PoC指南:使用Citrix安全私有访问安全访问内部Web应用程序
概述
对于远程工作,用户需要访问内部基于web的应用程序。提供更好的体验意味着避免使用VPN部署模型,这通常会带来以下挑战:
- VPN风险1:安装配置困难
- VPN风险2:要求用户在终端设备上安装VPN软件,这可能会使用不支持的操作系统
- VPN风险3:需要配置复杂的策略,防止不受信任的终端设备无限制地访问企业网络、资源和数据。
- VPN风险4:难以在VPN基础设施和内部基础设施之间保持安全策略同步。
为了改善整体用户体验,组织必须能够统一所有认可的应用程序,简化用户登录操作,同时仍然执行认证标准。
组织必须能够交付并保护SaaS、web、Windows、Linux应用程序和桌面,即使其中一些资源存在于数据中心之外,并且能够访问数据中心之外的资源。Citrix Workspace为组织提供了对用户授权资源的安全、无vpn访问。
在这个概念验证场景中,用户使用Active Directory、Azure Active Directory、Okta、谷歌或Citrix Gateway作为主用户目录对Citrix工作区进行身份验证。Citrix Workspace为一组已定义的企业web应用程序提供单点登录服务。
如果将Citrix Secure Private Access服务分配给Citrix订阅,则会在web应用程序上应用增强的安全策略,包括应用基于屏幕的水印、限制打印/下载操作、屏幕抓取限制、键盘混淆以及保护用户免受不可信链接的伤害。
该动画显示用户使用Citrix提供的SSO访问web应用程序,并使用Citrix安全私有访问服务进行安全保护。
这个演示展示了用户从Citrix工作区中启动应用程序的流程,该工作区使用到数据中心的无vpn连接。由于用户从外部设备访问内部web应用程序,访问请求必须来自Citrix Workspace内部。
这个概念证明指南演示了如何:
- 安装Citrix工作区
- 集成一个主用户目录
- 合并Outlook Web Access的单点登录,它位于数据中心内
- 定义网站过滤策略
- 验证配置
安装Citrix工作区
设置环境的初始步骤是为组织准备Citrix工作区,包括
- 设置工作区URL
- 启用适当的服务
设置工作空间网址
- 连接到Citrix云并以管理员帐户登录
- 在Citrix工作区,访问工作空间配置从左上方的菜单
- 从访问选项卡,输入组织的唯一URL并选择Enabled
支持服务
从服务集成选项卡,启用以下服务以支持安全访问web应用的用例
- 网关
- 安全浏览器
验证
Citrix Workspace需要一些时间来更新服务和URL设置。从浏览器中,验证自定义工作区URL是活动的。但是,在定义和配置主用户目录之前,无法进行登录。
集成一个主用户目录
在用户可以向工作区进行身份验证之前主要用户目录必须配置。主用户目录是用户需要的唯一身份,因为工作区中所有应用程序的请求都使用单点登录到次要身份。
组织可以使用以下任意一个主用户目录
- 活动目录:若要启用Active Directory身份验证,则云连接器必须与Active Directory域控制器部署在同一个数据中心中云连接器安装指南。
- 使用基于时间的一次性密码的Active Directory:基于Active directory的身份验证还可以包括基于时间的一次性密码(TOTP)的多因素身份验证。这指南详细说明启用此身份验证选项所需的步骤。
- Azure活动目录:用户可以使用Azure Active Directory身份验证到Citrix工作区。这指南提供配置此选项的详细信息。
- Citrix网关:组织可以利用内部的Citrix Gateway作为Citrix工作区的身份提供者。这指南提供有关集成的详细信息。
- Okta:组织可以使用Okta作为Citrix Workspace的主用户目录。这指南提供配置此选项的说明。
单点登录配置
为了成功集成web应用与Citrix工作区,管理员需要做以下工作
- 部署网关连接器
- 配置Web应用程序
- 授权网络应用
部署网关连接器
- 在Citrix云中,选择资源位置从菜单栏。
- 在与包含web应用程序的站点相关联的资源位置中,选择网关连接器
- 选择添加网关连接器
- 下载与适当的管理程序相关联的映像。保持此浏览器窗口打开
- 下载之后,将映像导入管理程序
- 当图像启动时,它将提供用于访问控制台的URL
- 登录Connector,修改admin密码并设置网络IP地址
- 要为某些on-prem应用程序(例如SharePoint)提供单点登录,需要配置一个帐户来执行Kerberos约束委派
- 返回到下载Connector映像的浏览器窗口。选择获得激活码
- 将激活代码添加到内部网关连接器配置屏幕。如果操作正确,网关连接器将显示与Citrix网关服务建立的连接。
配置Web应用程序
- 在Citrix云中,选择管理从捷威瓷砖。
- 选择添加一个Web/SaaS应用程序
- 在“选择模板”向导中,选择跳过
- 在App详细信息窗口中,选择在我的公司网络里
- 为应用程序提供一个名称
- 输入web应用程序的URL
- 为web应用程序添加必要的其他相关域
- 如果有必要,添加一个应用程序特定的图标
请注意:增强的安全策略通过相关的domain字段来确定需要安全的url。根据上一步中的URL,自动添加一个相关域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名,则必须将每个域名添加到相关域字段中,这是常见的情况*。< companyID > .company.com
(作为一个例子* .mail.citrix.com
)
- 在增强的安全窗口,为环境选择适当的安全策略
- 选择下一个
- 选择托管web应用程序的适当资源位置。如果以前没有安装和配置网关连接器,则必须现在安装和配置。
- 选择下一个
- 在单点登录窗口,为web应用程序选择适当的单点登录选项。这通常需要网页应用所有者的帮助。对于OWA,选择基于表单的
- 为web应用程序的登录表单输入适当的信息。这是app-specific
- 选择保存
- 选择完成
授权网络应用
- 在Citrix云中,选择图书馆从菜单中
- 找到web应用程序并选择管理用户
- 添加授权启动应用程序的适当用户/组
验证
IdP-Initiated验证
- 以用户身份登录到Citrix工作区
- 选择已配置的web应用程序
- web App成功启动
SP-Initiated验证
- 访问内部web应用程序必须从Citrix工作区启动
定义网站过滤策略
Citrix Secure Private Access服务在SaaS和Web应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面介绍如何设置网站过滤策略。
- 从Citrix云,管理在安全私有访问平铺内
- 如果遵循这个指南,那么建立最终用户身份验证步骤和配置终端用户对SaaS、web和虚拟应用程序的访问步骤完成。选择配置内容访问
- 选择编辑
- 启用的过滤网站类别选项
- 在阻塞的类别框中,选择添加
- 选择阻止用户访问的类别
- 当选择所有适用的类别时,选择添加
- 对允许的类别做同样的操作
- 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
- 如果需要,管理员可以按照定义类别时使用的相同过程对特定url过滤拒绝、允许和重定向操作。网站url优先于类别。
验证配置
IdP-Initiated验证
- 以用户身份登录到Citrix工作区
- 选择已配置的web应用程序。应用程序在嵌入式浏览器中启动。
- 用户自动登录到应用程序
- 应用适当的增强安全策略
- 如果配置了,请在web应用程序中选择被阻止、允许和重定向类别中的URL
- 如果配置了,请选择web应用中被阻断、允许和重定向URL中的URL
SP-Initiated验证
- 访问内部web应用程序必须从Citrix工作区启动
Web应用配置举例
OWA
Outlook Web Access的单点登录配置如下:
SharePoint
SharePoint的本地部署可以支持不同类型的身份验证(Kerberos、基于表单和SAML)。SharePoint内部站点使用Kerberos的单点登录配置如下:
故障排除
增强的安全策略失败
用户可能会遇到增强的安全策略(水印、打印或剪贴板访问)失败。通常,这是因为web应用程序使用多个域名。在web应用程序的应用配置设置中,有一个条目相关的领域.
增强后的安全策略应用于相关域。为了识别丢失的域名,管理员可以使用本地浏览器访问web应用程序,并执行以下操作:
- 导航到应用程序中策略失败的部分
- 在谷歌Chrome和Microsoft Edge (Chromium版本)中,选择浏览器右上方的三个点来显示菜单屏幕。
- 选择更多的工具.
- 选择开发人员工具
- 在开发人员工具中,选择来源.这提供了应用程序该部分的访问域名的列表。为了启用应用程序的这部分增强的安全策略,这些域名必须输入到相关的领域字段在应用程序配置中。相关域的添加如下所示
* .domain.com