PoC指南:使用Okta和Citrix安全私有访问的SaaS应用程序的安全访问

概述

随着用户使用越来越多的基于saas的应用程序，组织必须能够统一所有认可的应用程序，在执行认证标准的同时简化用户登录操作。组织必须能够保护这些应用程序，即使它们存在于数据中心的范围之外。Citrix Workspace为组织提供安全访问SaaS应用程序的功能。

在这个场景中，用户使用Active Directory或Okta作为主用户目录对Citrix工作区进行身份验证。Okta还为一组已定义的SaaS应用程序提供单点登录服务。

如果Citrix安全专用访问服务被分配到Citrix订阅，增强的安全性策略，从应用的基于屏幕的水印，限制打印/下载操作，屏幕抓取的限制，键盘混淆，并从不可信的链接保护用户之上应用基于OKTA的SAAS应用程序。

以下动画显示用户使用OKTA访问SaaS应用程序，提供SSO并使用Citrix安全私人访问。

这个演示显示了一个idp发起的SSO流，用户从Citrix工作区中启动应用程序。该PoC指南还支持sp发起的SSO流，用户可以尝试直接从首选浏览器访问SaaS应用程序。

假设:

• OKTA已配置为为Office 365和其他SaaS应用提供SSO
• 用户可以成功登录Okta门户，并启动Office 365和其他SaaS应用
• Citrix工作区已已配置为Active Directory或OKTA作为用户的主要标识目录。

这个概念证明指南演示了如何:

1. 设置Citrix Workspace.
2. 集成一个主用户目录
3. 为SaaS应用程序合并单点登录
4. 定义网站过滤策略
5. 验证配置

设置Citrix Workspace.

设置环境的初始步骤是为组织准备Citrix工作区，包括

1. 设置工作空间URL
2. 启用适当的服务

设置工作空间网址

1. 连接到Citrix云并以管理员帐户登录
2. 在Citrix Workspace中，访问工作空间配置从左上方的菜单
3. 来自访问选项卡，输入组织的唯一URL并选择Enabled

支持服务

在Service Integration选项卡中，启用以下服务以支持对SaaS应用程序用例的安全访问

1. 网关
2. 安全浏览器

核实

Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中，验证自定义工作区URL是活动的。但是，在定义和配置主用户目录之前，无法进行登录。

集成一个主用户目录

在用户可以向工作区进行身份验证之前主要用户目录必须配置。主用户目录是用户需要的唯一身份，因为工作区中所有应用程序的请求都使用单点登录到次要身份。

组织可以使用以下任意一个主用户目录

• 活动目录:若要启用Active Directory身份验证，则云连接器必须与Active Directory域控制器部署在同一个数据中心中云连接器安装指南。
• 使用基于时间的一次性密码的Active Directory：基于目录的身份验证还可以包括使用基于时间的时间密码（TOTP）的多因素身份验证。这个指南详细说明启用此身份验证选项所需的步骤。
• Azure Active Directory:用户可以使用Azure Active Directory身份验证到Citrix工作区。这个指南提供配置此选项的详细信息。
• Citrix网关:组织可以利用内部的Citrix Gateway作为Citrix工作区的身份提供者。这个指南提供有关集成的详细信息。
• Okta:组织可以使用Okta作为Citrix Workspace的主用户目录。这个指南提供配置此选项的说明。

添加Okta为单点登录提供商

要成功将OKTA应用程序与Citrix Workspace集成，管理员需要执行以下操作

• 识别SAML登录URL
• 识别IDP发行人URI
• 设置SAML标识提供程序
• 配置SaaS应用程序
• 授权SaaS应用程序
• 设置IDP路由

识别SAML登录URL

• 以管理员身份登录Okta
• 选择应用程序
• 选择要添加到Citrix Workspace的应用程序。在此示例中，使用Microsoft Office 365。
• 在下面一般，向下滚动直到正确应用程序嵌入链接所在地。这用作Citrix工作区的SAML登录URL。

识别IDP发行人URI

• 以管理员身份登录Citrix Cloud
• 下身份与访问管理部分，选择API访问
• 捕获客户ID参数。这用于创建IdP发行者URI，格式如下://m.giftsix.com/ < customerID >

设置SAML标识提供程序

OKTA需要使用Citrix Workspace作为SAML身份提供商，导致OKTA成为SAML配置中的服务提供商。

• 以管理员身份登录Okta
• 选择安全->身份提供者
• 选择添加身份提供商->添加SAML 2.0 IDP

• 提供一个姓名
• 对于IDP用户名，请使用以下表达式：idpuser.userName(这是区分大小写的)
• 匹配应该是用户名或电子邮件
• 如果没有找到匹配，选择重定向到Okta登录页面
• 对于IdP发行者的URI，使用URL//m.giftsix.com/ < customerID >．CustomerID来自IdP发行者URI部分

• 在我们能够从Citrix Cloud获得单点登录URL和SSL证书之前，请保留这部分流程。

SaaS应用程序配置

• 在Citrix云中，选择管理从网关瓷砖。

• 选择添加一个Web/SaaS应用程序
• 在“选择模板向导”中，选择跳过
• 因为这是一个SaaS应用程序，请选择在我的公司网络之外
• 在App详细信息窗口中，提供一个的名字为应用程序
• 对于URL，使用应用程序嵌入链接来自Identity SAML Login URL部分
• 增强的安全策略使用相关的domain字段来确定需要安全的url。根据上一步输入的URL，自动添加一个相关域。这个特定的相关域与Okta应用程序链接相关联。增强的安全策略通常需要实际应用程序的相关域*。< companyID > .SaaSApp.com（作为示例* .citrix.slack.com）

• 在增强安全性窗口，为环境选择适当的安全策略
• 在单点登录窗口中,选择下载捕获基于PEM的证书。
• 选择复制按钮以捕获登录URL

• 切换回Okta配置。的添加身份提供商对话框仍然是可见的
• 为IdP单点登录URL，使用从上一步复制的Citrix Login URL。它应该类似于https://app.netscalergateway.net/ngs/ < customerid > / saml /登录? APPID = 2347894324327
• 在国内流离失所者签名证书，眉毛为下载的PEM证书

• 向导完成后，复制断言消费者服务URL和观众URI．

• 切换回Citrix配置。
• 在单点登录的窗口,断言URL， 使用断言消费者服务URL从SAML Identity提供程序部分获得的项目
• 为观众， 使用观众URI项，从SAML标识提供程序部分获得。
• 名称ID格式和名称ID可以保持为电子邮件。Okta使用电子邮件地址与Okta用户关联。

• 选择保存
• 选择完成

授权SaaS应用程序

• 在Citrix Cloud中，选择图书馆从菜单中

• 找到SaaS应用程序并选择管理用户
• 添加授权启动应用程序的适当用户/组

设置IDP路由

到目前为止，配置支持idp启动过程，用户从Citrix工作区中启动应用程序。为了启用sp发起的进程(用户使用直接URL启动应用程序)，Okta需要定义IdP路由规则。

• 在OKTA管理控制台中，选择安全-身份提供者
• 选择路由规则
• 选择添加路由规则
• 为规则提供名称
• 使用说明身份提供商的选择，选择前面创建的Citrix标识提供程序

• 选择启用

笔记:在配置期间，Okta管理员可能无法登录到Okta管理控制台，因为入站SAML配置不完整。如果发生这种情况，管理员可以通过访问Okta环境的以下地址来绕过IdP路由规则:https://companyname.okta.com/login/default

证实

IDP启动验证

• 登录Citrix Workspace作为用户
• 选择配置的SaaS应用程序
• 观察Okta的登录过程
• SaaS应用程序成功启动

SP-Initiated验证

• 启动浏览器
• 转到SaaS应用程序的公司定义的URL
• 浏览器将okta重定向到Citrix工作区进行身份验证
• 一旦用户使用主用户目录进行身份验证，SaaS应用程序就会启动，Okta提供单点登录

定义网站过滤策略

Citrix Secure Private Access服务在SaaS和Web应用程序中提供网站过滤，以帮助保护用户免受网络钓鱼攻击。下面介绍如何设置网站过滤策略。

• 从Citrix云,管理在安全私有访问平铺内

• 如果遵循本指南建立最终用户身份验证步骤和配置终端用户对SaaS、web和虚拟应用程序的访问步骤完成。选择配置内容访问
• 选择编辑
• 使能够这过滤网站类别选项
• Withint的阻塞的类别框中,选择添加
• 选择阻止用户访问的类别

• 选择所有适用类别时，请选择添加

• 对允许的类别做同样的操作
• 为重定向类别做同样的事情。这些类别重定向到安全的浏览器实例
• 如果需要，管理员可以按照定义类别时使用的相同过程对特定url过滤拒绝、允许和重定向操作。网站url优先于类别。

验证配置

IDP启动验证

• 登录Citrix Workspace作为用户
• 选择配置的SaaS应用程序。如果禁用了增强的安全性，应用程序将在本地浏览器中启动，否则将使用嵌入式浏览器
• 用户自动签署到应用程序
• 应用适当的增强安全策略
• 如果配置了，请在SaaS应用程序中选择一个位于阻止、允许和重定向类别中的URL
• 如果配置了，请在SaaS应用程序中选择一个位于阻止、允许和重定向URL中的URL
• SaaS应用程序成功启动

SP-Initiated验证

• 启动浏览器
• 转到SaaS应用程序的公司定义的URL
• 浏览器将浏览器导向Citrix工作区进行身份验证
• 一旦用户使用主用户目录进行身份验证，如果禁用增强的安全性，SaaS应用程序就会在本地浏览器中启动。如果启用了增强的安全性，则安全浏览器实例将启动SaaS应用程序

故障排除

增强的安全策略失败

用户可能会遇到增强的安全策略（水印，打印或Cliboard Access）失败。通常，发生这种情况是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中，有一个条目相关领域．

增强后的安全策略应用于相关域。为了识别丢失的域名，管理员可以使用本地浏览器访问SaaS应用程序，并执行以下操作:

• 导航到策略失败的应用程序部分
• 在Google Chrome和Microsoft Edge（Chromium版）中，选择浏览器右上角的三个点以显示菜单屏幕。
• 选择更多的工具．
• 选择开发人员工具
• 在开发人员工具中，选择来源．这提供了应用程序该部分的访问域名的列表。为了启用应用程序的这部分增强的安全策略，这些域名必须输入到相关的领域字段在应用程序配置中。应该像下面这样添加相关域* .domain.com