Secure Private Access 与 Director 的集成(预览版)

Secure Private Access 与 Director 的集成允许技术支持管理员或完全权限管理员监视 Director 中的所有 Secure Private Access 会话并进行故障排除。要支持此功能,必须使用 2402 或更高版本的 Director、Secure Private Access、Citrix Workspace 应用程序和 VDA。

可用操作包括查看以下对象的详细信息:

  • 某个用户在选择会话弹出窗口 > 会话选项卡 > Web SaaS 应用程序和客户端/服务器应用程序下的 Secure Private Access 活动会话
  • Select a Session(选择会话)弹出窗口 > Denied Access(拒绝的访问)选项卡下的 Secure Private Access 失败或阻止的枚举以及失败的应用程序启动
  • 活动的应用程序启动和失败的应用程序启动的会话和应用程序详细信息视图
  • 失败和阻止的枚举的会话和应用程序详细信息视图

注意:

Secure Private Access 与 Director 的集成仅支持基于 Director 表单的身份验证,不支持集成 Windows 身份验证或基于智能卡的身份验证。

必备条件

  1. 要支持此功能,必须使用以下版本:

    • Director 2402 或更高版本
    • Secure Private Access 2402 或更高版本
    • Citrix Workspace 应用程序 2402 或更高版本
  2. 请确保在 Director 上配置了至少一个 Citrix Virtual Apps and Desktops 站点。
  3. 设置 Secure Private Access
  4. 请确保 Director 服务器与 Secure Private Access 服务器有网络连接。

    注意:

    必须在 Secure Private Access 服务器上安装可信证书,才能成功与 Citrix Director 建立连接。

  5. 请确保 Director 管理员用户具有以下权限:

    1. Secure Private Access 管理员控制台中的 Secure Private Access 完全权限管理员或只读管理员。
    2. Citrix Studio 控制台中的 Citrix Virtual Apps 或 Citrix Virtual Desktops 技术支持人员或者完全权限管理员或只读管理员。

使用 Secure Private Access 配置 Director

  1. 以管理员身份在安装了 Director 的计算机上打开命令提示符。
  2. 通过运行以下命令转到 DirectorConfig 工具的路径:

    cd c:\inetpub\wwwroot\Director\tools
    <!--NeedCopy-->
    
  3. 请运行以下命令以配置 Secure Private Access:

    DirectorConfig.exe /configspa
    <!--NeedCopy-->
    
  4. 输入安装了 Secure Private Access 的计算机的 FQDN 以及端口号。

  5. 请确保与 Secure Private Access(服务器或负载均衡器)的连接是安全的,并且已应用可信证书。

    Director SPA 配置工具

注意:

必须将管理员添加到 Secure Private Access 控制台,才能在 Director 中查看 Secure Private Access 会话详细信息。有关详细信息,请参阅管理管理员

按用户查看 Secure Private Access 会话

在 Director 控制板上,单击搜索并输入用户名。此时将出现选择会话屏幕。

完全权限管理员:

Director SPA 完全权限管理员

技术支持管理员:

Director SPA 技术支持管理员

查看 Secure Private Access 会话的活动管理器

Citrix Director 为 Secure Private Access 会话提供活动管理器视图,可让您全面了解会话活动。活动管理器提供成功打开或未能打开的所有应用程序和桌面以及在 Secure Private Access 应用程序中设置的策略结果的综合视图。此功能在 Citrix Virtual Apps and Desktops 版本 2407 或更高版本中可用。

必备条件:

  • Director 2407 或更高版本
  • Secure Private Access 2407 或更高版本

活动管理器将显示可用应用程序已启动的应用程序的详细信息。您可以找到以下会话详细信息:

  • 启动时间
  • 资源名称
  • 资源类型
  • 访问的资源
  • 状态
  • 事务 ID

要查看活动管理器,请执行以下操作:

  1. 在 Director 控制板上,单击搜索并输入用户名。此时将出现选择会话屏幕。
  2. 选择使用 Secure Private Access 会话打开的会话。此时将显示所选会话的活动管理器。

    活动管理器

  3. 单击 Available Apps(可用应用程序)可查看 Citrix Workspace 应用程序中可用的应用程序。

或者,

单击 Launched Apps (sessions)(已启动的应用程序(会话))可查看在 Citrix Workspace 应用程序中打开的应用程序。

可以使用在 Secure Private Access 应用程序中设置的资源状态来筛选资源:

  • 允许 - 允许用户访问的资源。此状态是使用 Secure Private Access 应用程序下的策略设置的。此资源在 Citrix Workspace 应用程序中向用户提供。
  • 拒绝 - 拒绝用户访问的资源。此状态是使用 Secure Private Access 应用程序下的策略设置的。此资源在 Citrix Workspace 应用程序中向用户提供。
  • 错误 - 允许用户在 Secure Private Access 应用程序下访问的资源。但是,由于某些错误,该资源在 Citrix Workspace 应用程序中不可用。有两种类型的错误,例如枚举错误和会话错误。

查看可用的应用程序

Citrix Workspace 应用程序中可用的 Web 和 SaaS 应用程序显示在 Available Apps(可用应用程序)部分下。本部分显示应用程序的上次枚举尝试以及枚举尝试的状态。

可以查看以下详细信息:

  • 资源名称
  • 状态
  • 事务 ID

还可以通过应用程序状态(例如允许拒绝错误)筛选上述详细信息。还可以使用上箭头键和下箭头键对详细信息进行排序。

注意:

vailable Apps(可用应用程序)部分中不存在 TCP/UDP 应用程序。

查看已启动的应用程序

在 Citrix Workspace 应用程序中打开的应用程序显示在 Launched Apps (sessions)(已启动的应用程序(会话))部分下。可以查看以下详细信息:

  • 启动时间
  • 资源名称
  • 资源类型
  • 访问的资源
  • 状态
  • 事务 ID

还可以通过应用程序状态(例如允许拒绝错误)筛选上述详细信息。也可以使用上箭头键和下箭头键对详细信息进行排序。

Secure Private Access 应用程序的“会话拓扑”视图

可以查看使用 Secure Private Access 打开的应用程序的会话拓扑。在活动管理器中单击所需的应用程序,查看所选应用程序的会话拓扑。

活动管理器

会话拓扑

“会话拓扑”视图提供了应用程序启动进程的流程。端点连接到 Citrix Gateway,Citrix Gateway 连接到 Secure Private Access 插件。使用 Secure Private Access 插件中的信息启动该应用程序。此功能在 Citrix Virtual Apps and Desktops 版本 2407 或更高版本中可用。

必备条件:

  • Director 2407 或更高版本
  • Secure Private Access 2407 或更高版本
  • Citrix Secure Access 24.8.1.x 或更高版本

可以查看以下内容:

  • 端点 - 显示打开了应用程序的端点。可能的选项为 Citrix Workspace 应用程序和 Citrix Secure Agent。此时将显示设备 ID。
  • 内部网络 - 显示枚举的应用程序数量和已配置的策略数量。
  • 策略评估 - 显示在 Secure Private Access 应用程序中设置的策略的结果。不同的值为 Allowed(允许)、Denied(拒绝)、Access allowed with restrictions(允许访问但有限制)和 Error(错误)。
  • 已启动的应用程序 - 显示应用程序的类型和应用程序启动的状态。应用程序类型的可能值为 Web/SaaS 应用程序或 TCP/UDP 应用程序。同样,应用程序启动状态的可能值为 Allowed(允许)、Denied(拒绝)、Access allowed with restrictions(允许访问但有限制)和 Error(错误)。

查看成功启动的 Web 应用程序和 SaaS 应用程序

成功启动的应用程序显示在 Web SaaS and Client/Server Apps(Web SaaS 应用程序和客户端/服务器应用程序)部分中。

Director SPA Web 和 SaaS 应用程序

单击 Web SaaS and Client/Server Apps(Web SaaS 应用程序和客户端/服务器应用程序)部分中的应用程序以查看详细信息。

Director SPA 成功启动

有关成功代码的详细信息,请参阅 Citrix Director 相关代码

查看有关访问被拒绝的应用程序的详细信息

Select a session(选择会话)屏幕上单击 Check Access Details(检查访问权限详细信息)。

Director SPA 检查访问权限详细信息

注意:

没有活动会话时,将出现 Check Access Details(检查访问权限详细信息)按钮。

或者,

单击 Denied Access(拒绝的访问)选项卡以查看访问被拒绝的应用程序。

Denied Access(拒绝的访问)选项卡打开。

Director SPA 拒绝的访问详细信息

此时将显示会话详细信息,例如时间、资源、端点名称和失败原因。有关错误代码的详细信息,请参阅 Citrix Director 相关代码

当前已发现以下问题:

  • 由于策略条件,枚举被拒绝
  • 应用程序启动错误
  • 枚举错误
  • 由于策略条件,应用程序启动被拒绝

请从 Denied Access(拒绝的访问)选项卡 > Resource(资源)列中选择一个应用程序以查看详细信息:

Director SPA 无法访问详细信息

此时将显示成功或失败的会话的以下详细信息:

  • 关于应用程序
  • 策略评估
  • 会话详细信息

关于应用程序

此时将显示成功、失败或被拒绝的应用程序的名称。除此之外,还显示应用程序成功或失败的以下详细信息:

字段 说明
事务 ID 会话或枚举期间的 Citrix 事务 ID。
资源类型 显示资源的类型。可能的值为“Web”、“SaaS”、“TCP/UDP (服务器到客户端)”和“TCP/UDP (客户端到服务器)”。
访问的资源 会话或枚举过程中访问资源的 URL。对于 TCP 或 UDP 应用程序,它显示访问的资源类型是 TCP 还是 UDP。
配置的策略 在会话或枚举中使用的策略数量。
原因 会话或枚举活动的分析。
应用的安全限制 显示在 Secure Private Access 应用程序中应用的安全限制。

策略评估

显示在评估期间未找到成功会话的问题。对于失败的会话或枚举,将显示评估的策略的以下详细信息:

字段 说明
ID Citrix 交易 ID。
策略名称 策略的名称。如果有多个策略,则会出现第一个与设置的条件匹配的策略。
状态 策略的状态。
应用的操作 应用到策略的操作。例如,拒绝访问。
政策条件评估  
类型 策略条件的类型。
条件标准 在失败的会话或枚举中应用的策略的条件标准。
策略的值。
评估状态 策略的评估状态。不同的值为 Allowed(允许)、Denied(拒绝)、Access allowed with restrictions(允许访问但有限制)和 Error(错误)。

会话详细信息

对于失败的会话,将显示会话失败的原因。对于成功的会话,将显示以下详细信息:

字段 说明
会话状态 显示会话的状态,而无论其处于活动状态还是非活动状态。
开始时间 显示会话开始时间。
上次活动时间 显示成功会话的上次活动时间。
网关虚拟 IP 显示成功会话所连接到的网关的虚拟 IP 地址。
上下文标记 显示上下文标记。Secure Private Access 插件上的上下文标记是指应用到经过身份验证的用户的会话的 NetScaler Gateway 策略(会话、预身份验证、EPA)的名称。
访问过的域(内部) 显示使用成功会话访问的内部域。
访问过的域(外部) 显示使用成功会话访问的外部域。

已知问题

  • 对于 TCP 或 UDP 应用程序,枚举详细信息不会显示在活动管理器页面中。
  • 您可能会注意到,已终止的会话在会话选择器弹出窗口中处于活动状态。