Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Utiliser un NetScaler Gateway local comme fournisseur d’identité pour Citrix Cloud

December 5, 2023
Contributeur: 
C

Citrix Cloud prend en charge l’utilisation d’un NetScaler Gateway local en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail.

En utilisant l’authentification NetScaler Gateway, vous pouvez :

  • Continuez à authentifier les utilisateurs via votre NetScaler Gateway existant afin qu’ils puissent accéder aux ressources de votre déploiement d’applications et de bureaux virtuels sur site via Citrix Workspace.
  • Utilisez les fonctions d’authentification, d’autorisation et d’audit de NetScaler Gateway avec Citrix Workspace.
  • Fournissez à vos utilisateurs l’accès aux ressources dont ils ont besoin via Citrix Workspace à l’aide de fonctionnalités telles que l’authentification pass-through, les cartes à puce, les jetons sécurisés, les stratégies d’accès conditionnel et la fédération.

L’authentification NetScaler Gateway est prise en charge pour une utilisation avec les versions de produit suivantes :

  • NetScaler Gateway 13.0 41.20 Édition avancée ou version ultérieure
  • NetScaler Gateway 12.1 54.13 Édition avancée ou ultérieure

Conditions préalables

  • Cloud Connector : vous avez besoin d’au moins deux serveurs sur lesquels installer le logiciel Citrix Cloud Connector.

  • Active Directory  : effectuez les vérifications nécessaires.

  • Configuration requise pour NetScaler Gateway

    • Utilisez des stratégies avancées sur la passerelle locale en raison de la dépréciation des stratégies classiques.

    • Lors de la configuration de la passerelle pour l’authentification des abonnés à Citrix Workspace, la passerelle agit en tant que fournisseur OpenID Connect. Les messages entre Citrix Cloud et Gateway sont conformes au protocole OIDC, qui inclut la signature numérique de jetons. Par conséquent, vous devez configurer un certificat pour signer ces jetons.

    • Synchronisation de l’horloge - La passerelle doit être synchronisée à l’heure NTP.

Pour plus de détails, consultez la section Conditions préalables.

Créez une stratégie d’IdP OAuth sur le NetScaler Gateway local

Important :

Vous devez avoir généré l’ID client, le code secret et l’URL de redirection dans l’onglet Citrix Cloud > Gestion des identités et des accès > Authentification . Pour plus de détails, consultez la section Connecter un NetScaler Gateway local à Citrix Cloud.

La création d’une stratégie d’authentification OAuth IdP implique les tâches suivantes :

  1. Créer un profil d’authentification de fournisseur d’identité

  2. Ajoutez une stratégie IdP OAuth.

  3. Liez la stratégie IdP OAuth à un serveur virtuel d’authentification.

  4. Liez le certificat globalement.

Création d’un profil IdP OAuth à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global -certkeyName <>
<!--NeedCopy-->

Création d’un profil IdP OAuth à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Fournisseur d’identités OAuth.

  2. Sur la page IdP OAuth, sélectionnez l’onglet Profils et cliquez sur Ajouter.

  3. Configurez le profil IdP OAuth.

    Remarque :

    • Copiez et collez les valeurs de l’ID client, du secret et de l’URL de redirection à partir de l’onglet Citrix Cloud > Gestion des identités et des accès > Authentification pour établir la connexion à Citrix Cloud.

    • Entrez correctement l’URL de la passerelle dans l’exemple du nom de l’émetteur  : https://GatewayFQDN.com

    • Copiez et collez également l’ID client dans le champ Audience .

    • Envoyer le mot de passe : activez cette option pour la prise en charge de l’authentification unique. Par défaut, cette option est désactivée.

  4. Dans l’écran Créer un profil de fournisseur d’identité OAuth d’authentification, définissez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    • Nom : nom du profil d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_). Le nom ne doit contenir que des lettres, des chiffres et le trait d’union (-), point (.) livre (#), espace (), at (@), égal à (=), deux-points (:) et des caractères de soulignement. Impossible de modifier une fois le profil créé.
    • ID client : chaîne unique qui identifie le SP. Le serveur d’autorisation déduit la configuration du client en utilisant cet ID. Longueur maximale : 127.
    • Secret client : chaîne secrète établie par l’utilisateur et le serveur d’autorisation. Longueur maximale : 239.
    • URL de redirection : point de terminaison sur le SP sur lequel le code/jeton doit être publié.
    • Nom de l’émetteur : identité du serveur dont les jetons doivent être acceptés. Longueur maximale : 127. Exemple : https://GatewayFQDN.com
    • Public : destinataire cible du jeton envoyé par l’IdP. Ce jeton est vérifié par le destinataire.
    • Temps d’inclinaison : cette option spécifie l’écart d’horloge autorisé (en minutes) que NetScaler autorise sur un jeton entrant. Par exemple, si SkewTime est 10, le jeton sera valide de (heure actuelle - 10) min à (heure actuelle + 10) min, soit 20 min en tout. Valeur par défaut : 5
    • Groupe d’authentification par défaut : un groupe ajouté à la liste des groupes internes de la session lorsque ce profil est choisi par IdP et qui peut être utilisé dans nFactor flow. Il peut être utilisé dans l’expression (AAA.USER.IS_MEMBER_OF (« xxx »)) pour les stratégies d’authentification afin d’identifier le flux nFactor lié à la partie de confiance. Longueur maximale : 63

    Un groupe est ajouté à la session pour ce profil afin de simplifier l’évaluation des stratégies et de faciliter la personnalisation des stratégies. Ce groupe est le groupe par défaut qui est choisi lorsque l’authentification réussit, en plus des groupes extraits.

    • URL des métadonnées de la partie de confiance : point de terminaison sur lequel l’IdP NetScaler peut obtenir des informations sur la partie de confiance en cours de configuration. La réponse aux métadonnées doit inclure les points de terminaison pour les clés publiques jwks_uri pour RP. La longueur maximale est de 255.
    • Intervalle d’actualisation : intervalle auquel les métadonnées de la partie utilisatrice sont actualisées. L’intervalle par défaut est 50.
    • Crypter le jeton : lorsque vous sélectionnez cette option, le jeton envoyé par NetScaler est chiffré.
    • Service de signature : nom du service cloud utilisé pour signer les données. Cela ne s’applique que si la signature est déchargée sur le cloud.
    • Attributs : paires nom-valeur des attributs à insérer dans le jeton d’identification. La longueur maximale est de 1047 caractères.
    • Envoyer le mot de passe : sélectionnez cette option pour envoyer le mot de passe chiffré dans le jeton d’identification.

  5. Cliquez sur Stratégies et cliquez sur Ajouter.

  6. Dans l’écran Créer une stratégie de fournisseur d’identité OAuth d’authentification, définissez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    • Name : nom de la stratégie d’authentification.
    • Action : nom du profil créé précédemment.
    • Log Action : nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie. Ce n’est pas un dépôt obligatoire.
    • Action à résultat non défini — Action à exécuter si le résultat de l’évaluation de la stratégie n’est pas défini (UNDEF). Ce champ n’est pas obligatoire.
    • Expression : expression syntaxique par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, true.
    • Comments : tout commentaire concernant la stratégie.

Remarque :

lorsque SendPassword est réglé sur ON (OFF par défaut), les informations d’identification de l’utilisateur sont chiffrées et transmises via un canal sécurisé à Citrix Cloud. La transmission des informations d’identification de l’utilisateur via un canal sécurisé vous permet d’activer l’authentification unique vers Citrix Virtual Apps and Desktops lors du lancement.

Liaison de la stratégie OAuthIDP et de la stratégie LDAP au serveur virtuel d’authentification

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > LDAP.

  2. Dans l’écran Actions LDAP, cliquez sur Ajouter.

  3. Dans l’écran Créer un serveur LDAP d’authentification, définissez les valeurs des paramètres suivants, puis cliquez sur Créer.

    • Nom : nom de l’action LDAP
    • ServerName/ServerIP : fournit le nom de domaine complet ou l’adresse IP du serveur LDAP
    • Choisissez les valeurs appropriées pour le type de sécurité, le port, le type de serveur et le délai d’expiration
    • Assurez-vous que l’authentification est cochée
    • DN de base : base à partir de laquelle lancer la recherche LDAP. Par exemple, dc=aaa,dc=local.
    • Administrator Bind DN : nom d’utilisateur de la liaison au serveur LDAP. Par exemple, admin@aaa.local.
    • Mot de passe administrateur/Confirmer le mot de passe : mot de passe pour lier LDAP
    • Cliquez sur Tester la connexion pour tester vos paramètres.
    • Attribut de nom d’ouverture de session du serveur : choisissez « SAMAccountName »
    • Les autres champs ne sont pas obligatoires et peuvent donc être configurés comme requis.

  4. Accédez à Configuration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie.

  5. Dans l’écran Stratégies d’authentification, cliquez sur Ajouter.

  6. Sur la page Créer une stratégie d’authentification, définissez les valeurs des paramètres suivants, puis cliquez sur Créer.

    • Nom : nom de la stratégie d’authentification LDAP.
    • Type d’action : choisissez LDAP.
    • Action : choisissez l’action LDAP.
    • Expression — Expression de syntaxe par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, true**.

Stocker les valeurs de référence de la classe de contexte d’authentification

NetScaler configuré en tant qu’IdP local peut stocker les valeurs ACR (Authentication Context Class Reference) fournies par Citrix Workspace pour prendre en charge la fonctionnalité de connexion multidomaines de Citrix Workspace Platform (WSP).

Lorsque Citrix Workspace envoie les valeurs ACR au point de terminaison d’autorisation OAuth de l’IdP NetScaler, NetScaler stocke les valeurs ACR. Vous pouvez utiliser ces valeurs ACR pour déterminer le facteur suivant dans le flux nFactor.

Le point de /oauth/idp/ connexion au point de terminaison d’autorisation OAuth IdP reçoit une requête avec le paramètre de valeur ACR au format ci-dessous. NetScaler enregistre la valeur ACR dans l’attribut sessions utilisateur.

GET /oauth/idp/login?response_type=code&scope=openid%20profile%20ctxs_cc&acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com&client_id=test&redirect_uri=https%3A%2F%2Fav6.aaa.local%2Foauth%2Flogin&state=Y3R4PXlFYkpFdEJOeDFLN0hUY2VCc1pBOGc2RjU3d21PcjJ2aXprZkhFSkdBTzVVTzM4eEZBUW1qTEFwR25DSE&code_challenge_method=S256&code_challenge=IJgD-qaJZdhuGt3m262BjjMXrFTOwioV6uSBA-uIY18

Dans l’exemple ci-dessus, le paramètre de valeur ACR est acr_values=device_id:69eec3333333333+wsp:wspmultiurlmain.cloud.com.

Vous trouverez ci-dessous des exemples d’expressions illustrant la façon dont vous pouvez utiliser les valeurs ACR dans un flux nFactor.

  • Pour récupérer l’URL WSP, utilisez l’expression aaa.user.wsp.eq("URL") dans la configuration de votre stratégie.

    Par exemple,

    add authentication policy wsp_check -rule aaa.user.wsp.eq("wspmultiurlmain.cloud.com ") -action ldap-act

  • Pour récupérer l’ID de l’appareil à partir du paramètre de valeur ACR, utilisez l’expression aaa.user.acr_values.value("device_id").eq(value) dans la configuration de votre stratégie.

    Par exemple,

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("device_id").eq("69eec3333333333") -action ldap-act

  • Pour récupérer la valeur WSP à partir du paramètre de valeur ACR, utilisez l’expression aaa.user.acr_values.value("wsp").eq("URL") dans la configuration de votre stratégie.

    Par exemple,

    add authentication policy acr_value_check -rule aaa.user.acr_values.value("wsp").eq("wspmultiurlmain.cloud.com") -action ldap-act

Utiliser un NetScaler Gateway local comme fournisseur d’identité pour Citrix Cloud
December 5, 2023
Contributeur: 
C
December 5, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.