概念验证:使用Citrix安全工作区访问安全访问微软365

概述

当用户访问微软365办公室(365)中的机密内容时,组织必须能够在实施身份验证标准的同时简化用户登录操作。组织必须能够保护微软365年,即使它存在于数据中心的范围之外。Citrix工作区为组织提供了针对微软365的增强安全控制。

在这种情况下,用户使用任一Active Directory作为主用户目录向Citrix工作区进行身份验证。

如果将Citrix安全工作区访问服务分配给Citrix订阅,将应用增强的安全策略,从应用基于屏幕的水印,限制打印/下载操作,屏幕抓取限制,键盘模糊处理和保护用户免受不可信链接的侵害在微软365年应用程序之上。

以下动画显示了使用SSO访问微软365并使用Citrix安全工作区访问保护的用户。

此演示显示了一个IDP启动的SSO流程,用户可在其中从Citrix工作区中启动应用程序。本PoC指南还支持SP启动的SSO流程,用户尝试直接从首选浏览器访问SaaS应用程序。

本概念验证指南演示了如何：

1. 设置Citrix工作区
2. 集成主用户目录
3. 为SaaS应用程序合并单点登录
4. 定义网站过滤策略
5. 验证配置

设置Citrix工作区

设置环境的初始步骤是让Citrix工作区为组织做好准备,其中包括

1. 设置工作区URL
2. 启用适当的服务

设置工作区URL

1. 以管理员帐户身份连接到Citrix云并登录
2. 在Citrix工作区中,从左上角菜单访问工作区配置
3. 在访问选项卡中,输入组织的唯一的URL,然后选择”已启用”

启用服务

在服务集成选项卡中,启用以下服务以支持对SaaS应用程序的安全访问使用案例

1. 网关
2. 安全浏览器

验证

Citrix工作区需要花费一些时间来更新服务和URL设置。从浏览器中验证自定义工作区URL是否处于活动状态。但是，在定义和配置主用户目录之前，登录将不可用。

集成主用户目录

在用户向工作区进行身份验证之前,必须先配置主用户目录。主用户目录是用户需要的唯一身份,因为工作区中的所有应用程序请求都使用单点登录到辅助身份。

组织可以将以下任何一个主用户目录与微软365年结合使用:

• 活动目录:要启用Active Directory身份验证,必须按照云连接器安装指南将云连接器部署在与活动目录域控制器相同的数据中心内。
• 使用基于时间的一次性密码的Active Directory:基于Active Directory的身份验证还可以包括使用基于时间的一次性密码(你觉得)的多因素身份验证。此指南详细说明了启用此身份验证选项所需的步骤。
• Citrix网关:组织可以利用本地Citrix网关充当Citrix工作区的身份提供商。此指南提供了有关集成的详细信息。
• Okta:组织可以使用Okta作为Citrix工作空间的主要用户目录。此指南提供了配置此选项的说明。

注意:目前,将Azure Active Directory用作用户的主要身份将无法正常运行。

将Azure身份验证联合到Citrix工作区

要成功将微软365年与Citrix工作区联合起来,管理员需要执行以下操作

• 配置SaaS应用程序
• 授权SaaS应用
• 验证身份验证域
• 配置域联合

配置SaaS应用程序

在Azure中验证域后,可以在Citrix工作区中配置微软365 SaaS应用程序。

• 在Citrix云中,从网关磁贴中选择管理。

• 选择添加Web / SaaS应用
• 在“选择模板”向导中,选择Office 365

• 选择下一步
• 在应用程序详细信息屏幕中，根据需要更改名称、图标和描述，同时保持所有剩余条目不变。

• 选择下一步

• 增强的安全策略使用“相关域”字段来确定要保护哪些URL。将根据默认URL自动添加一个相关域。增强的安全策略需要与应用程序关联的任何URL相关的域。微软365包含许多URL,可在微软365年相关域部分中找到。

• 在增强安全性窗口中，为环境选择适当的安全策略

• 在单点登录窗口中，验证名称ID格式=持久和名称ID = Active Directory GUID
• 在高级属性下，验证属性名称= IDpeMail、属性格式 = 未指定和属性值 = 电子邮件
• 选择下载以捕获基于阴极射线管的证书。
• 在登录URL旁边，选择复制按钮以捕获登录URL。稍后会使用此URL。
• 选择年代AML元数据链接

• 在SAML元数据文件中,查找EntityId。复制整个URL并存储以备以后使用。捕获后,可以关闭SAML元数据文件。

• 选择保存
• 选择完成365年以完成微软SaaS应用程序的配置。

授权SaaS应用

• 在Citrix云中,从菜单中选择资料库

• 找365年到微软应用程序,然后选择管理订阅者
• 添加有权启动应用程序的适应用户/组

验证身份验证域

要将身份验证联合到Citrix工作区,Azure必须验证完全限定的域名。在Azure门户中,执行以下操作:

• 访问Azure Active Directory
• 在导航窗口中选择自定义域名
• 选择添加自定义域
• 输入完全限定的域名

• 选择添加域
• Azure提供了要纳入域名注册商的记录。完成后，选择验证。

• 完成后，域名将包含经过验证的标记

配置域联合

最终配置是让Azure使用Citrix工作区作为已验证域的联合权威机构。必须使用PowerShell来配置联合身份验证。

• 启动PowerShell
• 使用以下命令添加适当的模块

Install-Module AzureAD -Force Import-Module AzureAD -Force Install-Module——NeedCopy >

• 通过PowerShell连接到微软在线并进行身份验证

Connect-MSOLService < !——NeedCopy >

• 通过运行以下PowerShell命令验证域当前是否设置为Azure中托管

Get-MsolDomain < !——NeedCopy >

• 在PowerShell脚本中使用以下代码,通过更改变量以与您的环境保持一致,使此域联合

dom美元= " workspaces.wwco.net " #中的完全限定域名验证Azure $ fedBrandName =“CitrixWorkspaceSAMLIdP”#一个名字来帮助记住配置目的$ IssuerUri = " //m.giftsix.com/fdafdjk4 " # entityID取自Citrix Worksapce SAML $ logoffuri = " https://app.netscalergateway.net/cgi/logout " #元数据文件所有人的标准入口。不改变美元uri = " https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?appid=8dd87428 - 460 b - 4358 - a3c2 - 609451 - e8f5be”#登录URL从Citrix工作区微软应用程序配置365 cert =新对象System.Security.Cryptography.X509Certificates.X509Certificate2 (e: \ CitrixCloud.crt) #路径下载的证书文件吗从Citrix工作区certData = [system.convert]:美元:tobase64string (cert.rawdata美元)Set-MsolDomainAuthentication美元域名dom的-federationBrandName fedBrandName美元的联合身份验证-PassiveLogOnUri uri的-LogOffUri logoffuri美元-SigningCertificate certData美元“-IssuerUri IssuerUri美元”-PreferredAuthenticationProtocol SAMLP < !——NeedCopy >

• 运行以下PowerShell命令,验证域当前是否在Azure中设置为联合

Get-MsolDomain < !——NeedCopy >

• 通过运行以下PowerShell命令验证Azure中的联合身份验证设置

Get-MsolDomainFederationSettings -DomainName $dom 

注意：如果需要删除联合身份验证设置,请运行以下PowerShell命令

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed 

验证

国内流离失所者发起的验证

• 以用户身份登录Citrix工作区
• 选择微软365年应用程序
• 观察URL以通过Azure进行简短的重定向
• 微软365门户成功启动

SP发起的验证

• 启动浏览器
• 转到公司定义的SaaS应用程序的URL
• 浏览器将重定向到Azure Active Directory,然后再到Citrix工作区进行身份验证
• 用户通过主用户目录进行身份验证后,SaaS应用程序将启动,Citrix提供单点登录

定义网站过滤策略

Citrix安全工作区访问服务在SaaS和网络应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。

• 在Citrix云中,在安全工作区访问磁贴中进行管理

• 如果遵循本指南，则完成设置最终用户身份验证步骤和配置最终用户对SaaS、Web和虚拟应用的访问权限步骤。选择配置内容访问
• 选择编辑
• 启用筛选网站类别选项
• 在“阻止的类别”框中,选择添加
• 选择要阻止用户访问的类别

• 选择所有适用的类别后，选择添加

• 对允许的类别执行同样操作
• 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
• 如果需要,管理员可以按照用于定义类别的过程过滤特定URL的拒绝,允许和重定向的操作。网站URL优先于类别。

验证配置

国内流离失所者发起的验证

• 以用户身份登录Citrix工作区
• 选择微软 365。如果禁用增强的安全性，应用程序将在本地浏览器中启动，否则将使用嵌入式浏览器
• 用户自动登录应用
• 应用适当的增强安全策略
• 如果已配置,请在SaaS应用程序中选择被阻止,允许和重定向类别中的URL
• 如果已配置,请在SaaS应用程序中选择阻止,允许和重定向的URL中的URL
• SaaS应用程序成功启动

SP发起的验证

• 启动浏览器
• 转到Office 365网站并选择登录
• 输入用户名。
• 浏览器将浏览器重定向到Citrix工作区进行身份验证
• 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,365年微软将在本地浏览器中启动。如果启用了增强的安全性,则安全浏览器实例将启动微软365

微软365年相关域

在Citrix工作区中创建新应用程序时,相关域字段可用。增强的安全策略利用这些相关域来确定何时强制执行策略。

以下列表是与微软365关联的当前域。

注意：这些域名可以随时更改

• * .office.com
• * .office365.com
• * .sharepoint.com
• * .live.com
• * .onenote.com
• * .microsoft.com
• * .powerbi.com
• * .dynamics.com
• * .microsoftstream.com
• * .powerapps.com
• * .yammer.com
• * .windowsazure.com
• * .msauth.net
• * .msauthimages.net
• * .msocdn.com
• * .microsoftonline.com
• * .windows.net
• * .microsoftonline-p.com
• * .akamaihd.net
• * .sharepointonline.com
• *。辦criptsservice.com
• * .live.net
• *。办公e.net
• * .msftauth.net

微软365年应用程序

如果最好启动特定的微软365年应用程序(Word、PowerPoint或Excel)而不是微软365门户,则管理员需要在Citrix云中为每个应用程序创建单独的应用程序实例。每个应用程序都有一个唯一的URL,其中必须包含本指南中配置的联合域的正确值。联合域条目通知Azure重定向到正确的联合域配置。

• 词：https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=联邦域
• 幻灯片:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=联合域
• 擅长:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=联合域
• CRM /动态在线:https:// <租户> .crm.dynamics.com/ ? whr =联合域
• OneDrive业务:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F <租户> -my.sharepoint.com % 2 f&whr =联合域
• 前景日历:https://outlook.office.com/owa/?realm=联合域路径= /日历/视图/月
• Outlook Web Access到交换网络:https://outlook.com/owa/联合域

• SharePoint在线:https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F <租户> .sharepoint.com % 2 f&whr =联合域

• 在Citrix云中,从网关磁贴中选择管理。

• 选择添加Web / SaaS应用
• 在“选择模板”向导中,选择Office 365

• 选择下一步
• 在应用程序详细信息屏幕中,使用上面的特定于应用程序的URL并将其放在URL字段中。
• 根据需要更改名称、图标和描述，同时保持所有剩余条目不变。

• 选择下一步

• 增强的安全策略使用“相关域”字段来确定要保护哪些URL。将根据默认URL自动添加一个相关域。增强的安全策略需要与应用程序关联的任何URL相关的域。微软365包含许多URL,可在微软365年相关域部分中找到。

• 在增强安全性窗口中，为环境选择适当的安全策略

• 在单点登录窗口中，验证中继状态URL是否与上述应用程序特定的URL对齐
• 验证名称ID格式=持久和名称ID = Active Directory GUID
• 启用设置使用指定的URL启动应用程序。当用户从工作区启动应用程序(IDP启动的流程)时,用户将始终在Azure门户页面上结束。此设置包括SAML断言中的中继状态URL,指示Azure显示URL而不是Azure门户页面。
• 在高级属性下，验证属性名称= IDpeMail、属性格式 = 未指定和属性值 = 电子邮件

• 选择保存
• 选择完成365年以完成微软SaaS应用程序的配置。

保持登录

在默认配置中,Azure活动目录会在登录过程中显示一个对话框,允许用户保持登录状态。

这是Azure设置,可以通过执行以下操作轻松更改:

• 在Azure中,选择Azure活动目录
• 选择公司品牌
• 选择已启用的语言环境
• 在“编辑公司品牌”窗格中,在显示选项中选择否以保持登录状态

• 选择保存

故障排除

目录中不存在用户帐户

尝试启动微软365时,用户可能会收到以下错误:“GUID”目录中不存在用户帐户”帐户名称”。

以下是关于如何解决此问题的建议：

• 验证用户是否有权在微软365年管理员控制台中使用微软365
• 验证主用户目录Azure Active Directory和微软365年之间错误中标识的电子邮件地址是否匹配。

联邦领域对象

在验证期间，用户可能会收到以下错误：

这通常是由于域未经验证或正确联合而导致的。查看PoC指南的以下部分:

• 验证身份验证域
• 配置域联合

增强的安全策略失败

用户可能会遇到增强的安全策略（水印、打印或剪贴板访问）失败。通常,发生这种情况是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中,有一个相关域的条目。

增强的安全策略将应用于这些相关域。本PoC指南的微软365年相关域部分包含微软可以随时更改的初始相关域集。

如果增强的安全策略在应用程序的某些部分中无法正常运行，则相关域仍然缺失。要识别缺少的域名,管理员可以使用本地浏览器访问SaaS应用程序,然后执行以下操作:

• 导航到策略失败的应用程序部分
• 在谷歌Chrome和微软边缘(铬版)中,选择浏览器右上角的三个点以显示菜单屏幕。
• 选择”更多工具”。
• 选择开发者工具
• 在开发人员工具中,选择”来源”。这为应用程序的该部分提供了访问域名列表。要为应用程序的这一部分启用增强安全策略，必须将这些域名输入到应用程序配置的相关域字段中。添加相关域名，例如下面的* .domain.com