Integrieren und Bereitstellen von Secure Web

Das generelle Verfahren zum Integrieren und Bereitstellen von Secure Web ist folgendes:

  1. Zum Aktivieren von SSO für das interne Netzwerk konfigurieren Sie Citrix Gateway.

    Für HTTP-Datenverkehr bietet Citrix ADC Single Sign-On für alle von Citrix ADC unterstützten Proxy-Authentifizierungstypen. Für HTTPS-Verkehr ermöglicht die Richtlinie für die Kennwortzwischenspeicherung, dass Secure Web Authentifizierungen durchführen und SSO für den Proxyserver über MDX bereitstellen kann. MDX unterstützt nur Standard-, Digest- und NTLM-Proxyauthentifizierung. Das Kennwort wird mit MDX zwischengespeichert und im freigegebenen Endpoint Management-Tresor, einem sicheren Speicher für vertrauliche Anwendungsdaten, gespeichert. Weitere Informationen zur Citrix Gateway-Konfiguration finden Sie unter Citrix Gateway.

  2. Laden Sie Secure Web herunter.
  3. Legen Sie fest, wie Benutzerverbindungen mit dem internen Netzwerk konfiguriert werden.
  4. Zum Hinzufügen von Secure Web zu Endpoint Management führen Sie die gleichen Schritte wie bei anderen MDX-Apps aus und konfigurieren Sie dann die MDX-Richtlinien. Informationen zu Secure Web-spezifischen Richtlinien finden Sie unter Secure Web-Richtlinien.

Konfigurieren von Benutzerverbindungen

Secure Web unterstützt die folgenden Konfigurationen für Benutzerverbindungen:

  • Tunnel - Web-SSO: Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können “Tunnel - Web-SSO” verwenden, eine Variante eines clientlosen VPNs. Diese Konfiguration ist der Standard für die Richtlinie Bevorzugter VPN-Modus. “Tunnel - Web-SSO” wird für Verbindungen empfohlen, die Single Sign-On (SSO) erfordern.
  • Vollständiger VPN-Tunnel: Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können einen vollständigen VPN-Tunnel verwenden, der mit der Richtlinie Bevorzugter VPN-Modus konfiguriert wird. Die Einstellung “Vollständiger VPN-Tunnel” wird für Verbindungen empfohlen, die Clientzertifikate oder End-To-End-SSL für Ressourcen im internen Netzwerk einsetzen. Vollständiger VPN-Tunnel unterstützt beliebige Protokolle über TCP und kann mit Windows- und Mac-Computern sowie iOS- und Android-Geräten verwendet werden.

Hinweis:

Die MDX-Technologie erreicht das Ende des Lebenszyklus (EOL) im September 2021. Um die Verwaltung Ihrer Unternehmensanwendungen fortzusetzen, müssen Sie das MAM-SDK integrieren. Der vollständige VPN-Tunnel wird im Legacy-MDX-Modus nicht unterstützt.

  • Die Richtlinie VPN-Moduswechsel zulassen ermöglicht bei Bedarf den automatischen Wechsel zwischen den Modi “Vollständiger VPN-Tunnel” und “Tunnel - Web-SSO”. Standardmäßig ist diese Richtlinie deaktiviert. Wenn die Richtlinie aktiviert ist, werden Netzwerkanfragen, die fehlschlagen, weil eine Authentifizierungsanfrage nicht im bevorzugten VPN-Modus verarbeitet werden konnte, in dem anderen Modus erneut versucht. Beispielsweise können im vollständigen VPN-Tunnel-Modus Serveraufforderungen für Clientzertifikate erfüllt werden, aber nicht im Modus “Tunnel – Web-SSO”. HTTP-Authentifizierungsaufforderungen mit Single Sign-On werden hingegen eher bedient, wenn der Modus “Tunnel - Web-SSO” verwendet wird.
  • Reverse-Split-Tunnel: Im Modus REVERSE umgeht der Datenverkehr für Intranet-Anwendungen den VPN-Tunnel, während der andere Datenverkehr den VPN-Tunnel durchläuft. Diese Richtlinie kann verwendet werden, um den gesamten nicht lokalen LAN-Verkehr zu protokollieren.

Konfigurationsschritte für Reverse-Split-Tunneling

Führen Sie folgende Schritte aus, um den Modus “Reverse-Split-Tunneling” auf dem Citrix Gateway zu konfigurieren:

  1. Navigieren Sie zur Richtlinie Richtlinien > Sitzung.
  2. Wählen Sie die Secure Hub-Richtlinie aus und navigieren Sie zu Clienterlebnis > Split-Tunnel.
  3. Wählen Sie REVERSE aus.

MDX-Richtlinie “Ausschlussliste für Reverse-Split-Tunneling”

Sie konfigurieren die Richtlinie für das Reverse-Split-Tunneling in Citrix Endpoint Management mit einer Ausschlussliste. Es handelt sich um eine kommagetrennte Liste von DNS-Suffixen und FQDNs. Die Liste enthält die URLs, deren Datenverkehr über das lokale Netzwerk (LAN) des Geräts (anstelle von Citrix ADC) gesendet werden muss.

In der folgenden Tabelle wird aufgeführt, wann Secure Web die Benutzer zur Eingabe der Anmeldeinformationen auf der Basis der Konfiguration und des Sitetyps auffordert:

Verbindungsmodus Sitetyp Kennwort zwischenspeichern SSO für Citrix Gateway konfiguriert Für Secure Web sind Anmeldeinformationen beim ersten Zugriff auf eine Website erforderlich Für Secure Web sind Anmeldeinformationen bei weiteren Zugriffen auf die Website erforderlich Für Secure Web sind Anmeldeinformationen nach Kennwortänderung erforderlich
Tunnel – Web-SSO HTTP Nein Ja Nein Nein Nein
Tunnel – Web-SSO HTTPS Nein Ja Nein Nein Nein
Vollständiges VPN HTTP Nein Ja Nein Nein Nein
Vollständiges VPN HTTPS Ja, wenn die Secure Web-MDX-Richtlinie “Webkennwortcaching aktivieren” auf “Ein” festgelegt ist. Nein Ja; Zum Zwischenspeichern der Anmeldeinformationen in Secure Web erforderlich Nein Ja

Secure Web-Richtlinien

Wenn Sie Secure Web hinzufügen, berücksichtigen Sie die folgenden Secure Web-spezifischen MDX-Richtlinien. Für alle unterstützten Mobilgeräte:

Zugelassene oder blockierte Websites

Secure Web filtert Weblinks normalerweise nicht. Sie können mit dieser Richtlinie eine spezifische Liste zugelassener oder blockierter Sites konfigurieren. Dazu konfigurieren Sie URL-Muster in einer durch Trennzeichen getrennte Liste und beschränken so die Websites, die der Browser öffnen kann. Ein Pluszeichen (+) oder Minuszeichen (-) wird jedem Muster in der Liste vorangestellt. Der Browser vergleicht eine URL mit den Mustern in der aufgelisteten Reihenfolge, bis eine Übereinstimmung gefunden wird. Wenn eine Übereinstimmung gefunden wird, bestimmt das Präfix die Aktion wie folgt:

  • Bei einem Minuszeichen (-) blockiert der Browser die URL. In diesem Fall wird die URL behandelt, als könne die Adresse des Webservers nicht aufgelöst werden.
  • Bei einem Pluszeichen (+) wird die URL normal verarbeitet.
  • Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen.
  • Wenn die URL mit keinem Muster in der Liste übereinstimmt, wird sie zugelassen.

Wenn alle anderen URLs blockiert werden sollen, setzen Sie an den Schluss der Liste ein Minuszeichen gefolgt von einem Sternchen (-*). Beispiel:

  • Durch den Richtlinienwert +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* werden HTTP-URLs innerhalb der Domäne mycorp.com zugelassen während alle anderen blockiert werden, alle HTTPS- und FTP-URLs sind zugelassen und alle anderen URLs werden blockiert.
  • Der Richtlinienwert +http://*.training.lab/*,+https://*.training.lab/*,-* ermöglicht Benutzern, beliebige Websites in der Domäne Training.lab (Intranet) über HTTP oder HTTPS zu öffnen. Der Richtlinienwert lässt Benutzer öffentliche URLs wie Facebook, Google und Hotmail – unabhängig von dem Protokoll.

Der Standardwert ist leer (alle URLs zugelassen).

Popups blockieren

Popups sind neue Registerkarten, die von Websites ohne Ihre Genehmigung geöffnet werden. Mit dieser Richtlinie legen Sie fest, ob Secure Web Popups zulässt. Bei der Einstellung “Ein” verhindert Secure Web das Öffnen von Popups. Der Standardwert ist Aus.

Vorab geladene Lesezeichen

Definiert einen vorab geladenen Satz Lesezeichen für den Secure Web-Browser. Die Richtlinie ist eine durch Trennzeichen getrennte Liste mit Tupel, die einen Ordnernamen, einen Anzeigenamen und die Webadresse einschließt. Jedes Tripel muss das Format “Ordner, Name, URL” haben, wobei Ordner und Name von Anführungszeichen (“) umschlossen sein können.

Die Richtlinienwerte ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx definieren drei Lesezeichen: Der erste Link ist ein primärer Link (kein Ordnername) mit dem Namen “Mycorp, Inc. home page”. Der zweite Link wird in einem Ordner mit dem Namen “MyCorp Links” platziert und trägt die Bezeichnung “Account logon”. Der dritte Link wird im Unterordner “Investor Relations” des Ordners “MyCorp Links” platziert und als “Contact us” angezeigt.

Der Standardwert ist leer.

Homepage-URL

Definiert die Website, die beim Starten von Secure Web geladen wird. Der Standardwert ist leer (Standardstartseite).

Nur für unterstützte Android- und iOS-Geräte:

Browserbenutzeroberfläche

Gibt das Verhalten und die Sichtbarkeit der Steuerelemente der Browserbenutzeroberfläche für Secure Web an. Normalerweise sind alle Browsersteuerelemente verfügbar. Dies schließt die Steuerelemente für Weiter, Zurück, Adressleiste sowie Aktualisieren und Stopp ein. Sie können mit dieser Richtlinie die Verwendung und Sichtbarkeit einiger dieser Steuerelemente einschränken. Der Standardwert ist Alle Steuerelemente sichtbar.

Optionen:

  • Alle Steuerelemente sichtbar. Alle Steuerelemente sind sichtbar und die Verwendung durch Benutzer ist nicht eingeschränkt.
  • Schreibgeschützte Adressleiste. Alle Steuerelemente sind sichtbar, aber Benutzer können das Adressfeld des Browsers nicht bearbeiten.
  • Adressleiste ausblenden. Die Adressleiste wird ausgeblendet. Die anderen Steuerelemente werden angezeigt.
  • Alle Steuerelemente ausblenden. Die gesamte Symbolleiste wird ausgeblendet und das Browserfenster ohne Rahmen angezeigt.

Webkennwortcaching aktivieren

Diese Richtlinie bestimmt, ob Secure Web Kennwörter auf Geräten zwischenspeichert, wenn Benutzer von Secure Web ihre Anmeldeinformationen zum Zugreifen auf oder Anfordern von Webressourcen eingeben. Diese Richtlinie gilt für Kennwörter, die in Authentifizierungsdialogfelder eingegeben werden, und nicht für Kennwörter, die in Webformulare eingegeben werden.

Wenn Ein festgelegt wird, speichert Secure Web alle Kennwörter zwischen, die Benutzer beim Anfordern einer Webressource eingeben. Wenn Aus festgelegt wird, speichert Secure Web Kennwörter nicht zwischen und entfernt bereits zwischengespeicherte Kennwörter. Der Standardwert ist Aus.

Diese Richtlinie ist nur aktiviert, wenn Sie für diese App auch die Richtlinie “Bevorzugter VPN-Modus” auf Vollständiger VPN-Tunnel festlegen.

Proxyserver

Sie können auch Proxyserver für Secure Web konfigurieren, wenn der Modus “Tunnel - Web-SSO” aktiviert ist. Weitere Informationen finden Sie in diesem Blogbeitrag:

DNS-Suffixe

Wenn DNS-Suffixe auf Android nicht konfiguriert sind, schlägt das VPN möglicherweise fehl. Weitere Informationen zum Konfigurieren von DNS-Suffixen finden Sie unter Supporting DNS Queries by Using DNS Suffixes for Android Devices.

Vorbereiten von Intranetsites für Secure Web

Dieser Abschnitt richtet sich an Website-Entwickler, die eine Intranetsite für die Verwendung mit Secure Web für iOS und Android vorbereiten müssen. Bei für Desktop-Browser entwickelten Intranetsites sind Änderungen erforderlich, damit sie ordnungsgemäß auf Android- und iOS-Geräten funktionieren.

Secure Web stützt sich auf Android WebView und iOS WkWebView für die Unterstützung von Webtechnologie. Beispiele für von Secure Web unterstützte Internet-Technologien:

  • AngularJS
  • ASP.NET
  • JavaScript
  • jQuery
  • WebGL
  • WebSockets (nur im uneingeschränkten Modus)

Beispiele für von Secure Web nicht unterstützte Internet-Technologien:

  • Flash
  • Java

In der folgenden Tabelle werden die von Secure Web unterstützten HTML-Rendering-Features und -Technologien aufgelistet. Ein X bedeutet, dass das Feature für eine Plattform-/Browser-/Komponentenkombination verfügbar ist.

Technologie Secure Web für iOS Secure Web für Android
JavaScript-Engine JavaScriptCore V8
Lokaler Speicher X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
requestAnimationFrame API   X
Navigation Timing API   X
Resource Timing API   X

Die Technologien funktionieren geräteübergreifend gleich, doch Secure Web gibt verschiedene Benutzeragentzeichenfolgen für verschiedene Geräte zurück. Die für Secure Web verwendete Browserversion können Sie anhand der Zeichenfolge des Benutzeragents ermitteln. Sie können den Benutzeragenten in den Secure Web-Protokollen überprüfen. Um die Secure Web-Protokolle abzurufen, navigieren Sie zu Secure Hub > Hilfe > Problem melden. Wählen Sie Secure Web aus der Liste der Apps aus. Sie erhalten eine E-Mail, die die gezippten Protokolldateien im Anhang enthält.

Problembehandlung bei Intranetsites

Zum Beheben von Rendering-Problemen bei der Anzeige der Intranetsite in Secure Web vergleichen Sie das Rendering der Website in Secure Web und einem kompatiblen Drittanbieter-Browser.

Für iOS sind Chrome und Dolphin kompatible Drittanbieter-Browser für Tests.

Für Android ist Dolphin der kompatible Drittanbieter-Browser für Tests.

Hinweis:

Chrome ist ein systemeigener Android-Browser. Verwenden Sie ihn nicht für den Vergleich.

Stellen Sie in iOS sicher, dass die Browser auf Geräteebene über VPN-Support verfügen. Diese Einstellung können Sie unter Einstellungen > VPN > VPN-Konfiguration hinzufügen auf dem Gerät konfigurieren.

Sie können auch VPN-Client-Apps wie Citrix Secure Access, Cisco AnyConnect oder Pulse Secure verwenden, die im App Store verfügbar sind.

  • Ist das Rendering bei beiden Browsern gleich, liegt das Problem bei der Website. Aktualisieren Sie die Website und stellen Sie sicher, dass sie in dem Betriebssystem einwandfrei funktioniert.
  • Wenn das Problem auf einer Webseite nur in Secure Web auftritt, wenden Sie sich an den Citrix Support zum Öffnen eines Supporttickets. Geben Sie die Problembehandlungsschritte und die getesteten Webbrowser und Betriebssysteme an. Wenn in Secure Web für iOS Wiedergabeprobleme auftreten, fügen Sie dieser Seite mit den folgenden Schritten ein Webarchiv hinzu. Auf diese Weise kann Citrix das Problem beheben.

Überprüfen der SSL-Verbindung

Stellen Sie sicher, dass die SSL-Zertifikatkette ordnungsgemäß konfiguriert ist. Mit dem SSL Certificate Checker können Sie nach fehlenden Stamm- oder Zwischenzertifizierungsstellen suchen, die nicht auf Mobilgeräten verknüpft oder installiert sind.

Viele Serverzertifikate werden von mehreren hierarchisch strukturierten Zertifizierungsstellen (ZS) signiert und bilden daher eine Kette. Diese Zertifikate müssen Sie verknüpfen. Informationen zum Installieren oder Verknüpfen Ihrer Zertifikate finden Sie unter Installieren, Verknüpfen und Aktualisieren von Zertifikaten.

Erstellen einer Webarchivdatei

In Safari unter macOS 10.9 oder höher können Sie eine Webseite als Webarchivdatei (Leseliste) speichern. Die Webarchivdatei enthält alle verknüpften Dateien wie Images, CSS und JavaScript.

  1. Leeren Sie in Safari den Ordner der Leseliste: Klicken Sie im Finder in der Menüleiste auf Gehe zu, wählen Sie Gehe zum Ordner, geben Sie den Pfadnamen ~/Library/Safari/ReadingListArchives/ ein. Löschen Sie nun alle Ordner an diesem Speicherort.

  2. Gehen Sie in der Menüleiste zu Safari > Einstellungen > Erweitert und aktivieren Sie in der Menüleiste Menü “Entwickler” anzeigen.

  3. Klicken Sie in der Menüleiste auf Entwickler > User Agent und geben Sie den User Agent für Secure Web ein: (Mozilla/5.0 (iPad; CPU OS 8_3 wie macOS) AppleWebKit/600.1.4 (KHTML, wie Gecko) Mobile/12F69 Secure Web/ 10.1.0 (Build 1.4.0) Safari/8536.25).

  4. Öffnen Sie in Safari die Website, die Sie als Leseliste (Webarchivdatei) speichern möchten.

  5. Klicken Sie in der Menüleiste auf Lesezeichen > Zur Leseliste hinzufügen. Dieser Schritt kann einige Zeit dauern. Die Archivierung erfolgt im Hintergrund.

  6. Navigieren Sie zur archivierten Leseliste: Klicken Sie in der Menüleiste auf Darstellung > Seitenleiste für Leseliste einblenden.

  7. Überprüfen Sie die Archivdatei:

    • Deaktivieren Sie die Netzwerkverbindung zum Mac.
    • Öffnen Sie die Website über die Leseliste.

      Die Website wird komplett gerendert.

  8. Komprimieren Sie die Archivdatei: Klicken Sie im Finder in der Menüleiste auf Gehe zu, wählen Sie Gehe zum Ordner, geben Sie den Pfadnamen ~/Library/Safari/ReadingListArchives/ ein. Komprimieren Sie dann den Ordner mit einer zufälligen Hex-Zeichenfolge als Dateiname. Diese Datei können Sie an den Citrix Support senden, wenn Sie ein Supportticket öffnen.

Secure Web-Features

Secure Web verwendet Technologien für den Austausch von mobilen Daten zum Erstellen eines dedizierten VPN-Tunnels, damit Benutzer in einer durch die Richtlinien Ihres Unternehmens gesicherten Umgebung auf interne und externe Websites zugreifen können. Die Websites umfassen Websites mit sensiblen Informationen in einer Umgebung, die durch die Richtlinien Ihrer Organisation geschützt ist.

Die Integration von Secure Web in Secure Mail und Citrix Files bietet eine nahtlose Benutzererfahrung innerhalb des sicheren Endpoint Management-Containers. Hier sehen Sie einige Beispiele der Integrationsfeatures:

  • Wenn Benutzer auf einen mailto-Link tippen, wird eine neue E-Mail-Nachricht in Secure Mail geöffnet, ohne dass sie sich erneut authentifizieren müssen.
  • Zulassen, dass Links in Secure Web unter Wahrung der Datensicherheit geöffnet werden. In Secure Web für iOS und Android können Benutzer über einen dedizierten VPN-Tunnel sicher auf Sites mit vertraulichen Informationen zugreifen. Sie können über Secure Mail, Secure Web oder eine Drittanbieter-App auf Links klicken. Die Links werden in Secure Web geöffnet und die Daten werden sicher eingebunden. Die Benutzer können einen internen Link öffnen, der das ctxmobilebrowser-Schema in Secure Web hat. Dabei transformiert Secure Web das Präfix ctxmobilebrowser:// in http://.. Für HTTPS-Links transformiert Secure Web ctxmobilebrowsers:// in https://.

Das Feature wird von der MDX-App-Interaktionsrichtlinie Eingehender Dokumentaustausch gesteuert. Die Richtlinie ist standardmäßig auf Uneingeschränkt festgelegt. Mit dieser Einstellung können URLs in Secure Web geöffnet werden. Sie können die Richtlinieneinstellung so ändern, dass nur Apps in einer von Ihnen angelegten Positivliste mit Secure Web kommunizieren können.

  • Wenn Benutzer auf einen Intranet-Link in einer E-Mail-Nachricht klicken, wechselt Secure Web ohne weitere Authentifizierung zu der Site.
  • Benutzer können Dateien in Citrix Files hochladen, die sie mit Secure Web aus dem Internet heruntergeladen haben.

Secure Web-Benutzer können zudem die folgenden Aktionen ausführen:

  • Popups blockieren

    Hinweis:

    Ein Großteil des Speichers von Secure Web wird für die Wiedergabe von Popups verwendet, sodass die Leistung oft durch das Blockieren von Popups in “Einstellungen” erhöht werden kann.

  • Lesezeichen für bevorzugte Sites erstellen
  • Dateien herunterladen
  • Seiten offline speichern
  • Kennwörter automatisch speichern
  • Cache, Verlauf und Cookies löschen
  • Blockieren von Cookies und lokalem HTML5-Speicher:
  • Geräte sicher mit anderen Benutzern teilen
  • Über die Adressleiste suchen
  • Zulassen, dass mit Secure Web ausgeführte Web-Apps auf ihren Standort zugreifen
  • Einstellungen exportieren und importieren
  • Dateien direkt in Citrix Files öffnen, ohne sie herunterzuladen. Zum Aktivieren dieses Features fügen Sie der Richtlinie “Zulässige URLs” in Endpoint Management den Parameter ctx-sf hinzu.
  • Verwenden Sie in iOS 3D-Touchaktionen zum Öffnen einer neuen Registerkarte und zum Zugriff auf Offlineseiten und Favoriten sowie für direkte Downloads vom Homebildschirm.
  • In iOS: Herunterladen von Dateien jeder Größe und Öffnen in Citrix Files oder anderen Apps

    Hinweis:

    Beim Verschieben von Secure Web in den Hintergrund wird der Download angehalten.

  • Nach einem Begriff in der aktuellen Seitenansicht mit Auf Seite suchen suchen

    Abbildung der Option "Auf Seite suchen"

Secure Web unterstützt auch dynamischen Text und zeigt daher die Schriftart an, die Benutzer auf ihrem Gerät festlegen.

Hinweis:

Integrieren und Bereitstellen von Secure Web