交通政策

流策略支持对用户连接进行以下配置:

• 对从不可信网络访问的敏感应用程序强制缩短超时时间。
• 为某些应用程序切换网络流量以使用TCP。如果选择TCP，则必须对某些应用程序启用或禁用单点登录。
• 确定希望为Citrix Gateway插件流量使用其他HTTP特性的情况。
• 定义与文件类型关联一起使用的文件名扩展名。

创建流量策略

配置流策略时，需要先创建一个profile，并配置以下参数:

• 协议(HTTP或TCP)
• 应用程序暂停
• 单点登录到web应用程序
• 形成单点登录
• 文件类型关联
• 中继器插件
• Kerberos受约束的委托(KCD)帐户

创建流策略后，可以将策略与虚拟服务器、用户、组或全局绑定。

例如，您在内部网络的服务器上安装了PeopleSoft Human Resources的web应用程序。您可以为该应用创建流量策略，定义目的IP地址、目的端口，并设置用户登录该应用的持续时间，例如15分钟。

如果需要在应用中配置其他特性(如HTTP压缩)，可以通过流量策略进行配置。当您创建策略时，使用HTTP参数作为操作。在表达式中，为运行应用程序的服务器创建目标地址。

通过图形界面配置流策略

1. 扩大Citrix网关>策略然后点击交通．

2. 在详细信息窗格中，在政策选项卡上,单击添加．

3. 在创建交通策略对话框,在的名字，键入策略的名称。

4. 旁边请求配置文件,点击新．

5. 在的名字，键入概要文件的名称。

6. 在协议,选择HTTP或TCP．

   注意:如果选择TCP协议，则无法配置单点登录，且在配置文件对话框中禁用该设置。

7. 在AppTimeout(分钟)，输入分钟数。这个设置限制了用户登录web应用程序的时间。

8. 要启用对web应用程序的单点登录，请在单点登录中,选择在．

   注意:如果你想使用基于表单的单点登录，你可以在流量配置文件中配置设置。有关更多信息，请参见配置基于表单的单点登录．

9. 要指定文件类型关联，请输入文件类型关联中,选择在．

10. 若要使用中继器插件优化网络流量，请在Citrix SD-WAN中选择在,点击创建，然后单击关闭．

11. 如果您在设备上配置KCD，请在KCD帐户中选择该帐户。

    有关在设备上配置KCD的详细信息，请参见在NetScaler设备上配置Kerberos约束委派．

12. 2 .在“创建流策略”对话框中，新建或添加表达式，单击创建、然后点击关闭．

配置基于表单的单点登录

基于表单的单点登录允许用户一次登录到网络中所有受保护的应用程序。当您在Citrix Gateway中配置基于表单的单点登录时，用户可以访问需要基于HTML表单登录的web应用程序，而无需再次输入密码。在没有单点登录的情况下，用户需要分别登录才能访问每个应用程序。

创建表单单点登录配置文件之后，您可以创建流量配置文件和策略，其中包括表单单点登录配置文件。有关更多信息，请参见新建流策略．

配置基于表单的单点登录

1. 扩大Citrix Gateway > Policies，然后点击交通．

2. 在详细信息窗格中，单击形式SSO配置文件选项卡，然后点击添加．

3. 在的名字，键入概要文件的名称。

4. 在动作URL，键入提交已完成表单的URL。

   注意:URL是根相对URL。

5. 在用户名，为用户名字段键入属性的名称。

6. 在密码，键入密码字段的属性名。

7. 在SSO的成功法则，创建一个表达式，该表达式描述该概要文件在被策略调用时所采取的操作。还可以使用该字段下的Prefix、Add和Operator按钮创建表达式。

   该规则检查单点登录是否成功。

8. 在名称值对，输入用户名字段值，后跟一个&，然后是密码字段值。

   值名用&号分隔，例如name1=value1&name2=value2。

9. 在响应大小，键入数字字节以允许完整的响应大小。在要解析以提取表单的响应中键入字节数。

10. 在提取，选择名称/值对是静态的还是动态的。默认设置为Dynamic。

11. 在提交方法，选择由单点登录表单使用的HTTP方法将登录凭据发送到登录服务器。默认是Get。

12. 点击创建、然后点击关闭．

配置SAML单点登录

您可以为单点登录(SSO)创建SAML 1.1或SAML 2.0配置文件。用户可以连接到支持SAML协议的web应用程序进行单点登录。Citrix网关支持SAML web应用程序的IdP单点登录。

配置SAML单点登录

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix Gateway \ >政策然后点击流量。
2. 在详细信息窗格中，单击SAML SSO Profile页签。
3. 在详细信息窗格中，单击Add。
4. 在名称中，键入概要文件的名称。
5. 在签署证书名称中，输入X.509证书的名称。
6. 在ACS URL中，输入标识提供者或服务提供者的断言消费者服务。AssertionConsumerServiceURL (ACS URL)为用户提供单点登录功能。
7. 在Relay State Rule中，从Saved policy Expressions和frequent Used Expressions中构建策略的表达式。从Operator列表中选择以定义如何计算表达式。要测试表达式，请单击“评估”。
8. 在发送密码中选择“打开”或“关闭”。
9. 在发行者名称中输入SAML应用程序的标识。
10. 单击“创建”，然后单击“关闭”。

绑定流策略

您可以为虚拟服务器、组、用户和Citrix Gateway Global绑定流策略。您可以使用配置工具绑定流策略。

通过GUI全局绑定流量策略

1. 在配置实用程序中，在configuration选项卡上，在导航窗格中展开Citrix网关>策略然后点击流量。
2. 在详细信息窗格中，选择策略，然后在“操作”中单击“全局绑定”。
3. 在“绑定/解绑定流策略”对话框的“详细信息”区域下，单击“插入策略”。
4. 在“策略名称”下，选择策略，然后单击“确定”。

除去交通政策

您可以使用任一配置实用程序从Citrix Gateway删除流量策略。如果使用配置实用工具移除绑定了用户、组或虚拟服务器级别的流策略，必须先解绑定该流策略。然后，您可以删除该策略。

通过图形界面解绑定流策略

1. 扩大Citrix网关,然后点击虚拟服务器．
   • 展开Citrix Gateway > User Administration然后点击AAA级组．
   • 扩大Citrix Gateway >用户管理然后点击AAA级用户．
2. 在详细信息窗格中，选择虚拟服务器、组或用户，然后单击开放．
3. 在配置Citrix网关虚拟服务器、配置AAA组,或配置AAA级用户对话框中，单击政策选项卡。
4. 点击交通，选择策略，然后单击解放的政策．
5. 点击好吧,然后点击关闭．

解除绑定后，可以删除该策略。

通过图形界面移除流量策略

1. 扩大Citrix网关>策略，然后单击交通．
2. 在详细信息窗格的“策略”页签中，选择流量策略，单击删除．