PoC指南-自适应访问SaaS和私有Web应用程序
概述
随着用户使用更多基于saas的应用程序,组织必须统一所有认可的应用程序,简化用户登录操作,同时执行身份验证标准。组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix Workspace为组织提供对SaaS应用程序的安全访问。
在此场景中,用户使用Active Directory、Azure Active Directory、Okta、Google或Citrix Gateway作为主用户目录对Citrix Workspace进行身份验证。Citrix Workspace为一组已定义的SaaS应用程序提供单点登录服务。
如果将Citrix Secure Private Access服务分配给Citrix订阅,则会在SaaS应用程序之上应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆和保护用户免受不可信链接的影响。
下面的动画显示了一个用户使用提供SSO的Citrix访问SaaS应用程序,并使用Citrix Secure Private Access进行保护。
这个演示展示了一个idp发起的SSO流,用户在其中启动Citrix Workspace中的应用程序。本PoC指南还支持sp发起的SSO流,用户可以尝试从首选浏览器直接访问SaaS应用程序。此外,本指南还演示了如何使用自适应访问策略,根据用户角色、网络位置或设备状态等条件提供有条件的访问。
这个概念验证指南演示了如何:
- 设置Citrix工作区
- 集成主用户目录
- 为SaaS应用程序合并单点登录
- 验证配置
- 配置和验证自适应访问
设置Citrix工作区
设置环境的初始步骤是为组织准备Citrix Workspace,其中包括
设置工作区URL
- 连接到Citrix云以管理员帐号登录
- 在Citrix工作区中,访问工作空间配置从左上角菜单中
- 从访问选项卡,输入组织的唯一URL,并选择“启用”
验证
Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中验证自定义工作区URL是否处于活动状态。但是,在定义和配置主用户目录之前,不能进行登录。
集成主用户目录
在用户可以验证到Workspace之前,需要进行以下操作主用户目录必须配置。主用户目录是用户需要的唯一标识,因为对工作区内应用程序的所有请求都使用对辅助标识的单点登录。
组织可以使用以下任何一个主用户目录
- 活动目录:若要启用Active Directory身份验证,必须将云连接器部署在与Active Directory域控制器相同的数据中心内云连接器安装指南。
- 具有基于时间的一次性密码的Active Directory:基于Active directory的身份验证还可以包括基于时间的一次性密码(TOTP)的多因素身份验证。这指南详细说明启用此身份验证选项所需的步骤。
- Azure Active Directory:用户可以使用Azure Active Directory标识对Citrix Workspace进行身份验证。这指南提供配置此选项的详细信息。
- Citrix网关:组织可以利用内部部署的Citrix网关作为Citrix工作区的身份提供者。这指南提供有关集成的详细信息。
- Okta组织可以使用Okta作为Citrix Workspace的主用户目录。这指南提供配置此选项的说明。
- SAML 2.0:组织可以将所选择的SAML 2.0提供程序与其本地Active Directory (AD)一起使用。这指南提供配置此选项的说明。
配置单点登录
要成功地将SaaS应用程序与Citrix Workspace集成,管理员需要完成以下工作
- 配置SaaS应用
- 授权SaaS应用
配置SaaS应用
- 在Citrix Workspace中,选择管理从“安全私有访问”磁贴中。
- 选择应用程序
- 选择添加应用程序
- 在“选择模板”向导中,搜索并选择正确的模板,在本例中为Zoho,然后单击下一步
- 在App详细信息窗口中,为SaaS应用程序键入组织的唯一域名。URL和相关域将自动填充
请注意:增强的安全策略使用相关域字段来确定需要保护的url。根据上一步中的URL自动添加一个相关的域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名,则必须将域名添加到相关域字段中,这种情况经常发生*。< companyID > .SaaSApp.com
(举个例子* .citrix.slack.com
)
- 在增强的安全窗口中,选择启用增强安全性—显示水印(和或其他适合环境的安全策略)
- 在单点登录窗口,复制登录网址
- 选择下载下载PEM格式的X.509证书
- 在Zoho帐户应用程序中,选择组织> SAML认证以调出设置。(需要永久或试用企业许可证,并创建企业用户对象)
- 选择现在设置
- 对于“登录URL”和“更改密码URL”,请粘贴登录网址从Citrix Secure Private Access配置中获取
- 对于X.509证书,上传从Citrix Secure Private Access配置中下载的.PEM文件
- 对于Zoho服务,输入“People”
- 选择配置
- 在“Citrix安全私有访问配置”中选择下一个
- 在应用程序连接窗口,注意所需的域自动设置为外部路由,并选择Next
- 在应用程序用户窗口中,添加被授权启动应用程序的适当用户/组
- 选择下一个,其次是完成
验证配置
IdP-Initiated验证
- 以用户身份登录到Citrix Workspace
- 选择已配置的SaaS应用程序。
- SaaS应用程序成功启动
- 用户自动登录到应用程序
- 应用增强的安全性
SP-Initiated验证
- 启动浏览器
- 转到公司为SaaS应用程序定义的URL
- 浏览器将浏览器定向到Citrix Workspace进行身份验证
- 一旦用户使用主用户目录进行身份验证,如果禁用了增强的安全性,则SaaS应用程序将在本地浏览器中启动。如果启用了增强的安全性,则安全浏览器实例将启动SaaS应用程序
配置和验证自适应访问
管理
- 在Citrix Secure Private Access tile中,选择管理
- 选择访问策略从左边的菜单里
- 选择创建政策
- 下对于这些应用程序的用户进入Zoho People
- 下如果满足以下条件注意以下几个选项条件。选择网络位置,并选择匹配任何
- 选择创建网络位置,输入名称和标记,对于公共IP地址范围,查找POC端点的公共IP地址,并输入后跟/32的公共IP地址,表示它是主机IP地址
- 下然后执行以下操作注意几个预设的选项允许带有访问限制。在我们的例子中,我们选择拒绝访问
- 输入一个政策的名字
- 启用策略并选择Save
用户
- 以用户身份登录到Citrix Workspace
- 从左侧菜单中选择“应用程序”
- 注意,自适应访问、网络位置策略已经应用,Zoho People现在从可用应用列表中消失了
故障排除
增强安全策略失败
用户可能会遇到增强安全策略(水印、打印或剪贴板访问)失败的情况。通常,这是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中,有一个条目相关的领域
将增强的安全策略应用到相关域。为了识别丢失的域名,管理员可以使用本地浏览器访问SaaS应用程序,并执行以下操作:
- 导航到应用程序中策略失败的部分
- 在Google Chrome和Microsoft Edge (Chromium版本)中,选择浏览器右上方的三个点来显示菜单屏幕
- 选择更多的工具
- 选择开发人员工具
- 在开发人员工具中,选择来源。这提供了该应用程序部分的访问域名列表。要启用此应用程序的增强安全策略,必须将这些域名输入相关的领域字段。相关域的添加方式如下
* .domain.com