私有访问使您能够提供用户到应用程序的访问,且无需将应用环境接入您的网络。 通过用户身份验证的访问通过Cato云进行代理,并根据策略在PoP上执行。 除非明确定义和授权,否则无法访问私有应用程序。
本文解释了管理员配置Cato私有访问的完整端到端工作流程。 从在应用环境中部署应用连接器开始,然后配置私有应用,并定义私有访问策略以管理对应用程序的访问。
有关更多信息,请参见什么是Cato私有访问?
对于Cato私有访问服务,应用连接器提供与应用环境的连接,私有应用定义发布内容,而私有访问策略定义谁可访问。
这是配置私有访问的高级工作流程:
-
部署应用连接器并将其分配到应用连接器组。
-
配置私有应用的设置。
-
在私有访问策略中定义访问规则。
应用连接器在Cato云和承载私有应用的环境之间提供安全连接。 每个应用连接器与Cato云建立仅出站的DTLS隧道,只转发PoP授权的会话。
私有应用连接到应用连接器组,PoP会为该组中最佳可用的连接器代理授权会话。
最佳实践:在发布应用程序之前先部署应用连接器。
有关更多信息,请参见与应用连接器一起工作。
在与被保护应用程序一样的网络环境中部署应用连接器。 根据应用程序的承载位置,连接器可以部署在物理数据中心或公共云环境中。
这些是支持的应用连接器类型:
应用连接器是Cato组件,在Cato云和私有应用环境之间提供连接。 将连接器分配到一个应用连接器组,以便私有应用可以将该组作为连接路径,而不是依赖单一连接器。
这种设计提高了弹性和操作灵活性,因为同组中的多个连接器可以提供对应用程序的访问。 如果一个连接器无法使用,应用程序可以使用同组中另一个可用的连接器。
私有应用是CMA对象,定义内部应用程序、已发布的应用域以及与应用相关的应用连接器组。
有关更多信息,请参见配置私有应用程序。
应用设置定义内部应用程序地址及应用程序的服务/端口项目。 内部应用程序地址识别私有环境中的应用程序,而服务/端口项目则定义允许的协议和端口。
发布设置定义发布的应用程序域名以及与应用程序相关的应用连接器组。 已发布的应用程序域名是用户用来访问应用程序的域名,应用连接器组提供连接应用程序环境的路径。
探测监控应用程序可用性。 它帮助识别应用程序是否通过已配置的路径可访问,并提供应用程序状态的可见性。
私有访问策略控制哪些用户或组可以访问已发布私有应用程序。 在将会话代理到应用环境之前,会在PoP处评估策略。 这是一个有序的规则库,只有最高优先级的匹配规则会被应用来允许或阻止访问。
每个规则评估相关用户或组、可选条件和选定的私有应用,决定是否允许或阻止访问。
有关更多信息,请参见配置私有访问策略。
用户 / 组定义允许访问应用程序的用户和组
标准设置定义用户访问应用程序的可选条件。 这使管理员能够添加基于上下文的控制,例如只有具有有效防病毒解决方案的设备才能连接。
私有应用设置定义用户可用的私有应用程序范围。
0 条评论
文章评论已关闭。