PoC指南-自适应访问SaaS和私有Web应用程序

概述

随着用户使用更多基于saas的应用程序，组织必须统一所有认可的应用程序，简化用户登录操作，同时执行身份验证标准。组织必须能够保护这些应用程序，即使它们存在于数据中心的范围之外。Citrix Workspace为组织提供对SaaS应用程序的安全访问。

在此场景中，用户使用Active Directory、Azure Active Directory、Okta、Google或Citrix Gateway作为主用户目录对Citrix Workspace进行身份验证。Citrix Workspace为一组已定义的SaaS应用程序提供单点登录服务。

如果将Citrix Secure Private Access服务分配给Citrix订阅，则会在SaaS应用程序之上应用增强的安全策略，包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆和保护用户免受不可信链接的影响。

下面的动画显示了一个用户使用提供SSO的Citrix访问SaaS应用程序，并使用Citrix Secure Private Access进行保护。

这个演示展示了一个idp发起的SSO流，用户在其中启动Citrix Workspace中的应用程序。本PoC指南还支持sp发起的SSO流，用户可以尝试从首选浏览器直接访问SaaS应用程序。此外，本指南还演示了如何使用自适应访问策略，根据用户角色、网络位置或设备状态等条件提供有条件的访问。

这个概念验证指南演示了如何:

1. 设置Citrix工作区
2. 集成主用户目录
3. 为SaaS应用程序合并单点登录
4. 验证配置
5. 配置和验证自适应访问

设置Citrix工作区

设置环境的初始步骤是为组织准备Citrix Workspace，其中包括

设置工作区URL

1. 连接到Citrix云以管理员帐号登录
2. 在Citrix工作区中，访问工作空间配置从左上角菜单中
3. 从访问选项卡，输入组织的唯一URL，并选择“启用”

验证

Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中验证自定义工作区URL是否处于活动状态。但是，在定义和配置主用户目录之前，不能进行登录。

集成主用户目录

在用户可以验证到Workspace之前，需要进行以下操作主用户目录必须配置。主用户目录是用户需要的唯一标识，因为对工作区内应用程序的所有请求都使用对辅助标识的单点登录。

组织可以使用以下任何一个主用户目录

• 活动目录:若要启用Active Directory身份验证，必须将云连接器部署在与Active Directory域控制器相同的数据中心内云连接器安装指南。
• 具有基于时间的一次性密码的Active Directory:基于Active directory的身份验证还可以包括基于时间的一次性密码(TOTP)的多因素身份验证。这指南详细说明启用此身份验证选项所需的步骤。
• Azure Active Directory:用户可以使用Azure Active Directory标识对Citrix Workspace进行身份验证。这指南提供配置此选项的详细信息。
• Citrix网关:组织可以利用内部部署的Citrix网关作为Citrix工作区的身份提供者。这指南提供有关集成的详细信息。
• Okta组织可以使用Okta作为Citrix Workspace的主用户目录。这指南提供配置此选项的说明。
• SAML 2.0:组织可以将所选择的SAML 2.0提供程序与其本地Active Directory (AD)一起使用。这指南提供配置此选项的说明。

配置单点登录

要成功地将SaaS应用程序与Citrix Workspace集成，管理员需要完成以下工作

• 配置SaaS应用
• 授权SaaS应用

配置SaaS应用

• 在Citrix Workspace中，选择管理从“安全私有访问”磁贴中。
• 选择应用程序
• 选择添加应用程序
• 在“选择模板”向导中，搜索并选择正确的模板，在本例中为Zoho，然后单击下一步
• 在App详细信息窗口中，为SaaS应用程序键入组织的唯一域名。URL和相关域将自动填充

请注意:增强的安全策略使用相关域字段来确定需要保护的url。根据上一步中的URL自动添加一个相关的域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名，则必须将域名添加到相关域字段中，这种情况经常发生*。< companyID > .SaaSApp.com(举个例子* .citrix.slack.com）

• 在增强的安全窗口中,选择启用增强安全性—显示水印(和或其他适合环境的安全策略)
• 在单点登录窗口，复制登录网址
• 选择下载下载PEM格式的X.509证书

• 在Zoho帐户应用程序中，选择组织> SAML认证以调出设置。(需要永久或试用企业许可证，并创建企业用户对象)
• 选择现在设置

• 对于“登录URL”和“更改密码URL”，请粘贴登录网址从Citrix Secure Private Access配置中获取
• 对于X.509证书，上传从Citrix Secure Private Access配置中下载的.PEM文件
• 对于Zoho服务，输入“People”
• 选择配置

• 在“Citrix安全私有访问配置”中选择下一个
• 在应用程序连接窗口，注意所需的域自动设置为外部路由，并选择Next
• 在应用程序用户窗口中，添加被授权启动应用程序的适当用户/组
• 选择下一个，其次是完成

验证配置

IdP-Initiated验证

• 以用户身份登录到Citrix Workspace
• 选择已配置的SaaS应用程序。
• SaaS应用程序成功启动
• 用户自动登录到应用程序
• 应用增强的安全性

SP-Initiated验证

• 启动浏览器
• 转到公司为SaaS应用程序定义的URL
• 浏览器将浏览器定向到Citrix Workspace进行身份验证
• 一旦用户使用主用户目录进行身份验证，如果禁用了增强的安全性，则SaaS应用程序将在本地浏览器中启动。如果启用了增强的安全性，则安全浏览器实例将启动SaaS应用程序

配置和验证自适应访问

管理

• 在Citrix Secure Private Access tile中，选择管理
• 选择访问策略从左边的菜单里
• 选择创建政策
• 下对于这些应用程序的用户进入Zoho People
• 下如果满足以下条件注意以下几个选项条件。选择网络位置，并选择匹配任何
• 选择创建网络位置，输入名称和标记，对于公共IP地址范围，查找POC端点的公共IP地址，并输入后跟/32的公共IP地址，表示它是主机IP地址
• 下然后执行以下操作注意几个预设的选项允许带有访问限制。在我们的例子中，我们选择拒绝访问
• 输入一个政策的名字
• 启用策略并选择Save

用户

• 以用户身份登录到Citrix Workspace
• 从左侧菜单中选择“应用程序”
• 注意，自适应访问、网络位置策略已经应用，Zoho People现在从可用应用列表中消失了

故障排除

增强安全策略失败

用户可能会遇到增强安全策略(水印、打印或剪贴板访问)失败的情况。通常，这是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中，有一个条目相关的领域

将增强的安全策略应用到相关域。为了识别丢失的域名，管理员可以使用本地浏览器访问SaaS应用程序，并执行以下操作:

• 导航到应用程序中策略失败的部分
• 在Google Chrome和Microsoft Edge (Chromium版本)中，选择浏览器右上方的三个点来显示菜单屏幕
• 选择更多的工具
• 选择开发人员工具
• 在开发人员工具中，选择来源。这提供了该应用程序部分的访问域名列表。要启用此应用程序的增强安全策略，必须将这些域名输入相关的领域字段。相关域的添加方式如下* .domain.com