支持企业web应用程序

使用Citrix Gateway服务的Web应用程序交付使企业特定的应用程序能够作为基于Web的服务远程交付。常用的网络应用包括SharePoint、Confluence、OneBug等。

可以使用Citrix Gateway服务使用Citrix Workspace访问Web应用程序。Citrix Gateway服务与Citrix Workspace结合，为已配置的Web应用程序、SaaS应用程序、已配置的虚拟应用程序或任何其他工作空间资源提供统一的用户体验。

SSO和对web应用程序的远程访问可作为以下服务包的一部分:

• 网关服务标准
• 标准工作空间，高级工作空间，或高级工作空间

系统需求

Citrix网关连接器—用于远程访问企业web应用的虚拟设备。Citrix Gateway Connector是一个虚拟设备。虚拟机规范必须至少有:

• vcpu个数必须为2。
• 最小4 GB内存。
• 1网卡(虚拟网卡)。您可以根据需要增加虚拟网卡。

在配置企业web应用程序之前安装网关连接器，以达到更干净的方式。

重要的是:

如果需要部署Citrix Gateway Connector的本地数据中心中存在SSL拦截设备，如果对这些fqdn启用SSL拦截，则无法成功注册连接器。为了成功注册连接器，必须对这些FQDNs禁用SSL拦截。有关Citrix网关连接器的更多信息，请参见Citrix CloudGateway连接器．

连接器设备—您可以将连接器设备与Citrix安全工作区访问服务一起使用，以支持对客户数据中心的企业Web应用程序的VPN-less访问。有关详细信息,请参见https://docs.citrix.com/en-us/preview/connector-appliance-swa.html．使用连接器设备的安全工作区访问目前处于私有技术预览中。

它是如何工作的

Citrix网关服务使用部署在本地的Citrix CloudGateway连接器安全地连接到本地数据中心。此连接器充当部署在本地的企业web应用程序与Citrix网关服务之间的桥梁。这些连接器可以部署在HA对中，并且只需要出站连接。

网关连接器和云中的Citrix网关服务之间的TLS连接可以保护枚举到云服务中的本地应用程序。使用无VPN连接通过工作区访问和交付Web应用程序。下图说明了如何使用Citrix Workspace访问web应用程序。

配置企业web应用程序的方法

企业web应用可以通过以下两种方式进行配置和发布:

• 基于模板的配置—配置步骤请参见使用模板配置和发布应用

• 手动配置—配置步骤如下。

手动配置和发布企业web应用

下面的配置以SharePoint应用为例，手动配置和发布应用:

1. 上Citrix网关服务平铺，单击管理．

2. 点击添加Web/SaaS应用程序以下单点登录瓷砖。

3. 点击跳过要配置SharePoint手动程序。

4. 检查在我的公司网络里单选按钮。

   输入以下详细信息应用细节部分并单击下一个．

   的名字–要添加的应用程序的名称。

   URL–带有客户ID的URL。URL必须包含客户ID（Citrix Cloud客户ID）。要获取您的客户ID，请参阅注册Citrix云。如果SSO失败或您不想使用SSO，用户将重定向到此URL。

   客户域名和客户域ID—客户域名和ID用于在SAML单点登录页面创建应用URL和后续URL。

   例如，如果您正在添加Salesforce应用程序，则您的域名为salesforceformyorgID为123754，则app URL为https://salesforceformyorg.my.salesforce.com/?so=123754。

   客户域名和客户ID字段是特定于某些应用程序的。

   相关领域—相关域会根据您提供的URL自动填充。相关域名帮助服务识别作为应用程序一部分的URL，并相应地路由流量。您可以添加多个相关域。

   图标——点击更改图标更改应用程序图标。图标文件大小为128x128像素。如果不修改图标，则显示默认图标。

   描述—您在此输入的描述信息将在工作区中显示给您的用户。

   不向用户显示应用程序图标-如果您想在Citrix工作区门户中隐藏此应用程序，请选中复选框。当应用程序隐藏在Citrix工作区门户中时，安全工作区访问服务在枚举期间不会返回此应用程序。然而，用户仍然可以访问隐藏的应用程序。

5. 在增强的安全性部分，选择启用增强安全性选择要应用于应用程序的安全性选项。

   重要的是:

   这个增强安全性节仅在您有权使用安全工作区访问服务时可用。有关详细信息,请参见//m.giftsix.com/products/citrix-cloud/．

   • 可以为应用程序启用下列增强的安全选项。

     • 限制剪贴板访问：禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作
     • 限制印刷:禁用从Citrix Workspace应用程序浏览器中打印的功能
     • 限制导航:禁用下一个/返回应用程序浏览器按钮
     • 限制下载:禁用用户从应用程序内下载的功能
     • 显示水印:在用户屏幕上显示一个水印，显示用户机器的用户名和IP地址

   • 应用可以启用以下应用高级保护策略。

     难眠限制键盘记录器:防止键记录器。当用户试图使用用户名和密码登录应用程序时，所有密钥都在密钥记录器上加密。此外，用户在应用程序上执行的所有活动都受到了密钥记录的保护。例如，在Office365上启用了应用保护策略，当用户编辑Office365 word文档时，所有的击键都会在密钥记录器上加密。

     限制屏幕截图:禁用使用任何屏幕捕捉程序或应用程序捕捉屏幕的能力。如果用户试图捕获屏幕，则会捕获一个黑屏。

     重要的是:

     • 只有在启用后，才能启用高级应用程序保护策略启用增强安全性选择。
     • 每个应用都启用应用保护策略，因为并非所有应用都需要这些限制。
     • 只有当应用通过Citrix嵌入式浏览器下发时，应用保护策略才会生效。

   • 选择始终在Citrix安全浏览器服务中启动应用程序总是在安全浏览器服务中启动应用程序，而不管其他增强的安全设置。

     注:

     • 一旦应用程序在安全浏览器中启动，其他增强的安全选项仍将执行。

     • 如果您是从Citrix Workspace应用程序或Citrix Workspace for web访问该应用程序，则该应用程序将分别在嵌入式浏览器或本机浏览器中启动，直到在移动设备上强制执行该策略。

   • 选择在移动设备上执行策略在移动设备上启用前面提到的增强安全选项。

     笔记:

     当在移动设备上执行策略与一起选择启用增强安全性对于桌面用户和移动用户，应用程序访问的用户体验受到负面影响。

6. 现在您必须连接到资源位置。您可以选择已有的资源位置，也可以新建资源位置。在资源位置列表中单击已创建的资源位置，如“我的资源位置”，单击下一个. 有关添加资源位置的指导，请单击https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

7. 选择应用程序使用的首选单点登录类型并单击保存．以下是可用的单点登录类型。

   • 基本-如果后端服务器向您提出basic-401挑战，请选择基本的SSO．您不需要提供任何配置细节基本SSO类型。
   • Kerberos–如果后端服务器向您提出协商-401挑战，请选择Kerberos．您不需要提供任何配置细节KerberosSSO类型。
   • 基于表单的-如果后端服务器为您提供一个HTML表单进行身份验证，请选择基于表单的．输入配置的详细信息基于表单的SSO类型。
   • 萨米尔-选择萨米尔用于基于saml的web应用程序的单点登录。输入详细的配置萨米尔SSO类型。
   • 不要使用SSO——使用不要使用SSO当您不需要在后端服务器上对用户进行身份验证时，选择。当不要使用SSO选项时，用户将被重定向到在应用程序详细信息部分。

   基于表单的详细信息:在Single Sign On部分输入以下基于表单的配置详细信息，然后单击Save．

   • 动作URL-输入提交完成表单的URL。
   • 登录URL形式-输入显示登录表单的URL。
   • 用户名格式—选择用户名的格式。
   • 用户名字段–键入用户名属性。
   • 密码表单字段–键入密码属性。

   SAML:在Sign Sign on部分中输入以下详细信息，然后单击Save．

   • 符号断言—在将响应或断言传递给依赖方(SP)时，签名断言或响应可以确保消息的完整性。您可以选择断言、响应,或没有一个．
   • 断言URL—断言URL由应用程序供应商提供。SAML断言被发送到这个URL。
   • 继电器状态—中继状态参数用于标识用户登录并被定向到依赖方的联合服务器后所访问的特定资源。Relay State为用户生成一个URL。用户可以单击此URL登录到目标应用程序。
   • 观众—“Audience”由应用厂商提供。这个值确认为正确的应用程序生成了SAML断言。

   • 名称标识格式—选择支持的名称标识格式。

   • 名字标识–选择支持的名称ID。

8. 点击完成．

   你点击后完成，该应用程序被添加到库中，你会看到以下三个选项。

   • 添加其他应用程序
   • 编辑应用程序
   • 去图书馆

为发布的应用分配用户或用户组

应用发布后，可以为应用分配用户或组。

1. 上Citrix云屏幕上，单击去图书馆. 或者，也可以单击左上菜单中的“库”。

   注意，新添加的应用程序功能在您的库中。

2. 要为应用程序分配用户，将鼠标悬停在右边的省略号上，然后单击管理订户．

3. 点击选择一个域列出并选择一个域。点击选择组或用户并分配用户。

   注:通过选择用户并单击旁边的删除图标，可以取消已订阅的用户地位．

4. 要获取要与应用程序用户共享的工作区URL，请访问Citrix云，单击菜单图标，导航到工作空间配置．

管理已发布的应用程序

您可以编辑或删除已发布的应用程序，并向已发布的应用程序添加更多订阅者。

编辑已发布的应用程序

编辑已发布的应用程序，执行以下步骤:

1. 去图书馆并确定要编辑的应用程序。

2. 将指针悬停在右边的省略号上，然后单击编辑．

3. 编辑下的条目应用细节部分并单击保存．

4. 编辑下的条目单点登录部分，单击保存，然后单击完成．

删除已发布的应用程序

删除已发布的应用，请执行以下步骤:

1. 去图书馆并识别要删除的应用程序。
2. 单击右侧的点图标，然后单击删去．

管理已发布应用程序的订阅服务器

如果需要添加更多用户，请执行以下操作。

1. 去图书馆并确定要修改的应用程序。
2. 将指针悬停在右边的省略号上，然后单击管理订户．

启动一个配置好的应用程序-终端用户流程

要启动已配置的应用程序，执行以下步骤:

1. 使用AD用户凭据登录Citrix Workspace。将显示管理员配置的应用程序。
2. 单击应用程序以启动应用程序。应用程序已启动，用户已登录到该应用程序。

允许通过本地浏览器对企业Web应用程序进行非vpn访问

您可以使用Citrix安全工作区访问浏览器扩展，以启用VPN-less访问企业Web应用程序通过本地浏览器。Citrix安全工作区访问浏览器扩展支持谷歌Chrome和Microsoft Edge浏览器。

如何安装Citrix安全工作区访问浏览器扩展

1. 从谷歌Chrome商店下载Citrix安全工作区访问浏览器扩展。
2. 单击Register注册服务器FQDN。
3. 输入服务器FQDN并单击下一步。
4. 输入您的Citrix工作区URL。
5. 单击Next。
6. 输入您的用户名和密码。
   • 输入正确的用户凭证后，用户就登录到Workspace web门户和浏览器扩展中。
   • 浏览器扩展图标变为蓝色，表明内部应用程序访问已启用。
   • 浏览器扩展窗口在成功登录后自动关闭。
7. 现在可以直接在浏览器中访问受制裁的内部web应用程序的链接。如果web应用配置为SSO，则用户将登录到该应用。

注:

• 当您在内部网络上并且不需要浏览器扩展来启用对这些URL的访问时，您可以将内部应用程序访问滑块关闭，然后访问URL。
• 你可以签出浏览器扩展，如果你想禁用内部web应用程序访问从本地浏览器
• 您还可以删除您的帐户注册单击删除按钮，以重置扩展回到其原始状态。一旦你注销了你的帐户，你就不能从你的本地浏览器访问企业网络应用了。

配置会话超时

管理员可以为Citrix安全工作区访问浏览器扩展配置会话超时。

1. 在Citrix Gateway服务平铺上，单击管理．
2. 单击管理选项卡。
3. 在浏览器扩展行为的不活动超时，根据需求选择超时时间。

重要的是:

暂时不能将路由规则发送到浏览器扩展。