直接访问企业 Web 应用程序
现在,可以从客户端浏览器直接访问由客户在本地或公共云上托管的企业 Web 应用程序(如 SharePoint、JIRA、Confluence 和其他应用程序)。 最终用户不再需要从 Citrix Workspace 体验启动对其企业 Web 应用程序的访问。 此功能还允许最终用户通过单击其电子邮件、协作工具或浏览器书签中的链接来访问 Web 应用程序。 从而为客户提供真正的零占用空间解决方案。
工作原理
-
为已配置的 Enterprise Web 应用程序添加新的 DNS 记录或修改现有 DNS 记录。
-
IT 管理员将为配置的企业 Web 应用程序 FQDN 添加新的公有 DNS 记录或修改现有的公有 DNS 记录,以将用户重定向到 Citrix Secure Private Access 服务。
-
当最终用户启动对已配置企业 Web 应用程序的访问时,应用程序流量将被引导到 Citrix Secure Private Access 服务,然后该服务将代理对应用程序的访问。
-
请求到达 Citrix Secure Private Access 服务后,它会检查用户身份验证和应用程序授权,包括上下文访问策略检查。
-
成功验证后,Citrix Secure Private Access 服务将与部署在客户环境(本地或云中)的 Citrix Cloud Connector 设备进行通信,以允许访问已配置的企业 Web 应用程序。
配置 Citrix Secure Private Access 以直接访问企业 Web 应用程序
必备条件
在开始之前,您需要满足以下条件才能配置应用程序。
- 应用程序 FQDN
- SSL certificate (SSL 证书) – 要配置的应用程序的公有证书
- 资源位置 — 安装 Citrix Cloud Connector 设备
- 访问公有 DNS 记录,以使用 Citrix 在应用程序配置期间提供的规范名称 (CNAME) 对其进行更新。
配置对企业 Web 应用程序的直接访问的过程:
重要提示:
有关应用程序的完整端到端配置,请参阅 管理员指导的工作流程,便于入门和设置.
- 在 Secure Private Access 主页上,单击 继续。
注意:
仅在您第一次使用向导时才会出现 继续 按钮。 在后续的使用中,您可以直接导航到 应用 页面上,然后单击 添加应用程序.
-
设置 Identity and Authentication。 有关详细信息,请参阅 管理员指导的工作流程,便于入门和设置.
-
继续添加应用程序。 有关详细信息,请参阅 添加和管理应用程序.
-
选择要添加的应用程序,然后单击 跳。
-
在 应用程序位置在哪里?,选择位置。
-
在 应用详细信息 部分,然后单击 下一个.
-
应用类型 – 选择应用程序类型(HTTP 或 HTTPS)。
-
应用程序名称 – 应用程序的名称。
-
应用程序描述 - 应用程序的简要描述。 您在此处输入的此描述将在工作区中向用户显示。
-
应用程序图标 – 单击 更改图标 以更改应用程序图标。 图标文件大小必须为 128x128 像素。 如果不更改图标,则会显示默认图标。
如果不想显示应用程序图标,请选择 不向用户显示应用程序图标.
-
-
选择 直接访问 使用户能够直接从客户端浏览器访问应用程序。 输入以下详细信息。
- 网址 – 后端应用程序的 URL。 URL 必须为 HTTPS 格式,并且管理员必须添加相应的 DNS 条目。
-
SSL 证书 – 从下拉菜单中选择现有的 SSL 证书,或通过单击添加新的 SSL 证书 添加新的 SSL 证书.
注意事项:
- 仅支持公有或受信任的 CA 证书。 不支持自签名证书。
- 必须上传完整的证书链。
-
相关领域 – 相关域将根据您提供的 URL 自动填充。 相关域名可帮助服务将 URL 识别为应用程序的一部分并相应地路由流量。 您可以添加多个相关域。 您可以将 SSL 证书绑定到每个相关域,这是可选的。
- CName 记录 – 由 Secure Private Access 自动生成。 这是必须在 DNS 中输入的值,以便能够直接访问应用程序。
-
单击 下一步。
-
在 单点登录 部分中,选择要用于应用程序的首选单点登录类型,然后单击下一个.
-
在 应用程序连接 部分中,您可以选择现有资源位置,也可以创建一个资源位置并部署新的连接器设备。 要选择现有资源位置,请单击资源位置列表中的一个资源位置,例如 My Resource Location,然后单击下一个. 有关详细信息,请参阅 如果 SaaS 和 Web 应用中的相关域相同,则使用路由表解决冲突。
-
单击完成。 应用程序将添加到 Applications (应用程序) 页面。 配置应用程序后,您可以从 Applications (应用程序) 页面编辑或删除 。 为此,请单击应用程序上的省略号按钮并选择相应的操作。
- 編輯應用
- 删除
重要提示:
- 要启用对应用程序的基于零信任的访问,默认情况下会拒绝应用程序访问。 仅当访问策略与应用程序关联时,才会启用对应用程序的访问。 有关创建访问策略的详细信息,请参阅 创建访问策略.
- 如果多个应用程序配置了相同的 FQDN 或通配符 FQDN 的某些变体,这可能会导致配置冲突。 要防止配置冲突,请参阅 Web 和 SaaS 应用程序配置的最佳实践.
具有直接访问应用程序的 Device Posture 服务
与直接访问应用程序结合使用的 Citrix Secure Private Access 与 Device Posture 服务结合使用时,可以确保只有合规设备才能通过直接访问访问敏感应用程序。 管理员可以根据 Device Posture 服务扫描结果阻止对不合规或非托管设备的访问。
仅为合规设备启用直接访问的步骤
要仅允许直接访问合规设备,管理员必须执行以下步骤:
-
在 Device Posture 服务管理控制台中,创建设备终端安全评估策略以检查设备终端安全评估扫描条件,例如设备证书、防病毒软件、浏览器,然后选择 顺从的 作为策略结果操作。 有关详细信息,请参阅 配置设备状态.
-
从 Secure Private Access 管理控制台中,执行以下操作:
- 创建要为其启用直接访问的应用程序。 有关详细信息,请参阅 直接访问企业 Web 应用程序.
- 使用设备状态配置 Secure Private Access。 在 规则范围选择 设备状态检查 > 匹配以下任意一项 并输入标签 顺从的. 此标签从 Device Posture 服务发送。
注意:
标签的输入必须与之前捕获的标签完全相同,使用首字母大写 (Compliant)。 否则,设备姿态策略将无法按预期发挥作用。 有关详细信息,请参阅 具有设备状态的 Citrix Secure Private Access 配置.
执行此配置后,根据设备终端安全评估扫描结果,设备将被标记为合规、不合规或被拒绝登录,并相应地启用应用程序访问。
示例:
假设您已创建设备状态策略,以检查终端节点设备上是否存在设备证书并确定其登录状态。 设置设备状态策略并启用设备状态后,最终用户登录 Citrix Workspace 时将执行以下操作。
-
设备状态扫描会检查终端节点设备是否存在设备证书。
- 如果设备上存在设备证书,则设备将标记为 顺从的.
- 如果设备上不存在设备证书,则设备将标记为 不合规.
- 然后,此信息将作为标签传递给 Citrix Secure Private Access 服务。
-
访问策略是根据设备分类进行评估的。
- 如果设备合规,则允许应用程序直接访问。
- 如果设备不符合要求,则会禁用应用程序的直接访问。
最终用户体验
最终用户体验基于设备分类为合规或不合规。
-
合规设备:
用户可以从 Citrix Workspace 或使用应用程序 URL 从浏览器启动直接访问应用程序。
-
不合规设备:
- Citrix Workspace 中未列举该应用程序。
- 用户无法使用应用程序 URL 从浏览器启动应用程序。
- 将向用户显示 Access blocked 页面。