PoC指南:安全访问azure管理的SaaS应用程序和Citrix安全私有访问
概述
当用户访问SaaS应用程序中的机密内容时,组织必须能够在执行身份验证标准的同时简化用户登录操作。组织必须能够保护SaaS应用程序,即使它存在于数据中心的范围之外。Citrix Workspace为组织提供了针对SaaS应用程序的增强安全控制。
在这个场景中,用户使用Active Directory作为主用户目录向Citrix Workspace进行身份验证,并启动一个azure管理的SaaS应用程序。
如果将Citrix Secure Private Access服务分配给Citrix订阅,则在SaaS应用程序之上应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆和保护用户免受不可信链接的伤害。
下面的动画显示用户使用azure提供的SSO访问SaaS应用程序,并使用Citrix安全私有访问进行保护。
这个演示展示了idp发起的SSO流,其中用户从Citrix Workspace中启动应用程序。此PoC指南还支持sp发起的SSO流,其中用户尝试直接从首选浏览器访问SaaS应用程序。
假设:
- Azure已经被配置为为SaaS应用程序提供SSO
- 用户可以成功登录Azure应用程序门户并启动SaaS应用程序
本概念验证指南演示了如何:
- 安装Citrix工作区
- 集成一个主用户目录
- 为SaaS应用程序合并单点登录
- 定义网站过滤策略
- 验证配置
安装Citrix工作区
设置环境的初始步骤是为组织准备Citrix Workspace,其中包括
- 设置工作区URL
- 启用适当的服务
设置工作空间网址
- 连接到Citrix云然后以您的管理员帐户登录
- 在Citrix工作区中,访问工作空间配置从左上角的菜单
- 从访问选项卡,为组织输入一个惟一的URL并选择“启用”
支持服务
在Service Integration选项卡中,启用以下服务以支持安全访问SaaS应用程序用例
- 网关
- 安全浏览器
验证
Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中,验证自定义工作区URL处于活动状态。但是,在定义和配置主用户目录之前,无法进行登录。
集成主用户目录
在用户可以验证到Workspace之前,a主要用户目录必须配置。主用户目录是用户需要的唯一标识,因为Workspace中的所有应用程序请求都使用单点登录到辅助标识。
组织可以使用下列主用户目录中的任何一个
- 活动目录:若要启用Active Directory身份验证,云连接器必须部署在与Active Directory域控制器相同的数据中心中云连接器安装指南。
- 带有基于时间的一次性密码的活动目录:基于Active directory的身份验证还可以包括使用基于时间的一次性密码(TOTP)的多因素身份验证。这指南详细说明启用此身份验证选项所需的步骤。
- Azure活动目录:用户可以使用Azure Active Directory身份认证到Citrix Workspace。这指南提供有关配置此选项的详细信息。
- Citrix网关:组织可以利用内部的Citrix Gateway作为Citrix Workspace的身份提供者。这指南提供关于集成的详细信息。
- Okta:组织可以使用Okta作为Citrix Workspace的主用户目录。这指南提供配置此选项的说明。
创建SaaS应用程序
要成功地使用Citrix Workspace创建SaaS,管理员需要执行以下操作
- SaaS应用程序配置
- 授权SaaS应用程序
SaaS应用程序配置
通过在Azure中配置SaaS应用程序,可以在Citrix Workspace中配置SaaS应用程序。
- 在Azure中,选择Azure活动目录
- 选择企业应用程序
- 在列表中,选择SaaS应用程序,这将显示应用程序概述
- 选择属性
- 复制用户访问URL记得以后用
- 在Citrix Cloud中,选择管理从网关瓷砖。
- 选择添加一个Web/SaaS应用程序
- 在“选择模板”向导中找到正确的模板。在本例中,选择人类
- 选择下一个
- 在应用细节屏幕上,取代URL与用户访问URL复制从Azure。
- 在最后URL,添加以下内容:whr = federated_domain替换federated_domain与用户身份相关的域(用户电子邮件中@符号后的信息)。联邦域条目通知Azure重定向到正确的联邦域配置。在接下来的部分中,将在Azure中配置联邦域信息。
- 增强的安全策略使用相关的domains字段来确定要保护哪些url。系统根据默认URL自动添加一个相关域。除了自动创建的URL之外,还为SaaS应用程序的实际URL添加一个额外的域。
- 选择下一个
- 在增强的安全窗口,为该环境选择适当的安全策略
- 在单点登录窗口中,设置断言URL是
https://login.microsoftonline.com/login.srf - 集观众是urn:联盟:MicrosoftOnline
- 设置名称标识格式=持久而且名称ID=活动目录GUID
- 选择标签为使用指定的URL启动应用程序(SP started).一旦通过身份验证,用户就会自动被重定向到SaaS应用程序,而不是Azure应用程序门户。
- 在“高级属性”下添加属性名称= IDPEmail,属性格式=未指明的,属性值=电子邮件
- 注:**只需要在第一款应用中执行。选择* *下载捕获CRT-based证书。
- 注:**只需要在第一款应用中执行。在**登录URL旁边,选择复制按钮以捕获登录URL。此URL稍后使用。
- 注:**只需要在第一款应用中执行。选择**SAML元数据链接
- 在SAML Metadata文件中,查找EntityID.复制整个URL并存储以供以后使用。一旦捕获,就可以关闭SAML Metadata文件。
- 选择保存
- 选择完成完成SaaS应用的配置。
授权SaaS应用程序
- 在Citrix Cloud中,选择图书馆从菜单中
- 找到SaaS应用程序并选择管理用户
- 添加被授权启动应用程序的适当用户/组
联合Azure认证到Citrix工作区
要成功地将SaaS应用程序与Citrix Workspace联合起来,管理员需要执行以下操作
- 验证身份验证领域
- 配置域联盟
验证身份验证领域
要将认证与Citrix Workspace联合起来,Azure必须验证完全限定的域名。在Azure Portal中,执行以下操作:
- 访问Azure Active Directory
- 选择自定义的域名在导航窗口中
- 选择添加自定义的域
- 输入完全限定的域名
- 选择加域
- Azure提供了可以合并到域名注册器中的记录。一旦完成,选择验证.
- 一旦完成,域包含一个经过验证的标记
配置域联盟
最后的配置是让Azure使用Citrix Workspace作为经过验证的域的联邦权威。必须使用PowerShell来配置联合。
- 发射PowerShell
- 使用以下命令添加适当的模块
Install-ModuleAzureADforceImport-ModuleAzureADforceInstall-ModuleMSOnlineforceImport-moduleMSOnlineforce<!——NeedCopy-->- 通过PowerShell连接到Microsoft Online并进行身份验证
Connect-MSOLService<!——NeedCopy-->- 验证域当前设置为管理在Azure中运行以下PowerShell命令
Get-MsolDomain<!——NeedCopy-->
- 在PowerShell脚本中使用以下代码创建此域联邦通过更改变量以与您的环境保持一致
dom美元=“workspaces.wwco.net”#在Azure中验证的完全合格域名fedBrandName美元=“CitrixWorkspaceSAMLIdP”#用于帮助记住配置目的的名称IssuerUri美元=“//m.giftsix.com/fdafdjk4”#从Citrix工作区SAML元数据文件中提取的entityIDlogoffuri美元=“https://app.netscalergateway.net/cgi/logout”#所有的标准条目。不改变美元的uri=“https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?appid=8dd87428 - 460 b - 4358 - a3c2 - 609451 - e8f5be”# Citrix Workspace SaaS应用程序配置中的登录URLcert美元=新对象System.Security.Cryptography.X509Certificates.X509Certificate2(“e: \ CitrixCloud.crt”)从Citrix Workspace下载证书文件的路径certData美元=[system.convert)::tobase64string(cert美元.rawdata)Set-MsolDomainAuthentication`域名dom美元`- - - - - -federationBrandNamefedBrandName美元`身份验证联邦`-PassiveLogOnUri美元的uri`-LogOffUrilogoffuri美元`-SigningCertificatecertData美元`-IssuerUriIssuerUri美元`-PreferredAuthenticationProtocolSAMLP<!——NeedCopy-->- 验证域当前设置为联邦在Azure中运行以下PowerShell命令
Get-MsolDomain<!——NeedCopy-->
- 运行以下PowerShell命令,验证Azure中的联合设置
Get-MsolDomainFederationSettings域名dom美元<!——NeedCopy-->
**注:如果需要删除联邦设置,请执行以下PowerShell命令
Set-MsolDomainAuthentication域名dom美元身份验证管理<!——NeedCopy-->验证
IdP-Initiated验证
- 以用户身份登录到Citrix Workspace
- 选择SaaS应用程序
- 观察URL,可以看到它通过Azure简单地重定向
- SaaS门户成功启动
SP-Initiated验证
- 启动浏览器
- 转到公司为SaaS应用程序定义的URL
- 浏览器重定向到Okta,然后重定向到Citrix Workspace进行身份验证
- 一旦用户使用主用户目录进行身份验证,SaaS应用程序就会启动,Okta提供单点登录
定义网站过滤策略
Citrix Secure Private Access服务在SaaS和Web应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面介绍如何设置网站过滤策略。
- 从Citrix云,管理在安全私有访问贴图中
- 如果遵循了本指南,那么设置最终用户身份验证步骤和配置终端用户对SaaS、web和虚拟应用程序的访问步骤完成。选择配置内容访问
- 选择编辑
- 启用的过滤网站类别选项
- 在阻塞的类别框中,选择添加
- 选择要阻止用户访问的类别
- 当选择了所有适用的类别时,选择添加
- 对允许的类别是否也这样做
- 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
- 如果需要,管理员可以按照定义类别时使用的相同过程对特定url的拒绝、允许和重定向操作进行过滤。网站url优先于分类。
验证配置
IdP-Initiated验证
- 以用户身份登录到Citrix Workspace
- 选择SaaS应用程序。如果禁用增强安全性,则应用程序在本地浏览器中启动,否则使用企业浏览器
- 用户会自动登录应用程序
- 应用适当的增强安全策略
- 如果已配置,请在SaaS应用程序中选择一个位于阻止、允许和重定向类别中的URL
- 如果已配置,请选择SaaS应用程序中处于阻止、允许和重定向URL中的URL
- SaaS应用程序成功启动
SP-Initiated验证
- 启动浏览器
- 去SaaS应用网站,然后登录.如果有进行SSO的选项,请选择该选项。
- 浏览器将浏览器重定向到Citrix Workspace进行身份验证
- 输入用户名。
- 一旦用户使用主用户目录进行身份验证,如果禁用了增强安全性,则SaaS应用程序将在本地浏览器中启动。如果启用了增强的安全性,Secure Browser实例将启动SaaS应用程序。
待签署
在默认配置中,Azure Active Directory在登录过程中显示一个对话框,允许用户保持已登录状态。
这是一个Azure设置,可以通过以下步骤轻松更改:
- 在Azure中,选择Azure活动目录
- 选择公司品牌
- 选择已启用的区域设置
- 在编辑公司品牌面板中,选择没有在显示选项以保持已登录
- 选择保存
故障排除
目录中不存在用户帐户
当试图启动SaaS应用程序时,用户可能会收到以下错误:用户帐户“帐户名”不存在于“GUID”目录中。
以下是解决这个问题的建议:
- 验证用户被授权在Azure Active Directory中使用SaaS应用程序
- 验证主用户目录、Azure Active directory和SaaS应用程序之间的错误匹配中识别的电子邮件地址。
联合王国的对象
在验证过程中,用户可能会收到以下错误:
这通常是由于域没有得到验证或没有得到正确的联合而引起的。阅读PoC指南的以下部分:
增强安全策略失败
用户可能会遇到增强的安全策略(水印、打印或剪贴板访问)失败。通常,这是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中,有一个用于相关的领域.
增强的安全策略被应用到那些相关的域。为了识别丢失的域名,管理员可以使用本地浏览器访问SaaS应用程序,并执行以下操作:
- 导航到应用程序中策略失败的部分
- 在谷歌Chrome和Microsoft Edge(铬版本)中,选择浏览器右上角的三个点将显示菜单屏幕。
- 选择更多的工具.
- 选择开发人员工具
- 在开发人员工具中,选择来源.这将为应用程序的该部分提供访问域名的列表。要为应用程序的这一部分启用增强的安全策略,必须将这些域名输入相关的领域应用程序配置中的字段。相关域如下所示添加
* .domain.com
