发现最终用户访问的域或 IP 地址
应用程序发现功能可帮助管理员了解组织中正在访问的外部和内部应用程序(HTTP/HTTPS 和 TCP/UDP 应用程序)。 此功能可发现并列出所有已发布或未发布的域/IP 地址。 因此,管理员可以查看哪些域/IP 地址正在被访问,由谁访问,并决定是否要将它们发布为应用程序,为这些用户提供访问权限。
Application Discovery 功能为管理员提供以下功能:
- 提供对最终用户访问的内部或外部域/IP 地址的可见性。
- 提供对访问的所有类型的应用程序(HTTP、HTTPS、TCP 和 UDP)的全面可见性。 支持所有访问方法,即通过 Citrix Enterprise Browser、Secure Access Agent、Direct Access 或 Workspace for Web 进行访问。
- 显示最终用户访问的已发布或未发布的域/IP 地址。
- 显示主域及其基础嵌入式域,这些域在发布应用程序以供通过 Citrix Enterprise Browser 进行访问时需要配置为相关域。
- 以树结构显示嵌入的域。 管理员可以单击展开符号 (>) 与 main domain 对齐以查看嵌入的域。
- 如果主域或嵌入式域 (HTTP/HTTPS) 或目标 IP 地址 (TCP/UDP) 未与应用程序关联,则允许管理员创建新应用程序或将这些域添加到现有应用程序。
下图显示了一个示例 应用发现 页。 这 应用发现 页面允许根据协议(HTTP/HTTPS、TCP/UDP)以及域/IP 地址和端口号过滤域。 它还显示最终用户访问的未发布(未分配给任何应用程序)域。 您可以看到一个主域,其下方有一个嵌入式域的下拉列表。 在发布应用程序时,必须将这些域配置为相关域。
注意:
- 嵌入式域仅针对通过 Citrix Enterprise Browser 访问的 HTTP/HTTPS 应用程序分组到主域下。 TCP/UDP 域不归入一个主域。
- 嵌入式域分组仅适用于从 Citrix Enterprise Browser(v119 及更高版本)访问的应用程序。
新环境中内部域的应用程序发现
如果您正在设置新的 Secure Private Access 环境并希望查看要配置的应用程序,则可以使用 Application Discovery 功能。 此功能可发现并列出最终用户访问的所有域/IP 地址,以便您可以将其配置为应用程序。 在设置 Secure Private Access 环境时,使用以下步骤启用 Application Discovery 功能:
-
要发现内部 Web 应用程序,请在 Secure Private Access 中配置应用程序,并指定属于要发现的应用程序的域/子域的通配符相关域。
例如,如果要发现域 citrix.com 的所有应用程序,请创建一个具有相关通配符域的应用程序,作为
*.citrix.com. 要允许完成应用程序配置,请将任何测试 URL 添加为主 Web 应用程序 URL 部分。
Web 应用程序 URL:
https://test.citrix.com/相关领域:*.citrix.com -
对于内部 TCP/UDP 应用程序,请在 Secure Private Access 中配置应用程序,并指定子网以及 TCP/UDP 协议和端口范围(输入
*以包括整个范围)。 这样就可以从 Citrix Secure Access 代理中发现所有 TCP 和 UDP 应用程序。 例如,如果要发现子网 10.0.0.0/8 中的所有应用程序,请使用以下详细信息配置应用程序:示例:10.0.0.0/8:端口:(*)
协议:TCP
-
创建应用程序后,您还必须定义允许访问具有已配置域和 IP 子网的应用程序的用户。 创建访问策略并分配要允许其访问在创建的应用程序中配置的 FQDN/IP 地址的用户。 这些用户可以是一组初始测试用户,也可以是您最初希望授予访问权限的有限数量的用户。
-
创建应用程序和相应的访问策略后,用户可以继续从 Citrix Workspace 应用程序访问应用程序并访问不同的域。 最终用户访问的所有 FQDN/IP 地址都开始显示在 Application Discovery 页面中。
注意:
- 在几天/几周内发现并识别了大多数应用程序后,我们建议您删除最初创建的应用程序,以便可以关闭通过通配符域和 IP 子网提供的更广泛访问权限,并且必须仅允许通过新应用程序访问发现的特定应用程序 URL 和 IP 地址。
- 添加前缀
发现以指示这是一个特殊的应用程序配置,用于启用发现、监控和报告。 此命名可帮助您识别、删除通配符域和/或 IP 子网,以便您可以在几周或一个月内将整个应用程序访问区域减少到仅特定的 FQDN 和 IP/端口组合。- 要访问 TCP/UDP 应用程序,用户必须使用 Citrix Secure Access 代理。 根据应用程序的域和子网配置监控来自各种访问方法的应用程序访问,并在 应用发现 页。
- 即使在您删除了发现的应用程序后,此功能仍会继续发现用户访问的域/IP 地址。 所以,你可以随时回到 应用发现 页面以查看正在访问的内容,以及是否发现了任何必须配置为应用程序的新域/IP 地址。
有关添加域、FQDN 或 IP 地址的详细信息,请参阅以下主题。
从 App discovery 页面创建应用程序
要从 应用发现 页面上,请执行以下步骤:
- 导航到 应用 > 应用发现.
- 从列表中选择一个域。 如果域具有嵌入域,请单击展开号 (>) 与 main domain 对齐,然后选择嵌入的域。
注意:
- 您不能选择属于不同协议的域来创建应用程序。 当您选择属于不同协议的域时,将显示一条错误消息。
- 如果域已与应用程序关联,则无法再次选择该域来创建应用程序。 与该域对应的复选框显示为灰色,当您将鼠标悬停在复选框上时,将显示工具提示。
- 不能选择分组在不同主域下的嵌入式域并将其添加到应用程序中。 Application Discovery 功能仅允许将分组在单个主域下的嵌入式域添加到应用程序。 如果选择了来自不同主域的嵌入式域并将其添加到同一应用程序,则会显示错误消息。
- 点击 创建应用程序. 有关创建应用程序的详细信息,请参阅 支持企业 Web 应用程序, 支持 Software as a Service 应用程序和客户端-服务器应用程序支持](/zh-cn/citrix-secure-private-access/service/spa-support-for-client-server-apps)。
更新现有应用程序
要将域添加到现有应用程序,请从列表中选择域。 如果域具有嵌入域,请单击展开号 (>) 与 main domain 对齐,然后选择嵌入的域。
- 选择必须添加到应用程序的嵌入式域。
- 点击 添加到现有应用程序.
- 在 应用,选择要将这些域添加到的应用程序。
- 点击 获取应用详细信息.
- 这 相关领域 字段在单独的行中显示您之前选择的所有嵌入式域。
- 单击完成。
注意:
- 您只能将 TCP/UDP 目标 IP 地址添加到现有 TCP/UDP 应用程序。 Applications 字段仅列出系统中配置的 TCP/UDP 应用程序。
- 您可以选择现有的 HTTP/HTTPS 或 TCP/UDP 应用程序来添加协议为 HTTP/HTTPS 的域(主域、单条目域或嵌入式域)。
- 您不能选择已与应用程序关联的域。
查看所有选定的嵌入式域
选择域后,您可以单击 仅查看所选内容 复选框,然后继续创建或更新应用程序。 此外,如果 App discovery (应用程序发现) 页面上的 FQDN/IP 地址列表跨越多个页面,您可以使用 仅查看所选内容 复选框以查看您选择用于创建或更新应用程序的所有主域和嵌入式域。 选中此复选框时,将显示所选嵌入域的所有主域。
已知限制
- 尽管 创建应用程序 和 添加到现有应用程序 Secure Private Access 控制板 (按总访问量排名靠前的应用程序 图表)中创建或更新应用程序,建议您从 应用发现 选项卡 (应用 > 应用发现). 这是因为,在从控制面板添加或更新应用程序并取消操作时,页面会重新加载,因此,所有设置都会重置。
-
有时,您可能会注意到扩展符号 (>) 获取,但不会为该特定 FQDN 获取嵌入域。 在以下情况下可能会出现此问题:
- 由于用户的某些访问限制,加载主网页时出错。
- 阻止加载网页的错误。
- Citrix Enterprise Browser 缓存嵌入式域资源,导致无法从源获取嵌入式域。