New NetScaler Portal Approach

Easily Provide Apps, Desktops and secured Web Sites with just one portal URL and SSO!

As we all know NetScaler is the best solution in providing both XenApp and XenDesktop applications and also is very good in offloading and securing web applications. Unfortunately the combination of both, providing web apps and windows apps isn’t possible with just one authentication. This used to be a weakness and isn’t very transparent and comfortable for the user.

Not any more – with our new portal approach we are able to combine the web application features with the good old Access Gateway Enterprise functionality.

How it looks?

The NetScaler provides the login page, as users are already used to.

After successfully logging in, the user gets to a portal site where he sees all applications, whether if it’s a XenApp, XenDesktop or Web application.

When the user clicks the content icon, a new browser window with a web application (e.g. SharePoint 2010) comes up. If a user clicks a XenApp or XenDesktop icon, the ICA client connects the terminal server application or the virtual desktop. The NetScaler takes care of the authentication and provides a single-sign-on to the backends.

With our new portal approach its possible to provide the three common types of application with just one authentication and only one portal URL to remember. Isn’t that awesome?

Some details on how its done

The key components are:

– NetScaler: Provides the centralized access point with following features ( Content Switch, Load Balancers, AAA and AG)

– Citrix Web Interface: Gathers all applications and presents them on one website, controlled by Active Directory groups and Access Gateway filters

– XenApp/ XenDesktop: To provide terminal applications and virtual desktops as well as content links to web apps

– Web Sites: Any website running in your internal network or somewhere in the cloud (e.g. Sharepoint, Exchange Outlook Web Access, …)
Load Balancers

By default the NetScaler prevents to put a LB virtual service in front of an AAA or AG resource. To skirt this behavior you need create a chain of load balancers, see below:

Content Switch

Coming from the internet the content switch is located before AAA and AG. It decides based on the content, whether to route the traffic to an AAA virtual server, Access Gateway virtual server or a LB virtual server, providing a web application.

Authentication Cookie

It is necessary to rewrite the Access Gateway authentication cookie. Else NetScaler will delete and AG will reject it . On the first load balancer in front of the AG vServer we bound a Rewriting Request Policy with the following content:

Action: HTTP.REQ.HEADER(“Cookie”).REGEX_SELECT(re!CTX_AAAC!) REPLACE “NSC_AAAC”

and a Rewriting Response

Action: HTTP.RES.FULL_HEADER.REGEX_SELECT(re!NSC_AAAC!) REPLACE “MR_AAAC”

Single Sign On Policy

As the credentials are entered in Traffic Manager they are not automatically passed to the Access Gateway Server. This can be solved with a form based Single Sign On policy:

TM_FormSSO-to_AG -actionURL “/cgi/login” -userField login -passwdField passwd -ssoSuccessRule “HTTP.RES.SET_COOKIE.EXISTS(”NSC_CERT”) && HTTP.RES.SET_COOKIE.EXISTS(”NSC_AAAC”)”

Traffic Flow

In order to explain traffic flow, here is a short explanation of the process:

1.) Without being authenticated Content Switch routes traffic to load balancer in front of AG. Only with a valid cookie this load balancer can be passed.

2.) In order to authenticate, traffic is routed to AAA virtual server.

3.) Now ordinary logon page is displayed and user authenticates against backend services, like Active Directory and/or Radius.

4.) Containing the encrypted authentication cookie, user now is able to bypass load balancer and gets to AG object.

5.) We implemented a single-sign-on policy avoiding to authenticate against AG

6.) As usual AG authenticates against Web Interface and displays all available resources, such as XenApp, XenDesktop and Web Sites.

7.) To start an ICA connection a separate AG object is being used as ICA proxy.

8.) To open an internal web site, AG can pass the credentials and provides single-sing-on.

Interested? Contact us! NetScaler@provectus.de

Special thanks goes to Peter Leimgruber, Dominic Feser and Maximilian Leimgruber for supporting me during the development progress.

Leave a Reply

Your email address will not be published. Required fields are marked *

 

Unser Verhaltenskodex

Partnerschaft, Zuverlässigkeit, Integrität, Offenheit und Nachhaltigkeit sind zentrale Werte unserer Unternehmenskultur. Als Unternehmen steht es für uns im Vordergrund, im täglichen Geschäftsleben fair und ethisch korrekt zu arbeiten und bestehende Gesetze einzuhalten. Gleiches erwarten wir auch von unseren Kunden, Beratern, Lieferanten und Dienstleistern. Unsere Richtlinien und Prinzipien haben wir aus diesem Grund in unserem Verhaltenskodex festgelegt.

Datenschutzerklärung

Datenschutzkonzept

1 - Rahmenbedingungen der Verarbeitung

Wer ist verantwortliche Stelle?

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

  • Provectus Technologies GmbH
  • Leopoldstr. 250b, 80807 München, Deutschland
  • info@provectus.de
  • +49 (89) 7104092 0
  • Geschäftsführer: Christian Jupe, Josef Lang

Name und Anschrift des Datenschutzbeauftragten

  • Datenschutzbeauftragter der Provectus Technologies GmbH
  • c/o activeMind AG
  • Potsdamer Str. 3, 80802 München, Deutschland
  • datenschutz@provectus.de

Datenerhebung und -verarbeitung bei Aufruf unserer Webseite

Zweck und Rechtsgrundlage: Bei der bloß informatorischen Nutzung unserer Website, d.h. wenn Sie nicht das Kontaktformular nutzen oder uns auf andere Weise Informationen übermitteln, erheben wir folgende Daten, die Ihr Browser an unseren Server übermittelt (sog. "Server-Logfiles")

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Daten
  • Übertragene Datenmenge
  • Meldung, ob der Abruf erfolgreich war
  • Erkennungsdaten des verwendeten Browser- und Betriebssystems
  • Webseite, von der aus der Zugriff erfolgt
  • Name Ihres Internet-Zugangs-Providers

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Erhaltung der Stabilität und Funktionalität unserer Website.

Speicherdauer: Die erhobenen Daten werden nach Abschluss Ihrer Session gelöscht.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet.

Kontaktformular

Zweck und Rechtsgrundlage: Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert.

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage unseres berechtigten Interesses (Art 6 Abs. 1 lit. f DSGVO).

Durch Bereitstellung des Kontaktformulars möchten wir Ihnen eine unkomplizierte Kontaktaufnahme ermöglichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert.

Speicherdauer: Ihre Daten werden nach Bearbeitung Ihrer Anfrage gelöscht, sofern die vorvertragliche Phase endet und kein vertragliches Verhältnis entsteht. Gesetzliche Aufbewahrungsfristen und berechtigte Interessen bleiben unberührt.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Ohne Ihre Kontaktinformationen ist Kommunikation jedoch nicht möglich.

Kommentarfunktion

Zweck und Rechtsgrundlage: Die von Ihnen eingegebenen Daten werden zum Zweck des Kundenaustauschs gespeichert.

Die Verarbeitung der eingegebenen Daten erfolgt auf der Grundlage Ihrer Einwilligung, die Sie mittels Kommentarbereitstellung erteilen (Art 6 Abs. 1 lit. a DSGVO).

Speicherdauer: Ihre Daten werden bis zum Widerruf Ihrer Einwilligung gespeichert.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben und rein freiwillig.

Cookies

Wie viele andere Webseiten verwenden wir auch so genannte "Cookies". Cookies sind kleine Textdateien, die von einem Webseitenserver auf Ihre Festplatte übertragen werden. Hierdurch erhalten wir automatisch bestimmte Daten wie z. B. IP-Adresse, verwendeter Browser, Betriebssystem über Ihren Computer und Ihre Verbindung zum Internet.

Cookies können nicht verwendet werden, um Programme zu starten oder Viren auf einen Computer zu übertragen. Anhand der in Cookies enthaltenen Informationen können wir Ihnen die Navigation erleichtern und die korrekte Anzeige unserer Webseiten ermöglichen.

In keinem Fall werden die von uns erfassten Daten an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.

Natürlich können Sie unsere Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind regelmäßig so eingestellt, dass sie Cookies akzeptieren. Sie können die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte verwenden Sie die Hilfefunktionen Ihres Internetbrowsers, um zu erfahren, wie Sie diese Einstellungen ändern können. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.

Zweck und Rechtsgrundlage: Die Internetseiten setzen zum Teil so genannte Cookies ein.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen gewünschter Funktionen erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur fehlerlosen und optimierten Bereitstellung seiner Webseite. Insofern andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

Speicherdauer: Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website allerdings eingeschränkt sein.

Google Analytics

Zweck und Rechtsgrundlage: Auf unserer Website kommen sog. Tracking-, bzw. Webanalyse-Tools zum Einsatz. Mit Hilfe der Webanalyse erhalten wir Informationen über Besucherverhalten auf unserer Website, z.B. zur Herkunft der Besucher, aufgerufenen Inhalten oder zur Verweildauer. Anhand dieser Informationen können wir Schwachstellen der Website herausfinden und deren Effizienz verbessern.

Rechtsgrundlage für diese Verarbeitungen ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.

Hinweise zur Verarbeitung Ihrer Nutzungsdaten und Opt-out bezüglich Google Analytics: Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google”). Google Analytics verwendet sog. „Cookies”, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Grundsätzlich werden auf unserer Webseite IP-Adressen durch Google mittels Kürzung automatisch anonymisiert. Nur in Ausnahmefällen werden IP-Adressen an Server von Google in den USA übertragen und dort durch Kürzung anonymisiert. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das verfügbare Browser-Plugin herunterladen und installieren: Browser Add-On zur Deaktivierung von Google Analytics.

Empfänger der Daten: Der Anbieter Google Analytics verarbeitet in unserem Auftrag die Zugriffsdaten zum Zwecke der Nutzeranalyse und statistischen Aufbereitung. Hierfür haben wir mit dem Anbieter einen entsprechenden Auftragsverarbeitungsvertrag abgeschlossen.

Speicherdauer: Cookies werden entweder nur für die Session oder bis zu zwei Jahre auf Ihrem Endgerät gespeichert. Sie können Cookies mittels Ihren Browsereinstellungen entfernen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website allerdings eingeschränkt sein.

Drittlandtransfer: Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir dürfen nur Daten an Dienstleister in einem Drittland übermitteln, sofern geeignete Garantien vorgesehen sind (Standarddatenschutzklauseln, die von der Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Widerruf der Einwilligung: Der Widerruf kann mittels Opt-out bezüglich Google Analytics vollzogen werden. Rufen Sie hierzu die "Cookie Info" erneut auf (ganz untern am Ende dieser Website) und deaktivieren Sie das Kontrollkästchen "Cookie für anonymisiertes Tracking". Alternativ dazu können Sie uns kontaktieren um Hilfestellung zu erhalten.

Profiling: Mit Hilfe der Tracking-Tools können das Verhalten der Besucher der Webseite bewertet und die Interessen analysiert werden. Hierzu erstellen wir ein pseudonymes Nutzerprofil.

Einbindung von Google Maps

Diese Webseite verwendet Google Maps API um geographische Informationen visuell darzustellen. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Kartenfunktionen durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch Google können Sie den Google-Datenschutzhinweisen entnehmen. Dort können Sie im Datenschutzcenter auch Ihre persönlichen Datenschutz-Einstellungen verändern.

Wenn Sie in Ihrem Google-Konto eingeloggt sind, ermöglichen Sie Google Maps, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Google-Account ausloggen. Mit der Nutzung von Google Maps akzeptieren Sie die Google Maps-Nutzungsbedingungen. Sie können eine Löschung der durch Google erhobenen Daten und andere Datenschutz-Einstellungen in Ihrem Google-Konto vornehmen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der erhobenen Daten sowie deren Nutzung durch Google Maps erhalten.

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google Maps unter: https://policies.google.com/privacy?hl=de

Social Media

Diese Webseite verwendet Facebook-, Twitter-, Xing-, und LinkedIn-Links, um Ihnen den Besuch unserer Firmenseiten zu ermöglichen. Bei der Weiterleitung auf entsprechende Social Media Seiten werden Daten über die Nutzung durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch die Anbieter können Sie folgenden Datenschutzhinweisen entnehmen:

Wir weisen darauf hin, dass wir keine Kenntnis von der Datenverarbeitung durch die sozialen Netzwerke haben.

Google reCAPTCHA

Zweck und Rechtsgrundlage: Zur Wahrung der Datensicherheit bei der Übermittlung von Formularen, verwenden wir den Service reCAPTCHA des Unternehmens Google Inc. Der Einsatz ermöglicht die Unterscheidung, ob eine Eingabe durch natürliche Personen erfolgt oder unautorisiert durch maschinelle und automatisierte Mittel. Ihre IP-Adresse wird auf Grundlage des berechtigten Interesses der Aufrechterhaltung unseres Online-Angebots gemäß Art. 6 Abs. 1 lit. f DSGVO gespeichert und von Google Inc. verarbeitet.

Empfänger der Daten: Google Inc. wird als unser Auftragsverarbeiter tätig.

Speicherdauer: Die Speicherdauer richtet sich nach den von Google eingerichteten Fristen. Die durch Google reCAPTCHA platzierten Cookies auf Ihrem Computer können eine Laufzeit von bis zu vier Jahren haben. Deshalb raten wir Ihnen regelmäßig Cookies in Ihrem Browser zu entfernen. Mehr Informationen zu Google’s Umgang mit Ihren Daten finden Sie unter https://policies.google.com/privacy?hl=de.

Drittlandtransfer: Die erzeugten Informationen inklusive Ihrer IP-Adresse werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir dürfen nur Daten an Dienstleister in einem Drittland übermitteln, sofern geeignete Garantien vorgesehen sind (z.B. Standarddatenschutzklauseln, die von der Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist erforderlich um vorvertragliche und vertragliche Maßnahmen einzuleiten. Anderenfalls werden wir Ihr Ersuchen ablehnen.

2 - Betroffenenrechte und Beschwerde und Widerspruch


Betroffenenrechte

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Widerspruch aus Art. 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO.

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Beschwerde

Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG). Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Empfänger eines Widerspruchs

Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe Ihres Namens, Ihrer Adresse und Ihres Geburtsdatums erfolgen und sollte gerichtet werden an:

  • Provectus Technologies GmbH
  • Leopoldstr. 250b, 80807 München, Deutschland
  • info@provectus.de
  • +49 (89) 7104092 0
  • Geschäftsführer: Christian Jupe, Josef Lang

Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an unseren Datenschutzbeauftragten:

  • c/o activeMind AG
  • Potsdamer Str. 3, 80802 München, Deutschland
  • datenschutz@provectus.de

Quellen Nachweis

Auf der Webseite verwendete Bilder:
Wenn nicht folgend aufgeführt, wurden Bilder von Unsplash genutzt -> Lizenz

iStockphoto Standard Lizenz:
Titel Bild: MünchenAlpen (184102635)

Icons:
Font Awesome