概念验证:通过Citrix安全工作区访问安全访问SaaS应用程序

概述

随着用户使用越来越多的基于SaaS的应用程序,组织必须能够统一所有受制裁的应用程序,简化用户登录操作,同时仍然强制执行组织必须能够保护这些应用程序,即使它们存在于数据中心的范围之外。Citrix工作区为组织提供了对SaaS应用的安全访问。

在这种情况下,用户使用Active Directory, Azure Active Directory, Okta,谷歌或Citrix网关作为主用户目录向Citrix工作区进行身份验证。Citrix工作区为一组定义的SaaS应用程序提供单点登录服务。

如果将Citrix安全工作区访问服务分配给Citrix订阅,将应用增强的安全策略,从应用基于屏幕的水印,限制打印/下载操作,屏幕抓取限制,键盘模糊处理和保护用户免受不可信链接的侵害在SaaS应用程序之上。

以下动画显示了使用Citrix提供SSO并使用Citrix安全工作区访问保护的SaaS应用程序访问的用户。

此演示显示了一个IDP启动的SSO流程,用户可在其中从Citrix工作区中启动应用程序。本PoC指南还支持SP启动的SSO流程,用户尝试直接从首选浏览器访问SaaS应用程序。

本概念验证指南演示了如何：

1. 设置Citrix工作区
2. 集成主用户目录
3. 为SaaS应用程序合并单点登录
4. 定义网站过滤策略
5. 验证配置

设置Citrix工作区

设置环境的初始步骤是让Citrix工作区为组织做好准备,其中包括

1. 设置工作区URL
2. 启用适当的服务

设置工作区URL

1. 以管理员帐户身份连接到Citrix云并登录
2. 在Citrix工作区中,从左上角菜单访问工作区配置
3. 在访问选项卡中,输入组织的唯一的URL,然后选择”已启用”

启用服务

在服务集成选项卡中,启用以下服务以支持对SaaS应用程序的安全访问使用案例

1. 网关
2. 安全浏览器

验证

Citrix工作区需要花费一些时间来更新服务和URL设置。从浏览器中验证自定义工作区URL是否处于活动状态。但是，在定义和配置主用户目录之前，登录才可用。

集成主用户目录

在用户向工作区进行身份验证之前,必须先配置主用户目录。主用户目录是用户需要的唯一身份,因为工作区中的所有应用程序请求都使用单点登录到辅助身份。

组织可以使用以下任何一个主用户目录

• 活动目录:要启用Active Directory身份验证,必须按照云连接器安装指南将云连接器部署在与活动目录域控制器相同的数据中心内。
• 使用基于时间的一次性密码的Active Directory:基于Active Directory的身份验证还可以包括使用基于时间的一次性密码(你觉得)的多因素身份验证。此指南详细说明了启用此身份验证选项所需的步骤。
• Azure活动目录:用户可以使用Azure Active Directory身份向Citrix工作区进行身份验证。此指南提供了配置此选项的详细信息。
• Citrix网关:组织可以利用本地Citrix网关充当Citrix工作区的身份提供商。此指南提供了有关集成的详细信息。
• Okta:组织可以使用Okta作为Citrix工作空间的主要用户目录。此指南提供了配置此选项的说明。

配置单点登录

要成功将SaaS应用程序与Citrix工作区集成,管理员需要执行以下操作

• 配置SaaS应用
• 授权SaaS应用

配置SaaS应用程序

• 在Citrix云中,从网关磁贴中选择管理。

• 选择添加Web / SaaS应用
• 在“选择模板”向导中,搜索并更正模板,在本例中为“人类”
• 在应用程序详细信息窗口中,为SaaS应用程序键入组织的唯一域名。URL和相关域将自动填充。

注意:增强的安全策略使用“相关域”字段来确定要保护的URL。将根据上一步中URL的自动添加一个相关域。增强的安全策略需要应用程序的相关域。如果应用程序使用多个域名，则必须将其添加到相关域字段中，这通常是*。< companyID > .SaaSApp.com（例如* .citrix.slack.com）

• 在增强安全性窗口中，为环境选择适当的安全策略
• 在单点登录窗口中，复制登录URL。
• 选择SAML元数据的链接以确定SaaS应用程序所需的SAML设置。

• 在SAML元数据文件中,复制X509证书,表示为字母数字字符串。

• 在人类SaaS应用程序中,使用右上角的齿轮图标来调出设置。选择单点登录

• 对于SAML发布者URL,请使用从Citrix工作区配置获取的登录URL。
• 将Citrix元数据文件中的x证书字符串进入人类SaaS应用程序。

• 将设置保存在人类中。
• 在Citrix工作区中,选择保存
• 选择完成

授权SaaS应用

• 在Citrix云中,从菜单中选择资料库

• 找到SaaS应用程序并选择管理订阅者
• 添加有权启动应用程序的适应用户/组

验证

国内流离失所者发起的验证

• 以用户身份登录Citrix工作区
• 选择配置的SaaS应用程序
• SaaS应用程序成功启动

SP发起的验证

• 启动浏览器
• 转到公司定义的SaaS应用程序的URL
• 浏览器将重定向到Citrix工作区进行身份验证
• 用户通过主用户目录进行身份验证后,SaaS应用程序将启动,Citrix提供单点登录

定义网站过滤策略

Citrix安全工作区访问服务在SaaS和网络应用程序中提供网站过滤,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。

• 在Citrix云中,在安全工作区访问磁贴中进行管理

• 如果遵循本指南，则完成设置最终用户身份验证步骤和配置最终用户对SaaS、Web和虚拟应用的访问权限步骤。选择配置内容访问
• 选择编辑
• 启用筛选网站类别选项
• 在“阻止的类别”框中,选择”添加”
• 选择要阻止用户访问的类别

• 选择所有适用的类别后，选择添加

• 对允许的类别执行同样操作
• 对重定向的类别执行同样的操作。这些类别重定向到安全浏览器实例
• 如果需要,管理员可以按照用于定义类别的相同过程过滤特定URL的拒绝,允许和重定向的操作。网站URL优先于类别。

验证配置

国内流离失所者发起的验证

• 以用户身份登录Citrix工作区
• 选择已配置的SaaS应用程序。如果禁用增强的安全性，应用程序将在本地浏览器中启动，否则将使用嵌入式浏览器
• 用户自动登录应用
• 应用适当的增强安全策略
• 如果已配置,请在SaaS应用程序中选择被阻止,允许和重定向类别中的URL
• 如果已配置,请在SaaS应用程序中选择阻止,允许和重定向的URL中的URL
• SaaS应用程序成功启动

SP发起的验证

• 启动浏览器
• 转到公司定义的SaaS应用程序的URL
• 浏览器将浏览器定向到Citrix工作区进行身份验证
• 用户通过主用户目录进行身份验证后,如果禁用了增强的安全性,SaaS应用程序将在本地浏览器中启动。如果启用了增强的安全性,安全浏览器实例将启动SaaS应用程序

故障排除

增强的安全策略失败

用户可能会遇到增强安全策略（水印、打印或剪贴板访问）失败的情况。通常,发生这种情况是因为SaaS应用程序使用多个域名。在SaaS应用程序的应用程序配置设置中,有一个相关域的条目。

增强的安全策略将应用于这些相关域。要识别缺少的域名,管理员可以使用本地浏览器访问SaaS应用程序,然后执行以下操作:

• 导航到策略失败的应用程序部分
• 在谷歌Chrome和微软边缘(铬版)中,选择浏览器右上角的三个点以显示菜单屏幕。
• 选择”更多工具”。
• 选择开发者工具
• 在开发人员工具中,选择”来源”。这为应用程序的该部分提供了访问域名列表。为了为应用的这一部分启用增强的安全策略，必须将这些域名输入到应用配置的相关域字段中。添加相关域名，例如下面的* .domain.com