Gateway

Unified Gateway

NetScaler mit Unified Gateway: Eine URL

NetScaler mit Unified Gateway ermöglicht einen vereinfachten sicheren Zugriff auf jede Anwendung über eine einzige URL für Desktop- und mobile Benutzer. Hinter dieser einzigen URL haben Administratoren einen einzigen Punkt für Konfiguration, Sicherheit und Kontrolle des Fernzugriffs auf Anwendungen. Und Remote-Benutzer haben eine verbesserte Erfahrung mit nahtloser einmaliger Anmeldung für alle Anwendungen, die sie benötigen, zusammen mit dem Anmelden/Abmelden, sobald sie benutzerfreundlich sind.

Um dies zu erreichen, bietet NetScaler with Gateway zusammen mit den Content Switching-Kapazitäten von NetScaler und der umfangreichen Authentifizierungsinfrastruktur über diese einzige URL Zugriff auf Unternehmensstandorte und Apps. Außerdem können Remotebenutzer iOS- oder Android-Mobilgeräte sowie Linux-, PC- oder Mac-Systeme mit dem Citrix Secure Access-Client verwenden, um überall auf die Unified Gateway-URL zuzugreifen.

Eine Unified Gateway-Bereitstellung ermöglicht den Zugriff mit einer einzigen URL auf die folgenden Anwendungskategorien:

  • Intranet-Anwendungen.
  • Clientlose Anwendungen
  • Software als Serviceanwendung
  • Vorkonfigurierte Anwendungen, die von NetScaler bereitgestellt werden
  • Citrix Virtual Apps and Desktops veröffentlichte Anwendungen

Intranet-Anwendungen können jede webbasierte Anwendung sein, die sich innerhalb des sicheren Unternehmensnetzwerks befindet. Dies sind interne Ressourcen wie eine organisatorische Intranet-Site, eine Bug-Tracking-Anwendung oder ein Wiki.

Typischerweise sind die clientlosen Anwendungen Unified Gateway auch innerhalb des sicheren Unternehmensnetzwerks und bietet Zugriff auf eine einzige URL, zu denen Outlook Web Access und SharePoint gehören. Diese Anwendungen bieten Zugriff auf Exchange-E-Mail- und Teamressourcen ohne dedizierte Clientsoftware, die Remote-Benutzern zur Verfügung stehen muss.

SaaS-Anwendungen, auch allgemein als Cloud Apps bekannt, sind externe, Cloud-basierte Anwendungen, auf die Unternehmen angewiesen sind, wie ShareFile, Salesforce oder NetSuite. SAML-basiertes Single Sign-On wird mit den SaaS-Anwendungen unterstützt, die es anbieten.

Einige Organisationen haben möglicherweiseNetScaler bereitgestellte Anwendungen vorkonfiguriert, die in einer NetScaler-Konfiguration mit Lastausgleich bereitgestellt wurden. Oft wird dies auch als “Reverse-Proxy” -Anwendung bezeichnet. Unified Gateway unterstützt diese Anwendungen, wenn sich ein virtueller Server für die Bereitstellung auf derselben NetScaler Unified Gateway-Instanz oder Appliance befindet. Diese Anwendungen verfügen möglicherweise über eine eigene Authentifizierungskonfiguration, die unabhängig von der Unified Gateway-Konfiguration ist.

Alle veröffentlichten Citrix Virtual Apps and Desktops veröffentlichten Anwendungenkönnen über eine Unified Gateway-URL verfügbar gemacht werden. SmartAccess- und SmartControl-Richtlinien können optional auf granulare Richtlinien und Zugriffssteuerung auf diese Ressourcen angewendet werden.

Der Konfigurationsassistent für Unified Gateway

Die empfohlene Methode zum Konfigurieren eines NetScaler mit Unified Gateway-Bereitstellung ist die Verwendung des Unified Gateway-Konfigurationsassistenten.Der Assistent führt Sie durch die Konfiguration und erstellt alle erforderlichen virtuellen Server, Richtlinien und Ausdrücke und wendet Einstellungen basierend auf den bereitgestellten Details an. Nach der Ersteinrichtung kann der Assistent verwendet werden, um Ihre Bereitstellung zu verwalten und deren Betrieb zu überwachen.

Hinweis:

Der Unified Gateway-Konfigurationsassistent führt keine anfängliche Systemkonfiguration durch. Ihre NetScaler Gateway-Appliance oder VPX-Instanz muss die Basisinstallation abgeschlossen haben, bevor Sie Unified Gateway konfigurieren. Lesen Sie die Installationsanweisungen zumKonfigurieren von NetScaler Gateway mit dem Erst-Setup-Assistenten, um die Grundkonfiguration abzuschließen.

Die vom Assistenten konfigurierten Unified Gateway-Elemente sind:

  • Der primäre virtuelle Unified Gateway-Server
  • Ein SSL-Serverzertifikat für den virtuellen Unified Gateway-Server
  • Eine primäre und optionale sekundäre Authentifizierungskonfiguration
  • Eine Portal-Themenauswahl und optionale Anpassung
  • Die Benutzeranwendungen, auf die über das Unified Gateway-Portal zugegriffen werden soll

Für jedes dieser Elemente müssen Sie Konfigurationsinformationen angeben. Für eine einfache Unified Gateway-Bereitstellung werden die folgenden Informationen benötigt.

  • Für den primären virtuellen Unified Gateway-Server die öffentliche IP-Adresse und die IP-Portnummer für die Bereitstellung. Dies ist die IP-Adresse, die in DNS in den Hostnamen der Unified Gateway-URL aufgelöst wird. Wenn beispielsweise die URL Ihrer Unified Gateway-Bereitstellung lautet https://mycompany.com/, muss die IP-Adresse auf mycompany.com aufgelöst werden.
  • Das signierte SSL-Serverzertifikat für die Bereitstellung. NetScaler Gateway unterstützt PEM- oder PFX-formatierte Zertifikate.
  • Informationen zum primären Authentifizierungsserver. Die für diese Authentifizierungskonfiguration unterstützten Authentifizierungssysteme basieren auf LDAP/Active Directory, RADIUS und Certificate. Eine sekundäre LDAP- oder RADIUS-Authentifizierungskonfiguration könnte ebenfalls erstellt werden. Die IP-Adresse des Authentifizierungsservers muss zusammen mit allen relevanten Administratoranmeldeinformationen oder Verzeichnisattributen angegeben werden. Für die Zertifikatauthentifizierung müssen die Gerätezertifikattribute und ein CA-Zertifikat bereitgestellt werden.
  • Ein Portal-Thema könnte ausgewählt werden. Wenn ein benutzerdefiniertes oder gebrandetes Portaldesign gewünscht wird, können benutzerdefinierte Grafiken mit dem Assistenten auf das System hochgeladen werden.
  • Für webbasierte Benutzeranwendungen müssen die URLs für die einzelnen Anwendungen angegeben werden. Für Webanwendungen, die die SAML-Single-Sign-On-Authentifizierung verwenden sollen, sammelt das Dienstprogramm die Assertion Consumer Service-URL zusammen mit anderen optionalen SAML-Parametern. Sammeln Sie im Voraus die Konfigurationsdetails für die Anwendungen, die ein SAML-Authentifizierungssystem verwenden.
  • Damit veröffentlichte Ressourcen von Citrix Virtual Apps and Desktops über die Unified Gateway-Bereitstellung verfügbar gemacht werden, müssen Sie den Integrationspunkt angeben (StoreFront, das Webinterface oder das Webinterface auf NetScaler). Das Dienstprogramm benötigt je nach Art des Integrationspunkts den vollqualifizierten Domänennamen des Integrationspunkts, den Standortpfad, die Single Sign-On-Domäne, die Secure Ticket Authority (STA) -Server-URL und andere.

Zusätzliche Konfigurationsverwaltung

Für standortspezifische Einstellungen, die im Unified Gateway-Konfigurationsdienstprogramm nicht verfügbar sind, z. B. alternative SSL-Einstellungen oder Sitzungsrichtlinien, können Sie die erforderlichen Einstellungen im NetScaler Gateway-Konfigurationsdienstprogramm verwalten. Sie können diese Einstellungen auf den virtuellen Content Switching- oder VPN-Servern ändern, sobald sie vom Unified Gateway-Konfigurationsdienstprogramm erstellt wurden.

Virtueller Content Switching-Server

Dies ist die NetScaler-Konfigurationseinheit hinter der Haupt-IP-Adresse und -URL der Bereitstellung. Die SSL-Serverzertifikate und -parameter werden auf diesem virtuellen Server verwaltet. Da dieser virtuelle Server der antwortende Netzwerkhost für die Bereitstellung ist, können die ICMP-Serverantwort und der RHI-Status bei Bedarf auf diesem virtuellen Server geändert werden. Den virtuellen Content Switching-Server finden Sie auf der Registerkarte Konfiguration unter Traffic Management > Content Switching > Virtuelle Server.

Wichtig:

Wenn Sie Ihre Unified Gateway-Umgebung auf Version 13.0 Build 58.x oder höher aktualisieren, ist der DTLS-Regler auf dem virtuellen Content Switching-Server deaktiviert, der vor dem Gateway oder dem virtuellen VPN-Server konfiguriert ist. Aktivieren Sie den DTLS-Regler im virtuellen Content Switching-Server nach dem Upgrade manuell. Aktivieren Sie den DTLS-Regler nicht, wenn Sie den Assistenten für die Konfiguration verwenden.

Virtueller VPN-Server

Alle anderen VPN-Parameter, Profile und Richtlinienbindungen für die Unified Gateway-Konfiguration werden auf diesem virtuellen Server verwaltet, einschließlich der Hauptauthentifizierungskonfiguration. Diese Entität wird auf der Registerkarte Konfiguration unter NetScaler Gateway > Virtuelle Serververwaltet. Der Name des entsprechenden virtuellen VPN-Servers enthält den Namen, der dem virtuellen Content Switching-Server während der anfänglichen Unified Gateway-Konfiguration gegeben wurde.

Hinweis:

Die virtuellen VPN-Server, die für eine Unified Gateway-Bereitstellung erstellt wurden, sind nicht adressierbar und weisen die 0.0.0.0-IP-Adresse zu.

Unified Gateway