支持企业 Web 应用程序

使用 Secure Private Access 服务的 Web 应用程序交付使企业特定的应用程序能够作为基于 Web 的服务远程交付。 常用的 Web 应用程序包括 SharePoint、Confluence、OneBug 等。

可以使用 Secure Private Access 服务通过 Citrix Workspace 访问 Web 应用程序。 Secure Private Access 服务与 Citrix Workspace 相结合，为配置的 Web 应用程序、SaaS 应用程序、配置的虚拟应用程序或任何其他工作区资源提供统一的用户体验。

SSO 和对 Web 应用程序的远程访问作为以下服务包的一部分提供：

• Secure Private Access 标准
• Secure Private Access Advanced

系统要求

连接器设备 - 将连接器设备与 Citrix Secure Private Access 服务结合使用，以支持对客户数据中心中的企业 Web 应用程序的无 VPN 访问。 有关详细信息，请参阅 使用 Connector 设备的安全 Workspace Access.

工作原理

Citrix Secure Private Access 服务使用本地部署的连接器安全地连接到本地数据中心。 此连接器充当本地部署的企业 Web 应用程序和 Citrix Secure Private Access 服务之间的桥梁。 这些连接器可以部署在 HA 对中，并且只需要出站连接。

连接器设备与云中的 Citrix Secure Private Access 服务之间的 TLS 连接可保护列举到云服务中的本地应用程序。 Web 应用程序通过无 VPN 连接通过 Workspace 进行访问和交付。

下图说明了使用 Citrix Workspace 访问 Web 应用程序。

配置 Web 应用程序

配置 Web 应用程序涉及以下高级步骤。

1. 配置应用程序详细信息
2. 设置首选登录方法
3. 定义应用程序路由

配置应用程序详细信息

1. 在 安全私人访问 图块上，单击 管理。

2. 在 Secure Private Access 登录页面上，单击 继续 ，然后单击 添加应用程序。

注意：

仅在您第一次使用向导时才会出现 继续 按钮。 在后续使用中，您可以直接导航到 应用程序 页面，然后单击 添加应用程序。

1. 选择要添加的应用程序，然后单击 跳。

2. 在 应用程序位置在哪里？，选择位置。

3. 在 应用详细信息 部分，然后单击 下一个。

   

   • 应用类型 – 选择应用程序类型。 您可以从中选择 HTTP/HTTPS 协议 或 UDP/TCP 协议 应用程序。

   • 应用程序名称 – 应用程序的名称。

   • 应用程序描述 - 应用程序的简要描述。 您在此处输入的描述将显示在工作区中给您的用户。

   • 应用类别 - 添加类别和子类别名称（如果适用），您发布的应用程序必须显示在 Citrix Workspace UI 中。 您可以为每个应用程序添加新类别，也可以使用 Citrix Workspace UI 中的现有类别。 为 Web 或 SaaS 应用程序指定类别后，该应用程序将显示在 Workspace UI 中的特定类别下。

     • 类别/子类别是管理员可配置的，管理员可以为每个应用程序添加新类别。
     • 这 应用类别 字段适用于 HTTP/HTTPS 应用程序，而对于 TCP/UDP 应用程序则隐藏。

     • 类别/子类别名称必须用反斜杠分隔。 例如 业务与生产力\工程. 此外，此字段区分大小写。 管理员必须确保他们定义了正确的类别。 如果 Citrix Workspace UI 中的名称与在 应用类别 字段中，该类别将作为新类别列出。

       例如，如果您输入 业务和生产力 category 错误地作为 业务和生产力 在 应用类别 字段，然后创建一个名为 业务和生产力 除了 业务和生产力 类别。

     

   • 应用程序图标 – 单击 更改图标 以更改应用程序图标。 图标文件大小必须为 128x128 像素。 如果不更改图标，则会显示默认图标。

      If you do not want to display the app icon, select **Do not display application icon to users.**
     

   • 选择 直接访问 使用户能够直接从客户端浏览器访问应用程序。 有关详细信息，请参阅 直接访问企业 Web 应用程序.

   • URL – 包含您的客户 ID 的 URL。 该 URL 必须包含您的客户 ID（Citrix Cloud 客户 ID）。 要获取您的客户 ID，请参阅注册 Citrix Cloud。 如果 SSO 失败或您不想使用 SSO，则会将用户重定向到此 URL。

      **Customer domain name** and **Customer domain ID** - Customer domain name and ID are used to create the app URL and other subsequent URLs in the SAML SSO page.
           
      For example, if you’re adding a Salesforce app, your domain name is `salesforceformyorg` and ID is 123754, then the app URL is `https://salesforceformyorg.my.salesforce.com/?so=123754.`
           
      Customer domain name and Customer ID fields are specific to certain apps.
     

   • 相关领域 – 相关域将根据您提供的 URL 自动填充。 相关域名可帮助服务将 URL 识别为应用程序的一部分并相应地路由流量。 您可以添加多个相关域。

   • 点击 自动将应用程序添加到收藏夹 以将此应用程序添加为 Citrix Workspace 应用程序中的收藏应用程序。

     • 点击 允许用户从收藏夹中删除 以允许应用程序订阅者从 Citrix Workspace 应用程序的收藏夹应用程序列表中删除该应用程序。 选择此选项时，Citrix Workspace 应用程序中应用程序的左上角会显示一个黄色星形图标。

     • 点击 不允许用户从收藏夹中删除 以防止订阅者从 Citrix Workspace 应用程序的收藏夹应用程序列表中删除应用程序。 选择此选项时，在 Citrix Workspace 应用程序中，应用程序的左上角会显示一个带有挂锁的星形图标。

       

       如果从 Secure Private Access 服务控制台中删除标记为收藏夹的应用程序，则必须从 Citrix Workspace 的收藏夹列表中手动删除这些应用程序。 如果从 Secure Private Access 服务控制台中删除这些应用程序，则不会从 Workspace 应用程序中删除这些应用程序。

4. 单击 下一步。

重要提示：

• 要启用对应用程序的基于零信任的访问，默认情况下会拒绝应用程序访问。 仅当访问策略与应用程序关联时，才会启用对应用程序的访问。 有关详细信息，请参阅 默认情况下，拒绝访问应用程序.
• 如果多个应用程序配置了相同的 FQDN 或通配符 FQDN 的某些变体，这可能会导致配置冲突。 有关详细信息，请参阅 可能导致应用程序访问问题的配置冲突.

设置首选登录方法

1. 在 单点登录 部分中，选择要用于应用程序的首选单点登录类型，然后单击 救。 可以使用以下单点登录类型。

   

   • 基本 – 如果您的后端服务器为您提供 basic-401 质询，请选择 基本 SSO. 您无需为 基本 SSO 类型。
   • Kerberos （英语） – 如果您的后端服务器向您提供 negotiate-401 质询，请选择 Kerberos （英语）. 您无需为 Kerberos （英语） SSO 类型。
   • 基于表单 – 如果您的后端服务器为您提供用于身份验证的 HTML 表单，请选择 基于表单. 输入 基于表单 SSO 类型。
   • SAML -选择 SAML 用于将基于 SAML 的 SSO 导入 Web 应用程序。 输入 的配置详细信息 SAML SSO 类型。
   • 不使用 SSO – 使用 不使用 SSO 选项，当您不需要对后端服务器上的用户进行身份验证时。 当 不使用 SSO 选项，则用户将被重定向到在 应用详细信息 部分。

   基于表单的详细信息：在 Single Sign On 部分输入以下基于表单的配置详细信息，然后单击 Save。

   

   • 操作 URL - 键入将已完成的表单提交到的 URL。
   • 登录表单 URL – 键入显示登录表单的 URL。
   • 用户名格式 - 选择用户名的格式。
   • 用户名表单字段 – 键入用户名属性。
   • 密码表单字段 – 键入密码属性。

   SAML：在 Sign sign on 部分中输入以下详细信息，然后单击 Save。

   

   • 签名断言 - 对断言或响应进行签名可确保在将响应或断言传送到依赖方 （SP） 时的消息完整性。 您可以选择 断言、响应、两者、 或 没有.
   • 断言 URL – 断言 URL 由应用程序供应商提供。 SAML 断言已发送至此 URL。
   • 中继状态 – Relay State 参数用于标识用户在登录并定向到依赖方的联合服务器后访问的特定资源。 Relay State 为用户生成单个 URL。 用户可以点击该URL登录目标应用程序。
   • 观众 – 受众由应用程序供应商提供。 此值确认为正确的应用程序生成了 SAML 断言。

   • 名称 ID 格式 – 选择支持的名称标识符格式。

   • 名称 ID – 选择支持的名称 ID。

2. 在 高级属性（可选） 添加有关发送到应用程序以进行访问控制决策的用户的其他信息。

3. 单击 SAML Metadata 下的链接下载元数据文件。 使用下载的元数据文件在 SaaS 应用服务器上配置 SSO。

注意：

• 您可以复制 登录 URL 下的 SSO 登录 URL，并在 SaaS 应用服务器上配置 SSO 时使用此 URL。
• 您还可以从 证书 列表中下载证书，并在 SaaS 应用程序服务器上配置 SSO 时使用该证书。

1. 单击 下一步。

定义应用程序路由

1. 在 应用程序连接 部分中，如果必须通过 Citrix Connector 设备在外部或内部路由应用程序相关域，则可以为这些域定义路由。

   • Internal – 绕过代理 - 域流量通过 Citrix Cloud Connector 路由，绕过在 Connector 设备上配置的客户 Web 代理。
   • 内部过孔连接器 - 应用程序可以是外部的，但流量必须通过 Connector Appliance 流向外部网络。
   • 外部 – 流量直接流向 Internet。

   有关详细信息，请参阅 如果 SaaS 和 Web 应用程序中的相关域相同，则路由表以解决冲突.

   

2. 单击 完成。

   单击 完成后，应用程序将添加到应用程序页面。 配置应用程序后，您可以从 Applications （应用程序） 页面编辑或删除应用程序。 为此，请单击应用程序上的省略号按钮并选择相应的操作。

   • 編輯應用
   • 删除

当您从 Secure Private Access 服务发布 Web 或 SaaS 应用程序时，如果该应用程序未隐藏，Citrix Enterprise Browser 应用程序将自动显示在 Citrix Workspace UI 中。 此外，默认情况下，Citrix Enterprise Browser 还会添加为收藏的应用程序。 最终用户可以在没有 URL 的情况下启动 Workspace 浏览器，并使用 Workspace 浏览器访问内部网站。

重要提示：

• 为了授予用户访问应用程序的权限，管理员需要创建访问策略。 在访问策略中，管理员添加应用程序订阅者并配置安全控制。 有关详细信息，请参阅 创建访问策略。