PoC指南:使用Okta和Citrix安全私有访问的SaaS应用程序的安全访问
概述
随着用户使用越来越多的基于saas的应用程序,组织必须能够统一所有认可的应用程序,在执行认证标准的同时简化用户登录操作。组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix Workspace为组织提供安全访问SaaS应用程序的功能。
在这个场景中,用户使用Active Directory或Okta作为主用户目录对Citrix工作区进行身份验证。Okta还为一组已定义的SaaS应用程序提供单点登录服务。
如果Citrix安全专用访问服务被分配到Citrix订阅,增强的安全性策略,从应用的基于屏幕的水印,限制打印/下载操作,屏幕抓取的限制,键盘混淆,并从不可信的链接保护用户之上应用基于OKTA的SAAS应用程序。
以下动画显示用户使用OKTA访问SaaS应用程序,提供SSO并使用Citrix安全私人访问。
这个演示显示了一个idp发起的SSO流,用户从Citrix工作区中启动应用程序。该PoC指南还支持sp发起的SSO流,用户可以尝试直接从首选浏览器访问SaaS应用程序。
假设:
- OKTA已配置为为Office 365和其他SaaS应用提供SSO
- 用户可以成功登录Okta门户,并启动Office 365和其他SaaS应用
- Citrix工作区已已配置为Active Directory或OKTA作为用户的主要标识目录。
这个概念证明指南演示了如何:
- 设置Citrix Workspace.
- 集成一个主用户目录
- 为SaaS应用程序合并单点登录
- 定义网站过滤策略
- 验证配置
设置Citrix Workspace.
设置环境的初始步骤是为组织准备Citrix工作区,包括
- 设置工作空间URL
- 启用适当的服务
设置工作空间网址
- 连接到Citrix云并以管理员帐户登录
- 在Citrix Workspace中,访问工作空间配置从左上方的菜单
- 来自访问选项卡,输入组织的唯一URL并选择Enabled
支持服务
在Service Integration选项卡中,启用以下服务以支持对SaaS应用程序用例的安全访问
- 网关
- 安全浏览器
核实
Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中,验证自定义工作区URL是活动的。但是,在定义和配置主用户目录之前,无法进行登录。
集成一个主用户目录
在用户可以向工作区进行身份验证之前主要用户目录必须配置。主用户目录是用户需要的唯一身份,因为工作区中所有应用程序的请求都使用单点登录到次要身份。
组织可以使用以下任意一个主用户目录
- 活动目录:若要启用Active Directory身份验证,则云连接器必须与Active Directory域控制器部署在同一个数据中心中云连接器安装指南。
- 使用基于时间的一次性密码的Active Directory:基于目录的身份验证还可以包括使用基于时间的时间密码(TOTP)的多因素身份验证。这个指南详细说明启用此身份验证选项所需的步骤。
- Azure Active Directory:用户可以使用Azure Active Directory身份验证到Citrix工作区。这个指南提供配置此选项的详细信息。
- Citrix网关:组织可以利用内部的Citrix Gateway作为Citrix工作区的身份提供者。这个指南提供有关集成的详细信息。
- Okta:组织可以使用Okta作为Citrix Workspace的主用户目录。这个指南提供配置此选项的说明。
添加Okta为单点登录提供商
要成功将OKTA应用程序与Citrix Workspace集成,管理员需要执行以下操作
- 识别SAML登录URL
- 识别IDP发行人URI
- 设置SAML标识提供程序
- 配置SaaS应用程序
- 授权SaaS应用程序
- 设置IDP路由
识别SAML登录URL
- 以管理员身份登录Okta
- 选择应用程序
- 选择要添加到Citrix Workspace的应用程序。在此示例中,使用Microsoft Office 365。
- 在下面一般,向下滚动直到正确应用程序嵌入链接所在地。这用作Citrix工作区的SAML登录URL。
识别IDP发行人URI
- 以管理员身份登录Citrix Cloud
- 下身份与访问管理部分,选择API访问
- 捕获客户ID参数。这用于创建IdP发行者URI,格式如下:
//m.giftsix.com/ < customerID >
设置SAML标识提供程序
OKTA需要使用Citrix Workspace作为SAML身份提供商,导致OKTA成为SAML配置中的服务提供商。
- 以管理员身份登录Okta
- 选择安全->身份提供者
- 选择添加身份提供商->添加SAML 2.0 IDP
- 提供一个姓名
- 对于IDP用户名,请使用以下表达式:idpuser.userName(这是区分大小写的)
- 匹配应该是用户名或电子邮件
- 如果没有找到匹配,选择重定向到Okta登录页面
- 对于IdP发行者的URI,使用URL
//m.giftsix.com/ < customerID >
.CustomerID来自IdP发行者URI部分
- 在我们能够从Citrix Cloud获得单点登录URL和SSL证书之前,请保留这部分流程。
SaaS应用程序配置
- 在Citrix云中,选择管理从网关瓷砖。
- 选择添加一个Web/SaaS应用程序
- 在“选择模板向导”中,选择跳过
- 因为这是一个SaaS应用程序,请选择在我的公司网络之外
- 在App详细信息窗口中,提供一个的名字为应用程序
- 对于URL,使用应用程序嵌入链接来自Identity SAML Login URL部分
- 增强的安全策略使用相关的domain字段来确定需要安全的url。根据上一步输入的URL,自动添加一个相关域。这个特定的相关域与Okta应用程序链接相关联。增强的安全策略通常需要实际应用程序的相关域
*。< companyID > .SaaSApp.com
(作为示例* .citrix.slack.com)
- 在增强安全性窗口,为环境选择适当的安全策略
- 在单点登录窗口中,选择下载捕获基于PEM的证书。
- 选择复制按钮以捕获登录URL
- 切换回Okta配置。的添加身份提供商对话框仍然是可见的
- 为IdP单点登录URL,使用从上一步复制的Citrix Login URL。它应该类似于
https://app.netscalergateway.net/ngs/ < customerid > / saml /登录? APPID = 2347894324327
- 在国内流离失所者签名证书,眉毛为下载的PEM证书
- 向导完成后,复制断言消费者服务URL和观众URI.
- 切换回Citrix配置。
- 在单点登录的窗口,断言URL, 使用断言消费者服务URL从SAML Identity提供程序部分获得的项目
- 为观众, 使用观众URI项,从SAML标识提供程序部分获得。
- 名称ID格式和名称ID可以保持为电子邮件。Okta使用电子邮件地址与Okta用户关联。
- 选择保存
- 选择完成
授权SaaS应用程序
- 在Citrix Cloud中,选择图书馆从菜单中
- 找到SaaS应用程序并选择管理用户
- 添加授权启动应用程序的适当用户/组
设置IDP路由
到目前为止,配置支持idp启动过程,用户从Citrix工作区中启动应用程序。为了启用sp发起的进程(用户使用直接URL启动应用程序),Okta需要定义IdP路由规则。
- 在OKTA管理控制台中,选择安全-身份提供者
- 选择路由规则
- 选择添加路由规则
- 为规则提供名称
- 使用说明身份提供商的选择,选择前面创建的Citrix标识提供程序
- 选择启用
笔记:在配置期间,Okta管理员可能无法登录到Okta管理控制台,因为入站SAML配置不完整。如果发生这种情况,管理员可以通过访问Okta环境的以下地址来绕过IdP路由规则:https://companyname.okta.com/login/default
证实
IDP启动验证
- 登录Citrix Workspace作为用户
- 选择配置的SaaS应用程序
- 观察Okta的登录过程
- SaaS应用程序成功启动
SP-Initiated验证
- 启动浏览器
- 转到SaaS应用程序的公司定义的URL
- 浏览器将okta重定向到Citrix工作区进行身份验证
- 一旦用户使用主用户目录进行身份验证,SaaS应用程序就会启动,Okta提供单点登录
定义网站过滤策略
Citrix Secure Private Access服务在SaaS和Web应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面介绍如何设置网站过滤策略。
- 从Citrix云,管理在安全私有访问平铺内
- 如果遵循本指南建立最终用户身份验证步骤和配置终端用户对SaaS、web和虚拟应用程序的访问步骤完成。选择配置内容访问
- 选择编辑
- 使能够这过滤网站类别选项
- Withint的阻塞的类别框中,选择添加
- 选择阻止用户访问的类别
- 选择所有适用类别时,请选择添加
- 对允许的类别做同样的操作
- 为重定向类别做同样的事情。这些类别重定向到安全的浏览器实例
- 如果需要,管理员可以按照定义类别时使用的相同过程对特定url过滤拒绝、允许和重定向操作。网站url优先于类别。
验证配置
IDP启动验证
- 登录Citrix Workspace作为用户
- 选择配置的SaaS应用程序。如果禁用了增强的安全性,应用程序将在本地浏览器中启动,否则将使用嵌入式浏览器
- 用户自动签署到应用程序
- 应用适当的增强安全策略
- 如果配置了,请在SaaS应用程序中选择一个位于阻止、允许和重定向类别中的URL
- 如果配置了,请在SaaS应用程序中选择一个位于阻止、允许和重定向URL中的URL
- SaaS应用程序成功启动
SP-Initiated验证
- 启动浏览器
- 转到SaaS应用程序的公司定义的URL
- 浏览器将浏览器导向Citrix工作区进行身份验证
- 一旦用户使用主用户目录进行身份验证,如果禁用增强的安全性,SaaS应用程序就会在本地浏览器中启动。如果启用了增强的安全性,则安全浏览器实例将启动SaaS应用程序
故障排除
增强的安全策略失败
用户可能会遇到增强的安全策略(水印,打印或Cliboard Access)失败。通常,发生这种情况是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中,有一个条目相关领域.
增强后的安全策略应用于相关域。为了识别丢失的域名,管理员可以使用本地浏览器访问SaaS应用程序,并执行以下操作:
- 导航到策略失败的应用程序部分
- 在Google Chrome和Microsoft Edge(Chromium版)中,选择浏览器右上角的三个点以显示菜单屏幕。
- 选择更多的工具.
- 选择开发人员工具
- 在开发人员工具中,选择来源.这提供了应用程序该部分的访问域名的列表。为了启用应用程序的这部分增强的安全策略,这些域名必须输入到相关的领域字段在应用程序配置中。应该像下面这样添加相关域
* .domain.com