PoC: Okta, Citrix安全私有访问

概述

随着用户使用越来越多的基于SaaS的应用程序,组织必须能够统一所有批准的应用程序,简化用户登录操作,同时仍然强制执行身份验证标准。组织必须能够保护这些应用程序，即使它们存在于数据中心的范围之外。Citrix工作区为组织提供了对 SaaS 应用的安全访问。

在这种情况下,用户使用Active Directory或Okta作为主用户目录向Citrix工作区进行身份验证。Okta, SaaS。

如果将Citrix安全的私人访问服务分配给Citrix订阅,则将应用增强的安全策略,包括应用基于屏幕的水印,限制打印/下载操作,屏幕抓取限制,键盘模糊处理以及保护用户免受不可信链接的侵害基于Okta的SaaS应用程序的顶部。

以下动画显示了用户在使用Okta提供SSO并使用Citrix安全的私人访问保护的情况下访问SaaS应用程序。

此演示显示了一个IDP启动的SSO流程,用户可在其中从Citrix工作区中启动应用程序。本PoC指南还支持SP启动的SSO流程,用户尝试直接从首选浏览器访问SaaS应用程序。

假设：

• Okta, office365, SaaS, SSO
• Okta, Office 365, SaaS，软件，软件，软件，软件
• Citrix工作空间、活动目录、Okta工作空间、Okta工作空间。

本概念验证指南演示了如何：

1. Citrix工作空间
2. 集成主用户目录
3. / / / / / / / / / / / / / /
4. 定义网站过滤策略
5. 验证配置

Citrix工作空间

Citrix工作空间

1. 工作空间URL
2. 启用适当的服务

工作空间URL

1. 连接到Citrix云并以管理员帐户登录
2. Citrix工作空间工作空间
3. 在访问http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/

启用服务

“笨笨”，“笨笨”，“笨笨”

1. 安全私人访问
2. 安全浏览器

验证

思杰工作空间工作空间URL:但是，在定义和配置主用户目录之前，登录不可用。

集成主用户目录

用户必须先配置主用户目录工作空间;主用户目录是用户需要的唯一身份，因为在 Workspace 中对应用程序的所有请求都使用单点登录到次要身份。

组织可以使用以下任何一个主用户目录

• A@@active Directory (AD):活动目录、云连接器安装指南将云连接活动目录。
• Active Directory (AD):基于Active Directory的身份验证还可以包括使用基于时间的一次性密码(你觉得)的多因素身份验证。本指南详细介绍了启用此身份验证选项所需的步骤。
• Azure活动目录(AAD)Azure Active Directory、Citrix Workspace、Azure Active Directory、Azure Active Directory、Azure Active Directory本指南提供了有关配置此选项的详细信息。
• Citrix网关:组织可以利用本地Citrix网关充当Citrix工作区的身份提供者。本指南提供了有关集成的详细信息。
• 谷歌:谷歌，Citrix工作空间本指南提供了配置此选项的说明。
• Okta: Citrix Workspace本指南提供了配置此选项的说明。

这句话的意思是

思杰工作空间(Citrix Workspace

• url
• URI
• 【翻译
• SaaS软件
• 你觉得怎么样
• 【翻译

url

• 好吧
• 选择应用
• Citrix工作空间微软Office 365。
• 在常规下，向下滚动直到找到正确的应用程序嵌入链接。Citrix Workspace。

URI

• 思杰云
• 在身份和访问管理部分下，选择API
• 捕获炉边参数。http://www.tingclass.cn/ http://www.tingclass.cn///m.giftsix.com/ < customerID >

【翻译

Okta需要使用Citrix工作区作为SAML身份提供商,从而使Okta成为SAML配置中的服务提供商。

• 好吧
• 选择安全->身份提供商
• 选择添加身份提供商->2.0 IdP

• 提供一个名字
• http://www.idp, http://www.idp, http://www.idpidpUser。用户名（区分大小写）
• 匹配应该是Okta (Okta
• 如果未找到匹配项，请选择“【翻译”
• URI, URL//m.giftsix.com/ < customerID >。URI URI

• 将流程的这部分保持打开状态,直到我们能够从Citrix云获取单点登录URL和SSL证书。

SaaS软件

• “Citrix云”，“安全私有访问”管理”。

• “安全私有访问”应用程序”
• 在应用程序部分中，选择添加应用程序
• 在“选择模板”向导中，选择“跳过”
• 齐齐、齐齐、齐齐、齐齐、齐齐、齐齐我的公司网络之外
• 在应用程序详细信息窗口中，提供应用程序名称
• http://www.qqqq.com http://www.qqqq.com程序嵌入链接
• http://www.chinac.cn/cn/或http://www.chinac.cn/cn/解析:中文翻译为:奥克塔，格鲁，格鲁，格鲁，格鲁。增强的安全策略要求实际应用程序使用相关域，这通常是*。< companyID > .SaaSApp.com(译文:)

• 选择下一步
• 在“单点登录”窗口中，选择“下载“好吧!”
• 选择复制■■■■■■

• 8 .陆基。添加身份提供程序对话框应该仍然可见
• 对于IdP, http://www.idphttp://www.citrix http://www.citrix。它应该类似https://app.netscalergateway.net/ngs/ < customerid > / saml /登录? APPID = < APPID >
• 在IdP【翻译

• 向导完成后，复制你知道吗和受众URI。

• Citrix。
• 在“单点登录”窗口中，对于网址:(1)、(1)、(2)、(3这是一个很好的例子项目
• 对于受众(1)、(1)、(1)、(2)、(3笨笨项目。
• 李泽平，李泽平，李泽平。Okta。

• 选择下一步
• 在“应用程序连接”窗口中，选择下一步
• 选择完成

你觉得怎么样

• “安全私有访问”访问策略”
• 在“访问策略”部分中，选择创建策略
• 在“应用程序“笨笨，笨笨，笨笨。
• 在“如果满足以下条件”部分中，为您的用户/用户组订阅应用程序

*注意：除了用户订阅外，还可以通过组合多个条件（最多 6 个）来精细化访问策略。＊

• 在“然后执行以下操作”部分中，选择以下选项之一：
  • 允许访问
  • 允许有限制访问（应用增强的安全性设置）
  • 拒绝访问
• 提供策略名称
• 选择保存时启用策略

• 选择保存

【翻译

到目前为止,该配置支持IDP启动的启动过程,用户可以在Citrix工作空间内启动应用程序。为了启用SP启动的进程,即用户使用直接URL启动应用程序,Okta需要定义IdP路由规则。

• 【翻译安全性-身份提供商
• 选择路由规则
• 选择添加路由规则
• 提供规则名称
• 对于使用此身份提供程序选项、Citrix (Citrix

• 选择激活

注意:在配置过程中,Okta管理员可能无法登录Okta管理员控制台,因为入站SAML配置不完整。齐格，齐格，齐格，齐格，齐格，齐格https://companyname.okta.com/login/default

验证

我的意思是

• 思杰工作空间
• SaaS软件
• “”“”“”“
• SaaS技术

这是我的最爱

• 启动浏览器
• SaaS软件
• Citrix工作空间
• 软件、软件、软件、软件、软件、软件、软件、软件、软件

定义网站过滤策略

Citrix安全的私人访问服务在SaaS和网络应用程序中提供网站筛选,以帮助保护用户免受网络钓鱼攻击。下面显示了如何设置网站过滤策略。

• 齐睿云，齐睿云安全私有访问管理

• 如果遵循本指南，则完成了“设置最终用户身份验证”步骤和“SaaS, Web”步骤。
• “安全私有访问”设置”
• 在“设置”部分中，选择Web筛
• 选择编辑
• 启用筛选网站类别选项
• 在“阻止的类别”框中，选择添加
• 选择要阻止用户访问的类别

• 选择所有适用的类别后，选择添加

• 对允许的类别执行同样操作
• 对重定向的类别执行同样的操作。安全浏览器
• 如果需要,管理员可以按照与定义类别相同的流程筛选特定URL的拒绝,允许和重定向操作。[au:]

验证配置

我的意思是

• 思杰工作空间
• 选择已配置的SaaS应用程序。如果禁用增强安全性,则应用程序将在本地浏览器中启动,否则,使用企业浏览器
• 用户自动登录应用
• 应用适当的增强安全策略
• 笨笨笨笨，笨笨笨笨，笨笨笨笨
• 笨笨，笨笨，笨笨，笨笨，笨笨，笨笨
• SaaS技术

这是我的最爱

• 启动浏览器
• SaaS软件
• 思杰工作空间
• “SaaS”，“SaaS”，“SaaS”，“SaaS”，“SaaS”。安全浏览器

故障排除

增强的安全策略失败

用户可能会因增强的安全策略（水印、打印或剪贴板访问）而遇到故障。SaaS的英文:SaaS的英文:SaaS【中文翻译相关域的条目。

增强的安全策略应用于那些相关的域。SaaS、;

• 导航到策略失败的应用程序部分
• 在谷歌Chrome和微软边缘(铬版)中,选择浏览器右上角的三个点以显示菜单屏幕。
• 选择“更多工具”。
• 选择开发者工具
• 在开发人员工具中，选择“来源”。这为应用程序的该部分提供了访问域名列表。要为应用程序的这一部分启用增强安全策略，必须将这些域名输入到应用程序配置的相关域字段中。应按下面的* .domain.com所示添加相关域名