Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud
Citrix Cloud prend en charge l’utilisation de Citrix Gateway local en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail.
En utilisant l’authentification Citrix Gateway, vous pouvez :
- Continuer à authentifier les utilisateurs via votre Citrix Gateway existant afin qu’ils puissent accéder aux ressources de votre déploiement local d’applications et de bureaux virtuels via Citrix Workspace.
- Utilisez les fonctions d’authentification, d’autorisation et d’audit Citrix Gateway (Citrix ADC AAA) avec Citrix Workspace.
- Utilisez des fonctions telles que l’authentification unique, les cartes à puce, les jetons sécurisés, les stratégies d’accès conditionnel, la fédération et bien d’autres, tout en fournissant à vos utilisateurs l’accès aux ressources dont ils ont besoin via Citrix Workspace.
L’authentification Citrix Gateway est prise en charge pour une utilisation avec les versions de produit suivantes :
- Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure
- Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure
Conditions préalables
-
Cloud Connector : vous avez besoin d’au moins deux serveurs sur lesquels installer le logiciel Citrix Cloud Connector.
-
Active Directory - Effectuez les vérifications nécessaires.
-
Configuration requise pour Citrix Gateway
-
Utilisez des stratégies avancées sur la passerelle locale en raison de la dépréciation des stratégies classiques.
-
Lors de la configuration de la passerelle pour authentifier les abonnés à Citrix Workspace, la passerelle agit en tant que fournisseur OpenID Connect. Les messages entre Citrix Cloud et Gateway sont conformes au protocole OIDC, qui inclut la signature numérique de jetons. Par conséquent, vous devez configurer un certificat pour signer ces jetons.
-
Synchronisation de l’horloge - La passerelle doit être synchronisée à l’heure NTP.
-
Pour plus de détails, consultez la section Conditions préalables.
Créer une stratégie d’IdP OAuth sur le site Citrix Gateway
Important :
vous devez avoir généré l’ID client, le secret et l’URL de redirection dans Citrix Cloud > Gestion des identités et des accès > onglet Authentification . Pour plus de détails, consultez la section Connecter un Citrix Gateway local à Citrix Cloud.
La création d’une stratégie d’authentification OAuth IdP implique les tâches suivantes :
-
Créez un profil IdP OAuth.
-
Ajoutez une stratégie d’IdP OAuth.
-
Liez la stratégie IdP OAuth à un serveur virtuel d’authentification.
-
Liez le certificat globalement.
Création d’un profil IdP OAuth à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez ;
add authentication OAuthIDPProfile <name> [-clientID <string>] [-clientSecret ] [-redirectURL <URL>] [-issuer <string>] [-sendPassword ( ON | OFF )]
add authentication OAuthIdPPolicy <name> -rule <expression> -action <string>
bind authentication vserver <name> [-policy <string> [-priority <positive_integer>] [-gotoPriorityExpression <expression>]] [-portaltheme <string>]
Exemple :
add authentication OAuthIDPProfile oauthidp_staging -clientID <client> -clientSecret <Secret from client> -redirectURL "<url from client>" -issuer <https://GatewayFQDN.com> -sendPassword ON
add authentication OAuthIdPPolicy oauthidp_staging -rule true -action oauthidp_staging
bind authentication vserver auth -policy oauthidp_staging -priority 10 -gotoPriorityExpression next
bind vpn global -certkeyName MyCertKeyName
Création d’un profil IdP OAuth à l’aide de l’interface graphique
-
Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP OAuth .
-
Dans la page IdP OAuth, sélectionnez l’onglet Profils et cliquez sur Ajouter.
-
Configurez le profil IdP OAuth.
Remarque :
-
Copiez et collez les valeurs d’ID client, de secret et d’URL de redirection à partir de Citrix Cloud > Gestion des identités et des accès > onglet Authentification pour établir la connexion à Citrix Cloud.
-
Entrez correctement l’URL de la passerelle dans l’exemple Nom de l’émetteur : https://GatewayFQDN.com
-
Copiez et collez également l’ID client dans le champ Audience.
-
Envoyer le mot de passe : activez cette option pour la prise en charge de l’authentification unique. Par défaut, cette option est désactivée.
-
-
Cliquez sur Créer.
-
Dans la page IdP OAuth, sélectionnez Stratégies et cliquez sur Ajouter.
-
Configurez la stratégie OAuth IdP.
-
Liez la stratégie IdP OAuth au serveur virtuel d’authentification, d’autorisation et d’audit.
- Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
- Sélectionnez le serveur virtuel auquel vous souhaitez lier la stratégie, puis cliquez sur Modifier.
- Dans Stratégies d’authentification avancées, cliquez sur ** en regard de **Aucune stratégie d’IDP OAuth.
- Dans la page Stratégie d’authentification OAuth IDP, cliquez sur Ajouter une liaison.
- Dans Sélectionner une stratégie, sélectionnez la stratégie IdP OAuth.
- Cliquez sur Lier.
Remarque
Lorsque SendPassword est défini sur ON (OFF par défaut), les informations d’identification de l’utilisateur sont chiffrées et transmises via un canal sécurisé à Citrix Cloud. La transmission des informations d’identification utilisateur via un canal sécurisé vous permet d’activer l’authentification SSO vers Citrix Virtual Apps and Desktops lors du lancement.
Prise en charge des déploiements GSLB actif-actif sur Citrix Gateway
Citrix Gateway configuré en tant que fournisseur d’identité (IdP) à l’aide du protocole OIDC peut prendre en charge les déploiements GSLB actif-actif. Le déploiement GSLB actif-actif sur Citrix Gateway IdP offre la possibilité d’équilibrer la charge d’une demande de connexion utilisateur entrante sur plusieurs emplacements géographiques.
Important
Citrix vous recommande de lier des certificats d’autorité de certification au service SSL et d’activer la validation des certificats sur le service SSL pour une sécurité accrue.
Pour plus d’informations sur la configuration de l’installation de GSLB, reportez-vous à la section Exemple de configuration et de configuration GSLB.