Machbarkeitsnachweis: Sicherer Zugriff auf interne Webanwendungen mit Citrix Secure Workspace Access

Übersicht

Bei Remote-Arbeit benötigen Benutzer Zugriff auf interne webbasierte Anwendungen. Eine bessere Erfahrung bedeutet, ein VPN-Bereitstellungsmodell zu vermeiden, was häufig zu folgenden Herausforderungen führt:

  • VPN Risiko 1: sind schwer zu installieren und zu konfigurieren
  • VPN-Risiko 2: Benutzer müssen VPN-Software auf Endpunktgeräten installieren, die möglicherweise ein nicht unterstütztes Betriebssystem verwenden
  • VPN-Risiko 3: Erfordern Sie die Konfiguration komplexer Richtlinien, um zu verhindern, dass ein nicht vertrauenswürdiges Endpunktgerät uneingeschränkten Zugriff auf das Unternehmensnetzwerk, die Ressourcen und die Daten hat.
  • VPN-Risiko 4: Es ist schwierig, Sicherheitsrichtlinien zwischen VPN-Infrastruktur und lokalisierter Infrastruktur synchron zu halten.

Um die allgemeine Benutzererfahrung zu verbessern, müssen Unternehmen in der Lage sein, alle sanktionierten Apps zu vereinheitlichen, die Benutzeranmeldung zu vereinfachen und gleichzeitig Authentifizierungsstandards durchzusetzen.

Single Sign-On-Übersicht

Unternehmen müssen in der Lage sein, SaaS-, Web-, Windows-, Linux-Anwendungen und Desktops bereitzustellen und zu sichern, obwohl einige dieser Ressourcen über die Grenzen des Rechenzentrums hinaus existieren und auf Ressourcen außerhalb des Rechenzentrums zugreifen können. Citrix Workspace bietet Unternehmen sicheren, VPN-freien Zugriff auf benutzerautorisierte Ressourcen.

In diesem Proof-of-Concept-Szenario authentifiziert sich ein Benutzer bei Citrix Workspace mit Active Directory, Azure Active Directory, Okta, Google oder Citrix Gateway als primärem Benutzerverzeichnis. Citrix Workspace bietet Single-Sign-On-Services für einen definierten Satz von Unternehmens-Webanwendungen.

Single Sign-On-Übersicht

Wenn der Citrix Secure Workspace Access-Dienst dem Citrix Abonnement zugewiesen ist, werden erweiterte Sicherheitsrichtlinien angewendet, die von der Anwendung von bildschirmbasierten Wasserzeichen über das Einschränken von Druck-/Download-Aktionen, Beschränkungen für das Ergreifen von Bildschirmen, die Verschleierung der Tastatur bis hin zum Schutz der Benutzer vor nicht vertrauenswürdigen Links reichen oben auf den Webanwendungen.

Die Animation zeigt einen Benutzer, der mit von Citrix bereitgestellten SSO auf eine Webanwendung zugreift und mit dem Citrix Secure Workspace Access Service gesichert ist.

Citrix SSO Demo

Diese Demonstration zeigt einen Flow, bei dem der Benutzer die Anwendung von Citrix Workspace aus startet, der die Verbindung ohne VPN mit dem Rechenzentrum verwendet. Da der Benutzer von einem externen Gerät aus auf eine interne Webanwendung zugreift, muss die Zugriffsanforderung aus Citrix Workspace stammen.

Dieser Leitfaden zum Proof of Concept zeigt, wie Sie:

  1. Einrichten von Citrix Workspace
  2. Integriere ein primäres Benutzerverzeichnis
  3. Integrieren Sie Single Sign-On für Outlook Web Access, das sich im Rechenzentrum befindet
  4. Definieren von Richtlinien zur Website-
  5. Überprüfen der Konfiguration

Einrichten von Citrix Workspace

Die ersten Schritte zum Einrichten der Umgebung besteht darin, Citrix Workspace für die Organisation vorzubereiten, einschließlich

  1. Einrichten der Workspace-URL
  2. Ermöglichung der entsprechenden Dienste

Workspace-URL festlegen

  1. Verbinden Sie sich mit Ihrem Administratorkonto Citrix-Wolke und melden Sie sich an
  2. Greifen Sie in Citrix Workspace über das Menü oben links auf Workspace-Konfiguration zu
  3. Geben Sie auf der Registerkarte Zugriff eine eindeutige URL für die Organisation ein und wählen Sie “Aktiviert”

Workspace-URL

Dienste aktivieren

Aktivieren Sie auf der Registerkarte Service Integration die folgenden Dienste, um den Anwendungsfall für den sicheren Zugriff auf Web-Apps zu unterstützen

  1. Gateway
  2. Secure Browser

Arbeitsbereich Services

Verifizieren

Citrix Workspace benötigt einige Augenblicke, um Dienste und URL-Einstellungen zu aktualisieren. Vergewissern Sie sich in einem Browser, dass die benutzerdefinierte Workspace-URL aktiv ist. Die Anmeldung ist jedoch erst verfügbar, wenn ein primäres Benutzerverzeichnis definiert und konfiguriert wird.

Integrieren Sie ein Hauptbenutzerverzeichnis

Bevor Benutzer sich bei Workspace authentifizieren können, primäres Benutzerverzeichnis muss a konfiguriert werden. Das primäre Benutzerverzeichnis ist die einzige Identität, die der Benutzer benötigt, da alle Anfragen nach Apps in Workspace Single Sign-On für sekundäre Identitäten verwenden.

Eine Organisation kann eines der folgenden primären Benutzerverzeichnisse verwenden

  • Active Directory: Um die Active Directory-Authentifizierung zu aktivieren, muss ein Cloud-Connector im selben Rechenzentrum wie ein Active Directory-Domänencontroller bereitgestellt werden, indem Sie der Cloud Connector-Installation Anleitung folgen.
  • Active Directory mit zeitbasiertem Einmalkennwort: Die Active Directory-basierte Authentifizierung kann auch eine Multifaktor-Authentifizierung mit einem zeitbasierten Einmalkennwort (TOTP) umfassen. Dies Leitfaden beschreibt die erforderlichen Schritte, um diese Authentifizierungsoption zu aktivieren.
  • Azure Active Directory: Benutzer können sich bei Citrix Workspace mit einer Azure Active Directory-Identität authentifizieren. Dies Leitfaden enthält Details zur Konfiguration dieser Option.
  • Citrix Gateway: Unternehmen können ein on-premises geladenes Citrix Gateway nutzen, um als Identitätsanbieter für Citrix Workspace zu fungieren. Dies Leitfaden liefert Details zur Integration.
  • Okta: Organisationen können Okta als primäres Benutzerverzeichnis für Citrix Workspace verwenden. Dies Leitfaden enthält Anweisungen zum Konfigurieren dieser Option.

Konfigurieren von Single Sign-On

Um Web-Apps erfolgreich in Citrix Workspace zu integrieren, muss der Administrator Folgendes tun

  • Bereitstellen von Gateway Connector
  • Konfigurieren der Web-App
  • Autorisieren der Web-App

Bereitstellen von Gateway Connector

  • Wählen Sie in der Citrix Cloud in der Menüleiste Ressourcenstandorte aus.

Gateway-Anschluss 01

  • Wählen Sie in dem Ressourcenstandort, der der Site zugeordnet ist, die die Web-App enthält, Gateway Connectors
  • Wählen Sie Gateway Connector hinzufügen
  • Laden Sie das mit dem entsprechenden Hypervisor verknüpfte Image herunter. Lassen Sie dieses Browserfenster offen
  • Importieren Sie das Image nach dem Herunterladen in den Hypervisor
  • Wenn das Image gestartet wird, wird die URL bereitgestellt, die für den Zugriff auf die Konsole verwendet wird

Gateway-Anschluss 02

  • Melden Sie sich beim Connector an, ändern Sie das Administratorkennwort und legen Sie die Netzwerk-IP-Adresse
  • Um Single Sign-On für bestimmte lokale Anwendungen (z. B. SharePoint) bereitzustellen, konfigurieren Sie ein Konto, um Kerberos Constrained Delegation durchzuführen
  • Kehren Sie zum Browserfenster zurück, das das Connector-Image heruntergeladen hat. Wählen Sie Aktivierungscodeabrufen

Gateway-Anschluss 03

  • Fügen Sie den Aktivierungscode dem on-premises Gateway Connector-Konfigurationsbildschirm hinzu. Wenn dies korrekt durchgeführt wird, zeigt der Gateway Connector eine etablierte Verbindung mit dem Citrix Gateway Service an.

Konfigurieren der Web-App

  • Wählen Sie in der Citrix Cloud die Option Verwalten aus der Gateway-Kachel aus

Web App 01 einrichten

  • Wählen Sie Web-/SaaS-App hinzufügen
  • Wählen Sie im Assistenten zum Auswählen einer Vorlage die Option Überspringen

Web App einrichten 02

  • Wählen Sie im Fenster App-Details die Option In meinem Unternehmensnetzwerk
  • Geben Sie einen Namen für die Anwendung
  • Geben Sie die URL für die Webanwendung ein
  • Fügen Sie nach Bedarf weitere zugehörige Domains für die Webanwendung hinzu
  • Fügen Sie bei Bedarf ein anwendungsspezifisches Symbol hinzu

**Hinweis**: Erweiterte Sicherheitsrichtlinien verwenden das Feld “Verwandte Domänen”, um die zu sichernden URLs zu bestimmen. Eine verwandte Domain wird automatisch basierend auf der URL im vorherigen Schritt hinzugefügt. Erweiterte Sicherheitsrichtlinien erfordern verwandte Domains für die Anwendung. Wenn die Anwendung mehrere Domänennamen verwendet, muss jeder in das Feld “Verwandte Domänen” hinzugefügt werden, was oft *.<companyID>.company.com (als Beispiel *.mail.citrix.com) ist

Setup Web App 03

  • Wählen Sie im Fenster “ Erweiterte Sicherheit “ die entsprechenden Sicherheitsrichtlinien für die Umgebung aus
  • Wählen Sie Weiter

Setup Web App 04

  • Wählen Sie den entsprechenden Ressourcenstandort, der die Webanwendung hostet Wenn ein Gateway Connector noch nicht installiert und konfiguriert wurde, muss dies jetzt geschehen.
  • Wählen Sie Weiter

Web-App einrichten 05

  • Wählen Sie im Single Sign-On-Fenster die entsprechende SSO-Option für die Webanwendung aus. Dies erfordert oft Hilfe vom Besitzer der Web-App. Für OWA wählen Sie Formularbasiert
  • Geben Sie die entsprechenden Informationen für das Anmeldeformular der Web-App ein. Dies ist App-spezifisch

Webapp einrichten 06

  • Wählen Sie Speichern
  • Wählen Sie Fertig

Autorisieren Sie die Web-App

  • Wählen Sie in der Citrix Cloud im Menü die Option Bibliothek aus

Autorisieren Sie die Web-App 01

  • Suchen Sie die Web-App und wählen Sie Abonnenten verwalten
  • Fügen Sie die entsprechenden Benutzer/Gruppen hinzu, die berechtigt sind, die App zu starten

Autorisieren Sie die Webanwendung 02

Überprüfen

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie die konfigurierte Webanwendung
  • Die Web-App wird erfolgreich eingeführt

SP-initiierte Validierung

  • Der Zugriff auf interne Web-Apps muss von Citrix Workspace aus initiiert werden

Definieren von Richtlinien zur Website-

Der Citrix Secure Workspace Access-Dienst bietet Website-Filterung in SaaS und Web-Apps, um den Benutzer vor Phishing-Angriffen zu schützen. Im Folgenden wird gezeigt, wie Sie Richtlinien zur Website-Filterung einrichten.

  • In der Citrix Cloud innerhalb der Secure Workspace Access-Kachel verwalten

Citrix Secure Workspace Access 1

  • Wenn dieses Handbuch befolgt wurde, sind der Schritt Endanwenderauthentifizierung einrichten und die Schritte Endbenutzerzugriff auf SaaS, Web- und virtuelle Applciations konfigurieren abgeschlossen. Wählen Sie Content-Zugriff konfigurieren
  • Wählen Sie Bearbeiten
  • Aktivieren Sie die Option Website-Kategorien filtern
  • Wählen Sie im Feld Blockierte Kategorien die Option Hinzufügen
  • Wählen Sie die Kategorien aus, um den Zugriff von Benutzern zu blockieren

Citrix Secure Workspace Access 2

  • Wenn alle zutreffenden Kategorien ausgewählt sind, wählen Sie Hinzufügen

Citrix Secure Workspace Access 3

  • Tun Sie das Gleiche für erlaubte Kategorien
  • Tun Sie das Gleiche für umgeleitete Kategorien. Diese Kategorien werden auf eine Secure Browser-Instanz umgeleitet
  • Bei Bedarf können Administratoren abgelehnte, erlaubte und umgeleitete Aktionen für bestimmte URLs nach demselben Prozess filtern, der zum Definieren von Kategorien verwendet wurde. Website-URLs haben Vorrang vor Kategorien.

Validieren Sie die Konfiguration

IdP-initiierte Validierung

  • Melden Sie sich als Benutzer bei Citrix Workspace an
  • Wählen Sie die konfigurierte Webanwendung aus. Die App wird innerhalb des eingebetteten Browsers gestartet.
  • Der Benutzer meldet sich automatisch bei der App an
  • Die entsprechenden erweiterten Sicherheitsrichtlinien werden angewendet
  • Wenn konfiguriert, wählen Sie eine URL innerhalb der Web-App aus, die in den gesperrten, zulässigen und umgeleiteten Kategorien enthalten ist
  • Wenn konfiguriert, wählen Sie eine URL in der Web-App aus, die in den gesperrten, zulässigen und umgeleiteten URLs enthalten ist

SP-initiierte Validierung

  • Der Zugriff auf interne Web-Apps muss von Citrix Workspace aus initiiert werden

Beispiele für die Konfiguration von Webanwendungen

OWA

Die SSO-Konfiguration für Outlook Web Access lautet wie folgt:

Webapp einrichten 06

SharePoint

Eine on-premises Bereitstellung für SharePoint kann verschiedene Arten der Authentifizierung unterstützen (Kerberos, Forms-basiert und SAML). Die SSO-Konfiguration für eine interne SharePoint-Website mit Kerberos lautet wie folgt:

Autorisieren Sie die Webanwendung 02

Problembehandlung

Erweiterte Sicherheitsrichtlinien scheitern

Es kann sein, dass die erweiterten Sicherheitsrichtlinien (Wasserzeichen, Drucken oder Zugriff auf die Zwischenablage) fehlschlagen. In der Regel passiert dies, weil die Webanwendung mehrere Domänennamen verwendet. Innerhalb der Anwendungskonfigurationseinstellungen für die Web-App gab es einen Eintrag für Related Domains.

Setup Web App 03

Die erweiterten Sicherheitsrichtlinien werden auf diese zugehörigen Domänen angewendet. Um fehlende Domainnamen zu identifizieren, kann ein Administrator mit einem lokalen Browser auf die Web-App zugreifen und folgende Schritte ausführen:

  • Navigieren Sie zu dem Bereich der App, in dem die Richtlinien fehlschlagen
  • Wählen Sie in Google Chrome und Microsoft Edge (Chromium-Version) die drei Punkte oben rechts im Browser aus, um einen Menübildschirm anzuzeigen.
  • Wählen Sie Weitere Toolsaus.
  • Wählen Sie Entwicklertools
  • Wählen Sie in den Entwicklertools die Option Quellen. Dies bietet eine Liste der Zugriffsdomänennamen für diesen Abschnitt der Anwendung. Um die erweiterten Sicherheitsrichtlinien für diesen Teil der App zu aktivieren, müssen diese Domainnamen in das Feld Verwandte Domänen in der App-Konfiguration eingegeben werden. Verwandte Domains werden wie folgt hinzugefügt: *.domain.com

Verbesserte Sicherheitsfehlersuche 01