技术简报:思杰工作区基本要素和安全私人访问入门指南

介绍

本指南演示了如何在Citrix工作区中配置SaaS和内部web应用程序的单点登录(SSO)。以下是读者使用本部署指南能够完成的内容:

• 了解在Citrix工作区中配置对内部web应用程序的VPN-less访问的逐步过程
• 了解在Citrix Workspace中配置对SaaS应用程序的安全访问的分步过程
• 了解为Citrix Workspace启用第二因素身份验证所需的配置
• 了解将SSO到SaaS/web应用程序与第三方SAML IdP(如Okta和Azure Active Directory)集成所需的配置

解决方案概述

Citrix Workspace Essentials通过使用单点登录和多因素身份验证，为最终用户提供了对SaaS、Web应用程序和IT交付的数据的简化、安全且无需vpn的访问。

图1:Citrix Workspace Essentials概述

单点登录到所有应用程序

用户的主工作区标识授权他们访问SaaS和本地web应用程序。许多已授权的资源需要另一种身份验证，这种身份验证通常与用户的主要工作空间身份不同。Citrix Workspace通过提供对这些辅助资源的单点登录，为用户提供了无缝的体验。

图2:访问SaaS和本地web应用程序

有关Citrix Workspace的主要标识选项的其他信息，请参阅工作空间-主标识技术简单。

你首先注意到的是它的易用性。有300多个SAML SSO模板可用于快速配置您的web和SaaS应用程序。如果你的应用程序没有预先存在的模板，那么只需再点击几下即可进行配置。

图3:用于快速配置的SAML SSO模板

多因素身份验证(MFA)使用基于时间的一次性密码(TOTP)

Citrix Workspace Essentials为使用Windows Active Directory作为主要标识的组织提供了云托管的TOTP选项。TOTP是Citrix Workspace体验中的一种简单的双因素身份验证，使用为用户在其注册设备上生成的时间敏感的一次性密码。看这个视频了解更多。

用户可以请求和安装新的令牌，管理员可以轻松地启用和禁用TOTP多因素身份验证。当在Citrix Workspace体验中启用双因素身份验证时，它将对所有访问点上的所有用户强制执行。

• 本机生成一次性密码(OTP)
• 支持本地Active Directory
• 用户设备/应用程序必须在思杰云注册
• OTP令牌生成和登录
• 自助服务
• Citrix SSO应用，Google authenticator, Microsoft authenticator应用

图4:本机生成的一次性密码

支持工作空间体验(工作空间应用)

Citrix Workspace Essentials通过Citrix Workspace应用程序支持Citrix Workspace体验。

阅读这个思杰工作空间应用程序科技的洞察力了解更多。

全球POP网络

思杰Workspace Essentials在全球不同的国家和地区通过多个接入点(pop)运营，并在不断扩大。使用Microsoft Azure pop和Amazon Web Services中的pop，客户永远不会离服务节点太远。

每个PoP都是高度可用的，并且如果存在故障转移，则在PoP中运行冗余服务。如果发生灾难性事件，整个POP发生故障的概率很低，用户仍然可以通过最近的POP获得服务。Citrix Workspace Essentials在PoP内和跨PoP都具有很高的内置弹性。

SaaS和Web应用的使用分析

Citrix Workspace Essentials包括Usage Analytics，以提供跨SaaS和web应用程序基础架构的端到端使用可见性。IT可以跟踪用户登录失败，并深入了解用户对应用程序的采用情况、高使用周期以及每个用户和应用程序上传和下载的数据。此功能使IT能够通过弃用低使用率的应用程序来扩展需求并降低成本。

图5:Usage Analytics提供端到端的使用可见性

SaaS和Web应用仪表板为Citrix Analytics管理员提供了对发布在Citrix Workspace中的SaaS和Web应用的洞察力。以下信息可以在SaaS和Web应用程序仪表板中找到:

• 使用SaaS和Web应用程序的唯一用户数量
• 顶级SaaS和Web应用程序用户
• 已启动的SaaS和Web应用程序的数量
• 顶级SaaS和Web应用程序
• 用户访问的顶级域
• 跨用户、应用程序和域上传和下载的数据总量

推荐的架构

推荐的体系结构包含以下组件:

• Citrix Workspace作为首选的最终用户门户
• Microsoft Active Directory是用户目录
• Web应用程序位于企业数据中心
• Citrix Analytics提供SaaS/web应用的使用指标
• Okta和Azure AD是SaaS和Web应用程序的SAML IdP(可选)
• 访问内容协作(当获得许可时)

图6:推荐的体系结构和组件

配置应用访问的前提条件

• 开始学习Citrix云
• 确保你有正确的权利和/或试用启用
• 设置解决方案所需的Citrix Workspace Platform配置
  • 设置Citrix工作区
  • 用户身份验证
  • 技术简单使用所有不同类型的身份验证方法到Citrix Workspace

用例1:安全访问内部web应用程序

Citrix Workspace Essentials通过SSO提供对内部网web应用程序的安全访问。遵循SSO到Web配置步骤在本文中部署此功能。

图7:使用SSO安全访问内部网web应用程序

用例2:安全访问SaaS应用程序

Citrix Workspace Essentials通过SSO提供对认可SaaS应用程序的安全访问。遵循SSO到SaaS配置步骤在本文中部署此功能。

图8:使用SSO安全访问已批准的SaaS应用程序

用例3:为Citrix Workspace配置第二因素身份验证

Citrix Workspace Essentials在用户登录到Citrix Workspace时启用第二因素身份验证。中的步骤在身份与访问管理中配置AD + token和部署Citrix云连接器部署该特性的指南。

图9:用户登录到Citrix Workspace期间的第二因素身份验证

Citrix安全私有访问

Citrix Secure Private Access在对Citrix Workspace Essentials提供的SaaS和web应用程序的即时单点登录(SSO)访问的基础上引入了更多的安全特性。与传统VPN不同，Secure Private Access提供了一种零信任的方法来安全地访问企业web、SaaS和虚拟应用程序。它具有针对托管、非托管和BYO设备的高级安全控制，是it和员工的理想选择。

安全私有访问结合了几个思杰云服务的元素，为最终用户和管理员提供集成的体验。这些策略包括粒度和上下文安全策略、针对所有应用程序的应用程序保护策略、web浏览器隔离和web过滤策略。

有关Citrix安全私有访问的详细信息，请参见Citrix安全私有访问在Citrix产品文档和思杰安全私人访问技术简报

安全私有访问用例1 -对SaaS和Web应用程序应用增强的安全性

SaaS应用程序由于其简单性和对托管基础设施的零依赖而越来越受欢迎。然而，许多企业缺乏IT满足企业安全标准所需的安全控制和治理。此外，许多组织都欢迎为其本地web应用程序添加安全层的机会。

Citrix Secure Private Access使IT部门能够将这些附加的安全控制应用于SaaS和web应用程序，以防止数据泄露。这些控件包括限制复制和粘贴、打印、下载、导航、水印(覆盖显示终端用户名和IP地址的基于屏幕的水印)等的策略。

Citrix Secure Private Access包括Citrix Workspace Browser。它是一个安全的嵌入式浏览器，能够应用增强的安全策略。当使用桌面版的Citrix Workspace应用程序时，每个策略通过浏览器强制执行一个限制，或者当使用web或移动版的Citrix Workspace应用程序时，每个策略都强制执行一个限制。

通过App Protection增强的安全性为IT部门提供了一种方法，可以在他们提供给员工的web和SaaS应用程序上实施安全策略。这些策略通过应用安全控制来保护存储在这些应用程序中的数据增强的安全。

安全私有访问用例2 -保护BYO和非托管设备

灵活工作制的增加和个人设备在工作中的使用带来了安全挑战。如果不了解设备运行状况，IT部门就无法防御感染恶意软件的设备。在带有键盘记录程序或屏幕截图恶意软件的设备上尤其如此，这些恶意软件可以使攻击者窃取敏感的公司数据。

企业管理的设备会定期进行健康检查，以确保设备符合安全要求。然而，大多数终端用户对个人设备并没有同样的关注。因此，如果用户访问公司资源，如应用程序或文档存储库，恶意软件可以泄露登录信息和用户屏幕上显示的任何数据。

应用程序保护通过打乱击键并将屏幕截图返回为空白屏幕来保护非管理设备，保护公司数据免受键盘记录器或截图恶意软件的攻击。

使用增强的安全策略，安全私有访问使管理员能够保护其组织免受数据丢失和凭证盗窃。当员工使用个人设备访问公司资源时，增强的安全策略更加重要。点击这里阅读更多内容:保护自带食物

安全私有访问用例3 -使用安全浏览器策略和隔离

浏览互联网给企业带来了另一种风险，使他们暴露于网站、浏览器和浏览器插件中的漏洞。可能存在于员工设备上的恶意软件也可能对企业资源构成严重风险。

虽然大多数用户都知道他们不应该在公司设备上访问有潜在风险的网站，但他们可能不会在个人设备上采取同样的措施。作为回应，一些组织甚至完全禁止上网，严重影响了工作效率。

只要启用了增强的安全策略，就会使用浏览器。但是假设用户不使用Citrix Workspace，而是使用本机浏览器。那么就需要一种更安全的机制。

Citrix安全浏览器服务是一种基于chrome的浏览器，托管在微软Azure上，使用户能够安全地浏览网页和应用程序，而不会给企业环境带来风险。通过访问恶意网站可以引入的威胁被隔离在公司网络和设备之外。浏览器是无状态的，并在每次会话结束时丢弃，确保在浏览网页时遇到的任何恶意软件永远不会到达您的公司基础设施。

安全私人访问使最终用户能够安全地浏览互联网。当最终用户从Citrix Workspace启动SaaS应用程序时，将动态地做出几个决策，以决定如何最好地为这个SaaS应用程序提供服务。安全私有访问提供了三种方式向最终用户提供此应用程序。点击这里阅读更多内容:浏览器隔离

安全私有访问用例4 - SaaS和Web应用程序的安全分析

思杰的产品组合非常广泛，云服务的设计初衷是相互作用和增强。作为这个组合的一部分，您有Citrix Analytics for Security。Citrix Analytics for Security原生集成了Citrix Secure Private Access。它提供持续的监控、风险评估和缓解措施，以便跨不同的应用程序和云，在初始用户登录期间和之后保护组织，实现合规性和治理。

通过这种持续监控，系统可以识别不一致和可疑的活动，为跨身份、设备、位置、网络、应用程序和文件的用户行为提供可操作的见解。

例如，假设用户通过VPN-less连接下载了过多的数据。在这种情况下，可以触发一个操作来请求用户的响应以验证用户的身份，或者向用户发送电子邮件以验证其活动并将其放入观察列表中。根据用户的回复响应，可以启动次要操作。

通过配置这些规则，可以根据持续评估的用户风险评分阈值触发用户帐户的特定操作。例如，通过身份验证进入Citrix Workspace的终端用户会话可以基于风险评分的实时变化注销。

最终用户总是访问启用了增强安全性的SaaS应用程序。Citrix Workspace应用程序、Citrix Gateway服务和安全浏览器服务提供安全分析服务，其中包含以下用户和应用程序行为的信息。使用分析提供了对安全私有访问的基本使用数据的见解。管理员可以了解用户如何与其组织中使用的SaaS和Web应用程序进行交互。点击这里阅读更多内容:安全分析

安全私有访问增强安全演示

了解Citrix Secure Private Access如何为Web和SaaS应用程序以及最终用户体验提供增强的安全性。

观看这个视频看到演示：

Citrix安全私有访问SSO到SaaS应用程序演示

了解Citrix Secure Private Access如何为SaaS应用程序和最终用户体验提供单点登录。

观看这个视频看到演示：

Citrix Secure Private Access VPN-less Access演示

了解Citrix Secure Private Access如何提供对Web应用程序的无vpn访问和最终用户体验。

观看这个视频看到演示：

Citrix安全私人访问网站过滤演示

了解Citrix Secure Private Access如何为Web和SaaS应用程序以及最终用户体验提供网站过滤。

观看这个视频看到演示：