Citrix ADC

Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud

Citrix Cloud prend en charge l’utilisation de Citrix Gateway local en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail.

En utilisant l’authentification Citrix Gateway, vous pouvez :

  • Continuer à authentifier les utilisateurs via votre Citrix Gateway existant afin qu’ils puissent accéder aux ressources de votre déploiement local d’applications et de bureaux virtuels via Citrix Workspace.
  • Utilisez les fonctions d’authentification, d’autorisation et d’audit Citrix Gateway avec Citrix Workspace.
  • Utilisez des fonctions telles que l’authentification unique, les cartes à puce, les jetons sécurisés, les stratégies d’accès conditionnel, la fédération et bien d’autres, tout en fournissant à vos utilisateurs l’accès aux ressources dont ils ont besoin via Citrix Workspace.

L’authentification Citrix Gateway est prise en charge pour une utilisation avec les versions de produit suivantes :

  • Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure
  • Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure

Conditions préalables

  • Cloud Connectors - Vous avez besoin d’au moins deux serveurs sur lesquels installer le logiciel Citrix Cloud Connector.

  • Active Directory - Effectuez les vérifications nécessaires.

  • Configuration requise pour Citrix Gateway

    • Utilisez des stratégies avancées sur la passerelle locale en raison de la dépréciation des stratégies classiques.

    • Lors de la configuration de la passerelle pour authentifier les abonnés à Citrix Workspace, la passerelle agit en tant que fournisseur OpenID Connect. Les messages entre Citrix Cloud et Gateway sont conformes au protocole OIDC, qui inclut la signature numérique de jetons. Par conséquent, vous devez configurer un certificat pour signer ces jetons.

    • Synchronisation de l’horloge - La passerelle doit être synchronisée à l’heure NTP.

Pour plus de détails, consultez la section Conditions préalables.

Créer une stratégie d’IdP OAuth sur le site Citrix Gateway

Important :

Vous devez avoir généré l’ID client, le secret et l’URL de redirection dans Citrix Cloud > Gestion des identités et des accès > Authentification . Pour plus d’informations, voir Connecter une Citrix Gateway locale à Citrix Cloud.

La création d’une stratégie d’authentification OAuth IdP implique les tâches suivantes :

  1. Créez un profil IdP OAuth.

  2. Ajoutez une stratégie OAuth IdP.

  3. Liez la stratégie IdP OAuth à un serveur virtuel d’authentification.

  4. Liez le certificat globalement.

Création d’un profil IdP OAuth à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez ;

add authentication OAuthIDPProfile <name> [-clientID <string>][-clientSecret ][-redirectURL <URL>][-issuer <string>][-audience <string>][-skewTime <mins>] [-defaultAuthenticationGroup <string>]

add authentication OAuthIdPPolicy <name> -rule <expression> [-action <string> [-undefAction <string>] [-comment <string>][-logAction <string>]

add authentication ldapAction <name> -serverIP <IP> -ldapBase "dc=aaa,dc=local"

ldapBindDn <administrator@aaa.local> -ldapBindDnPassword <password> -ldapLoginName sAMAccountName

add authentication policy <name> -rule <expression> -action <string>

bind authentication vserver auth_vs -policy <ldap_policy_name> -priority <integer> -gotoPriorityExpression NEXT

bind authentication vserver auth_vs -policy <OAuthIDPPolicyName> -priority <integer> -gotoPriorityExpression END

bind vpn global –certkey <>
<!--NeedCopy-->

Création d’un profil IdP OAuth à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > OAuth IDP.

    ! [Oauth-IDP-navigation] (/en-us/citrix-adc/media/oauth-navigation-to-idp.png)

  2. Dans la page IdP OAuth, sélectionnez l’onglet Profils et cliquez sur Ajouter.

  3. Configurez le profil IdP OAuth.

    Remarque :

    • Copiez et collez les valeurs d’ID client, de secret et d’URL de redirection depuis Citrix Cloud > Gestion des identités et des accès > Authentification pour établir la connexion à Citrix Cloud.

    • Saisissez correctement l’URL de la passerelle dans l’exemple de nom de l’émetteur  : https://GatewayFQDN.com

    • Copiez et collez également l’ID client dans le champ Audience .

    • Envoyer le mot de passe : activez cette option pour la prise en charge de l’authentification unique. Par défaut, cette option est désactivée.

  4. Sur l’écran Create Authentication OAuth IDP Profile, définissez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    • Nom  : nom du profil d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), point (.) livre (#), espace (), à (@), égal à (=), deux-points (:) et caractères de soulignement. Impossible de modifier une fois le profil créé.

    • ID client  : chaîne unique qui identifie le SP. Le serveur d’autorisation déduire la configuration du client à l’aide de cet ID. Longueur maximale : 127.
    • Client Secret — Chaîne secrète établie par l’utilisateur et le serveur d’autorisation. Longueur maximale : 239.
    • URL de redirection  : point de terminaison sur SP sur lequel le code/jeton doit être publié.
    • Nom de l’émetteur  : identité du serveur dont les jetons doivent être acceptés. Longueur maximale : 127. Exemple : https://GatewayFQDN.com
    • Audience  : destinataire cible du jeton envoyé par IdP. Cela peut être vérifié par le destinataire.
    • Temps d’inclinaison  : cette option spécifie l’inclinaison d’horloge autorisée en minutes que Citrix ADC autorise sur un jeton entrant. Par exemple, si SkewTime est de 10, le jeton sera valide de (temps actuel - 10) min à (temps actuel + 10) min, soit 20 minutes en tout. Valeur par défaut : 5.
    • Groupe d’authentification par défaut  : groupe ajouté à la liste des groupes internes de session lorsque ce profil est choisi par IdP qui peut être utilisé dans nFactor Flow. Il peut être utilisé dans l’expression (AAA.USER.IS_MEMBER_OF (« xxx ») pour les stratégies d’authentification afin d’identifier le flux NFactor lié à la partie de confiance. Longueur maximale : 63

    Un groupe est ajouté à la session pour ce profil afin de simplifier l’évaluation des stratégies et d’aider à personnaliser les stratégies. Il s’agit du groupe par défaut choisi lorsque l’authentification réussit en plus des groupes extraits. Longueur maximale : 63.

    ! [Oauth-IDP-profile-parameters] (/en-us/citrix-adc/media/oauth-idp-profile.png)

  5. Cliquez sur Stratégies et cliquez sur Ajouter.

  6. Sur l’écran Create Authentication OAuth IDP Policy, définissez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    • Nom  : nom de la stratégie d’authentification.
    • Action  : nom du profil créé précédemment.
    • Action de journal  : nom de l’action de journal des messages à utiliser lorsqu’une demande correspond à cette stratégie. Ce n’est pas obligatoire.
    • Action àrésultat non défini — Action à réaliser si le résultat de l’évaluation des politiques n’est pas défini (UNDEF). Ce champ n’est pas obligatoire.
    • Expression : expression syntaxique par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, vrai.
    • Commentaires — Tout commentaire concernant la politique.

    ! [Oauth-IDP-policy] (/en-us/citrix-adc/media/oauth-idp-policy.png)

Remarque :

Lorsque SendPassword est défini sur ON (OFF par défaut), les informations d’identification de l’utilisateur sont chiffrées et transmises à Citrix Cloud via un canal sécurisé. La transmission des informations d’identification des utilisateurs via un canal sécurisé vous permet d’activer l’authentification unique sur Citrix Virtual Apps and Desktops lors du lancement.

Liaison de la stratégie OAuthIDP et de la stratégie LDAP au serveur virtuel d’authentification

  1. Accédez à Configuration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > LDAP.

  2. Sur l’écran Actions LDAP, cliquez sur Ajouter.

  3. Sur l’écran Créer un serveur LDAP d’authentification, définissez les valeurs des paramètres suivants, puis cliquez sur Créer.

    • Nom : nom de l’action LDAP
    • ServerName/ServerIP — Indiquez le nom de domaine complet ou l’adresse IP du serveur LDAP
    • Choisissez les valeurs appropriées pour le type de sécurité, le port, le type de serveur, le délai d’expiration
    • Assurez-vous que l’authentification est cochée
    • DN de base — Base à partir de laquelle lancer la recherche LDAP. Par exemple, dc=aaa,dc=local.
    • DN de liaison administrateur : nom d’utilisateur de la liaison au serveur LDAP. Par exemple, admin@aaa.local.
    • Mot de passe administrateur/Confirmer le mot de passe : mot de passe pour lier LDAP
    • Cliquez sur Tester la connexion pour tester vos paramètres.
    • Attribut de nom d’ouverture de session du serveur : choisissez « SamAccountName »
    • Les autres champs ne sont pas obligatoires et peuvent donc être configurés au besoin.
  4. Accédez à Configuration > Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie.

  5. Sur l’écran Stratégies d’authentification, cliquez sur Ajouter.

  6. Sur la page Créer une stratégie d’authentification, définissez les valeurs des paramètres suivants, puis cliquez sur Créer.

    • Nom : nom de la stratégie d’authentification LDAP.
    • Type d’action : choisissez LDAP.
    • Action : choisissez l’action LDAP.
    • Expression : expression syntaxique par défaut utilisée par la stratégie pour répondre à une demande spécifique. Par exemple, c’est vrai**.

Prise en charge des déploiements GSLB actif-actif sur Citrix Gateway

Citrix Gateway configuré en tant que fournisseur d’identité (IdP) à l’aide du protocole OIDC peut prendre en charge les déploiements GSLB actif-actif. Le déploiement GSLB actif-actif sur Citrix Gateway IdP permet d’équilibrer la charge d’une demande de connexion utilisateur entrante sur plusieurs emplacements géographiques.

Important

Citrix vous recommande de lier des certificats d’autorité de certification au service SSL et d’activer la validation des certificats sur le service SSL pour une sécurité accrue.

Pour plus d’informations sur la configuration de la configuration de GSLB, voir Exemple de configuration et de configuration GSLB.

Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud