Citrix DaaS

Accesso adattivo basato sulla posizione di rete dell’utente

La funzione Adaptive Access (Accesso adattivo) di Citrix Workspace utilizza un’infrastruttura di criteri avanzata per consentire l’accesso a Citrix DaaS in base alla posizione di rete dell’utente. La posizione viene definita utilizzando l’intervallo di indirizzi IP o gli indirizzi di sottorete.

Gli amministratori possono definire criteri per enumerare o non enumerare i desktop e le app virtuali in base alla posizione di rete dell’utente. Gli amministratori possono anche controllare le azioni degli utenti abilitando o disabilitando l’accesso agli appunti, alle stampanti, alla mappatura delle unità client e così via, in base alla posizione di rete dell’utente. Ad esempio, gli amministratori possono impostare criteri per cui gli utenti che accedono alle risorse da casa abbiano un accesso limitato alle applicazioni e gli utenti che accedono alle risorse dalle filiali abbiano l’accesso completo.

Panoramica di Adaptive Access

Un amministratore può implementare i seguenti criteri per l’accesso alle applicazioni:

  • Enumerare alcune applicazioni sensibili accessibili solo dalla sede aziendale o dalle filiali.
  • Non enumerare le applicazioni riservate se i dipendenti accedono all’area di lavoro da una rete esterna.
  • Disabilitare l’accesso alla stampante dalle filiali.
  • Disabilitare l’accesso agli appunti e alla stampante quando gli utenti sono al di fuori della rete aziendale.

Diritti

La funzionalità Adaptive Access è disponibile per i clienti con le seguenti licenze.

  • Distribuzione Citrix DaaS con accesso tramite la piattaforma Citrix Workspace
  • DaaS Premium/Premium Plus
  • Accesso privato sicuro avanzato

Prerequisiti

  • Assicurarsi che la funzione Adaptive Access (Accesso adattivo) sia abilitata (Citrix Workspace > Access > Adaptive Access). Per informazioni dettagliate, vedere Abilitare la funzionalità Adaptive Access.

    Quando l’accesso adattivo è abilitato, i criteri di accesso di DaaS vengono aggiornati in modo che utilizzi l’opzione Connections through Citrix Gateway (Connessioni tramite Citrix Gateway).

    Nota:

    NetScaler Gateway è necessario per aggiungere le tag Smart Access ai criteri di accesso DaaS. Tuttavia, poiché DaaS utilizza i tag dei servizi Device Posture, Adaptive Access e Adaptive Authentication, non è necessario avere un NetScaler Gateway configurato nella configurazione.

  • Comprendere i tag di posizione. Per informazioni dettagliate, vedere Tag di posizione della rete.

Punti da notare

I seguenti punti sono applicabili solo se si desidera limitare l’enumerazione delle applicazioni in base alla posizione. Se si prevede di utilizzare l’accesso adattivo per limitare controlli utente come la disattivazione dell’accesso agli appunti, il reindirizzamento della stampante, la mappatura delle unità client in base alla posizione della rete, è possibile ignorare queste linee guida.

  • Durante la creazione di un gruppo di consegna, se si seleziona l’opzione Leave user management to Citrix Cloud (Lasciare la gestione degli utenti a Citrix Cloud), non è possibile applicare i criteri Smart Access (ad esempio, l’accesso adattivo a Citrix DaaS in base alla posizione di rete). Questo perché i gruppi di consegna diventano librerie e quindi non vengono più gestiti da Web Studio.
  • Se si prevede di enumerare in modo selettivo Citrix DaaS in base al percorso di rete, la gestione degli utenti deve essere eseguita per quei gruppi di consegna utilizzando i criteri di Citrix Studio anziché Workspace. Quando si crea un gruppo di consegna, in User setting (Impostazione utente), scegliere Restrict use of this Delivery Group (Limita l’uso di questo gruppo di consegna) o Allow any authenticated users to use this Delivery Group (Consenti a qualsiasi utente autenticato di utilizzare questo gruppo di consegna). In questo modo si configura l’accesso adattivo alla scheda Access Policy (Criteri di accesso) in Delivery Group (Gruppo di consegna).

Gruppo di consegna

  • Diventa Direct Workload Connection (Connessione diretta al carico di lavoro) quando l’accesso adattivo è abilitato.

    • Il campo Location tags (Tag di posizione) è visibile in Citrix Cloud > Network Locations > Add a Network Location > Location tags (Citrix Cloud > Posizioni di rete > Aggiungi una posizione di rete > Tag di posizione).
    • I criteri esistenti di Direct Workload Connection funzionano come previsto.
    • È necessario creare nuovi criteri nel servizio Network Locations (senza definire i tag) e anche nel gruppo di consegna. Inoltre, il tipo di connettività di rete deve essere Internal.
    • Per i nuovi criteri relativi a Direct Workload Connection con tag, i tag devono essere definiti nel servizio Network Locations e gli stessi tag devono essere definiti anche nel gruppo di consegna o nei criteri di accesso in DaaS Studio. Inoltre, il tipo di connettività di rete deve essere Internal. I tag di posizione non sono pertinenti per Direct Workload Connection.
  • Quanto segue è consigliato per mettere alla prova la distribuzione Citrix DaaS.

    • Identificare un gruppo di consegna di prova o creare un gruppo di consegna per implementare questa funzionalità.
    • Creare un criterio o identificare un criterio che può essere utilizzato con un gruppo di consegna di prova.

Abilitare la funzione Adaptive Access

  1. Accedere a Citrix Cloud.
  2. Selezionare Workspace Configuration dal menu a forma di hamburger.
  3. L’opzione Adaptive Access è disattivata per impostazione predefinita. Attivare l’opzione Adaptive Access.
  4. Fare clic su Yes, enable adaptive access (Sì, abilita l’accesso adattivo) nel messaggio di conferma.

Abilitare l'accesso adattivo

Messaggio Abilita accesso adattivo

Quando l’accesso adattivo è abilitato, è possibile definire i tag di posizione per l’accesso adattivo (Citrix Cloud > Network Locations > Add a Network Location > Location tags [Citrix Cloud > Posizioni di rete > Aggiungi una posizione di rete > Tag di posizione]).

Accesso adattivo abilitato

Quando Adaptive Access è disabilitato, non è possibile aggiungere una posizione di rete. I tag di posizione non sono applicabili in questo caso.

Accesso adattivo disattivato

Importante:

Quando si tenta di disattivare la funzionalità Adaptive Access, viene visualizzato il seguente messaggio. Notare che Workspace non invia i tag al DaaS per l’accesso adattivo quando la funzionalità è disabilitata.

Messaggio di accesso adattivo disabilitato

Configurare l’accesso adattivo

Per configurare l’accesso adattivo in base alle posizioni di rete, sono necessari i seguenti passaggi di alto livello.

  1. Definire i criteri di posizione della rete
  2. Definire i tag in DaaS Studio

Come esempi di configurazione, vengono selezionati due tipi di utenti (utenti di BrancOffice [Filiale] e utenti WorkFromHome [LavoratoriDaCasa]) per ottenere il seguente caso d’uso.

  • Gli utenti di BranchOffice devono poter accedere alle applicazioni con tutti gli accessi.
  • Gli utenti WorkFromHome non devono avere accesso agli appunti.

In questo esempio di configurazione, Home e Office vengono utilizzati come tag negli esempi.

Configurazione dei criteri di posizione della rete

  1. Accedere a Citrix Cloud.
  2. Selezionare Network Locations (Posizioni di rete) dal menu a forma di hamburger. Assicurarsi che Adaptive Access sia abilitato. Altrimenti viene visualizzata l’interfaccia utente di Direct Workload Connection.
  3. Fare clic su Add network location (Aggiungi posizione di rete).

    • Location name (Nome posizione): immettere un nome appropriato per il criterio.

      Esempio: BranchOffice o WorkFromHome

    • Public IP address range (Intervallo di indirizzi IP pubblici): definire qui l’intervallo di indirizzi IP pubblici della rete.

      Esempio: 172.9.2.1-172.9.2.30

    • Location Tags (Tag di posizione): definire qui i tag della propria posizione. Questo può essere un nome che si riferisce alla propria posizione. Questi tag vengono utilizzati per configurare i criteri di accesso adattivi in Citrix Studio. Per i dettagli, vedere Definire i tag in Citrix Studio.

      Esempio: Office o Home

    • Connectivity type (Tipo di connettività): definisce il tipo di avvio dell’applicazione.

    Internal: ignorare il gateway per l’avvio dell’applicazione. External: utilizzare il servizio Citrix Gateway o il gateway tradizionale per l’avvio dell’applicazione.

  4. Fare clic su Salva.

Ora è possibile utilizzare questi tag su DaaS Studio per abilitare l’accesso adattivo.

Definire i tag in Citrix Studio

In questo esempio, nei gruppi di consegna vengono definiti tag per limitare l’enumerazione delle applicazioni per gli utenti. Vengono creati due gruppi di consegna.

  • Gruppo di consegna Adaptive Access per gli utenti dalla sede BranchOffice. Questi utenti devono visualizzare tutte le applicazioni disponibili in questo gruppo di consegna.
  • Grupo di consegna WFH: per gli utenti dalla posizione WorkFromHome. Questi utenti devono visualizzare le applicazioni disponibili in questo gruppo di consegna.
  1. Accedere a Citrix Cloud.
  2. Nel riquadro Citrix DaaS, fare clic su Manage (Gestisci).
  3. Creare un gruppo di consegna. Per ulteriori informazioni, vedere Creare gruppi di consegna.
  4. Selezionare il gruppo di consegna creato e fare clic su Edit Delivery Group (Modifica gruppo di consegna).
  5. Fare clic su Access Policy (Criteri d’accesso).
  6. Fare clic su Add (Aggiungi) e selezionare quanto segue:

    • Farm: Workspace
    • Filtro: LOCATION_TAG_OFFICE

    Allo stesso modo, è possibile creare un tag per il gruppo di consegna WFH.

  7. Fare clic su Add (Aggiungi) e selezionare quanto segue:

    • Farm: Workspace
    • Filtro: LOCATION_TAG_HOME

Ora è possibile usare questi tag per limitare l’accesso alle applicazioni.

Edit delivery group

Limitare l’accesso alle applicazioni

In questo esempio, il reindirizzamento degli appunti del client è disabilitato per gli utenti della posizione WorkFromHome.

  1. Accedere a Citrix DaaS.
  2. Pssare a Policies (Criteri) e fare clic su Create Policy (Crea criterio).
  3. Selezionare Client clipboard redirection (Reindirizzamento degli appunti del client), quindi fare clic su Prohibit (Proibisci).
  4. Fare clic su Next (Avanti).

Limita l'accesso agli appunti

  1. In Assign policy to page (Assegna criterio alla pagina), selezionare Access control (Controllo dell’accesso).
  2. Definire i seguenti valori per il criterio:

    • Modalità: Allow (Consenti)
    • Tipo di connessione: With Citrix Gateway
    • Nome della farm gateway: Workspace
    • Condizione di accesso: LOCATION_TAG_HOME (tutto in maiuscolo)

Modalità e farm

  1. Fare clic su Next (Avanti).
  2. Inserire un nome e una descrizione del criterio.
  3. Fare clic su Finish.

Gli utenti che accedono dalla posizione WorkFromHome non possono accedere agli Appunti delle risorse avviate.

Tag della posizione di rete

Il servizio Network Locations fornisce i seguenti tag.

  • Default tags: questi tag sono definiti nel servizio Network Locations. Sono disponibili i seguenti tag predefiniti.
    • Location_internal: tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato su INTERNAL.
    • Location_external: tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato su EXTERNAL.
    • Location_undefined: tag inviato per un indirizzo IP non definito nel criterio ma proveniente dal servizio Network Locations. L’avvio per questi utenti è quello che è stato definito nel gruppo di risorse.
  • Custom tags: gli amministratori possono definire nomi di tag personalizzati nei criteri. Esempio: ufficio, casa, filiale

Esempi:

Tag predefiniti: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED

Tag personalizzati: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

Nota:

quando si definiscono i tag per il servizio Network Location, verificare le seguenti condizioni:

  • I tag predefiniti iniziano sempre con il prefisso “LOCATION_<tag name>. Ad esempio LOCATION_INTERNAL.
  • I tag personalizzati iniziano sempre con il prefisso “LOCATION_TAG<tag name>. Ad esempio LOCATION_TAG_OFFICE.

Problemi noti

Se si disattiva la funzionalità Adaptive Access dopo che è stata abilitata e sono state impostate le regole (tag e tipo di connettività), non vengono rimosse le posizioni dalla pagina Network Locations (Posizioni di rete) sebbene i tag di posizione e le colonne del tipo di connettività siano nascosti. Ma queste posizioni sono disabilitate nel back-end. Si tratta di un problema estetico.

Accesso adattivo basato sulla posizione di rete dell’utente