为本地部署配置 Secure Private Access 权限 - 旧版
本地 Secure Private Access 解决方案配置是一个四步过程。
重要:
配置工具可用于快速加载应用程序和应用程序策略,还可以配置 NetScaler Gateway 和 StoreFront 设置。但是,在使用该工具之前,请注意以下几点。
有关该工具的完整详细信息,请参阅使用 Secure Private Access 配置工具配置应用程序和策略。
步骤 1:发布应用程序
您必须使用 PowerShell 脚本来发布 URL。发布应用程序后,即可使用 Citrix Studio 控制台对其进行管理。
您可以从中下载 PowerShell 脚本 https://www.citrix.com/downloads/workspace-app/powershell-module-for-configuring-secure-private-access-for-storefront/configure-secure-private-access-for-storefront.html。
- 在包含 PowerShell SDK 的计算机上打开 PowerShell。
-
请运行以下命令:
Add-PsSnapin Citrix* $dg = Get-BrokerDesktopGroup –Name PublishedContentApps <!--NeedCopy-->
-
为 Web 应用程序定义变量。
$citrixUrl: “<URL of the app>” $appName: <app name as it must appear on Workspace> $DesktopGroupId: 1 $desktopgroupname: <your desktop group name> $AppIconFilePath: <path of the image file> <!--NeedCopy-->
注意:
在运行命令之前,请确保更新标有尖括号 (< >) 的占位符。
分配位置和应用程序名称后,运行以下命令发布应用程序。
New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid
<!--NeedCopy-->
已发布的应用程序显示在 Citrix Studio 的“应用程序”部分下。现在,您可以从 Citrix Studio 控制台本身修改应用程序详细信息。
有关发布应用程序和更改已发布应用程序的默认图标的更多信息,请参阅 发布内容。
步骤 2:发布应用程序的策略
策略文件定义了每个已发布应用程序的路由和安全控制。您必须更新有关 Web 或 SaaS 应用程序的路由方式(通过网关或不通过网关)的策略文件。
要对应用程序强制执行访问策略,必须发布每个 Web 或 SaaS 应用程序的策略。为此,您必须更新策略 JSON 文件和 Web.config 文件。
-
策略 JSON 文件: 使用应用程序详细信息和应用程序的安全策略更新策略 JSON 文件。然后,必须将策略 JSON 文件放置在 StoreFront 服务器上
C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser
。注意:
您必须创建名为 Resources 和 SecureBrowser 的文件夹,然后在 SecureBrowser 文件夹中添加策略 JSON 文件。 有关各种策略操作及其值的更多详细信息,请参阅 应用程序访问策略详细信息。
-
Web.config 文件: 要为 Citrix Workspace 应用程序和 Citrix Enterprise Browser 提供新的策略详细信息,必须修改 StoreFront 应用商店目录中的 web.config 文件。必须编辑文件才能添加名为 route 的新 XML 标签。然后必须将 Web.config 文件放在 C:\inetpub\wwwroot\Citrix\Store1. 位置
有关 示例 XML 文件,请参阅端到端配置 示例。
注意:
在路径中,“store1”是指创建应用商店时为其指定的名称。如果使用不同的应用商店名称,则必须创建相应的文件夹。
建议您在现有路径的末尾添加一条新路径。如果您在中间添加路线,则必须手动更新所有后续路线的订单号。
步骤 3:启用通过 NetScaler Gateway 的流量路由
通过 NetScaler Gateway 启用流量路由涉及以下步骤:
可以在全局或按会话策略启用无客户端访问、URL 编码和安全浏览。
- 全局启用的设置适用于所有已配置的 NetScaler Gateway 虚拟服务器。
- 每会话策略设置适用于用户、组或 Gateway 虚拟服务器。
启用无客户端访问
要使用 NetScaler Gateway GUI全局启用无客户端访问,请执行以下操作:
在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。 在“全局设置”页面中,单击更改全局设置。 在“客户端体验”选项卡的“无客户端访问”中,选择“开”,然后单击“确定”。
要使用 NetScaler Gateway GUI 使用会话策略启用无客户端访问,请执行以下操作:
如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问,请在全局范围内禁用或清除无客户端访问。然后,使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。
- 在配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话。
- 单击“会话策略”选项卡,然后单击“添加”。
- 在名称中,键入策略的名称。
- 在“配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在客户端体验选项卡上,单击“无客户端访问”旁边,单击覆盖全局,选择打开,然后单击创建。
- 在表达式中,输入
true
。当您输入值true
时,策略将始终应用到其绑定级别。 - 单击创建,然后单击关闭。
要使用 NetScaler Gateway CLI 实现全局无客户端访问,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn parameter -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->
要使用 NetScaler Gateway CLI 启用每次会话的无客户端访问策略,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn sessionAction <session-profile-name> -clientlessVpnMode On -icaProxy OFF
<!--NeedCopy-->
启用 URL 编码
启用无客户端访问时,可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。建议您将 Web 地址保留为明文,以便进行无客户端访问。
要使用 NetScaler Gateway GUI 全局启用 URL 编码,请执行以下操作:
- 在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。
- 在“全局设置”页面中,单击“更改全局设置”。
- 在“客户端体验”选项卡的 无客户端访问 URL 编码中,选择用于编码 Web URL 的设置,然后单击“确定”。
要使用 NetScaler Gateway GUI 在会话策略级别启用 URL 编码,请执行以下操作:
- 在配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话。
- 单击“会 话策略”选项卡,然后单击“添加”。
- 在名称中,键入策略的名称。
- 在“配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“客户端体验”选项卡上,在“无客户端访问 URL 编码”旁边,单击“覆盖全局”,选择编码级别,然后单击“确定”。
- 在表达式中,输入
true
。当您输入值true
时,策略将始终应用到其绑定级别。
要使用 NetScaler Gateway CLI 全局启用 URL 编码,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn parameter -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->
要使用 NetScaler Gateway CLI 启用每个会话的 URL 编码策略,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn sessionAction <session-profile-name> -clientlessModeUrlEncoding TRANSPARENT
<!--NeedCopy-->
启用 Secure Browse
安全浏览和无客户端访问协同工作,允许使用无客户端 VPN 模式进行连接。必须启用安全浏览模式,以便 Citrix Enterprise Browser 可以在没有传统 VPN 的情况下使用安全浏览模式访问应用程序。
注意:
当最终用户未安装 Citrix Enterprise Browser 时,带有 SPAEnabled 标记的已发布 URL 将通过设备的默认浏览器而不是 Citrix Enterprise Browser 打开。在这种情况下,安全策略不适用。该问题仅在 StoreFront 部署中出现。
要使用 NetScaler Gateway GUI 全局启用安全浏览模式,请执行以下操作:
- 在“配置”选项卡上,展开 Citrix Gateway,然后单击“全局设置”。
- 在“全局设置”页面中,单击更改全局设置。
- 在“安全”选项卡的“Secure Browse”中,选择“已启用”,然后单击“确定”。
要使用 NetScaler Gateway GUI 在会话策略级别启用安全浏览模式,请执行以下操作:
- 在配置选项卡上,展开 Citrix Gateway,然后单击策略 > 会话。
- 单击“会话策略”选项卡,然后单击“添加”。
- 在名称中,键入策略的名称。
- 在“配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“安全”选项卡上,单击“覆盖全局”,然后将“Secure Browse”设置为“已启用”。
要使用 NetScaler Gateway CLI 实现全球安全浏览,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn parameter -secureBrowse ENABLED
<!--NeedCopy-->
要使用 NetScaler Gateway CLI 启用安全按会话浏览策略,请执行以下操作:
在命令提示符下,运行以下命令:
set vpn sessionAction <session-profile-name> -secureBrowse ENABLED
<!--NeedCopy-->
排除在无客户端访问模式下重写的域
您必须指定域以防止 StoreFront 在无客户端访问模式下重写 URL。不包括 StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN 和 citrix.com。此设置只能全局应用。
- 导航到 Citrix Gateway > 全局设置。
- 在 无客户端访问中,单击“为无客户端访问 配置域”。
- 选择“排除域”。
- 在 域名中,输入域名(StoreFront 服务器 FQDN 或 StoreFront 负载平衡器 FQDN)。
- 单击 + 符号并输入
citrix.com
。 - 单击确定。
要使用 NetScaler Gateway CLI 排除域,请执行以下操作:
在命令提示符下,运行以下命令:
bind policy patset ns_cvpn_default_bypass_domains <StoreFront-FQDN>
bind policy patset ns_cvpn_default_bypass_domains citrix.com
<!--NeedCopy-->
步骤 4:配置授权策略
授权指定了用户在登录 NetScaler Gateway 时有权访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。
您可以使用授权策略和表达式在 NetScaler Gateway 上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。用户策略的优先级高于组绑定策略。
默认授权策略: 必须创建两个授权策略以允许访问 StoreFront 服务器并拒绝访问所有已发布的 Web 应用程序。
- Allow_StoreFront
- Deny_ALL
Web 应用程序授权策略: 创建默认授权策略后,必须为每个已发布的 Web 应用程序创建授权策略。
Allow_<app1>
Allow_<app2>
要使用 NetScaler Gateway GUI 配置授权策略,请执行以下操作:
- 导航到 Citrix Gateway > 策略 > 授权。
- 在详细信息窗格中,单击“添加”。
- 在名称中,键入策略的名称。
- 在“操作”中,选择“允许”或“拒绝”。
- 在“表达式”中,单击“表达式编辑器”。
- 要配置表达式,请单击“选择”并选择必要的元素。
- 单击 Done(完成)。
- 单击 Create(创建)。
要使用 NetScaler Gateway CLI 配置授权策略,请执行以下操作:
在命令提示符下,运行以下命令:
add authorization policy <policy-name> "HTTP.REQ.HOSTNAME.CONTAINS("<StoreFront-FQDN>")" ALLOW
<!--NeedCopy-->
要使用 NetScaler Gateway GUI 将授权策略绑定到用户/组,请执行以下操作:
- 导航到 Citrix Gateway > 用户管理。
- 单击 AAA 用户 或 AAA 组。
- 在详细信息窗格中,选择一个用户/组,然后单击“编辑”。
- 在 高级设置中,单击 授权策略。
- 在策略绑定页面中,选择策略或创建策略。
- 在 优先级中,设置优先级编号。
- 在 类型中,选择请求类型,然后单击 确定。
要使用 NetScaler Gateway CLI 绑定授权策略,请执行以下操作:
在命令提示符下,运行以下命令:
bind aaa group <group-name> -policy <policy-name> -priority <priority> -gotoPriorityExpression END
<!--NeedCopy-->
端到端配置示例
在此示例中,一个名为“文档”且具有 URL 的应用程序 https://docs.citrix.com 被发布到 Citrix Workspace。
- 在包含 PowerShell SDK 的计算机上打开 PowerShell。
-
运行以下命令。
Add-PsSnapin Citrix* $dg = Get-BrokerDesktopGroup –Name PublishedContentApps <!--NeedCopy-->
-
将以下详细信息添加到 cmdlet 中。
$citrixUrl: “https://docs.citrix.com” $appName: docs $DesktopGroupId: 1 $desktopgroupname: <mydesktop23> <!--NeedCopy-->
-
运行以下命令。
New-BrokerApplication –ApplicationType PublishedContent –CommandLineExecutable $citrixURL –Name $appName –DesktopGroup $dg.Uid <!--NeedCopy-->
该应用程序现已在 Citrix Workspace 上发布。
-
使用应用程序(“文档”)详细信息更新策略 JSON 文件。请务必满足以下各项条件:
-
proxytraffic_v1
值始终设置为secureBrowse
。此设置可确保 Citrix Enterprise Browser 使用安全浏览协议通过 NetScaler Gateway 将流量通过通道传输到网页。 -
browser_v1
值始终设置为embeddedBrowser
。仅当 Citrix Enterprise Browser (CEB) 配置为工作浏览器时,此设置才适用。如果设置为embeddedBrowser
,则与已配置的 Secure Private Access 域相关的链接将在 CEB 中打开。 -
secureBrowseAddress
值是您的 NetScaler Gateway URL。
-
- 将策略 JSON 文件放在 C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser.
-
修改 Web.config 文件以指向您更新的策略文件。
-
在您的 NetScaler Gateway 本地设备上,执行以下操作:
- 启用对应用程序的无客户端访问。您可以在全局或会话级别启用无客户端访问。
- 启用 Web 地址编码
- 启用Secure Browse 模式
- 排除在无客户端访问模式下重写的域
有关详细信息,请参阅步骤 3:使用本地 NetScaler Gateway 启用身份验证和授权。
最终用户流程
-
以可以访问 PublishedContentApps 交付组中应用程序的用户身份登录 StoreFront。
-
登录后,必须看到带有默认图标的新应用程序。您可以根据需要自定义图标。有关详细信息,请参阅 https://www.citrix.com/blogs/2013/08/21/xd-tipster-changing-delivery-group-icons-revisited-xd7/。
-
当您单击该应用程序时,该应用程序将在 Citrix Enterprise Browser 中打开。
应用程序访问策略详情
下表列出了可用的访问策略选项及其值。
|注册表项名称|策略说明|值| |—|—|—| |screencapture_v1|启用或禁用网页的反屏幕捕获功能|已启用或已禁用| |键盘记录_v1|启用或禁用网页的反键盘记录|已启用或已禁用| |watermark_v1|在网页上显示或不显示水印|已启用或已禁用| |upload_v1|启用或禁用上载网页|已启用或已禁用| |printing_v1|启用或禁用网页打印|已启用或已禁用| |download_v1|启用或禁用从网页下载|已启用或已禁用| |clipboard_v1|在网页上启用或禁用剪贴板|已启用或已禁用| |proxytraffic_v1|确定 Citrix Enterprise Browser 是使用安全浏览通过 NetScaler Gateway 将流量通过通道传输到网页,还是启用直接访问|direct 或 secureBrowse| |browser_v1|仅当 Citrix Enterprise Browser 配置为工作浏览器时才适用。设置为 embeddedBrowser 时,与已配置的 Secure Private Access 域相关的链接将在 Citrix Enterprise Browser 中打开|systemBrowser 或 embeddedBrowser| |Name|Web 或 SaaS 应用程序的名称已发布|建议您使用与发布应用程序模式时输入的相同名称|逗号分隔的与此应用程序相关的域名列表。您也可以使用通配符。Citrix Enterprise 浏览器使用这些域名对应用程序应用策略。|示例:”.office.com/”, “.office.net/”, “.microsoft.com/“.sharepoint.com/*”|
注意:
防键盘记录和防屏幕捕获需要安装 Citrix Workspace 应用程序自带的 App Protection 功能。