Prolonger la durée de vie de vos applications web héritées en utilisant Citrix Secure Browser
Dans le monde des applications et frameworks web, la diversité doit être acceptée. Différents types d’utilisateurs, de groupes et d’entreprises ont besoin d’accéder aux bons outils, applications et autorisations pour se connecter aux applications métier basées sur le web. Dans la plupart des cas, des facteurs de conformité dictent la manière d’accéder à ces applications. Les entreprises qui doivent prendre en charge des sous-systèmes plus anciens, avec des frameworks de navigateur plus anciens, sont confrontées à une tâche difficile pour fournir un accès adéquat et répondre aux exigences de conformité pour les applications critiques. Le document suivant décrit comment utiliser Citrix Secure Browser pour étendre l’accès et la durée de vie de vos applications web et navigateurs hérités pendant que vous créez une stratégie de mise à jour et de migration.
La solution nécessite la publication d’un navigateur conforme qui permet l’accès aux utilisateurs externes ou internes, quelle que soit la manière dont l’utilisateur se connecte ou le navigateur qu’il utilise pour se connecter au site interne. Cette solution utilise XenDesktop Server OS VDA, StoreFront™, NetScaler Gateway et XenApp Secure Browser. Les utilisateurs redirigent les navigateurs ou points d’extrémité conformes pour utiliser un navigateur natif lorsque celui-ci répond à toutes les exigences définies par l’administrateur informatique ; et si la politique détecte un navigateur ou un point d’extrémité non conforme, elle redirige l’utilisateur vers une session de navigateur publiée conteneurisée à distance. Les utilisateurs n’ont besoin de connaître qu’une seule URL par ressource (ce qui réduit les coûts de formation et de support) quelle que soit la manière dont ils se connectent à l’environnement.
Architecture
La section suivante explique comment les utilisateurs accèdent au site interne, que l’utilisateur se connecte depuis un réseau interne ou externe. Dans ce scénario, un type de navigateur (Internet Explorer) est le navigateur conforme et un autre (Google Chrome) est le non-conforme. Il appartient à chaque entreprise de déterminer comment et quels navigateurs correspondent à la politique de conformité.
Pour cette solution, nous supposons que NetScaler® Gateway est configuré pour l’accès externe aux applications publiées, ceci est représenté dans la Figure 1 comme Gateway vServer 1. Le second serveur virtuel (Gateway vServer 2) redirige les utilisateurs pour lancer la session HTML5 Receiver pour Secure Browser.
Cas d’utilisation
Il est nécessaire de maintenir des applications web héritées qui ne sont plus prises en charge par les navigateurs actuels. Dans ce cas, l’informatique doit toujours maintenir un site web conçu pour Internet Explorer 8 et le fournisseur ne publie plus d’améliorations pour prendre en charge les navigateurs nouveaux ou autres. Pour résoudre ce problème, l’administrateur informatique publie un Secure Browser pour permettre aux utilisateurs qui répondent aux exigences du navigateur d’accéder au site. Le diagramme ci-dessous explique chaque connexion dans le flux de travail pour les utilisateurs internes et externes.
Flux de travail de connectivité
- Chaque utilisateur saisit l’URL du site qui est résolue par un serveur DNS externe, dans notre exemple,
https://train.qckr.net - Le navigateur se connecte à l’équilibreur de charge NetScaler Gateway et détermine les exigences de conformité.
- Lorsque le navigateur n’est pas conforme, les utilisateurs internes et externes sont redirigés vers le serveur virtuel NetScaler Gateway. Lorsque le navigateur est conforme, NetScaler Gateway proxyfie la connexion au site interne via l’équilibreur de charge pour les utilisateurs externes et redirige le navigateur local vers le site pour les utilisateurs internes.
- Le serveur virtuel démarre automatiquement une session énumérée par StoreFront.
- StoreFront contacte le contrôleur XenDesktop® pour les informations de session et le routage.
- La session est lancée via le groupe de bureaux Secure Browser ; dans ce cas, il s’agit d’un VDA de système d’exploitation serveur avec un navigateur conforme publié.
- La session se connecte via le proxy ICA® sur l’appliance NetScaler Gateway.
- Citrix Receiver™ pour HTML5 établit la session de l’utilisateur dans le navigateur natif.
- Le site interne apparaît via la session Secure Browser avec Citrix Receiver pour HTML5.
Mise en place et configuration
Cette section explique comment implémenter la solution pour les environnements XenDesktop actuels avec la connectivité à distance NetScaler Gateway.
Prérequis de la solution
La configuration nécessite l’installation et la configuration des composants suivants :
- Serveur XenDesktop Desktop Controller
- Serveur Citrix StoreFront avec un Store configuré pour l’accès externe
- NetScaler Gateway avec un serveur virtuel XenDesktop
- VDA de système d’exploitation serveur utilisant le navigateur installé comme Secure Browser
- Adresse DNS externe qui pointe vers un nouveau répartiteur de charge NetScaler
- Adresse DNS externe qui pointe vers un nouveau serveur virtuel NetScaler Gateway
Configuration
Contrôleur de bureau XenDesktop
Ajoutez le VDA du système d’exploitation serveur à un nouveau catalogue de machines nommé Secure Browser Catalog.
Créez un groupe de mise à disposition pour Secure Browser Catalog et publiez Internet Explorer. Dans les paramètres de ligne de commande, tapez -k <URL of Internal Site>. Le paramètre -k permet d’ouvrir Internet Explorer en mode Kiosque. Dans cet exemple, nous publions Internet Explorer 8 et utilisons un site interne pour l’URL.
Vous pouvez attribuer le groupe de mise à disposition à des utilisateurs et des groupes spécifiques. Vous n’avez pas besoin d’ajouter l’accès au bureau si cela n’est pas nécessaire pour le cas d’utilisation.
Sur le VDA du système d’exploitation serveur, installez un certificat d’authentification de serveur ou de client, ce qui active SSL sur la communication entre le contrôleur et le VDA.
Montez le support d’installation de XenDesktop 7.6 ou version ultérieure. Ouvrez une fenêtre de commande PowerShell, puis exécutez %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable
Redémarrez l’instance du VDA du système d’exploitation serveur.
Sur le contrôleur XenDesktop, ouvrez une fenêtre de commande PowerShell et exécutez la commande ASNP Citrix*.
Exécutez les trois commandes suivantes pour activer la communication sécurisée du broker vers le VDA :
Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->
Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->
StoreFront
Créez un nouveau Store nommé SecureBrowser et sélectionnez Autoriser uniquement les utilisateurs non authentifiés à accéder à ce Store. Le trafic est authentifié car tous les utilisateurs transmettent un jeton de NetScaler Gateway au contrôleur.
Ajoutez le contrôleur XenDesktop.
Activez l’Accès à distance et ajoutez une deuxième NetScaler Gateway que vous configurerez dans les étapes suivantes. Pour cette configuration, vous n’avez pas besoin d’utiliser le Rappel ou l’adresse VIP dans la configuration StoreFront / NetScaler Gateway.
Terminez la création du Store en utilisant les paramètres par défaut de l’assistant.
Après avoir créé le Store, cliquez sur Gérer les sites Receiver pour Web.
Sur la page Gérer les sites Receiver pour Web, cliquez sur Configurer, accédez à Raccourcis de site Web, ajoutez l’URL du site Web interne et cliquez sur le lien Obtenir les raccourcis.
Connectez-vous en tant qu’utilisateur régulier ayant accès à l’application Secure Browser publiée.
Copiez l’URL de l’application Secure Browser et enregistrez-la dans un fichier texte pour l’utiliser ultérieurement dans la configuration de NetScaler Gateway.
Retournez aux propriétés de Modifier le site Receiver pour Web, cliquez sur Déployer Citrix Receiver et sélectionnez Toujours utiliser Receiver pour HTML5. Sélectionnez l’option Lancer les applications dans le même onglet que Receiver pour Web.
Cliquez sur Contrôle de l’espace de travail, dans Action de déconnexion, sélectionnez Terminer. Désactivez l’option Activer le contrôle de l’espace de travail.
Cliquez sur Paramètres de l’interface client, désactivez l’option Lancer automatiquement le bureau et cliquez sur OK pour enregistrer les paramètres.
Dans un éditeur de texte, ouvrez le fichier C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.
Recherchez le paramètre <appShortcuts promptForUntrustedShortcuts=”true”>, définissez-le sur false et enregistrez les modifications. La désactivation de ce paramètre empêche StoreFront de demander aux utilisateurs s’ils souhaitent lancer l’application.
NetScaler Gateway
Dans l’interface graphique de NetScaler Gateway, dans le volet de navigation, cliquez sur XenApp® et XenDesktop, puis sur le Tableau de bord, cliquez sur Créer une nouvelle passerelle.
Dans les propriétés de StoreFront, définissez le Chemin du site sur /Citrix/SecureBrowserWeb et définissez le nom du Magasin sur SecureBrowser comme nouveau magasin dans le serveur StoreFront.
Poursuivez l’assistant et enregistrez le nouveau serveur virtuel.
Sur le nœud NetScaler Gateway, développez Stratégies et accédez à Session.
Sélectionnez l’onglet Actions, modifiez l’action nouvellement créée pour le deuxième serveur virtuel, puis modifiez l’action de stratégie AC_WB_.
Dans l’onglet Applications publiées, collez l’URL des raccourcis d’application que vous avez enregistrée précédemment dans le champ Adresse de l’interface Web, puis cliquez sur OK.
Dans le volet de navigation, cliquez sur le nœud AppExpert, développez la section Répondeur, puis cliquez sur Actions.
Ajoutez une nouvelle Action, nommez-la Connexions internes et définissez le type sur Redirection.
Dans le champ Expression, ajoutez l’URL du site interne à connecter entre guillemets, telle que https://mysite.acme.com
Cliquez sur Créer pour enregistrer l’action.
Ajoutez une nouvelle action, nommez-la Connexions externes et définissez le type sur Redirection.
Dans le champ Expression, ajoutez l’URL du deuxième serveur virtuel NetScaler Gateway, entourée de guillemets, par exemple https://gateway.acme.com
Cliquez sur Créer pour enregistrer l’action.
Accédez au nœud Stratégies de répondeur.
Ajoutez une nouvelle stratégie, nommez-la Detect Browser Compliance, dans la liste déroulante Action, sélectionnez l’action External Connections que vous avez créée précédemment.
Définissez Undefined-Result Action sur NOOP.
Dans le champ Expression, ajoutez le texte suivant :
| HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“AppleWebKit”) | HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“Chrome”) |
Les expressions ci-dessus détectent les navigateurs non conformes, ou, dans ce cas d’utilisation, qui ne sont pas Internet Explorer.
Cliquez sur Créer pour enregistrer les modifications.
Ajoutez une nouvelle stratégie, nommez-la Detect Client Source, définissez l’Action sur l’action Internal Connections créée précédemment.
Définissez Undefined-Result Action sur NOOP.
Dans le champ Expression, ajoutez le texte suivant :
| (CLIENT.IP.SRC.IN_SUBNET(172.17.0.0/23) |
Remplacez ou ajoutez chaque sous-réseau ci-dessus pour correspondre à votre environnement réseau interne. L’agent utilisateur, dans ce cas, correspond à la version configurée d’Internet Explorer et que le client se connecte depuis le réseau interne.
Cliquez sur Créer pour enregistrer les modifications.
Dans le volet de navigation, développez Gestion du trafic > Équilibrage de charge, puis sélectionnez Serveurs. Ajoutez le serveur utilisé pour héberger le site interne.
Dans le volet de navigation, cliquez sur Groupes de services sous Équilibrage de charge, ajoutez un nouveau groupe de services, définissez le Protocole sur SSL et liez le Serveur créé à l’étape précédente à la liste Membres du groupe de services.
Cliquez sur Terminé.
Dans le volet de navigation, cliquez sur Serveurs virtuels dans le nœud Équilibrage de charge, cliquez sur Ajouter et nommez le serveur Site Intranet.
Définissez le Protocole sur SSL et saisissez l’adresse IP de l’équilibreur de charge.
Liez le Serveur Web interne du groupe de services créé à l’étape précédente et configurez les certificats pour l’accès externe. Liez le certificat CA racine interne aux certificats CA afin que l’équilibreur de charge puisse décharger le SSL vers le serveur Web interne.
Dans le volet des détails, dans Paramètres avancés, cliquez sur + Stratégies. Cliquez sur le signe plus (+) pour lier une nouvelle stratégie.
Sélectionnez Répondeur pour Choisir la stratégie et cliquez sur Continuer. Sélectionnez Détecter la source du client et définissez la priorité sur 100.
Cliquez sur Lier.
Cliquez sur la section de stratégie Répondeur, cliquez sur Ajouter une liaison, sélectionnez Détecter la conformité du navigateur et définissez la priorité sur 110. Cliquez sur Lier.
Cliquez sur Fermer, puis sur Terminé.
Enregistrez la configuration de NetScaler Gateway.
Résultats et attentes des cas d’utilisation
Cette section examine les cas d’utilisation et les résultats attendus de la manière dont chaque utilisateur se connecte avec la configuration précédente. Dans tous les cas d’utilisation suivants, l’utilisateur ouvre un navigateur installé localement et saisit l’URL externe du site de formation.
Utilisateur externe avec un navigateur non conforme
Résultat attendu : L’utilisateur lance une session Citrix Receiver dans un onglet de navigateur qui affiche le site avec le navigateur sécurisé publié.
Utilisateur externe avec un navigateur conforme
Résultat attendu : NetScaler Gateway achemine le trafic entre le navigateur local et le site web interne.
Utilisateur interne avec un navigateur non conforme
Résultat attendu : L’utilisateur lance la session Citrix Receiver dans un onglet de navigateur affichant le site avec le navigateur sécurisé publié.
Utilisateur interne avec un navigateur conforme
Résultat attendu : La session utilisateur est redirigée vers le site interne ; NetScaler Gateway ne sert pas de proxy pour la connexion car le client se connecte depuis le réseau interne.
Limitations connues
- Le passage d’URL dynamique au serveur virtuel NetScaler Gateway ne prend pas en charge l’utilisation de Citrix Receiver pour HTML5 pour Secure Browser.
- Pour transmettre une URL de lancement au serveur virtuel, désactivez le proxy ICA dans le profil de session. Le proxy ICA est une exigence pour Citrix Receiver pour HTML5.
- Citrix Receiver pour HTML5 ne prend pas en charge la redirection de contenu.
- Les administrateurs peuvent configurer Citrix Receiver dans StoreFront pour les sites web.
- Les environnements qui ont plusieurs sites distincts, créent différentes stratégies de session NetScaler Gateway pour chaque site et les lient au serveur virtuel ou créent un portail de lancement interne qui peut héberger des URL pour les sites internes.