Citrix Secure Private Access - 旧版

为本地部署配置 Secure Private Access 权限 - 旧版

本地 Secure Private Access 解决方案配置是一个四步过程。

  1. 发布应用程序
  2. 发布应用程序的策略
  3. 启用通过 NetScaler Gateway 路由流量
  4. 配置授权策略

重要:

配置工具可用于快速加载应用程序和应用程序策略,还可以配置 NetScaler Gateway 和 StoreFront 设置。但是,在使用该工具之前,请注意以下几点。

  • 阅读发布应用程序发布应用程序策略部分,确保您完全了解本地解决方案配置的配置要求。

  • 此工具只能用作本主题中记录的现有过程的补充,不能取代必须手动执行的配置。

有关该工具的完整详细信息,请参阅使用 Secure Private Access 配置工具配置应用程序和策略

步骤 1:发布应用程序

发布应用程序

您必须使用 PowerShell 脚本来发布 URL。发布应用程序后,即可使用 Citrix Studio 控制台对其进行管理。

您可以从中下载 PowerShell 脚本 https://www.citrix.com/downloads/workspace-app/powershell-module-for-configuring-secure-private-access-for-storefront/configure-secure-private-access-for-storefront.html

  1. 在包含 PowerShell SDK 的计算机上打开 PowerShell。
  2. 请运行以下命令:

    Add-PsSnapin Citrix*
    $dg = Get-BrokerDesktopGroup –Name PublishedContentApps
    <!--NeedCopy-->
    
  3. 为 Web 应用程序定义变量。

    $citrixUrl: “<URL of the app>”
    $appName: <app name as it must appear on Workspace>
    $DesktopGroupId: 1
    $desktopgroupname: <your desktop group name>
    $AppIconFilePath:  <path of the image file>
    <!--NeedCopy-->
    

    注意:

    在运行命令之前,请确保更新标有尖括号 (< >) 的占位符。

分配位置和应用程序名称后,运行以下命令发布应用程序。

New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid
<!--NeedCopy-->

已发布的应用程序显示在 Citrix Studio 的“应用程序”部分下。现在,您可以从 Citrix Studio 控制台本身修改应用程序详细信息。

有关发布应用程序和更改已发布应用程序的默认图标的更多信息,请参阅 发布内容

步骤 2:发布应用程序的策略

发布应用程序

策略文件定义了每个已发布应用程序的路由和安全控制。您必须更新有关 Web 或 SaaS 应用程序的路由方式(通过网关或不通过网关)的策略文件。

要对应用程序强制执行访问策略,必须发布每个 Web 或 SaaS 应用程序的策略。为此,您必须更新策略 JSON 文件和 Web.config 文件。

  • 策略 JSON 文件: 使用应用程序详细信息和应用程序的安全策略更新策略 JSON 文件。然后,必须将策略 JSON 文件放置在 StoreFront 服务器上 C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser

    注意:

    您必须创建名为 ResourcesSecureBrowser 的文件夹,然后在 SecureBrowser 文件夹中添加策略 JSON 文件。 有关各种策略操作及其值的更多详细信息,请参阅 应用程序访问策略详细信息

  • Web.config 文件: 要为 Citrix Workspace 应用程序和 Citrix Enterprise Browser 提供新的策略详细信息,必须修改 StoreFront 应用商店目录中的 web.config 文件。必须编辑文件才能添加名为 route 的新 XML 标签。然后必须将 Web.config 文件放在 C:\inetpub\wwwroot\Citrix\Store1. 位置

    有关 示例 XML 文件,请参阅端到端配置 示例。

    注意:

    在路径中,“store1”是指创建应用商店时为其指定的名称。如果使用不同的应用商店名称,则必须创建相应的文件夹。

    建议您在现有路径的末尾添加一条新路径。如果您在中间添加路线,则必须手动更新所有后续路线的订单号。

步骤 3:启用通过 NetScaler Gateway 的流量路由

发布应用程序

通过 NetScaler Gateway 启用流量路由涉及以下步骤:

可以在全局或按会话策略启用无客户端访问、URL 编码和安全浏览。

  • 全局启用的设置适用于所有已配置的 NetScaler Gateway 虚拟服务器。
  • 每会话策略设置适用于用户、组或 Gateway 虚拟服务器。

启用无客户端访问

要使用 NetScaler Gateway GUI全局启用无客户端访问,请执行以下操作:

在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。 在“全局设置”页面中,单击更改全局设置。 在“客户端体验”选项卡的“无客户端访问”中,选择“”,然后单击“确定”。

要使用 NetScaler Gateway GUI 使用会话策略启用无客户端访问,请执行以下操作:

如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问,请在全局范围内禁用或清除无客户端访问。然后,使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。

  1. 配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话
  2. 单击“会话策略”选项卡,然后单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“配置文件”旁边,单击“新建”。
  5. 名称中,键入配置文件的名称。
  6. 客户端体验选项卡上,单击“无客户端访问”旁边,单击覆盖全局,选择打开,然后单击创建
  7. 表达式中,输入 true。当您输入值 true 时,策略将始终应用到其绑定级别。
  8. 单击创建,然后单击关闭

启用无客户端访问

要使用 NetScaler Gateway CLI 实现全局无客户端访问,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn parameter -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用每次会话的无客户端访问策略,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn sessionAction <session-profile-name> -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->

启用 URL 编码

启用无客户端访问时,可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。建议您将 Web 地址保留为明文,以便进行无客户端访问。

要使用 NetScaler Gateway GUI 全局启用 URL 编码,请执行以下操作:

  1. 在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。
  2. 在“全局设置”页面中,单击“更改全局设置”
  3. 在“客户端体验”选项卡的 无客户端访问 URL 编码中,选择用于编码 Web URL 的设置,然后单击“确定”。

要使用 NetScaler Gateway GUI 在会话策略级别启用 URL 编码,请执行以下操作:

  1. 配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话
  2. 单击“会 话策略”选项卡,然后单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“配置文件”旁边,单击“新建”。
  5. 名称中,键入配置文件的名称。
  6. 在“客户端体验”选项卡上,在“无客户端访问 URL 编码”旁边,单击“覆盖全局”,选择编码级别,然后单击“确定”。
  7. 表达式中,输入 true。当您输入值 true 时,策略将始终应用到其绑定级别。

启用 URL 编码

要使用 NetScaler Gateway CLI 全局启用 URL 编码,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn parameter -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用每个会话的 URL 编码策略,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn sessionAction <session-profile-name> -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->

启用 Secure Browse

安全浏览和无客户端访问协同工作,允许使用无客户端 VPN 模式进行连接。必须启用安全浏览模式,以便 Citrix Enterprise Browser 可以在没有传统 VPN 的情况下使用安全浏览模式访问应用程序。

注意:

当最终用户未安装 Citrix Enterprise Browser 时,带有 SPAEnabled 标记的已发布 URL 将通过设备的默认浏览器而不是 Citrix Enterprise Browser 打开。在这种情况下,安全策略不适用。该问题仅在 StoreFront 部署中出现。

要使用 NetScaler Gateway GUI 全局启用安全浏览模式,请执行以下操作:

  1. 在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。
  2. 在“全局设置”页面中,单击更改全局设置
  3. 在“安全”选项卡的“Secure Browse”中,选择“已启用”,然后单击“确定”。

要使用 NetScaler Gateway GUI 在会话策略级别启用安全浏览模式,请执行以下操作:

  1. 配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话
  2. 单击“会话策略”选项卡,然后单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“配置文件”旁边,单击“新建”。
  5. 名称中,键入配置文件的名称。
  6. 在“安全”选项卡上,单击“覆盖全局”,然后将“Secure Browse”设置为“已启用”。

启用安全浏览器

要使用 NetScaler Gateway CLI 实现全球安全浏览,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn parameter -secureBrowse ENABLED
<!--NeedCopy-->

要使用 NetScaler Gateway CLI 启用安全按会话浏览策略,请执行以下操作:

在命令提示符下,运行以下命令:

set vpn sessionAction <session-profile-name> -secureBrowse ENABLED
<!--NeedCopy-->

排除在无客户端访问模式下重写的域

您必须指定域以防止 StoreFront 在无客户端访问模式下重写 URL。不包括 StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN 和 citrix.com。此设置只能全局应用。

  1. 导航到 Citrix Gateway > 全局设置
  2. 无客户端访问中,单击“为无客户端访问 配置域”。
  3. 选择“排除域”。
  4. 域名中,输入域名(StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN)。
  5. 单击 + 符号并输入 citrix.com
  6. 单击确定

排除域名

要使用 NetScaler Gateway CLI 排除域,请执行以下操作:

在命令提示符下,运行以下命令:

bind policy patset ns_cvpn_default_bypass_domains <StoreFront-FQDN>
bind policy patset ns_cvpn_default_bypass_domains citrix.com
<!--NeedCopy-->

步骤 4:配置授权策略

配置授权策略

授权指定了用户在登录 NetScaler Gateway 时有权访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。

您可以使用授权策略和表达式在 NetScaler Gateway 上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。用户策略的优先级高于组绑定策略。

默认授权策略: 必须创建两个授权策略以允许访问 StoreFront 服务器并拒绝访问所有已发布的 Web 应用程序。

  • Allow_StoreFront
  • Deny_ALL

Web 应用程序授权策略: 创建默认授权策略后,必须为每个已发布的 Web 应用程序创建授权策略。

  • Allow_<app1>
  • Allow_<app2>

要使用 NetScaler Gateway GUI 配置授权策略,请执行以下操作:

  1. 导航到 Citrix Gateway > 策略 > 授权
  2. 在详细信息窗格中,单击“添加”。
  3. 在名称中,键入策略的名称。
  4. 在“操作”中,选择“允许”或“拒绝”。
  5. 在“表达式”中,单击“表达式编辑器”。
  6. 要配置表达式,请单击“选择”并选择必要的元素。
  7. 单击 Done(完成)。
  8. 单击 Create(创建)。

要使用 NetScaler Gateway CLI 配置授权策略,请执行以下操作:

在命令提示符下,运行以下命令:

add authorization policy <policy-name> "HTTP.REQ.HOSTNAME.CONTAINS("<StoreFront-FQDN>")" ALLOW
<!--NeedCopy-->

要使用 NetScaler Gateway GUI 将授权策略绑定到用户/组,请执行以下操作:

  1. 导航到 Citrix Gateway > 用户管理
  2. 单击 AAA 用户AAA 组
  3. 在详细信息窗格中,选择一个用户/组,然后单击“编辑”。
  4. 高级设置中,单击 授权策略
  5. 在策略绑定页面中,选择策略或创建策略。
  6. 优先级中,设置优先级编号。
  7. 类型中,选择请求类型,然后单击 确定

要使用 NetScaler Gateway CLI 绑定授权策略,请执行以下操作:

在命令提示符下,运行以下命令:

bind aaa group <group-name> -policy <policy-name> -priority <priority> -gotoPriorityExpression END
<!--NeedCopy-->

端到端配置示例

在此示例中,一个名为“文档”且具有 URL 的应用程序 https://docs.citrix.com 被发布到 Citrix Workspace。

  1. 在包含 PowerShell SDK 的计算机上打开 PowerShell。
  2. 运行以下命令。

    Add-PsSnapin Citrix*
    $dg = Get-BrokerDesktopGroup –Name PublishedContentApps
    <!--NeedCopy-->
    
  3. 将以下详细信息添加到 cmdlet 中。

    $citrixUrl: “https://docs.citrix.com”
    $appName: docs
    $DesktopGroupId: 1
    $desktopgroupname: <mydesktop23>
    <!--NeedCopy-->
    
  4. 运行以下命令。

    New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid
    <!--NeedCopy-->
    

    该应用程序现已在 Citrix Workspace 上发布。

    发布应用程序

  5. 使用应用程序(“文档”)详细信息更新策略 JSON 文件。请务必满足以下各项条件:

    • proxytraffic_v1 值始终设置为 secureBrowse。此设置可确保 Citrix Enterprise Browser 使用安全浏览协议通过 NetScaler Gateway 将流量通过通道传输到网页。
    • browser_v1 值始终设置为 embeddedBrowser。仅当 Citrix Enterprise Browser (CEB) 配置为工作浏览器时,此设置才适用。如果设置为 embeddedBrowser,则与已配置的 Secure Private Access 域相关的链接将在 CEB 中打开。
    • secureBrowseAddress 值是您的 NetScaler Gateway URL。

    发布应用程序

  6. 将策略 JSON 文件放在 C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser.
  7. 修改 Web.config 文件以指向您更新的策略文件。

    发布应用程序

  8. 在您的 NetScaler Gateway 本地设备上,执行以下操作:

    • 启用对应用程序的无客户端访问。您可以在全局或会话级别启用无客户端访问。
    • 启用 Web 地址编码
    • 启用Secure Browse 模式
    • 排除在无客户端访问模式下重写的域

    有关详细信息,请参阅步骤 3:使用本地 NetScaler Gateway 启用身份验证和授权。

最终用户流程

应用程序访问策略详情

下表列出了可用的访问策略选项及其值。

|注册表项名称|策略说明|值| |—|—|—| |screencapture_v1|启用或禁用网页的反屏幕捕获功能|已启用或已禁用| |键盘记录_v1|启用或禁用网页的反键盘记录|已启用或已禁用| |watermark_v1|在网页上显示或不显示水印|已启用或已禁用| |upload_v1|启用或禁用上载网页|已启用或已禁用| |printing_v1|启用或禁用网页打印|已启用或已禁用| |download_v1|启用或禁用从网页下载|已启用或已禁用| |clipboard_v1|在网页上启用或禁用剪贴板|已启用或已禁用| |proxytraffic_v1|确定 Citrix Enterprise Browser 是使用安全浏览通过 NetScaler Gateway 将流量通过通道传输到网页,还是启用直接访问|direct 或 secureBrowse| |browser_v1|仅当 Citrix Enterprise Browser 配置为工作浏览器时才适用。设置为 embeddedBrowser 时,与已配置的 Secure Private Access 域相关的链接将在 Citrix Enterprise Browser 中打开|systemBrowser 或 embeddedBrowser| |Name|Web 或 SaaS 应用程序的名称已发布|建议您使用与发布应用程序模式时输入的相同名称|逗号分隔的与此应用程序相关的域名列表。您也可以使用通配符。Citrix Enterprise 浏览器使用这些域名对应用程序应用策略。|示例:”.office.com/”, “.office.net/”, “.microsoft.com/“.sharepoint.com/*”|

注意:

防键盘记录和防屏幕捕获需要安装 Citrix Workspace 应用程序自带的 App Protection 功能。