为本地部署配置 Secure Private Access 权限 - 旧版

本地 Secure Private Access 解决方案配置是一个四步过程。

1. 发布应用程序
2. 发布应用程序的策略
3. 启用通过 NetScaler Gateway 路由流量
4. 配置授权策略

重要：

配置工具可用于快速加载应用程序和应用程序策略，还可以配置 NetScaler Gateway 和 StoreFront 设置。但是，在使用该工具之前，请注意以下几点。

• 阅读发布应用程序和发布应用程序策略部分，确保您完全了解本地解决方案配置的配置要求。

• 此工具只能用作本主题中记录的现有过程的补充，不能取代必须手动执行的配置。

有关该工具的完整详细信息，请参阅使用 Secure Private Access 配置工具配置应用程序和策略。

步骤 1：发布应用程序

您必须使用 PowerShell 脚本来发布 URL。发布应用程序后，即可使用 Citrix Studio 控制台对其进行管理。

您可以从中下载 PowerShell 脚本 https://www.citrix.com/downloads/workspace-app/powershell-module-for-configuring-secure-private-access-for-storefront/configure-secure-private-access-for-storefront.html。

1. 在包含 PowerShell SDK 的计算机上打开 PowerShell。

2. 请运行以下命令：

   Add-PsSnapin Citrix*
   $dg = Get-BrokerDesktopGroup –Name PublishedContentApps
   <!--NeedCopy-->
   

3. 为 Web 应用程序定义变量。

   $citrixUrl: “<URL of the app>”
   $appName: <app name as it must appear on Workspace>
   $DesktopGroupId: 1
   $desktopgroupname: <your desktop group name>
   $AppIconFilePath:  <path of the image file>
   <!--NeedCopy-->
   

   注意：

   在运行命令之前，请确保更新标有尖括号 (< >) 的占位符。

分配位置和应用程序名称后，运行以下命令发布应用程序。

New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid
<!--NeedCopy-->

已发布的应用程序显示在 Citrix Studio 的“应用程序”部分下。现在，您可以从 Citrix Studio 控制台本身修改应用程序详细信息。

有关发布应用程序和更改已发布应用程序的默认图标的更多信息，请参阅 发布内容。

步骤 2：发布应用程序的策略

策略文件定义了每个已发布应用程序的路由和安全控制。您必须更新有关 Web 或 SaaS 应用程序的路由方式（通过网关或不通过网关）的策略文件。

要对应用程序强制执行访问策略，必须发布每个 Web 或 SaaS 应用程序的策略。为此，您必须更新策略 JSON 文件和 Web.config 文件。

• 策略 JSON 文件： 使用应用程序详细信息和应用程序的安全策略更新策略 JSON 文件。然后，必须将策略 JSON 文件放置在 StoreFront 服务器上 C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser。

  注意：

  您必须创建名为 Resources 和 SecureBrowser 的文件夹，然后在 SecureBrowser 文件夹中添加策略 JSON 文件。 有关各种策略操作及其值的更多详细信息，请参阅 应用程序访问策略详细信息。

• Web.config 文件： 要为 Citrix Workspace 应用程序和 Citrix Enterprise Browser 提供新的策略详细信息，必须修改 StoreFront 应用商店目录中的 web.config 文件。必须编辑文件才能添加名为 route 的新 XML 标签。然后必须将 Web.config 文件放在 C:\inetpub\wwwroot\Citrix\Store1. 位置

  有关 示例 XML 文件，请参阅端到端配置 示例。

  注意：

  在路径中，“store1”是指创建应用商店时为其指定的名称。如果使用不同的应用商店名称，则必须创建相应的文件夹。

  建议您在现有路径的末尾添加一条新路径。如果您在中间添加路线，则必须手动更新所有后续路线的订单号。

步骤 3：启用通过 NetScaler Gateway 的流量路由

通过 NetScaler Gateway 启用流量路由涉及以下步骤：

• 启用无客户端访问
• 启用 URL 编码
• 启用 Secure Browse
• 排除在无客户端访问模式下重写的域

可以在全局或按会话策略启用无客户端访问、URL 编码和安全浏览。

• 全局启用的设置适用于所有已配置的 NetScaler Gateway 虚拟服务器。
• 每会话策略设置适用于用户、组或 Gateway 虚拟服务器。

启用无客户端访问

要使用 NetScaler Gateway GUI全局启用无客户端访问，请执行以下操作：

在“配置”选项卡上，展开 Citrix Gateway，然后单击“全局设置”。 在“全局设置”页面中，单击更改全局设置。 在“客户端体验”选项卡的“无客户端访问”中，选择“开”，然后单击“确定”。

要使用 NetScaler Gateway GUI 使用会话策略启用无客户端访问，请执行以下操作：

如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问，请在全局范围内禁用或清除无客户端访问。然后，使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。

1. 在配置选项卡上，展开 Citrix Gateway，然后单击策略 > 会话。
2. 单击“会话策略”选项卡，然后单击“添加”。
3. 在名称中，键入策略的名称。
4. 在“配置文件”旁边，单击“新建”。
5. 在名称中，键入配置文件的名称。
6. 在客户端体验选项卡上，单击“无客户端访问”旁边，单击覆盖全局，选择打开，然后单击创建。
7. 在表达式中，输入 true。当您输入值 true 时，策略将始终应用到其绑定级别。
8. 单击创建，然后单击关闭。

要使用 NetScaler Gateway CLI 实现全局无客户端访问，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn parameter -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用每次会话的无客户端访问策略，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn sessionAction <session-profile-name> -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->

启用 URL 编码

启用无客户端访问时，可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。建议您将 Web 地址保留为明文，以便进行无客户端访问。

要使用 NetScaler Gateway GUI 全局启用 URL 编码，请执行以下操作：

1. 在“配置”选项卡上，展开 Citrix Gateway，然后单击“全局设置”。
2. 在“全局设置”页面中，单击“更改全局设置”。
3. 在“客户端体验”选项卡的 无客户端访问 URL 编码中，选择用于编码 Web URL 的设置，然后单击“确定”。

要使用 NetScaler Gateway GUI 在会话策略级别启用 URL 编码，请执行以下操作：

1. 在配置选项卡上，展开 Citrix Gateway，然后单击策略 > 会话。
2. 单击“会 话策略”选项卡，然后单击“添加”。
3. 在名称中，键入策略的名称。
4. 在“配置文件”旁边，单击“新建”。
5. 在名称中，键入配置文件的名称。
6. 在“客户端体验”选项卡上，在“无客户端访问 URL 编码”旁边，单击“覆盖全局”，选择编码级别，然后单击“确定”。
7. 在表达式中，输入 true。当您输入值 true 时，策略将始终应用到其绑定级别。

要使用 NetScaler Gateway CLI 全局启用 URL 编码，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn parameter -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用每个会话的 URL 编码策略，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn sessionAction <session-profile-name> -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->

启用 Secure Browse

安全浏览和无客户端访问协同工作，允许使用无客户端 VPN 模式进行连接。必须启用安全浏览模式，以便 Citrix Enterprise Browser 可以在没有传统 VPN 的情况下使用安全浏览模式访问应用程序。

注意：

当最终用户未安装 Citrix Enterprise Browser 时，带有 SPAEnabled 标记的已发布 URL 将通过设备的默认浏览器而不是 Citrix Enterprise Browser 打开。在这种情况下，安全策略不适用。该问题仅在 StoreFront 部署中出现。

要使用 NetScaler Gateway GUI 全局启用安全浏览模式，请执行以下操作：

1. 在“配置”选项卡上，展开 Citrix Gateway，然后单击“全局设置”。
2. 在“全局设置”页面中，单击更改全局设置。
3. 在“安全”选项卡的“Secure Browse”中，选择“已启用”，然后单击“确定”。

要使用 NetScaler Gateway GUI 在会话策略级别启用安全浏览模式，请执行以下操作：

1. 在配置选项卡上，展开 Citrix Gateway，然后单击策略 > 会话。
2. 单击“会话策略”选项卡，然后单击“添加”。
3. 在名称中，键入策略的名称。
4. 在“配置文件”旁边，单击“新建”。
5. 在名称中，键入配置文件的名称。
6. 在“安全”选项卡上，单击“覆盖全局”，然后将“Secure Browse”设置为“已启用”。

要使用 NetScaler Gateway CLI 实现全球安全浏览，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn parameter -secureBrowse ENABLED
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用安全按会话浏览策略，请执行以下操作：

在命令提示符下，运行以下命令：

set vpn sessionAction <session-profile-name> -secureBrowse ENABLED
<!--NeedCopy-->

排除在无客户端访问模式下重写的域

您必须指定域以防止 StoreFront 在无客户端访问模式下重写 URL。不包括 StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN 和 citrix.com。此设置只能全局应用。

1. 导航到 Citrix Gateway > 全局设置。
2. 在 无客户端访问中，单击“为无客户端访问 配置域”。
3. 选择“排除域”。
4. 在 域名中，输入域名（StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN）。
5. 单击 + 符号并输入 citrix.com。
6. 单击确定。

要使用 NetScaler Gateway CLI 排除域，请执行以下操作：

在命令提示符下，运行以下命令：

bind policy patset ns_cvpn_default_bypass_domains <StoreFront-FQDN>
bind policy patset ns_cvpn_default_bypass_domains citrix.com
<!--NeedCopy-->

步骤 4：配置授权策略

授权指定了用户在登录 NetScaler Gateway 时有权访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置，然后创建授权策略来定义用户可以访问的网络资源。

您可以使用授权策略和表达式在 NetScaler Gateway 上配置授权。创建授权策略后，可以将其绑定到您在设备上配置的用户或组。用户策略的优先级高于组绑定策略。

默认授权策略： 必须创建两个授权策略以允许访问 StoreFront 服务器并拒绝访问所有已发布的 Web 应用程序。

• Allow_StoreFront
• Deny_ALL

Web 应用程序授权策略： 创建默认授权策略后，必须为每个已发布的 Web 应用程序创建授权策略。

• Allow_<app1>
• Allow_<app2>

要使用 NetScaler Gateway GUI 配置授权策略，请执行以下操作：

1. 导航到 Citrix Gateway > 策略 > 授权。
2. 在详细信息窗格中，单击“添加”。
3. 在名称中，键入策略的名称。
4. 在“操作”中，选择“允许”或“拒绝”。
5. 在“表达式”中，单击“表达式编辑器”。
6. 要配置表达式，请单击“选择”并选择必要的元素。
7. 单击 Done（完成）。
8. 单击 Create（创建）。

要使用 NetScaler Gateway CLI 配置授权策略，请执行以下操作：

在命令提示符下，运行以下命令：

add authorization policy <policy-name> "HTTP.REQ.HOSTNAME.CONTAINS("<StoreFront-FQDN>")" ALLOW
<!--NeedCopy-->

要使用 NetScaler Gateway GUI 将授权策略绑定到用户/组，请执行以下操作：

1. 导航到 Citrix Gateway > 用户管理。
2. 单击 AAA 用户 或 AAA 组。
3. 在详细信息窗格中，选择一个用户/组，然后单击“编辑”。
4. 在 高级设置中，单击 授权策略。
5. 在策略绑定页面中，选择策略或创建策略。
6. 在 优先级中，设置优先级编号。
7. 在 类型中，选择请求类型，然后单击 确定。

要使用 NetScaler Gateway CLI 绑定授权策略，请执行以下操作：

在命令提示符下，运行以下命令：

bind aaa group <group-name> -policy <policy-name> -priority <priority> -gotoPriorityExpression END
<!--NeedCopy-->

端到端配置示例

在此示例中，一个名为“文档”且具有 URL 的应用程序 https://docs.citrix.com 被发布到 Citrix Workspace。

1. 在包含 PowerShell SDK 的计算机上打开 PowerShell。

2. 运行以下命令。

   Add-PsSnapin Citrix*
   $dg = Get-BrokerDesktopGroup –Name PublishedContentApps
   <!--NeedCopy-->
   

3. 将以下详细信息添加到 cmdlet 中。

   $citrixUrl: “https://docs.citrix.com”
   $appName: docs
   $DesktopGroupId: 1
   $desktopgroupname: <mydesktop23>
   <!--NeedCopy-->
   

4. 运行以下命令。

   New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid
   <!--NeedCopy-->
   

   该应用程序现已在 Citrix Workspace 上发布。

   

5. 使用应用程序（“文档”）详细信息更新策略 JSON 文件。请务必满足以下各项条件：

   • proxytraffic_v1 值始终设置为 secureBrowse。此设置可确保 Citrix Enterprise Browser 使用安全浏览协议通过 NetScaler Gateway 将流量通过通道传输到网页。
   • browser_v1 值始终设置为 embeddedBrowser。仅当 Citrix Enterprise Browser (CEB) 配置为工作浏览器时，此设置才适用。如果设置为 embeddedBrowser，则与已配置的 Secure Private Access 域相关的链接将在 CEB 中打开。
   • secureBrowseAddress 值是您的 NetScaler Gateway URL。

   

6. 将策略 JSON 文件放在 C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser.

7. 修改 Web.config 文件以指向您更新的策略文件。

   

8. 在您的 NetScaler Gateway 本地设备上，执行以下操作：

   • 启用对应用程序的无客户端访问。您可以在全局或会话级别启用无客户端访问。
   • 启用 Web 地址编码
   • 启用Secure Browse 模式
   • 排除在无客户端访问模式下重写的域

   有关详细信息，请参阅步骤 3：使用本地 NetScaler Gateway 启用身份验证和授权。

最终用户流程

• 以可以访问 PublishedContentApps 交付组中应用程序的用户身份登录 StoreFront。

• 登录后，必须看到带有默认图标的新应用程序。您可以根据需要自定义图标。有关详细信息，请参阅 https://www.citrix.com/blogs/2013/08/21/xd-tipster-changing-delivery-group-icons-revisited-xd7/。

• 当您单击该应用程序时，该应用程序将在 Citrix Enterprise Browser 中打开。

应用程序访问策略详情

下表列出了可用的访问策略选项及其值。

|注册表项名称|策略说明|值| |—|—|—| |screencapture_v1|启用或禁用网页的反屏幕捕获功能|已启用或已禁用| |键盘记录_v1|启用或禁用网页的反键盘记录|已启用或已禁用| |watermark_v1|在网页上显示或不显示水印|已启用或已禁用| |upload_v1|启用或禁用上载网页|已启用或已禁用| |printing_v1|启用或禁用网页打印|已启用或已禁用| |download_v1|启用或禁用从网页下载|已启用或已禁用| |clipboard_v1|在网页上启用或禁用剪贴板|已启用或已禁用| |proxytraffic_v1|确定 Citrix Enterprise Browser 是使用安全浏览通过 NetScaler Gateway 将流量通过通道传输到网页，还是启用直接访问|direct 或 secureBrowse| |browser_v1|仅当 Citrix Enterprise Browser 配置为工作浏览器时才适用。设置为 embeddedBrowser 时，与已配置的 Secure Private Access 域相关的链接将在 Citrix Enterprise Browser 中打开|systemBrowser 或 embeddedBrowser| |Name|Web 或 SaaS 应用程序的名称已发布|建议您使用与发布应用程序模式时输入的相同名称|逗号分隔的与此应用程序相关的域名列表。您也可以使用通配符。Citrix Enterprise 浏览器使用这些域名对应用程序应用策略。|示例：”.office.com/”, “.office.net/”, “.microsoft.com/“.sharepoint.com/*”|

注意：

防键盘记录和防屏幕捕获需要安装 Citrix Workspace 应用程序自带的 App Protection 功能。