Intelligenter Zugriff mit adaptiver Authentifizierung

Citrix Cloud-Kunden können mithilfe von Adaptive Authentication als IdP intelligenten Zugriff (adaptiven Zugriff) auf die Citrix DaaS-Ressourcen (virtuelle Apps und Desktops) für Citrix Workspace bereitstellen.

Die Smart Access-Funktion ermöglicht es dem Adaptive Authentication Service, alle Richtlinieninformationen über den Benutzer an Citrix Workspace oder Citrix DaaS weiterzuleiten. Der Adaptive Authentication-Dienst kann Gerätehaltung (EPA), Netzwerkstandort (innerhalb oder außerhalb des Unternehmensnetzwerks, Geolocation), Benutzerattribute wie Benutzergruppen, Tageszeit oder eine Kombination dieser Parameter als Teil der Richtlinieninformationen bereitstellen. Der Citrix DaaS-Administrator kann diese Richtlinieninformationen dann verwenden, um den kontextuellen Zugriff auf die virtuellen Apps und Desktops zu konfigurieren. Die virtuellen Apps und Desktops können auf der Grundlage früherer Parameter entweder aufgezählt werden oder nicht (Zugriffsrichtlinie). Einige Benutzeraktionen wie der Zugriff auf die Zwischenablage, die Druckerumleitung, das Clientlaufwerk oder die USB-Zuordnung können ebenfalls gesteuert werden.

Anwendungsbeispiele:

1. Der Administrator kann die Gruppe von Apps so konfigurieren, dass sie nur von bestimmten Netzwerkstandorten wie dem Unternehmensnetzwerk aus angezeigt oder darauf zugegriffen wird.
2. Der Administrator kann die Gruppe von Apps so konfigurieren, dass sie nur von unternehmensverwalteten Geräten angezeigt oder darauf zugegriffen werden kann. EPA-Scans können beispielsweise überprüfen, ob es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät oder BYOD handelt. Basierend auf dem EPA-Scanergebnis können die relevanten Apps für den Benutzer aufgelistet werden.

Voraussetzungen

• Adaptive Authentication als IdP muss für Citrix Workspace konfiguriert sein. Einzelheiten finden Sie unter Adaptive Authentication Service.

  

• Der adaptive Authentifizierungsdienst mit Citrix DaaS ist in Betrieb.

Den Ablauf von Ereignissen für Smart Access verstehen

1. Der Benutzer meldet sich bei Citrix Workspace an.
2. Der Benutzer wird zum adaptiven Authentifizierungsdienst umgeleitet, der als IdP konfiguriert ist.
3. Der Adaptive Authentication Service führt zusammen mit anderen Prüfungen eine EPA-Prüfung durch.
4. Der als IdP konfigurierte Adaptive Authentication Service führt die Authentifizierung durch.
5. Adaptive Authentication Service überträgt die Tags an den Citrix Graph-Dienst. Der Benutzer wird zur Zielseite von Citrix Workspace umgeleitet.
6. Citrix Workspace ruft die Richtlinieninformationen für diese Benutzersitzung ab, stimmt mit dem Filter überein und wertet die Apps oder Desktops aus, die aufgezählt werden müssen.
7. Der Administrator konfiguriert die Zugriffsrichtlinie auf Citrix DaaS, um den ICA-Zugriff für Benutzer einzuschränken.

Konfigurationsszenario — App-Aufzählung basierend auf Geräte-Haltungsscans

Schritt 1 — Konfigurieren Sie Smart Access-Richtlinien auf der Citrix Adaptive Authentication-Instanz:

In der folgenden Beispielkonfiguration wird eine andere Gruppe von Anwendungen basierend auf domain-joined- oder non-domain joined-Anmeldung aufgelistet.

1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Smart Access > Profile.

2. Klicken Sie auf der Registerkarte Profile auf Hinzufügen, um ein Profil Domainjoined-SmartAccessProfile mit dem Tag DomainJoined zu erstellen. Erstellen Sie auf ähnliche Weise eine andere Richtlinie NonDomainJoined-SmartAccessProfile mit dem Tag NonDomainJoined

   

3. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Smart Access > Richtlinien.

4. Klicken Sie auf der Seite „Smart Access-Richtlinie für die Authentifizierung konfigurieren “ auf Hinzufügen, um eine Richtlinie mit dem Namen zu erstellen Domainjoined-SmartAccessPol.

5. Wählen Sie auf der Seite Smart Access-Authentifizierungsrichtlinie konfigurieren unter Aktion das zuvor erstellte DomainJoined-SmartAccess-Profil aus und klicken Sie auf Hinzufügen.

   

6. Geben Sie im Feld Ausdruck den folgenden Ausdruck ein, und klicken Sie dann auf OK.

   AAA.USER.GROUPS.CONTAINS("DomainJoinedGroup")
   <!--NeedCopy-->
   

7. Erstellen Sie auf ähnliche Weise eine weitere Richtlinie mit dem Namen NonDomainJoined-SmartAccessPol (wählen Sie unter Aktion das Profil NonDomainJoined-SmartAccessProfile aus).

   

8. Binden Sie die Smart Access-Richtlinie an den virtuellen Authentifizierungsserver.

   1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Virtuelle Server.
   2. Wählen Sie den virtuellen Authentifizierungsserver aus und klicken Sie auf Bearbeiten.
   3. Klicken Sie unter Erweiterte Authentifizierungsrichtlinienauf Smart Access Policy, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bindung hinzufügen.
   4. Klicken Sie auf Schließen.

   

Schritt 2 — Citrix DaaS-Konfiguration:

1. Klicken Sie in der Citrix DaaS-Kachel auf Verwalten.

2. Navigieren Sie zu Bereitstellungsgruppen und klicken Sie auf Bereitstellungsgruppe bearbeiten.

3. Klicken Sie mit der rechten Maustaste auf die Bereitstellungsgruppe und wählen Sie Bearbeiten aus, um zu konfigurieren, wann die Apps dieser Bereitstellungsgruppe aufgelistet werden müssen und gestartet werden dürfen.
4. Klicken Sie auf Zugriffsrichtlinie und fügen Sie die erforderlichen Tags hinzu. Die Farm muss immer auf Workspace festgelegt sein und der Filter muss eines der Tags enthalten, die Sie basierend auf der früheren Konfiguration erstellt haben.
5. Wiederholen Sie die vorherigen Schritte, um weitere Tags hinzuzufügen. Wenn mehrere Tags verwendet werden und mindestens eines der Tags vorhanden ist, steht die Bereitstellungsgruppe dem Kunden zur Verfügung.

Weitere Informationen finden Sie unter Verwalten von Bereitstellungsgruppen.

Hinweis:

• Stellen Sie sicher, dass die Tags nur in Großbuchstaben eingegeben werden.
• Wenn ein Administrator die Konfiguration eines bestimmten Tags im Adaptive Authentication-Dienst entfernt, muss das Tag auch aus Web Studio und den Bereitstellungsgruppen entfernt werden. Der Administrator darf die gelöschten Tag-Namen nicht wiederverwenden. Admins müssen immer neue Tag-Namen verwenden.

Nach erfolgreicher Konfiguration listet die Anmeldung bei Beitritt zur Domäne die folgenden Apps auf.

Nach erfolgreicher Konfiguration listet die Anmeldung ohne Domäne die folgenden Apps auf.

Schritt 3 — Hinzufügen einer Zugriffsrichtlinie für die Smart Access-Tags:

1. Navigieren Sie unter Verwalten zu Richtlinien, und erstellen Sie eine Richtlinie.
2. Wählen Sie die entsprechende ICA-Richtliniensteuerung aus.
3. Wählen Sie unter Richtlinie zuweisen zu die Option “Zugriffskontrolle”.

1. Weisen Sie das Smart Access-Tag (in Großbuchstaben) in der Zugriffsbedingung zu.

Problembehandlung

- Was ist, wenn keine Tags gedrückt werden:

• Überprüfen Sie, ob mindestens eine Richtlinie als wahr bewertet wird. Einzelheiten finden Sie unter https://support.citrix.com/article/CTX138840.
• Überprüfen Sie die Citrix ADC-Konnektivität zu cas.citrix.com.

Zusätzliche Änderungen für das Hochverfügbarkeitssetup:

Manchmal kann es in einem Hochverfügbarkeitssetup zu einer verzögerten Dateisynchronisierung kommen. Daher werden die Schlüssel, die bei der Citrix ADM-Registrierung erstellt wurden, nicht rechtzeitig gelesen.

Wir suchen nach den folgenden drei Dateien auf der Sekundärseite.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Um das Problem mit der Dateisynchronisierung zu beheben, führen Sie die folgenden Schritte aus, um den Befehl “set cloud” auf der Sekundärseite erneut auszuführen.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->