概念:Accès sécurisé应用程序SaaS avec Okta和Citrix安全工作区访问

摘要

Comme les utilisateurs consomment davitage d 'applications SaaS, les organizations doivent être en mesure d 'unifier toutes les applications sanctionnées, de simplifier les opérations de connections des utilisateurs tout en appliquant les normald ' certification。Les enterprises doivent être en mesure de sécuriser ces applications même si elles exist au-delà des limits du datacenter。Citrix Workspace fournit aux enterprises un accès sécurisé aux applications SaaS。

请ce scénario, un utilisateurs’authenticate auprès de Citrix Workspace en utilisant Active Directory ou Okta comme annuaire d’utilisateurs principal。Okta fournit également des services d ' authentication unique pour un ensemble défini d 'applications SaaS。

Si le service Citrix Secure Workspace Access est affecté à l ' abonnement Citrix, des stratégies de sécurité améliorées, allant de l ' application de filigranes basés sur l ' écran, la actions d ' impression et de téléchargement, les restrictions d ' accapared ' écran，对键盘的混淆和对留置权的保护在appliquées上。应用程序SaaS basées sur l 'OKTA。

L 'animation suivante montre un utilisateur accédant à une application SaaS avec Okta fournisant SSO et sécurisé avec Citrix Secure Workspace Access。

celette démonstration montre un flux SSO initié par ID dans lequel l 'utilisateur lance l 'application à partir de Citrix Workspace。该指南可以预见également en charge un flux SSO initié par SP où l’utilisateur tente d 'accéder à l’application SaaS directive à partir de son navigateur préféré。

假设:

• Okta est déjà configuré pour fournir l ' authentication SSO à Office 365 et à d 'autres applications SaaS
• 用户可以使用Okta和lancer Office 365等软件即服务
• Citrix workspace est déjà configuré avec Active Directory ou Okta comrépertoire d 'identité principal de l 'utilisateur。

《概念验证指南》评论:

1. 配置Citrix工作区
2. Intégrer本金年度报告
3. Intégrer l '身份验证唯一的应用程序SaaS
4. Définir des stratégies de filter du site
5. 有效的la配置

配置Citrix工作区

première étape环境配置包含à préparer Citrix组织工作空间

1. 构造空间的url
2. 激活des服务appropriés

Définir l 'URL d 'espace de travail

1. Connectez-vous一Citrix云把你和管理员联系起来
2. Dans Citrix Workspace, accédez à la工作空间的构型à partir du menu supérieur gauche
3. 在l 'ongletacc， entrez une URL unique pour l 'organisation et sélectionnez Activé

活跃les服务

Dans l’onglet Intégration de services, activez les services suivants pour predre en charge l 'accès sécurisé aux applications SaaS

1. Passerelle
2. 安全浏览器

d空间de ![服务]阵痛(/ en - us / tech-zone /学习/媒体/ poc - guides_access控制- okta sso_workspace -配置- 002. - png)

验证器

Citrix Workspace prend quelques instantpour mettre à jour les services和les paramètres d’url。在一个导航器里，vérifiez这个空间的url personnalisée是活动的。当然，会议的内容并不重要我们可以在répertoire中使用主要内容也不需要在défini和configuré中使用。

Intégrer un annuaire d’utilisateurs principaux

请使用您的授权人auprès de Workspace, unannuaire d 'utilisateur主要doit可能配置。L 'annuaire d ' utiisateurs principal est la seule identité don ' L utiisateur a besoin, car toutes les demand d 'applications在工作区中使用唯一的认证，identités secondaires。

一个组织可以使用répertoires d ' utiisateurs principaux suivants

• 活动目录: pour Active l ' authentication Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu 'un contrôleur de domaine Active Directory en suivant le guide云连接器安装．
• 活动目录是唯一的basé sur le temps: l ' authentication basée sur Active Directory peut également include l ' authentication multifactor avec un mot de passe unique basé sur le temps (TOTP)。Ce指南Détaille les étapes要求对激活者进行身份验证。
• Azure活动目录: les utilisateurs peuvent s’s 'authentifier auprès de Citrix Workspace avec une identité Azure Active Directory。Ce指南我们可以从这个选项的配置中找到答案。
• Citrix网关:所有组织都喜欢使用Citrix门户，并将其用于'identité Citrix工作空间。Ce指南Fournit des détails sur l 'intégration。
• Okta: les organizations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace。Ce指南提供配置器选项的说明。

这是唯一的认证方法

Pour intégrer avec succès les applications Okta avec Citrix Workspace, l ' administreur doit effectuer les opérations suivantes

• 连接SAML的标识符url
• 标识符l ' uri de l ' émetteur IdP
• 配置'identité SAML
• 配置l 'application SaaS
• Autoriser l 'application SaaS
• 配置路由IdP

连接SAML的标识符url

• 请您联系我们的行政人员
• 选择les应用程序
• Sélectionnez l 'application à ajouter dans Citrix Workspace。例如，Microsoft Office 365 est utilisé。
• 苏一般， faites défiler vers le bas just qu ' à ce le留置权'intégration的应用approprie所以本土化。Ceci est utilisé comme URL de连接到Citrix工作区。

标识符l ' uri de l ' émetteur IdP

• 请联系我们à Citrix云管理员
• 在节可以是identités，也可以是accès, selectionnezacc辅助API
• 抓住勒量d ' id的客户．Ceci est utilisé pour créer l ' uri de l ' émetteur IdP au格式://m.giftsix.com/ < customerID >

配置'identité SAML

您可以使用Citrix工作空间并在'identité SAML中提供服务，您可以在配置SAML中使用Citrix工作空间。

• 请您联系我们的行政人员
• Selectionnez安全炸药->Fournisseurs d 'identite
• SelectionnezAjouter un fournisseur d 'identité->Ajouter une IdP SAML 2.0

• Fournir联合国笔名
• Pour le nom d 'utilisateur IdP, utilisez l 'expression suivante:IDPuser。用户名(这是明智的à la case)
• Le match contre doit être我可以使用电子邮件
• 你可以联系trouvée, sélectionnez再riger在Okta的联系页
• Pour l ' uri de l ' émetteur IdP, utilisez l ' url//m.giftsix.com/ < customerID >．CustomerID提供的部分URI的émetteur IdP

• 我们可以向您提供如下信息:à我们可以在Citrix云上获得唯一的url认证和证书。

配置l 'application SaaS

• 丹斯Citrix云，sélectionnez蒙古包dans la vignette Gateway。

• Selectionnez一个Web/SaaS应用程序
• dan l 'Assistant Choisir un modèle, sélectionnez忽略
• Étant donné qu 'il s 'agit d 'une application SaaS, sélectionnezEn dehors de mon réseau d ' enterprise
• 在fenêtre Détails的应用中，我们把它写下来笔名倒l 'application
• 倒url，用它留置权'intégration的应用Identity SAML登录URL
• Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer Les URL à sécuriser。一个域名associé est automatiquement ajouté en function de l ' url saisie ajoutée à l ' étape précédente。该酒庄associé spécifique est associé申请Okta。Les stratégies de sécurité améliorées nécessitent des domaines associés pour l 'application réelle, ce qui est souvent*。< companyID > .SaaSApp.com(比如.citrix.slack.com)

• 在fenetre安全炸药renforcee， sélectionnez les stratégies de sécurité appropriées pour l ' environment
• 在fenetre单点登录, selectionnez连接到pour capture le certificat basé sur PEM。
• 克里克兹在鲍顿复印机把捕获者的链接倒出来

• Retournez à la配置Okta。La boîte de对话Ajouter un fournisseur d 'identitéDoit toujours être visible
• 倒单点登录IdP的url， utilisez l ' url de connection Citrix copiée à partir de l ' étape précédente。Elle devrait ressembler àhttps://app.netscalergateway.net/ngs/ < customerid > / saml /登录? APPID = 2347894324327
• 在证书签名IdP， sourcils pour le certificat PEM téléchargé

• Une fois l ' assistant terminé， copiez l '服务消费者断言的URLet l 'URI d 'audience．

• Retournez à la configuration Citrix。
• 在fenetre单点登录，倒l ' url d 'assertion, utilisez l ' élément URL为客户提供服务obtenu à partir de la section Fournisseur d 'identité SAML
• 倒l '观众,用l 'elementURI d 'audienceobtenu à partir de la section Fournisseur d 'identité SAML。
• 名字的格式和名字的格式在电子邮件中是一样的。Okta利用l ' address e-mail pour s 'associer à un utilisateur Okta。

• Selectionnez记录
• 选择判决

Autoriser l 'application SaaS

• Dans Citrix Cloud, sélectionnez相机记录在菜单

• 应用程序SaaS和sélectionnez蒙古包les abonnes
• Ajouter les utilisateurs/ groups appropriés qui sont autorisés à lancer l 'application

配置路由IdP

例如:à présent，配置和流程:initié par l ' idp, où l ' utilisateur lance l ' application: à partir de Citrix Workspace。Afin d 'activer un process initié par SP, où l 'utilisateur lance l 'application avec une URL direct, Okta a besoin d 'une règle de routage IdP définie。

• Dans la console d 'administration, sélectionnez安全炸药-身份提供者
• Selectionnez des规则de routage
• Selectionnez另一条路règle
• 我的名字是règle
• 倒l '选项Utiliser ce fournisseur d 'identité， sélectionnez le fournisseur d 'identité Citrix créé précédemment

• Selectionnez更主动

*标记:挂在配置上，管理员Okta不能连接à管理控制台Okta汽车配置SAML入口为incomplète。如果我们是产品，我们的行政人员可以向我们提供règle de routage IdP en accédant à l’environment Okta à l’address suivante:https://companyname.okta.com/login/default＊

有效的

验证initiée par l 'IdP

• 联系您à Citrix工作空间
• Sélectionnez l 'application SaaS configurée
• 观察brièvement连接过程
• 应用软件即服务

验证initiée par SP

• 枪骑兵联合国navigateur
• Accédez à l 'URL définie par l ' enterprise pour l 'application SaaS
• 领航员重新使用Okta puis和Citrix工作空间进行认证
• 一个是使用者的身份验证auprès这个是使用者的年度原则，应用SaaS démarre avec Okta一个唯一的身份验证

Définir des stratégies de filter du site

服务Citrix安全工作区访问，过滤网站，应用程序，SaaS和Web afin de protéger, l’utilisateur针对hameçonnage的攻击。这段话是对网站过滤stratégies的评论。

• À partir de Citrix云，蒙古包dans la vignette安全工作区访问

• 如果你有一个été suivi, l ' étape配置最终使用身份验证等配置程序'accès utilisateur final au SaaS, les étapes des applications Web et virtuelles是terminees。Selectionnez配置器'accès au contu
• 选择修饰符
• 更主动l 'option过滤器:catégories du site
• 在区类别bloquees, selectionnezAjouter
• Sélectionnez les catégories pour empêcher les utilisateurs d 'accéder

• Lorsque toutes les catégories applicables sont sélectionnées, sélectionnezAjouter

• Faites de même pour les catégories autorisées
• Faites de même pour les catégories redirigées。cecatégories rerigent vers一个实例安全浏览器
• Si nécessaire, les administraturs peuvent过滤器les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même process que celui utilisé pour définir des catégories。Les URL de site Web ont priorité sur Les catégories

有效的la配置

验证initiée par l 'IdP

• 联系您à Citrix工作空间
• Sélectionnez l 'application SaaS configurée。Si la sécurité renforcée est désactivée, l 'application démarre dans le navigator local, sinon le navigator intégré est utilisé
• 我们使用自动化在à的应用
• Les stratégies de sécurité améliorées appropriées sont appliquées
• Si configuré， sélectionnez一个URL在应用程序SaaS中，它在catégories bloquées, autorisées和redirigées中
• Si configuré， sélectionnez一个URL在应用程序SaaS中，它在URL bloquées, autorisées et redirigées中
• 应用软件即服务

验证initiée par SP

• 枪骑兵联合国navigateur
• Accédez à l 'URL définie par l ' enterprise pour l 'application SaaS
• “导航员指南”“导航员使用Citrix工作区进行认证”
• 第一种情况是，效用者是authentifié auprès，效用者是répertoire，应用程序是démarre，而本地导航者是sécurité renforcée，效用者是désactivée。Si la sécurité renforcée est activée，一个安全浏览器应用SaaS的实例

解决问题

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane，印象ou accès cliboard) échouent。Généralement，这是我们的产品，因为应用软件即服务使用的是域名。在paramètres应用程序SaaS的配置中，还有一个entrée pour而过渡群系．

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés。Pour identifier les nomoms de domaine manquants, un administratorpeut accéder à l 'application SaaS à l 'aide d 'un navigateur local et efftuer les opérations suivantes:

• Accédez à应用部分où les stratégies échouent
• Dans谷歌Chrome和Microsoft Edge(版本铬)，sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu。
• Selectionnez+ d 'outils．
• 选择莱斯outils德发展
• Dans les outils de développement, sélectionnez来源．在这个部分的应用中，我们列出一份域名列表。在这个应用中，如果激活的是stratégies de sécurité améliorées，那么这个域名是être，它在这个冠军中而过渡群系构型应用。Les域名associés doivent être ajoutés comme* .domain.com