Extension de la durée de vie de vos applications Web héritées à l’aide de Citrix Secure Browser

Dans le monde des applications et des cadres Web, la diversité doit être adoptée. Différents types d’utilisateurs, de groupes et d’entreprises ont besoin d’accéder aux outils, applications et autorisations appropriés pour se connecter aux applications d’entreprise Web. Dans la plupart des cas, il existe des facteurs de conformité qui dictent la façon d’accéder à ces applications. Les entreprises qui ont besoin de prendre en charge des sous-systèmes plus anciens, avec des cadres de navigateur plus anciens, ont du mal à fournir un accès adéquat et à satisfaire aux exigences de conformité pour les applications critiques de l’entreprise. Le document suivant décrit comment utiliser Citrix Secure Browser pour étendre l’accès et la durée de vie de vos applications Web et navigateurs hérités tout en créant une stratégie de mise à jour et de migration.

La solution nécessite la publication d’un navigateur conforme qui permet l’accès aux utilisateurs externes ou internes, indépendamment de la façon dont l’utilisateur se connecte ou du navigateur qu’ils utilisent pour se connecter au site interne. Cette solution utilise XenDesktop Server OS VDA, StoreFront, NetScaler Gateway et XenApp Secure Browser. Les utilisateurs redirigent les navigateurs ou les points de terminaison compatibles pour utiliser un navigateur natif lorsqu’il répond à toutes les exigences définies par l’administrateur informatique ; et si la stratégie détecte un navigateur ou un point de terminaison non conforme, redirige l’utilisateur vers une session de navigateur publié contenant à distance. Les utilisateurs n’ont besoin de connaître qu’une URL par ressource (ce qui réduit les coûts de formation et de support), quelle que soit la façon dont ils se connectent à l’environnement.

Architecture

La section suivante explique comment les utilisateurs accèdent au site interne, que l’utilisateur se connecte à partir d’un réseau interne ou externe. Dans le scénario, un type de navigateur (Internet Explorer) est le navigateur conforme et un autre (Google Chrome) comme non conforme. Il appartient à chaque entreprise de déterminer comment et quels navigateurs sont mis en correspondance avec la stratégie de conformité.

Pour cette solution, nous supposons que NetScaler Gateway est configuré pour un accès externe aux applications publiées, ceci est représenté dans la Figure 1 comme Gateway vServer 1. Le deuxième serveur virtuel (Gateway vServer 2) redirige les utilisateurs pour lancer la session HTML5 Receiver pour Secure Browser.

Cas d’utilisation

Il est nécessaire de maintenir les applications Web héritées qui ne sont plus prises en charge par les navigateurs actuels. Dans ce cas, le service informatique doit toujours gérer un site Web conçu pour Internet Explorer 8 et le fournisseur ne publie plus d’améliorations pour prendre en charge les nouveaux navigateurs ou autres. Pour résoudre ce problème, l’administrateur informatique publie un navigateur sécurisé pour permettre aux utilisateurs qui répondent aux exigences du navigateur d’accéder au site. Le diagramme ci-dessous explique chaque connexion dans le workflow pour les utilisateurs internes et externes.

Flux de travail de connectivité

1. Chaque utilisateur entre dans l’URL du site qui résout à partir d’un serveur DNS externe, dans notre exemple,https://train.qckr.net
2. Le navigateur se connecte à l’équilibreur de charge NetScaler Gateway et détermine les exigences de conformité.
3. Lorsque le navigateur n’est pas conforme, les utilisateurs internes et externes redirigent vers le serveur virtuel NetScaler Gateway. Lorsque le navigateur est conforme, NetScaler Gateway met en proxy la connexion au site interne via l’équilibreur de charge pour les utilisateurs externes et redirige le navigateur local vers le site pour les utilisateurs internes.
4. Le serveur virtuel démarre automatiquement une session énumérée par StoreFront.
5. StoreFront contacte le contrôleur XenDesktop pour obtenir des informations sur la session et le routage.
6. La session démarre via le groupe de bureau Secure Browser ; dans ce cas, il s’agit d’un VDA avec OS de serveur avec un navigateur conforme publié.
7. La session se connecte via le proxy ICA sur l’appliance NetScaler Gateway.
8. Citrix Receiver pour HTML5 établit la session de l’utilisateur dans le navigateur natif.
9. Le site interne s’affiche via la session Secure Browser avec Citrix Receiver pour HTML5.

Configuration et configuration

Cette section explique comment implémenter la solution pour les environnements XenDesktop actuels avec la connectivité à distance NetScaler Gateway.

Exigences de la solution

La configuration nécessite l’installation et la configuration des composants suivants :

• Serveur XenDesktop Desktop Controller
• Serveur Citrix StoreFront avec un magasin configuré pour un accès externe
• NetScaler Gateway avec un serveur virtuel XenDesktop
• VDA avec OS de serveur avec l’utilisation du navigateur installé comme navigateur sécurisé
• Adresse DNS externe qui pointe vers un nouvel équilibreur de charge NetScaler
• Adresse DNS externe qui pointe vers un nouveau serveur virtuel NetScaler Gateway

Configuration

Contrôleur XenDesktop

Ajoutez le VDA du SE de serveur à un nouveau catalogue de machines nommé Secure Browser Catalog.

Créez un groupe de mise à disposition pour Secure Browser Catalog et publiez Internet Explorer. Dans les paramètres de ligne de commande, tapez -k <URL of Internal Site>.** Le paramètre -k consiste à ouvrir Internet Explorer en mode Kiosque. Dans cet exemple, nous publions Internet Explorer 8 et utilisons un site interne pour l’URL.

Vous pouvez affecter le groupe de mise à disposition à des utilisateurs et groupes spécifiques. Vous n’avez pas besoin d’ajouter un accès au bureau s’il n’est pas nécessaire pour le cas d’utilisation.

Sur le VDA du système d’exploitation de serveur, installez un certificat d’authentification serveur ou client, qui active SSL sur la communication Controller et VDA.

Montez le support d’installation XenDesktop 7.6 ou version ultérieure. Ouvrez une fenêtre de commande PowerShell, puis exécutez %MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable

Redémarrez l’instance VDA du système d’exploitation de serveur.

Sur XenDesktop Controller, ouvrez une fenêtre de commande PowerShell et exécutez la commande ASNP Citrix*.

Exécutez les trois commandes suivantes pour activer le broker vers la communication sécurisée VDA :

Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true*
<!--NeedCopy-->

Set-BrokerSite –DnsResolutionEnabled $true
<!--NeedCopy-->

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true*
<!--NeedCopy-->

StoreFront

Créez un nouveau magasin appelé SecureBrowser et sélectionnez Autoriser uniquement les utilisateurs non authentifiés à accéder à ce magasin . Le trafic est authentifié car tous les utilisateurs transitent un jeton de NetScaler Gateway au contrôleur.

Ajoutez le contrôleur XenDesktop.

Activez l’accès distant et ajoutez une deuxième passerelle NetScaler Gateway que vous allez configurer dans les étapes suivantes. Pour cette configuration, vous n’avez pas besoin d’utiliser l’ adresseCallbackou VIP dans la configuration StoreFront / NetScaler Gateway.

Terminez la création du magasin à l’aide des valeurs par défaut de l’assistant.

Après avoir créé le magasin, cliquez sur Gérer Receiver pour les sites Web.

Dans la page Gérer Receiver pour les sites Web , cliquez sur Configurer , accédez à Raccourcis de site Web, ajoutez l’URL interne du site Web et cliquez sur le lien Obtenir les raccourcis .

Ouvrez une session en tant qu’utilisateur régulier avec accès à l’application Secure Browser publiée.

Copiez l’URL de l’application Secure Browser et enregistrez-le dans un fichier texte pour l’utiliser ultérieurement dans la configuration de NetScaler Gateway.

Revenez à Modifier les propriétés du site Receiver pour Web , cliquez sur Déployer Citrix Receiver et sélectionnez Toujours utiliser Receiver pour HTML5. Sélectionnez l’option Lancer les applications dans le même onglet que Receiver pour Web.

Cliquez sur Contrôle de l’espace de travail, dans l’ action de fermeturede session, sélectionnez Terminer. Désactivez l’option Activer le contrôle de l’espace de travail.

Cliquez sur Paramètres de l’interface client, désactivez l’option Démarrage automatique du bureauet cliquez sur OKpour enregistrer les paramètres.

Dans un éditeur de texte, ouvrez le fichier C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.

Recherchez le paramètre <appShortcuts promptForUntrustedShortcuts=”true”>, définissez-le sur false et enregistrez les modifications. La désactivation de ce paramètre empêche StoreFront de demander aux utilisateurs s’ils souhaitent lancer l’application.

NetScaler Gateway

Dans l’interface graphique de NetScaler Gateway, dans le volet de navigation, cliquez sur XenApp et XenDesktop, puis sur le tableau de bord, cliquez sur Créer une passerelle.

Dans les propriétés StoreFront, définissez le chemin du site sur /Citrix/SecureBrowserWeb et définissez le nom du magasin sur SecureBrowser comme nouveau magasin dans le serveur StoreFront.

Continuez l’Assistant et enregistrez le nouveau serveur virtuel.

Sur le nœud NetScaler Gateway , développez Stratégies et accédez à Session .

Sélectionnez l’onglet Actions , modifiez l’action nouvellement créée pour le deuxième serveur virtuel, puis modifiez l’action AC_WB_ policy.

Sous l’onglet Applications publiées, collez l’URL Raccourcisd’application que vous avez précédemment enregistrée dans le champAdresse de l’interface Web, puis cliquez surOK .

Dans le volet de navigation, cliquez sur le nœud AppExpert, développez la section Répondeur, puis cliquez sur Actions.

Ajoutez une nouvelle action, nommez-la Connexions interneset définissez le type sur Redirection.

Dans le champ Expression , ajoutez l’URL du site interne pour vous connecter entre guillemets, tels quehttps://mysite.acme.com

Cliquez sur Créer pour enregistrer l’action.

Ajoutez une nouvelle action, nommez-la Connexions externeset définissez le type sur Redirection.

Dans le champ Expression , ajoutez l’URL du deuxième serveur virtuel NetScaler Gateway entouré de guillemets, tels quehttps://gateway.acme.com

Cliquez sur Créer pour enregistrer l’action.

Accédez au nœud Stratégies du répondeur .

Ajoutez une nouvelle stratégie, nommez-la Détecter la conformité du navigateur, dans la liste déroulante Action, sélectionnez l’action Connexions externesque vous avez créée précédemment.

Définissez l’action de résultat indéfini sur NOOP.

Dans le champ Expression, ajoutez le texte suivant :

Les expressions ci-dessus détectent les navigateurs non conformes ou, dans ce cas, pas Internet Explorer.

Cliquez sur Créer pour enregistrer les modifications.

Ajoutez une nouvelle stratégie, nommez-la Détecter la source du client, définissez l’ action Actionsur Connexions internesprécédemment créée.

Définissez l’action de résultat indéfini sur NOOP.

Dans le champ Expression, ajoutez le texte suivant :

Remplacez ou ajoutez chaque sous-réseau ci-dessus pour correspondre à votre environnement réseau interne. L’agent utilisateur, dans ce cas, correspond à la version configurée d’Internet Explorer et que le client se connecte à partir du réseau interne.

Cliquez sur Créer pour enregistrer les modifications.

Dans le volet de navigation, développez Gestion du trafic > Équilibrage de charge, puis sélectionnez Serveurs. Ajoutez le serveur utilisé pour héberger le site interne.

Dans le volet de navigation, cliquez sur Groupes de services sous Équilibrage de charge g, ajoutez un nouveau groupe de services, définissez le protocole sur SSL et liez le serveur créé à l’étape précédente à la liste Membres du groupe de services .

Cliquez sur Terminé.

Dans le volet de navigation, cliquez sur Serveurs virtuels dans le nœud Équilibrage de charge , cliquez sur Ajouter et nommez le site intranet du serveur.

Définissez le protocole sur SSL et tapez l’adresse IP de l’équilibreur de charge.

Liez le serveur Web interne du groupe de services créé à l’étape précédente et configurez les certificats pour l’accès externe. Liez le certificat d’autorité de certification racine interne aux certificats de l’autorité de certification afin que l’équilibreur de charge puisse décharger SSL vers le serveur Web interne.

Dans le volet d’informations, dans Paramètres avancés, cliquez sur + Stratégies. Cliquez sur le signe plus (+) pour lier une nouvelle stratégie.

Sélectionnez Répondeur pour Choisir une stratégie , puis cliquez sur Continuer . Sélectionnez Détecter la source du client et définissez la priorité sur 100.

Cliquez sur Bind.

Cliquez sur la section Stratégie du répondeur, cliquez sur Ajouter une liaison, sélectionnez Détecter la conformité du navigateur et définissez la priorité sur 110. Cliquez sur Bind.

Cliquez sur Fermer , puis sur Terminé .

Enregistrez la configuration NetScaler Gateway.

Résultats et attentes des cas d’utilisation

Cette section passe en revue les cas d’utilisation et les résultats attendus de la façon dont chaque utilisateur se connecte à la configuration précédente. Dans tous les cas d’utilisation suivants, l’utilisateur ouvre un navigateur installé localement et tape l’URL externe du site de formation.

Utilisateur externe avec navigateur non conforme

Résultat attendu : l’utilisateur lance la session Citrix Receiver dans un onglet de navigateur qui rend le site avec le navigateur sécurisé publié.

Utilisateur externe avec navigateur conforme

Résultat attendu : NetScaler Gateway proxie le trafic entre le navigateur local et le site Web interne.

Utilisateur interne avec navigateur non conforme

Résultat attendu : l’utilisateur lance la session Citrix Receiver dans un onglet de navigateur rendant le site avec le navigateur sécurisé publié.

Utilisateur interne avec navigateur conforme

Résultat attendu : la session utilisateur redirige vers le site interne ; NetScaler Gateway ne fournit pas de proxy la connexion puisque le client se connecte à partir du réseau interne.

Limitations connues

• L’URL dynamique passant au serveur virtuel NetScaler Gateway ne prend pas en charge l’utilisation de Citrix Receiver pour HTML5 pour Secure Browser.
  • Pour transmettre une URL de lancement au serveur virtuel, désactivez le proxy ICA dans le profil de session. Le proxy ICA est requis pour Citrix Receiver pour HTML5.
• Citrix Receiver pour HTML5 ne prend pas en charge la redirection de contenu.
  • Les administrateurs peuvent configurer Citrix Receiver dans StoreFront pour les sites Web.
• Environnements qui ont plusieurs sites distincts, créent des stratégies de session NetScaler Gateway différentes pour chaque site et les lient au serveur virtuel ou créent un portail de lancement interne qui peut héberger des URL pour les sites internes.

Références

• Comment sécuriser les connexions ICA dans XenApp et XenDesktop 7.6 à l’aide de SSL