Kopieren Sie nach Abschluss des Assistenten die断言消费者服务- url和窝Audience-URI．

• Citrix配置。
• 我爱你单一Sign-On-Fenster毛死断言URLdas元素断言消费者服务URLSAML身份提供程序
• Verwenden Sie f r dieZielgruppedas元素观众URISAML身份提供程序。
• Das Namen-ID- format und die Namen-ID können als E-Mail verbleiben。Okta verwendet die e - mail - address，嗯，这是einem Okta- benutzer zu verbinden。

• 民意调查您Speichern
• 民意调查您多数时候

autoisieren Sie SaaS App

• Wählen在Citrix Cloud中的Sie在Menü die Option位于来自

• Suchen Sie die SaaS-App and wählen SieAbonnenten verwalten
• gen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starting

Einrichten von IdP-Routing

Bisher unterst配置文件配置文件IdP-initiierten Startprozess, bedem der Benutzer应用程序启动文件Citrix工作区启动文件。在sp - inititierten Prozess zu ermöglichen中，调用了Benutzer - App - director - URL启动器，调用了Okta - router - regel定义器。

• Wählen Sie in der okta - admin - console安全-身份提供者
• 民意调查您Routing-Regeln
• 民意调查您Weiterleitungsregel hinzufugen
• Geben Sie einen Namen f r die Regel
• Wählen Sie f r die选项Diesen IdentitätsanbieterCitrix身份提供商

• 民意调查您Aktivieren

**Hinweis**: Während der Konfiguration kansich der Okta-Administrator möglicherweise night beder Okta-Admin-Konsole anmelden, da die eingehende saml - configuration unvollständig ist。在缺省情况下，管理员可以使用IdP-Routing-Regel Bypass，管理员可以使用okta - umwelzgreift的folgenden地址。https://companyname.okta.com/login/default

Uberprufen

IdP-initiierte Validierung

• Melden Sie也包括Benutzer和Citrix Workspace
• Wählen Sie die konfigureerte SaaS-Anwendung
• Beobachten Sie kurz den okta - sign - on - progress
• 软件即服务(SaaS)应用程序(应用程序)

SP-initiierte Validierung

• 启动浏览器
• 我们为您提供了一种全新的互联网服务
• Der Browser leitet zur Authentifizierung zuokta和danan zucitrix Workspace
• Sobald sich der Benutzer beim primären Benutzerverzeichnis authentifiiert认为，可以使用saas应用程序来启动和实现单点登录

Richtlinien zur网站-

思杰安全工作空间访问-软件即服务(SaaS)和网络应用程序(Web-Apps)中的网络过滤。我是福尔根登，我是福尔根登，我是福尔根登，我是福尔根登，我是福尔根登。

• 在Citrix Cloud内部的安全工作区访问- kachelverwalten

• 文艺师:文艺师:文艺师:文艺师:文艺师:文艺师Endanwenderauthentifizierung einrichten和软件即服务(SaaS)、Web和虚拟软件的基本配置abgeschlossen。民意调查您Content-Zugriff konfigurieren
• 民意调查您Bearbeiten
• Aktivieren您死亡的选择Website-Kategorien filtern
• Wählen我是菲尔德Blockierte Kategorien死亡的选择Hinzufugen
• Wählen我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说

• 研究方向:研究方向:ausgewählt sind, wählen seiHinzufugen

• [6] [6] [6]
• [6][6][6]。disese categororien是一个安全的浏览器-即时通讯工具
• Bei Bedarf können管理员abgelehnte、erlaute和umgeleteteaktionen f对每个自定义的url进行了预估，der zum Definieren von ategorien verwendet wurde。网站- url已经被Vorrang或categororien。

验证模具配置

IdP-initiierte Validierung

• Melden Sie也包括Benutzer和Citrix Workspace
• Wählen Sie die konfigureerte SaaS-Anwendung aus。当你的浏览器浏览器启动时，你的浏览器浏览器启动时，你的浏览器启动时，你的浏览器启动时，你的浏览器启动时，你的浏览器启动时，你的浏览器启动时
• Benutzer meldet是一个自动化的应用程序
• Die entsprechenden erweiterten sicherheitsrichtlinen werden angewendet
• Wenn konfigureert, wählen sieine URL innerhalb der SaaS-App aus, die in den gesperten, zulässigen and ungeleiteten kaategorien enthalten ist
• 查看配置文件，wählen查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL，查看服务器内部URL
• 软件即服务(SaaS)应用程序(应用程序)

SP-initiierte Validierung

• 启动浏览器
• 我们为您提供了一种全新的互联网服务
• Der Browser leitleden Browser zur Authentifizierung和Citrix Workspace weiter
• Sobald siich der Benutzer beim primären Benutzerverzeichnis authentifiziert，即，windie SaaS-App im lokalen Browser gestartet, windie erhöhte Sicherheit deaktivierist。在erhöhte Sicherheit活动列表中，启动安全浏览器-即时应用程序和saas应用程序

Problembehandlung

我的意思是，我的意思是，我的意思是

Benutzer können bemerken, dass die erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken der Cliboard-Zugriff) fehlschlagen。在der Regel passiert dies中，我们将die SaaS-Anwendung mehrere Domainnamen verwendet。内halb der anwendungskconfigurationseinstellungen f r和SaaS-App gab eininen einterg f r相关的领域．

Die erweiterten Sicherheitsrichtlinien werden auf diese zugehörigen Domänen angewendet。1 .域名识别，域名管理，域名管理，域名管理，域名管理，域名管理，域名管理

• Navigieren Sie zu dem Bereich der App, in dem die richlinen fehlschlagen
• Wählen浏览器在Google Chrome和Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen meninen bildschirm和zuzeigen。
• 民意调查您Weitere工具来自。
• 民意调查您Entwicklertools
• Wählen Sie in den Entwicklertools模具选项Quellen．die bietet eine list der Zugriffsdomänennamen fenden Abschnitt der Anwendung。在此基础上，分析了域名在域名领域的应用，分析了域名在域名领域的应用学会Domanenin der app - configuration eingegeben werden。Verwandte Domains sollten wie die folgenden hinzugefgt werden* .domain.com