思杰安全网络
Citrix Secure Web是一款与HTML5兼容的移动Web浏览器,提供对内部和外部站点的安全访问。您可以将安全Web配置为当设备注册到安全集线器时自动推送给用户设备。或者,您可以从端点管理应用程序商店添加应用程序。
有关安全Web和其他移动生产力应用程序系统需求,请参见系统需求。
集成和交付安全Web
注意:
MDX Toolkit 10.7.10是支持包装移动生产力应用程序的最终版本。用户可以从公共应用商店访问10.7.5及更高版本的移动生产力应用程序。
要集成和交付安全Web,请遵循以下一般步骤:
如果需要单点登录内部网络,需要配置Citrix Gateway。
对于HTTP流量,Citrix ADC可以为Citrix ADC支持的所有代理身份验证类型提供SSO。对于HTTPS流量,Web密码缓存策略使Secure Web能够通过MDX进行身份验证并提供到代理服务器的单点登录。MDX只支持基本、摘要和NTLM代理身份验证。密码使用MDX缓存,并存储在端点管理共享库中,这是敏感应用程序数据的安全存储区域。Citrix Gateway的配置请参见Citrix网关。
- 下载安全网页。
- 确定如何配置到内部网络的用户连接。
- 使用与其他MDX应用程序相同的步骤将安全Web添加到端点管理,然后配置MDX策略。有关特定于安全Web的策略的详细信息,请参见本文后面的“关于安全Web策略”。
配置用户连接
安全Web支持以下配置:
- 隧道- Web单点登录:通过隧道连接到内部网络的连接可以使用无客户端VPN的变体,称为隧道Web SSO。属性指定的默认配置首选VPN方式政策。隧道式—对于需要单点登录(SSO)的连接,建议使用Web SSO。
- 全VPN隧道:到内部网络的隧道连接可以使用完全VPN隧道,由首选VPN模式的政策。使用客户端证书或端到端SSL连接内部网络资源时,建议采用全VPN隧道方式。然而,Secure Web并不是一个可以读取存储在移动设备上的客户端证书的应用程序。可能会安装一些可以提供此功能的第三方包装企业应用程序。完整的VPN隧道处理TCP上的任何协议,除了iOS和Android设备外,还可以用于Windows和Mac计算机。
- 的允许VPN模式切换policy允许在full VPN隧道和tunnel - Web单点登录模式之间自动切换。缺省情况下,该策略为关闭状态。当此策略开启时,由于认证请求在首选VPN模式下无法处理而导致网络请求失败时,将在备用VPN模式下重试。例如,完全VPN隧道模式支持客户端证书的服务器挑战,而不支持tunneling - Web SSO模式。类似地,在使用tunneling - Web SSO模式时,HTTP身份验证挑战更有可能通过SSO来解决。
下表根据配置和站点类型说明Secure Web是否提示用户提供凭据:
| 连接模式 | 网站类型 | 密码缓存 | Citrix Gateway已配置单点登录 | 第一次访问网站时,为凭据提供安全的Web提示 | 在后续访问网站时,为凭证提供安全的Web提示 | 在密码更改后,为凭证提供安全的Web提示 |
|---|---|---|---|---|---|---|
| 隧道- Web单点登录 | HTTP | 没有 | 是的 | 没有 | 没有 | 没有 |
| 隧道- Web单点登录 | HTTPS | 没有 | 是的 | 没有 | 没有 | 没有 |
| 完整的VPN | HTTP | 没有 | 是的 | 没有 | 没有 | 没有 |
| 完整的VPN | HTTPS | 是的,如果安全Web MDX策略“启用Web密码缓存”为“开启”。 | 没有 | 是的,需要在安全Web中缓存凭据。 | 没有 | 是的 |
安全Web策略
在添加安全Web时,要注意这些特定于安全Web的MDX策略。对于所有支持的移动设备:
允许或禁止的网站
安全网页通常不过滤网页链接。您可以使用此策略配置允许或阻止站点的特定列表。您可以配置URL模式以限制浏览器可以打开的网站,格式为逗号分隔的列表。列表中的每个模式前面都有一个加号(+)或减号(-)。浏览器将URL与列出的模式顺序进行比较,直到找到匹配的URL。当找到匹配时,前缀决定采取的操作,如下所示:
- 减号(-)前缀指示浏览器阻止该URL。在这种情况下,URL被视为web服务器地址无法解析。
- 加号(+)前缀允许URL被正常处理。
- 如果模式中既没有提供+也没有提供-,则假设为+(允许)。
- 如果URL不匹配列表中的任何模式,则允许该URL
要阻止所有其他url,请在列表末尾加上一个减号和星号(-*)。例如:
- 策略值
+ http:// * .mycorp.com/ *, http: / / *, + https:// *, + ftp:// * - *允许HTTP urlmycorp.com域,但阻止他们在其他地方,允许HTTPS和FTP url在任何地方,并阻止所有其他url。 - 策略值
+ http:// * .training.lab / *, + https:// * .training.lab / * - *允许用户在训练中打开任何网站。通过HTTP或HTTPS访问实验室域(内部网)。但是,无论使用何种协议,都无法打开诸如Facebook、谷歌和Hotmail等公共url。
默认值为空(允许所有url)。
阻止弹出窗口
弹出窗口是网站未经你允许而打开的新标签。此策略决定安全Web是否允许弹出窗口。如果打开,“安全网络”将阻止网站打开弹出窗口。默认值为“关闭”。
预加载的书签
为安全Web浏览器定义预加载的书签集。策略是一个以逗号分隔的元组列表,其中包括文件夹名称、友好名称和web地址。每个三元组的格式必须是文件夹、名称、url,其中文件夹和名称可以用双引号括起来(")。
例如,策略值,“Mycorp, Inc.主页”,https://www.mycorp.com,“Mycorp链接”,帐户登录,https://www.mycorp.com/Accounts“Mycorp链接/投资者关系”,“联系我们”,https://www.mycorp.com/IR/Contactus.aspx定义三个书签。第一个是一个主链接(没有文件夹名),标题为“Mycorp, Inc.主页”。第二个链接放在一个名为“MyCorp链接”的文件夹中,并标记为“帐户登录”。第三个文件夹位于“MyCorp Links”文件夹的“投资者关系”子文件夹中,并显示为“联系我们”。
默认值为空。
首页URL
定义Secure Web启动时加载的网站。默认值为空(默认起始页)。
仅支持Android和iOS设备:
浏览器用户界面
指示安全Web的浏览器用户界面控件的行为和可见性。通常所有浏览控件都是可用的。这些控件包括前进、后退、地址栏和刷新/停止控件。您可以配置此策略以限制其中一些控件的使用和可见性。默认值为“所有控件可见”。
选项
- 所有控件都可见。所有控件都是可见的,用户使用它们不受限制。
- 只读地址栏。所有控件都是可见的,但用户不能编辑浏览器地址字段。
- 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
- 隐藏所有控件。压制整个工具栏以提供无框架的浏览体验。
启用web密码缓存
当安全Web用户在访问或请求Web资源时输入凭据时,此策略决定安全Web是否在设备上静默地缓存密码。此策略适用于身份验证对话框中输入的密码,而不适用于web表单中输入的密码。
如果在,安全Web缓存用户在请求Web资源时输入的所有密码。如果从,安全Web不缓存密码,并删除现有的缓存密码。默认值为从。
该应用的“首选VPN策略”为“全VPN隧道”时,该策略才会启用。
代理服务器
在隧道式Web单点登录模式下,还可以配置安全Web的代理服务器。详情见此博客。
DNS后缀
在Android操作系统下,如果没有配置DNS后缀,可能导致VPN失败。配置DNS后缀的详细信息请参见Android设备使用DNS后缀支持DNS查询。
为安全Web准备内网站点
本节适用于需要为Android和iOS的Secure Web使用准备内部网站点的网站开发人员。为桌面浏览器设计的内网网站需要修改才能在Android和iOS设备上正常运行。
安全网络依靠Android WebView和iOS WkWebView提供网络技术支持。安全网络支持的一些web技术包括:
- AngularJS
- ASP。net
- JavaScript
- jQuery
- WebGL
安全web不支持的一些web技术包括:
- 闪光
- Java
下表显示了安全Web支持的HTML呈现特性和技术。X表示该特性可用于平台、浏览器和组件组合。
| 技术 | iOS安全Web | Android 6. x / 7。x安全网络 |
|---|---|---|
| JavaScript引擎 | JavaScriptCore | V8 |
| 本地存储 | X | X |
| AppCache | X | X |
| IndexedDB | X | |
| SPDY | X | |
| WebP | X | |
| srcet | X | X |
| WebGL | X | |
| requestAnimationFrame API | X | |
| 导航定时API | X | |
| 资源定时API | X |
技术在不同设备上的工作原理是一样的;但是,安全Web为不同的设备返回不同的用户代理字符串。要确定用于安全Web的浏览器版本,可以查看其用户代理字符串。从“安全Web”导航到https://whatsmyuseragent.com/。
故障排除内网站点
若要排除在安全Web中查看内部网站点时的呈现问题,请比较网站在安全Web和兼容的第三方浏览器上的呈现方式。
对于iOS系统,用于测试的兼容第三方浏览器是Chrome和Dolphin。
对于Android,用于测试的兼容第三方浏览器是Dolphin。
注意:
Chrome是Android上的原生浏览器。不要用它来做比较。
在iOS中,确保浏览器具有设备级VPN支持。可以在设备上配置VPN设置> VPN >添加VPN配置。
您还可以使用App Store中提供的VPN客户端应用程序,例如Citrix VPN,思科AnyConnect,或脉冲安全。
- 如果一个网页在两种浏览器上呈现的效果相同,那么问题出在你的网站上。更新你的网站,确保它能很好地适应操作系统。
- 如果网页上的问题仅在Secure Web中出现,请与思杰技术支持部门联系以打开支持票据。提供故障排除步骤,包括测试的浏览器和操作系统类型。如果iOS的安全Web存在呈现问题,请按照以下步骤包含页面的Web存档。这样做可以帮助思杰更快地解决问题。
创建一个web存档文件
在macOS 10.9或更高版本上使用Safari,您可以将网页另存为web存档文件(称为阅读列表)。web归档文件包括所有链接文件,如图像、CSS和JavaScript。
从Safari中清空“阅读列表”文件夹:在仪,按去菜单中的菜单酒吧,选择进入文件夹,输入路径名~/Library/Safari/ReadingListArchives/,然后删除该位置下的所有文件夹。
在菜单酒吧,转到Safari >首选项>高级并使显示开发菜单在菜单栏。
在菜单酒吧,转到开发>用户代理并进入安全Web用户代理:(Mozilla/5.0 (iPad;CPU OS 8_3像macOS) AppleWebKit/600.1.4 (KHTML,像Gecko) Mobile/12F69安全Web/ 10.1.0(构建1.4.0)Safari/8536.25)。
在Safari中,打开要保存为阅读列表(web存档文件)的网站。
在菜单酒吧,转到书签>添加到阅读列表。存档发生在后台,可能需要几分钟。
定位已归档的阅读列表:在菜单酒吧,转到查看>显示阅读列表侧边栏。
验证存档文件:
- 关闭Mac的网络连接。
从阅读清单中打开网站。
网站渲染完全。
压缩归档文件:在仪,按去菜单中的菜单酒吧,选择进入文件夹,输入路径名~/Library/Safari/ReadingListArchives/。现在压缩具有随机十六进制字符串作为文件名的文件夹。您可以在打开支持票据时将此文件发送给Citrix支持。
安全Web特性
Secure Web使用移动数据交换技术创建专用VPN隧道,供用户访问内部和外部网站以及所有其他网站。这包括在受组织策略保护的环境中具有敏感信息的站点。
安全Web与安全邮件和Citrix文件的集成在安全端点管理容器内提供了无缝的用户体验。下面是一些集成特性的例子:
- 当用户点击Mailto链接,则在Citrix Secure Mail中打开一个新的电子邮件,不需要额外的身份验证。
- 在iOS系统中,用户可以在本地邮件应用程序中通过插入打开安全Web中的链接ctxmobilebrowser: / /在URL前面。例如,打开
example.com从本地邮件应用程序,使用URL ctxmobilebrowser://example.com。 - 当用户单击电子邮件中的内网链接时,安全Web将访问该站点,而不需要额外的身份验证。
- 用户可以在安全网络中将从web下载的文件上传到Citrix files。
安全Web用户还可以执行以下操作:
- 阻止弹出窗口。
注意:
大部分安全Web内存用于呈现弹出窗口,因此在设置中阻止弹出窗口通常可以提高性能。
- 收藏他们最喜欢的网站。
- 下载文件。
- 离线保存页面。
- 自动保存密码。
- 清楚缓存/历史/ cookie。
- 禁用cookie和HTML5本地存储。
- 与其他用户安全地共享设备。
- 在地址栏内搜索。
- 允许他们使用安全网络运行的网络应用程序访问他们的位置。
- 导出和导入设置。
- 直接在Citrix files中打开文件,而无需下载文件。要启用此特性,请添加ctx-sf:到“端点管理”中的“允许访问的url”策略。
- 在iOS中,使用3D Touch操作打开一个新选项卡,并直接从主屏幕访问离线页面、收藏的网站和下载。
- 在iOS系统中,下载任何大小的文件,并在Citrix files或其他应用程序中打开。
注意:
将安全Web置于后台会导致下载停止。
在当前页面视图中使用搜索一个词在页面中查找。
安全Web还支持动态文本。该应用程序显示用户在其设备上设置的字体。