身份验证后策略
重要:
端点分析旨在根据预先确定的合规性标准分析用户设备,并不强制或验证最终用户设备的安全性。建议使用端点安全系统来保护设备免受本地管理员攻击。
身份验证后策略是用户设备为保持会话活动状态而必须满足的一组通用规则。如果策略失败,与 Citrix Gateway 的连接将终止。配置身份验证后策略时,可以为可以设置条件的用户连接配置任何设置。
您可以使用会话策略配置身份验证后策略。首先,创建应用该策略的用户。然后,将用户添加到组中。接下来,将会话、流量策略和 Intranet 应用程序绑定到组。
您还可以将组指定为授权组。此类组允许您根据会话策略中的客户端设备检查表达式将用户分配到组。
如果用户设备不符合该策略的要求,您还可以配置身份验证后策略以将用户置于隔离组中。一个简单的策略包括客户端设备检查表达式和一条消息。当用户位于隔离组中时,用户可以登录 Citrix Gateway;但是,他们对网络资源的访问权限有限。
不能使用相同的会话配置文件和策略创建授权组和隔离组。创建身份验证后策略的步骤相同。创建会话策略时,可以选择授权组或隔离组。您可以创建两个会话策略,并将每个策略绑定到组。
身份验证后策略也可用于 SmartAccess。有关 SmartAccess 的更多信息,请参阅 在 Citrix Gateway 上配置 SmartAccess。
注意:
此功能仅适用于 Citrix Secure Access 代理。如果用户使用 Citrix Workspace 应用程序登录,则端点分析扫描仅在登录时运行。
配置身份验证后策略
您可以使用会话策略配置身份验证后策略。一个简单的策略包括客户端设备检查表达式和一条消息。
使用 GUI 配置身份验证后策略
- 展开 Citrix Gateway > 策略 ,然后单击“会话”。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“安全”选项卡上,单击“高级设置”。
- 在 客户端安全下,单击 覆盖全局, 然后单击 新建。
- 配置客户端设备检查表达式,然后单击“创建”。
- 在“客户端安全”下的“隔离组”中,选择一个组。
- 在错误消息中,键入您希望用户在身份验证后扫描失败时收到的消息。
- 在授权组下,单击 覆盖全局,选择一个组,单击 添加,单击 确定,然后单击 创建。
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
配置身份验证后扫描的频率
您可以将 Citrix Gateway 配置为按指定的时间间隔运行身份验证后策略。例如,您配置了客户端设备检查策略,并希望该策略每 10 分钟在用户设备上运行一次。您可以通过在策略中创建自定义表达式来配置此频率。
注意:
身份验证后策略的频率检查功能仅适用于 Citrix Secure Access 代理。如果用户使用 Citrix Workspace 应用程序登录,则端点分析扫描仅在登录时运行。
您可以按照“配置 身份验证后策略”过程设置配置客户端设备检查策略时的频率(以分钟为单位)。下图显示了您可以在“添加表达式”对话框中输入频率值的位置。
隔离和授权组
当用户登录 Citrix Gateway 时,您可以将他们分配给在 Citrix Gateway 或安全网络中的身份验证服务器上配置的组。如果用户未能通过身份验证后扫描,则可以将该用户分配到称为隔离组的受限组,该组会限制对网络资源的访问。
您还可以使用授权组来限制用户对网络资源的访问。例如,您可能有一组合同人员只能访问您的电子邮件服务器和文件共享。当用户设备通过您在 Citrix Gateway 上定义的设备检查要求时,用户可以动态成为组的成员。
您可以使用全局设置或会话策略来配置绑定到用户、组或虚拟服务器的隔离和授权组。您可以根据会话策略中的客户端设备检查表达式将用户分配到组。当用户是组成员时,Citrix Gateway 会根据组成员资格应用会话策略。
配置授权组
配置 Endpoint Analysis 扫描时,可以在用户设备通过扫描时将用户动态添加到授权组。例如,您可以创建端点分析扫描来检查用户设备域成员身份。在 Citrix Gateway 上,创建一个名为“加入域的计算机”的本地组,然后将其添加为通过扫描的任何人的授权组。当用户加入组时,用户将继承与该组关联的策略。
您无法将授权策略全局绑定或绑定到虚拟服务器。当用户未配置为 Citrix Gateway 上另一个组的成员时,可以使用授权组提供一组默认的授权策略。
使用会话策略配置授权组
- 导航到 Citrix Gateway > 策略 ,然后单击 会话。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“安全”选项卡上,单击“高级设置”。
- 在“授权组”下,单击“覆盖全局”,然后从下拉列表中选择一个组。
- 单击“添加”,单击“确定”,然后单击“创建”。
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
创建会话策略后,可以将其绑定到用户、组或虚拟服务器。
配置全局授权组
- 展开 Citrix Gateway,然后单击“全局设置”。
- 在详细信息窗格的“设置”下,单击“更改全局设置”。
- 在“安全”选项卡上,单击“高级设置”。
- 在“授权组”下,从下拉列表中选择一个组。
- 单击“添加”, 然后单击“确定”。
如果要全局删除授权组或从会话策略中删除授权组,请在“安全设置 - 高级”对话框中,从列表中选择该授权组,然后单击“删除”。
配置隔离组
配置隔离组时,您可以使用会话配置文件中的“安全设置-高级设置”对话框配置客户端设备检查表达式。
为隔离组配置客户端设备检查表达式
- 导航到 Citrix Gateway > 策略,然后单击“会话”。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“安全”选项卡上,单击“高级设置”。
- 在 客户端安全下,单击 覆盖全局, 然后单击 新建。
- 在“客户端表达式”对话框中,配置客户端设备检查表达式,然后单击“创建”。
- 在隔离组中,选择该组。
- 在“错误消息”中,键入描述用户问题的消息,然后单击“创建”。
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”。
- 单击“创建”,然后单击“关闭”。
创建会话策略后,将其绑定到用户、组或虚拟服务器。
注意:
如果 Endpoint Analysis 扫描失败并将用户置于隔离组中,则绑定到隔离组的策略只有在没有直接绑定到该用户且优先级编号与绑定到隔离组的策略相同或低的策略时,绑定到隔离组的策略才有效。
配置全局隔离组
- 展开 Citrix Gateway,然后单击“全局设置”。
- 在详细信息窗格的“设置”下,单击“更改全局设置”。
- 在“安全”选项卡上,单击“高级设置”。
- 在“客户端安全”中,配置客户端设备检查表达式。
- 在隔离组中,选择该组。
- 在“错误消息”中,键入向用户描述问题的消息,然后单击“确定”。