Weil sich so viele Kunden so wenig unter SmartAccess von Citrix vorstellen können, beschreibe ich hier mal einige Anwendungsfälle aus der Praxis:
Citrix SmartAccess besteht hauptsächlich aus drei Komponenten:
- Citrix Access Gateway Advanced oder Enterprise Edition
- Citrix Webinterface 5.x als Portal und ICA-Client-Verteiler
- Citrix XenApp 4.x oder größer
Citrix SmartAccess bietet die folgenden Funktionen:
- Einschränken des published Applications Angebot durch Endpoint Analyse
- Einschränken von ICA-Funktionalitäten (z.B. Printing, File-Transfer oder Clipboard) durch Endpoint Analyse
- Einschränken von SSL-VPN Zugriffsrichtlinien durch Endpoint Analyse
Damit erhält man die Möglichkeit den Zugriff aus ungesicherten Netzen (z.B. dem Internet) maßgeschneidert und äußerst sicher anzubieten. Das gibt den mobilen Mitarbeitern mehr Flexibilität + Produktivität ohne die Datensicherheit zu gefährden. Die folgende Abbildung zeigt einen beispielhaften Use-Case mit dem CAG als ICA-Proxy und Endpoint Analyse.
In diesem Szenario wird auf dem Client überprüft, ob der AntiViren-Client läuft und aktuell ist sowie die Client-Firewall aktiviert ist. Citrix liefert hierzu vorgefertigte Expressions für ein paar AntiVir-Clients und ein paar Client-Firewalls mit aber in der Regel muss man sich diese Expressions selbst zusammen bauen. Hierzu kann man den Timestamp von beliebigen Dateien, Registry-Keys, den Status von Diensten und Prozessen sowie einige Netzwerk-Parameter (z.B. MAC-Adressen) verwenden.
Das zweite Szenario verwendet die selben Expressions, entscheidet aber anhand des Zustands des zugreifenden Clients, ob der Nutzer "nur" ICA-Proxy oder den umfangreicheren SSL-VPN-Zugang nutzen darf.
Hierbei wird das Ergebnis der Endpoint Analyse nur auf der CAG selbst (bzw. auf dem AAC-Server) interpretiert und nicht auf dem XenApp-Server (wie bei dem vorherigen Szenario, bei dem ICA-Features blockiert wurden). Die CAG (bzw. der AAC-Server) entscheidet diesmal, ob der Nutzer den SSL-VPN-Zugang mit all seinen Vorteilen (lokale Outlook-Verbindung etc.) oder "nur" published Applications/Desktops nutzen kann, die ihm vom Webinterface angeboten werden. Im letzteren Fall wird er schlichtweg auf das Webinterface weitergeleitet (ohne dabei die SSL-Verschlüsselung des CAG aufzugeben).
Die Kombination der ersten beiden Fälle könnte dann z.B. in dem folgenden Szenario münden:
Weiterhin bleibt zu erwähnen, dass sich SmartAccess auch mit dem Produkt XenDesktop kombiniert werden kann.
Sollten Sie nun Gefallen an SmartAccess gefunden haben - Sprechen Sie uns an!
