发现最终用户访问的域或 IP 地址
应用程序发现功能可帮助管理员查看组织中正在访问的外部和内部应用程序(HTTP/HTTPS 和 TCP/UDP 应用程序)。此功能可发现并列出所有已发布或未发布的域名/IP 地址。因此,管理员可以查看哪些域/IP 地址正在被谁访问,并决定是否要将其发布为应用程序,为这些用户提供访问权限。
要在 Citrix Secure Private Access 服务中启用应用程序发现功能,管理员必须配置子网或通配符域,或两者都配置,需要在其中发现和报告应用程序和用户访问权限。管理员使用应用程序配置工作流程来定义广泛的子网和通配符域,并完成用于所有应用程序定义配置的相同应用程序访问策略工作流程。有关配置应用程序发现的详细信息,请参阅新环境中内部域的应用程序发现。
应用程序发现功能为管理员提供以下功能:
- 提供对最终用户访问的内部或外部域/IP 地址的可见性。
- 提供对所访问的所有类型的应用程序(HTTP、HTTPS、TCP 和 UDP)的全面可见性。支持所有访问方法,即通过 Citrix Enterprise Browser、Secure Access 代理、直接访问或适用于 Web 的 Workspace 进行访问。
- 显示最终用户访问的已发布或未发布的域/IP 地址。
- 显示在发布应用程序以便通过 Citrix Enterprise Browser 进行访问时需要将其配置为相关域的主域及其底层嵌入域。
- 在树结构中显示嵌入的域。管理员可以单击与主域对应的展开标志 (>) 来查看嵌入式域。
- 如果主域或嵌入式域 (HTTP/HTTPS) 或目标 IP 地址 (TCP/UDP) 未与应用程序关联,则允许管理员创建新应用程序或将这些域添加到现有应用程序。
下图显示了示例应用程序发现页面。应用程序发现页面允许根据协议(HTTP/HTTPS、TCP/UDP)以及域/IP 地址和端口号对域进行过滤。它还显示最终用户访问的未发布(未分配给任何应用程序)域。您可以看到一个主域,其下方有一个嵌入域的下拉列表。发布应用程序时,必须将这些域配置为相关域。
注意:
- 嵌入式域仅适用于通过 Citrix Enterprise Browser 访问的 HTTP/HTTPS 应用程序。TCP/UDP 域未归入一个主域。
- 嵌入式域分组仅适用于通过 Citrix Enterprise Browser(v119 及更高版本)访问的应用程序。
在新环境中发现内部域的应用程序
如果您正在设置新的 Secure Private Access 环境并希望查看要配置的应用程序,则可以使用应用程序发现功能。此功能可发现并列出您的最终用户访问的所有域/IP 地址,以便您可以将它们配置为应用程序。在设置 Secure Private Access 环境时,使用以下步骤启用应用程序发现功能:
-
要发现内部 Web 应用程序,请在 Secure Private Access 中配置应用程序,并指定属于要发现的应用程序的域/子域的通配符相关域。
例如,如果您想发现域名为 citrix.com 的所有应用程序,请使用相关的通配符域创建为
*.citrix.com的应用程序。要完成应用程序配置,请将任何测试 URL 添加为主 Web 应用程序 URL 部分。
Web 应用程序 URL:
https://test.citrix.com/相关域:*.citrix.com -
对于内部 TCP/UDP 应用程序,请在 Secure Private Access 中配置应用程序,并指定子网以及 TCP/UDP 协议和端口范围(输入
*以包括整个范围)。这样可以从 Citrix Secure Access 代理中发现所有 TCP 和 UDP 应用程序。例如,如果您想发现子网 10.0.0.0/8 内的所有应用程序,则使用以下详细信息配置该应用程序:示例:10.0.0.0/8:端口: (*)
协议:TCP
-
创建应用程序后,还必须定义允许访问具有已配置域和 IP 子网的应用程序的用户。创建访问策略,并分配要允许哪些用户访问在创建的应用程序中配置的 FQDN/IP 地址。这些用户可以是一组初始测试用户,也可以是您最初要授予访问权限的有限数量的用户。
-
创建应用程序和相应的访问策略后,用户可以继续从 Citrix Workspace 应用程序访问应用程序并访问不同的域。最终用户访问的所有 FQDN/IP 地址开始显示在“应用程序发现”页面中。
注意:
- 一旦您在几天/几周内发现并确定了大多数应用程序,我们建议您删除最初创建的应用程序,以便关闭通过通配符域和 IP 子网提供的更广泛的访问权限,并且只有发现的特定应用程序 URL 和 IP 地址才允许通过新应用程序访问。
- 在应用程序名称中添加前缀
Discover,以表明这是一种特殊的应用程序配置,用于启用发现监视和报告。此命名可帮助您识别要删除通配符域或 IP 子网或同时删除两者,这样您就可以在几周或一个月后将整个应用程序访问区域缩小到特定的 FQDN 和 IP/端口组合。- 要访问 TCP/UDP 应用程序,用户必须使用 Citrix Secure Access 代理。根据应用程序的域和子网配置,对来自各种访问方法的应用程序访问进行监视,并在应用程序发现页面中报告。
- 即使您删除了已发现的应用程序,此功能仍会继续发现用户访问的域/IP 地址。因此,您可以随时返回应用程序发现页面,查看正在访问的内容,以及是否发现了任何必须配置为应用程序的新域/IP 地址。
有关添加域、FQDN 或 IP 地址的详细信息,请参阅以下主题。
从应用程序发现页面创建应用程序
要从应用程序发现页面为嵌入式域或未发布的域创建应用程序,请执行以下步骤:
- 导航到应用程序 > 应用程序发现。
-
从列表中选择一个域。如果该域包含嵌入式域,则单击与主域对应的展开符号 (>),然后选择嵌入式域。
注意:
- 您不能选择属于不同协议的域来创建应用程序。当您选择属于不同协议的域时,会显示一条错误消息。
- 如果域已与应用程序关联,则无法再次选择该域来创建应用程序。与该域对应的复选框显示为灰色,当您将鼠标悬停在该复选框上时,会出现工具提示。
- 您无法选择分组在不同主域下的嵌入式域并将其添加到应用程序中。应用程序发现功能仅允许将分组在单个主域下的嵌入式域添加到应用程序中。如果选择了来自不同主域的嵌入式域名并将其添加到同一个应用程序中,则会出现错误消息。
- 单击“创建应用程序”。有关创建应用程序的详细信息,请参阅支持企业 Web 应用程序、支持软件即服务应用程序和“支持客户端-服务器应用程序”](/zh-cn/citrix-secure-private-access/service/add-and-manage-apps/support-for-client-server-apps)。
更新现有应用程序
要向现有应用程序添加域,请从列表中选择该域。如果该域包含嵌入式域,则单击与主域对应的展开符号 (>),然后选择嵌入式域。
- 选择必须添加到应用程序的嵌入式域。
- 单击“添加到现有应用程序”。
- 在应用程序中,选择要向其添加这些域的应用程序。
- 单击“获取应用程序详细信息”。
- “相关域”字段在不同的行中显示您之前选择的所有嵌入式域。
- 单击完成。
注意:
- 您只能向现有的 TCP/UDP 应用程序添加 TCP/UDP 目标 IP 地址。“应用程序”字段仅列出系统中配置的 TCP/UDP 应用程序。
- 您可以选择现有的 HTTP/HTTPS 或 TCP/UDP 应用程序来添加协议为 HTTP/HTTPS 的域(主域、单一条目或嵌入式)。
- 您无法选择已经与应用程序关联的域。
已知限制
- 尽管 Secure Private Access 控制板(按总访问量排列的已发现应用程序图表)中提供了创建应用程序和添加到现有应用程序选项,但建议您从“应用程序发现”选项卡(“应用程序”>“应用程序发现”)中创建或更新应用程序。这是因为,在从控制板添加或更新应用程序并取消操作时,页面会重新加载并因此重置所有设置。
- 选择要添加或更新应用程序的嵌入式域后,如果折叠展开符号 (**>),则无法识别之前选择的嵌入式域。必须分别单击每个主域的展开符号 (>**) 以识别之前选择的嵌入式域。