文章验证政策

认证后策略是一组通用规则，用户设备必须满足这些规则才能保持会话活动。如果策略失败，则与Citrix Gateway的连接结束。在配置认证后策略时，可以为用户连接配置任何可设置为条件的设置。

注意:

此功能仅适用于Citrix Gateway插件。如果用户使用Citrix工作区应用程序登录，终端分析扫描仅在登录时运行。

使用会话策略配置认证后策略。首先，创建策略应用的用户。然后，将用户添加到组中。接下来，将会话、流量策略和内网应用绑定到组中。

还可以指定组为授权组。这种类型的组允许您根据会话策略中的客户端安全表达式将用户分配给组。

如果用户设备不满足认证后策略的要求，还可以配置认证后策略，将用户放在隔离组中。一个简单的策略包括一个客户端安全表达式和一个客户端安全消息。当用户处于隔离组中时，用户可以登录到Citrix Gateway;但是，它们对网络资源的访问是有限的。

不能使用相同的会话配置文件和策略创建授权组和隔离组。创建认证后策略的步骤相同。在创建会话策略时，您可以选择授权组或隔离组。您可以创建两个会话策略，并将每个会话策略与组绑定。

SmartAccess还使用认证后策略。有关SmartAccess的详细信息，请参见在Citrix网关上配置SmartAccess．

配置认证后策略

使用会话策略配置认证后策略。一个简单的策略包括一个客户端安全表达式和一个客户端安全消息。

使用GUI配置认证后策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关>策略然后点击会议．
2. 在详细信息窗格中，在政策选项卡上,单击添加．
3. 在的名字，键入策略的名称。
4. 旁边请求配置文件,点击新．
5. 在的名字，键入配置文件的名称。
6. 在Security选项卡上，单击高级设置．
7. 下客户端安全,点击覆盖全球,然后点击新．
8. 配置客户端安全表达式，然后单击创建．
9. 下客户端安全，在“隔离组”中选择一个组。
10. 在错误消息，键入您希望用户在验证后扫描失败的情况下接收的消息。
11. 在“授权组”下，单击覆盖全球，选择一个群组，单击添加,点击好吧，然后单击创建．
12. 在创建会话策略对话框中，在“命名表达式”旁边，选择一般，选择“True value”，单击“Add Expression”，单击创建，然后单击关闭．

配置认证后扫描的频率

您可以配置“Citrix Gateway”以指定的时间间隔执行认证后策略。例如，您配置了客户端安全策略，并希望该策略每10分钟在用户设备上运行一次。您可以通过在策略中创建自定义表达式来配置此频率。

注意:

身份验证后策略的频率检查功能仅适用于Citrix Gateway插件。如果用户使用Citrix工作区应用程序登录，终端分析扫描仅在登录时运行。

在配置客户端安全策略时，可以按照以下步骤设置频率，单位为分钟配置认证后策略．中可以输入频率值的位置如下图所示添加表达式对话框。

隔离和授权组

用户登录Citrix Gateway时，需要将其分配到一个组中，该组可以在安全网络中的Citrix Gateway上配置，也可以在认证服务器上配置。如果用户身份验证后扫描失败，则可以将该用户分配给一个称为隔离组的受限制组，该组限制对网络资源的访问。

您还可以使用授权组来限制用户对网络资源的访问权限。例如，您可能有一组仅访问电子邮件服务器和文件共享的一组合同人员。当用户设备通过Citrix Gateway上定义的安全要求时，用户可以动态成为组的成员。

可以使用全局设置或会话策略配置绑定到用户、组或虚拟服务器的隔离和授权组。可以根据会话策略中的客户端安全表达式将用户分配给组。当用户是组的成员时，Citrix Gateway会根据组的成员身份应用会话策略。

配置授权组织

在配置Endpoint Analysis扫描时，当用户设备通过扫描时，可以动态地将用户添加到授权组。例如，您创建一个端点分析扫描来检查用户设备域成员关系。在Citrix Gateway上，创建一个名为Domain-Joined Computers的本地组，并将其添加为通过扫描的任何人的授权组。当用户加入组时，用户继承与组关联的策略。

不能全局绑定授权策略，也不能绑定虚拟服务器。在Citrix Gateway上，当用户没有被配置为其他组的成员时，可以使用授权组提供默认的授权策略集。

使用会话策略配置授权组

1. 在配置实用程序的configuration选项卡上，在导航窗格中，展开Citrix Gateway > Policies，然后单击Session。
2. 在详细信息窗格中，在Policies选项卡上，单击Add。
3. 在“名称”中，键入策略的名称。
4. 在请求配置文件旁边，单击新建。
5. 在名称中，键入配置文件的名称。
6. 在“安全”页签上，单击“高级设置”。
7. 在“授权组”下，单击“覆盖全局”，从下拉列表中选择组，单击“添加”，单击“确定”，然后单击“创建”。
8. 在“创建会话策略”对话框中，在“命名表达式”旁边，选择“常规”，选择“真值”，单击“添加表达式”，单击“创建”，然后单击“关闭”。

创建会话策略后，可以将会话策略与用户、组或虚拟服务器绑定。

配置全局授权组

1. 在配置实用程序中，在导航窗格中的configuration选项卡上，展开Citrix Gateway，然后单击Global Settings。
2. 在详细信息窗格的“设置”下，单击“更改全局设置”。
3. 在“安全”页签上，单击“高级设置”。
4. 在“授权组”下拉列表框中选择组，单击“添加”，连续两次单击“确定”。

如果需要全局删除授权组或从会话策略中删除授权组，请在“安全设置-高级”对话框中，从列表中选择授权组，然后单击“删除”。

配置隔离组

在配置隔离组时，可以使用会话配置文件中的“安全设置-高级设置”对话框配置客户端安全表达式。

为隔离组配置客户端安全表达式

1. 在配置实用程序的configuration选项卡上，在导航窗格中，展开Citrix Gateway > Policies，然后单击Session。
2. 在详细信息窗格中，在Policies选项卡上，单击Add。
3. 在“名称”中，键入策略的名称。
4. 在请求配置文件旁边，单击新建。
5. 在名称中，键入配置文件的名称。
6. 在“安全”页签上，单击“高级设置”。
7. 在“客户端安全性”下，单击“覆盖全局”，然后单击“新建”。
8. 在“客户端表达式”对话框中，配置客户端安全表达式，然后单击“创建”。
9. 在隔离组中，选择该组。
10. 在“错误消息”中，为用户键入描述问题的消息，然后单击“创建”。
11. 在“创建会话策略”对话框中，在“命名表达式”旁边，选择“常规”，选择“真值”，单击“添加表达式”，单击“创建”，然后单击“关闭”。

创建会话策略后，需要将会话策略与用户、组或虚拟服务器绑定。

请注意

如果端点分析扫描失败,用户把检疫组绑定到检疫集团的政策是有效的只有如果没有政策直接绑定到用户有一个优先级的数量等于或低于政策绑定到检疫组。

配置全局隔离组

1. 在配置实用程序中，在导航窗格中的configuration选项卡上，展开Citrix Gateway，然后单击Global Settings。
2. 在详细信息窗格的“设置”下，单击“更改全局设置”。
3. 在“安全”页签上，单击“高级设置”。
4. 在“客户端安全”中配置客户端安全表达式。
5. 在隔离组中，选择该组。
6. 在“错误消息”中，为用户键入描述问题的消息，然后单击“确定”。