集成和部署 Secure Web
要集成并交付 Secure Web,请按照以下常规步骤进行操作:
-
要对内部网络启用 SSO,请配置 Citrix Gateway。
对于 HTTP 流量,Citrix ADC 可以向 Citrix ADC 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量,“Web 密码缓存”策略允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 Endpoint Management 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。有关 Citrix Gateway 配置的详细信息,请参阅 Citrix Gateway。
- 下载 Secure Web。
- 确定如何配置与内部网络之间的用户连接。
- 将 Secure Web 添加到 Endpoint Management 中(操作步骤与其他 MDX 应用程序相同),然后配置 MDX 策略。有关 Secure Web 特定策略的详细信息,请参阅关于 Secure Web 策略。
配置用户连接
Secure Web 支持以下用户连接配置:
- 通道 - Web SSO:通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“通道 - Web SSO”)。此配置是为首选 VPN 模式策略指定的默认配置。建议需要单点登录 (SSO) 的连接使用“通道 - Web SSO”。
- 完整 VPN 通道: 通过通道连接到内部网络的连接可以使用首选 VPN 模式策略配置的完整 VPN 通道。建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。
注意:
MDX 封装技术计划于 2021 年 9 月达到生命周期已结束 (EOL) 状态。要继续管理您的企业应用程序,必须合并 MAM SDK。 旧版 MDX 模式不支持完整 VPN 通道。
- 允许 VPN 模式切换策略允许用户根据需要在“完整 VPN 通道”模式与“通道 - Web SSO”模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,完整 VPN 通道模式(而非“通道 - Web SSO”模式)可以接受服务器对客户端证书的质询。同样,使用“通道 - Web SSO”模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。
- 反向拆分通道: 在反向模式下,Intranet 应用程序的流量会绕过 VPN 通道,而其他流量均通过 VPN 通道。此策略可以用于记录所有非本地 LAN 流量。
反向拆分通道的配置步骤
要在 Citrix Gateway 上配置拆分通道反向模式,请执行以下操作:
- 导航到策略 > 会话策略。
- 选择 Secure Hub 策略,然后导航到客户端体验 > 拆分通道。
- 选择反向。
反向拆分隧道模式排除列表 MDX 策略
在 Citrix Endpoint Management 内部使用“排除”范围配置反向拆分通道模式策略。该范围基于 DNS 后缀和 FQDN 的逗号分隔列表。此列表定义其流量必须通过设备的 LAN 发出且不会发送到 Citrix ADC 的 URL。
下表说明了 Secure Web 是否会根据配置和站点类型提示用户输入凭据:
连接模式 | 站点类型 | 密码缓存 | 为 Citrix Gateway 配置的 SSO | 在首次访问 Web 站点时,Secure Web 提示输入凭据 | 在之后访问 Web 站点时,Secure Web 提示输入凭据 | 在更改密码后,Secure Web 提示输入凭据 |
---|---|---|---|---|---|---|
通道 - Web SSO | HTTP | 否 | 是 | 否 | 否 | 否 |
通道 - Web SSO | HTTPS | 否 | 是 | 否 | 否 | 否 |
完整 VPN | HTTP | 否 | 是 | 否 | 否 | 否 |
完整 VPN | HTTPS | 是,如果 Secure Web MDX 策略“启用 Web 密码缓存”设置为“开”。 | 否 | 是;在 Secure Web 中缓存凭据时需要。 | 否 | 是 |
Secure Web 策略
添加 Secure Web 时,请注意 Secure Web 特定的这些 MDX 策略。对于所有受支持的移动设备:
允许或阻止的 Web 站点
Secure Web 通常不过滤 Web 链接。您可以使用此策略配置特定的允许或阻止站点的列表。可以对 URL 模式进行配置,以限制浏览器可以打开的 Web 站点,其格式为逗号分隔的列表。加号 (+) 或减号 (-) 作为前缀添加到列表中的每种模式前面。浏览器按列出顺序将 URL 与模式进行比较,直至找到一个匹配项。找到匹配项后,前缀指示操作按如下所示执行:
- 减号 (-) 前缀指示浏览器阻止打开 URL。在这种情况下,该 URL 被视为 Web 服务器地址无法解析。
- 加号 (+) 前缀允许按常规处理 URL。
- 如果随模式提供 + 或 -,则会假定提供 +(允许)。
- 如果 URL 与列表中的任何模式都不匹配,则允许打开该 URL。
要阻止所有其他 URL,请在列表结尾添加减号后跟星号 (-*)。例如:
- 策略值
+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*
允许在mycorp.com
域中使用 HTTP URL,但在其他位置阻止这些 URL,允许在任何位置使用 HTTPS 和 FTP URL,但阻止所有其他 URL。 - 策略值
+http://*.training.lab/*,+https://*.training.lab/*,-*
允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域 (Intranet) 中的任何站点。但该策略值不允许用户打开公用 URL,例如 Facebook、Google、Hotmail 等,无论协议为何都是如此。
默认值为空(允许打开所有 URL)。
阻止弹出窗口
弹出窗口是在未经您允许的情况下 Web 站点打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果设为“开”,Secure Web 将阻止 Web 站点打开弹出窗口。默认值为关。
预加载的书签
为 Secure Web 浏览器定义一组预加载的书签。此策略是一组用逗号分隔的元组列表,包括文件夹名称、友好名称和 Web 地址。每个元组必须采用 folder, name, url 格式,其中 folder 和 name 可能会有选择地用双引号 (“) 引起。
例如,策略值 ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx
定义了三个书签。第一个为主链接(无文件夹名称),标题为“Mycorp, Inc. home page”。第二个链接放置在标题为“MyCorp Links”、标签为“Account logon”的文件夹中。第三个链接放置在“MyCorp Links”文件夹的“Investor Relations”子文件夹中,显示为“Contact us”。
默认值为空。
主页 URL
定义 Secure Web 在启动时加载的 Web 站点。默认值为空(默认启动页面)。
仅限受支持的 Android 和 iOS 设备:
浏览器用户界面
规定 Secure Web 的浏览器用户界面控件的行为和可见性。通常情况下,所有浏览控件都可用。这些控件包括前进、后退、地址栏和刷新/停止控件。可以配置此策略以限制这些控件的使用和可见性。默认值为所有控件都可见。
选项:
- 所有控件都可见。所有控件都可见,并且不限制用户使用。
- 只读地址栏。所有控件都可见,但用户无法编辑浏览器地址字段。
- 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
- 隐藏所有控件。禁止显示整个工具栏以提供无框浏览体验。
启用 Web 密码缓存
当 Secure Web 用户为访问或请求 Web 资源输入凭据时,此策略确定 Secure Web 是否以无提示方式在设备上缓存密码。此策略适用于在身份验证对话框中输入的密码,不适用于在 Web 表单中输入的密码。
如果设置为开,Secure Web 将缓存用户在请求 Web 资源时输入的所有密码。如果设置为关,Secure Web 将不缓存密码并删除已缓存的现有密码。默认值为关。
仅当您同时将“首选 VPN”策略设置为此应用程序的完整 VPN 通道时才能启用此策略。
代理服务器
在“通道 - Web SSO”模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅此博客文章。
DNS 后缀
在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。有关配置 DNS 后缀的详细信息,请参阅 Supporting DNS Queries by Using DNS Suffixes for Android Devices(支持使用面向 Android 设备的 DNS 后缀进行 DNS 查询)。
准备用于 Secure Web 的 Intranet 站点
此部分面向 Web 站点开发人员,他们需要准备用于 Secure Web for Android 和 Secure Web for iOS 的 Intranet 站点。旨在用于桌面浏览器的 Intranet 站点需要更改才能在 Android 和 iOS 设备上正常使用。
Secure Web 依靠 Android WebView 和 iOS WkWebView 来提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括:
- AngularJS
- ASP .NET
- JavaScript
- jQuery
- WebGL
- WebSocket(仅在非限制模式下)
Secure Web 不支持的一些 Web 技术包括:
- Flash
- Java
下表显示了 Secure Web 支持的 HTML 呈现功能和技术。X 表示相应功能适用于某个平台、浏览器和组件组合。
技术 | Secure Web for iOS | Secure Web for Android |
---|---|---|
JavaScript 引擎 | JavaScriptCore | V8 |
本地存储 | X | X |
AppCache | X | X |
IndexedDB | X | |
SPDY | X | |
WebP | X | |
srcet | X | X |
WebGL | X | |
requestAnimationFrame API | X | |
导航计时 API | X | |
资源计时 API | X |
技术在不同设备上作用方式相同;但 Secure Web 对不同的设备返回不同的用户代理字符串。要确定用于 Secure Web 的浏览器版本,可以查看其用户代理字符串。您可以查看 Secure Web 日志中的用户代理。要获取 Secure Web 日志,请导航到 Secure Hub > 帮助 > 报告问题。从应用程序列表中选择“Secure Web”。您会收到一封电子邮件,其中包含随附的压缩日志文件。
Intranet 站点故障排除
要解决在 Secure Web 中查看 Intranet 站点时遇到的呈现问题,请将 Web 站点在 Secure Web 上的呈现情况与在兼容的第三方浏览器中的呈现情况进行比较。
对于 iOS,用于测试的兼容第三方浏览器为 Chrome 和 Dolphin。
对于 Android,用于测试的兼容第三方浏览器为 Dolphin。
注意:
Chrome 是 Android 上的本机浏览器。请勿将其用于比较。
在 iOS 中,请确保浏览器支持设备级 VPN。可以在设备上的设置 > VPN > 添加 VPN 配置中配置此支持。
还可以使用 App Store 上提供的 VPN 客户端应用程序,例如 Citrix Secure Access、Cisco AnyConnect 或 Pulse Secure。
- 如果 Web 页面在两个浏览器上的呈现情况相同,则问题源于您的 Web 站点。请更新此站点,并确保它可以很好地适用于操作系统。
- 如果 Web 页面上的问题仅出现在 Secure Web 中,请联系 Citrix 技术支持,以打开一个支持票证。请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果 Secure Web for iOS 存在呈现问题,请按以下步骤所述将页面的 Web 存档包括在内。这样可帮助 Citrix 更加快速地解决该问题。
验证 SSL 连接
确保 SSL 证书链已正确配置。可以使用 SSL 证书检查器检查移动设备上未链接或未安装的缺失根 CA 或中间 CA。
许多服务器证书由多个分层证书颁发机构 (CA) 签名,这意味着证书形成了一个链。您必须链接这些证书。有关安装或链接证书的信息,请参阅安装、链接和更新证书。
创建 Web 存档文件
通过在 macOS 10.9 或更高版本上使用 Safari,可以将 Web 页面另存为 Web 存档文件(又称为“阅读列表”)。Web 存档文件包括所有链接的文件,例如图像、CSS 和 JavaScript。
-
在 Safari 中,清空阅读列表文件夹:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/。现在将删除该位置中的所有文件夹。
-
在菜单栏中,转到 Safari > 偏好设置 > 高级并启用“在菜单栏中显示“开发”菜单”。
-
在菜单栏中,转到开发 > 用户代理并输入 Secure Web 用户代理:(Mozilla/5.0(iPad,CPU OS 8_3,例如 macOS)AppleWebKit/600.1.4(KHTML,例如 Gecko)Mobile/12F69 Secure Web/10.1.0 (内部版本 1.4.0)Safari/8536.25)。
-
在 Safari 中,打开要另存为阅读列表(Web 存档文件)的 Web 站点。
-
在菜单栏中,转到书签 > 添加到阅读列表。此步骤可能需要几分钟时间。存档在后台进行。
-
找到存档的阅读列表:在菜单栏中,转到查看 > 显示阅读列表边栏。
-
验证存档文件:
- 关闭与 Mac 之间的网络连接。
-
打开阅读列表中的 Web 站点。
该 Web 站点完全呈现。
-
压缩存档文件:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,然后键入路径名称 ~/Library/Safari/ReadingListArchives/。然后压缩使用随机十六进制字符串作为文件名的文件夹。打开支持票证时,可以将此文件发送给 Citrix 技术支持。
Secure Web 功能
Secure Web 利用移动数据交换技术创建专用 VPN 通道,以便用户能够访问内部和外部 Web 站点以及所有其他 Web 站点。这些站点包括受贵公司的策略保护的环境中包含敏感信息的站点。
Secure Web 与 Secure Mail 和 Citrix Files 的集成在安全的 Endpoint Management 容器中提供无缝的用户体验。下面是集成功能的几个示例:
- 用户轻按 Mailto 链接时,将在 Secure Mail 中打开一封新电子邮件,不需要进一步进行身份验证。
-
允许链接在 Secure Web 中打开,确保数据安全。使用 Secure Web for iOS 和 Secure Web for Android 时,专用 VPN 通道允许用户安全地访问包含敏感信息的站点。用户可以单击来自 Secure Mail、来自 Secure Web 内部或者来自第三方应用程序的链接。该链接将在 Secure Web 中打开,数据被安全地包含在内。用户可以在 Secure Web 中打开具有 ctxmobilebrowser 方案的内部链接。这样,Secure Web 会将
ctxmobilebrowser://
前缀转换为http://.
。要打开 HTTPS 链接,Secure Web 会将ctxmobilebrowsers://
转换为https://
。
此功能取决于名为入站文档交换的应用程序交互 MDX 策略。默认情况下,此策略设置为不受限制。此设置允许在 Secure Web 中打开 URL。您可以更改策略设置,以便只有允许列表中包含的应用程序能够与 Secure Web 通信。
- 当用户单击电子邮件中的 Intranet 链接时,Secure Web 会转到该站点而无需进行额外的身份验证。
- 用户可以将其在 Secure Web 中从 Web 下载的文件上载到 Citrix Files。
Secure Web 用户还可以执行以下操作:
- 阻止弹出窗口。
注意:
Secure Web 的大多数内存用于呈现弹出窗口,因此,通常可通过在“设置”中阻止弹出窗口来提高性能。
- 为收藏的站点添加书签。
- 下载文件。
- 脱机保存页面。
- 自动保存密码。
- 清除缓存/历史记录/cookie。
- 禁用 Cookie 和 HTML5 本地存储。
- 与其他用户安全地共享设备。
- 在地址栏中搜索。
- 允许他们在 Secure Web 中运行的 Web 应用程序访问其位置。
- 导出和导入设置。
- 直接在 Citrix Files 中打开文件,而不必下载文件。要启用此功能,请在 Endpoint Management 中将 ctx-sf: 添加到“允许的 URL ”策略。
- 在 iOS 中,请使用三维触控操作来打开新选项卡,并直接从主屏幕访问脱机页面、收藏的站点和下载内容。
- 在 iOS 中,下载任意大小的文件并在 Citrix Files 或其他应用程序中打开。
注意:
将 Secure Web 置于后台将导致下载停止。
-
使用在网页中查找在当前页面视图中搜索词语。
Secure Web 也支持动态文本,因此可显示用户在其设备上设置的字体。
注意:
- 适用于 XenMobile 的 Citrix Files 已于 2023 年 7 月 1 日达到生命周期已结束状态。有关详细信息,请参阅 EOL 和已弃用的应用程序