Citrix Cloud

Ajouter des groupes d’administrateurs Azure AD à Citrix Cloud

Vous pouvez ajouter des administrateurs à votre compte Citrix Cloud à l’aide de groupes Azure Active Directory (AD). Vous pouvez ensuite gérer les autorisations d’accès aux services pour tous les administrateurs du groupe.

Cette fonctionnalité est prise en charge pour une utilisation uniquement avec Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service). Les administrateurs du groupe n’ont pas accès à la gestion des autres services du compte Citrix Cloud.

Conditions préalables

L’utilisation de groupes Azure AD nécessite la dernière version de l’application Azure AD pour connecter votre Azure AD à Citrix Cloud. Citrix Cloud a acquis cette application lorsque vous avez connecté votre Azure AD pour la première fois. Si vous avez connecté votre Azure AD à Citrix Cloud avant mai 2019, il est possible que Citrix Cloud n’utilise pas l’application la plus récente pour se connecter à Azure AD. Citrix Cloud ne peut pas afficher vos groupes Azure AD si votre compte n’utilise pas l’application la plus récente.

Avant d’utiliser les groupes Azure AD dans Citrix Cloud, effectuez les tâches suivantes :

  1. Vérifiez que vous utilisez la dernière application pour votre connexion Azure AD. Citrix Cloud affiche une notification si vous n’utilisez pas l’application la plus récente.
  2. Si l’application doit être mise à jour, reconnectez votre Azure AD à Citrix Cloud. En vous reconnectant à votre Azure AD, vous accordez des autorisations en lecture seule au niveau de l’application à Citrix Cloud et autorisez Citrix Cloud à se reconnecter à votre Azure AD en votre nom. Lors de la reconnexion, une liste de ces autorisations s’affiche. Pour plus d’informations sur les autorisations demandées par Citrix Cloud, consultez Autorisations Azure Active Directory pour Citrix Cloud.

    Important :

    Vous devez être un administrateur global dans Azure AD pour effectuer cette tâche. Vous devez également être connecté à Citrix Cloud à l’aide d’un compte d’administrateur avec accès complet sous le fournisseur d’identité Citrix. Si vous vous connectez avec vos informations d’identification Azure AD, la reconnexion échoue. Si aucun administrateur n’utilise le fournisseur d’identité Citrix, vous pouvez en ajouter un temporairement pour effectuer cette tâche, puis le supprimer par la suite.

Vérifier votre connexion à Azure AD

  1. Connectez-vous à Citrix Cloud à l’aide d’un compte d’administrateur avec accès complet sous le fournisseur d’identité Citrix.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Authentification.
  3. Recherchez Azure Active Directory. Une notification s’affiche si Citrix Cloud doit mettre à jour l’application pour votre connexion Azure AD.

    Invite à se reconnecter à Azure AD dans la console Citrix Cloud

    Si Citrix Cloud utilise déjà l’application la plus récente, aucune notification ne s’affiche.

Se reconnecter à Azure AD

  1. Dans la notification Azure AD de la console Citrix Cloud, cliquez sur le lien de reconnexion. La liste des autorisations Azure demandées s’affiche.
  2. Vérifiez les autorisations, puis sélectionnez Accepter.

Autorisations Citrix Cloud prises en charge

Seules les autorisations avec accès personnalisé sont prises en charge pour les groupes Azure AD. Les autorisations avec accès complet ne sont pas prises en charge.

Les modifications d’autorisation pour un administrateur déjà connecté ne prendront effet qu’une fois que l’administrateur s’est déconnecté et s’est à nouveau authentifié.

Autorisations résultantes pour les administrateurs avec identités Citrix et Azure AD

Lorsqu’un administrateur se connecte à Citrix Cloud, seules certaines autorisations peuvent être disponibles si l’administrateur possède à la fois une identité Citrix (le fournisseur d’identité par défaut dans Citrix Cloud) et une identité Azure AD mono-utilisateur ou groupe. Le tableau de cette section décrit les autorisations disponibles pour chaque combinaison de ces identités.

L’identité Azure AD mono-utilisateur fait référence aux autorisations Azure AD qui sont accordées à l’administrateur via un compte individuel. L’identité Azure AD basée sur un groupe fait référence aux autorisations Azure AD qui sont accordées au membre d’un groupe Azure AD.

Identité Citrix Identité Azure AD mono-utilisateur Identité Azure AD basée sur un groupe Autorisations disponibles après l’authentification
X X   L’administrateur dispose d’autorisations cumulées sur les deux identités après une authentification réussie avec l’identité Citrix ou l’identité Azure AD.
X   X Chaque identité est traitée comme une entité indépendante. Les autorisations disponibles varient selon que l’administrateur s’authentifie à l’aide de l’identité Citrix ou de l’identité Azure AD.
  X X L’administrateur dispose d’autorisations cumulées pour les deux identités lors de l’authentification auprès de Citrix Cloud avec Azure AD.
X X X Lors de l’authentification avec son identité Citrix, l’administrateur dispose d’autorisations cumulées à la fois sur l’identité Citrix et sur l’identité Azure AD mono-utilisateur. Lors de l’authentification avec Azure AD, l’administrateur dispose des autorisations cumulées des trois identités.

Expérience de connexion pour les administrateurs

Après avoir ajouté un groupe Azure AD à Citrix Cloud et défini les autorisations de service, les administrateurs du groupe se connectent simplement en sélectionnant Se connecter avec les informations d’identification de mon entreprise sur la page de connexion Citrix Cloud et en saisissant l’URL de connexion Azure AD pour le compte (par exemple, https://citrix.cloud.com/go/mycompany). Contrairement à l’ajout d’administrateurs Azure AD individuels, les administrateurs du groupe Azure AD ne sont pas explicitement invités. Ils ne recevront donc aucun e-mail leur demandant d’accepter une invitation à devenir administrateurs Citrix Cloud.

Une fois connectés, les administrateurs sélectionnent Gérer dans la vignette Citrix DaaS pour accéder à la console de gestion du service.

Launchpad avec vignette Citrix DaaS

Les administrateurs qui disposent d’autorisations uniquement en tant que membres de groupes Azure AD peuvent accéder au compte Citrix Cloud à l’aide de l’URL de connexion Azure AD du compte.

Les administrateurs qui obtiennent des autorisations via un compte Azure AD individuel et en tant que membre de groupes Azure AD peuvent choisir le compte Citrix Cloud auquel ils souhaitent accéder. Si l’administrateur est membre de plusieurs comptes Citrix Cloud, il peut sélectionner un compte Citrix Cloud dans le sélecteur de client après s’être authentifié avec succès.

Limitations

Accès aux fonctionnalités de la plateforme et du service

Les fonctionnalités de la plateforme Citrix Cloud ne sont pas disponibles pour les administrateurs du groupe Azure AD. Ces fonctionnalités comprennent :

  • Emplacements des ressources
  • Notifications
  • Library
  • Configuration de l’espace de travail

En outre, les fonctionnalités Citrix DaaS qui reposent sur les fonctionnalités de la plate-forme Citrix Cloud, telles que l’attribution d’utilisateurs avec Déploiement rapide, ne sont pas disponibles.

Impact de plusieurs groupes sur les performances de l’application

Citrix recommande qu’un seul administrateur n’appartienne pas à plus de 20 groupes Azure AD qui ont été ajoutés à Citrix Cloud. L’appartenance à un plus grand nombre de groupes peut entraîner une réduction des performances des applications.

Impact de plusieurs groupes sur l’authentification

Si un administrateur basé sur un groupe Azure AD est affecté à plusieurs groupes dans Azure AD, l’authentification peut échouer car le nombre de groupes est trop important. Ce problème se produit en raison d’une limitation de l’intégration entre Citrix Cloud et Azure AD. Lorsque l’administrateur tente de se connecter, Citrix Cloud tente de compresser le nombre de groupes récupérés. Si Citrix Cloud ne parvient pas à appliquer la compression correctement, les groupes ne peuvent pas tous être récupérés et l’authentification échoue.

Ce problème peut également affecter les utilisateurs qui s’authentifient auprès de Citrix Workspace via Azure AD. Si un utilisateur appartient à plusieurs groupes Azure AD, l’authentification peut échouer car le nombre de groupes est trop important.

Pour résoudre ce problème, examinez le compte d’administrateur ou d’utilisateur et vérifiez qu’il appartient uniquement aux groupes requis pour son rôle dans l’organisation.

L’ajout de groupes échoue en raison d’un trop grand nombre d’attributions de paires rôle/étendue

Lors de l’ajout d’un groupe avec plusieurs paires rôle/étendue, une erreur peut se produire indiquant que le groupe ne peut pas être créé. Cette erreur se produit parce que le nombre de paires rôle/étendue attribuées au groupe est trop important. Pour résoudre cette erreur, divisez les paires rôle/étendue entre deux groupes ou plus et affectez les administrateurs à ces groupes.

Ajouter un groupe Azure AD aux administrateurs Citrix Cloud

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Administrateurs.
  2. Sous Sélectionnez un fournisseur d’informations d’identification, sélectionnez votre Azure AD et connectez-vous à Azure, si nécessaire. Console de gestion des identités et des accès avec Azure AD et bouton de connexion sélectionnés
  3. Recherchez le groupe que vous souhaitez ajouter et sélectionnez-le. Recherche de groupe Azure AD
  4. Sélectionnez les rôles que vous souhaitez attribuer au groupe. Vous devez sélectionner au moins un rôle. Sélectionner des autorisations d'accès personnalisées
  5. Lorsque vous avez terminé, sélectionnez Enregistrer.

Modifier les autorisations de service pour un groupe Azure AD

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Administrateurs.
  2. Sous Sélectionnez un fournisseur d’informations d’identification, sélectionnez votre Azure AD et connectez-vous, si nécessaire.
  3. Recherchez le groupe Azure AD que vous souhaitez gérer et, dans le menu des points de suspension, sélectionnez Modifier l’accès. Groupe avec le menu Modifier l'accès sélectionné
  4. Sélectionnez ou décochez les cases en regard d’une ou de plusieurs paires de rôles et d’étendues selon vos besoins. Console d'autorisations d'accès personnalisées
  5. Lorsque vous avez terminé, sélectionnez Enregistrer.

Supprimer un groupe Azure AD

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès, puis sélectionnez Administrateurs.
  2. Recherchez le groupe Azure AD que vous souhaitez gérer et, dans le menu des points de suspension, sélectionnez Supprimer le groupe. Menu des points de suspension avec Supprimer le groupe sélectionné

    Un message de confirmation s’affiche. Message de confirmation Supprimer le groupe

  3. Choisissez Je comprends que la suppression de ce groupe empêchera les administrateurs de ce groupe d’accéder à Citrix Cloud pour confirmer que vous êtes conscient des effets de la suppression du groupe.
  4. Sélectionnez Supprimer.

Modifications des groupes Azure AD

Si vous apportez des modifications à vos groupes dans Azure AD, ces modifications risquent de ne pas se propager automatiquement à Citrix Cloud. Pour vous assurer que Citrix Cloud affiche ces modifications, sélectionnez Actualiser dans la page Gestion des identités et des accès > Administrateurs.

Page Administrateurs avec Azure AD sélectionné et bouton Actualiser en surbrillance

Basculer entre plusieurs comptes Citrix Cloud

Par défaut, les administrateurs Citrix Cloud peuvent utiliser l’option de menu Changer de client pour basculer vers d’autres comptes Citrix Cloud qu’ils peuvent gérer.

Menu utilisateur avec le bouton Changer de client en surbrillance

Cette option de menu n’est pas disponible pour les membres des groupes Azure AD. Pour activer cette option de menu, vous devez lier les comptes Citrix Cloud entre lesquels vous souhaitez basculer.

Lier des comptes Citrix Cloud implique une approche « hub and spoke ». Avant de lier des comptes, décidez quel compte Citrix Cloud agira en tant que compte à partir duquel les autres comptes sont accessibles (le « hub ») et quels comptes vous souhaitez faire figurer dans le sélecteur de client (les « spoke »).

Avant de lier des comptes, assurez-vous que les conditions suivantes sont remplies :

  • Vous disposez d’autorisations d’administrateur complètes dans Citrix Cloud.
  • Vous avez accès à Windows PowerShell Integrated Scripting Environment (ISE).
  • Vous disposez des ID client des comptes Citrix Cloud que vous souhaitez lier. L’ID client apparaît dans le coin supérieur droit de la console de gestion pour chaque compte. Console Citrix Cloud avec ID client en surbrillance
  • Vous disposez du jeton du porteur Citrix CWSAuth pour le compte Citrix Cloud que vous souhaitez lier en tant que compte hub. Pour récupérer ce jeton, suivez les instructions de l’article CTX330675. Vous devez fournir ces informations lorsque vous liez vos comptes Citrix Cloud.

Pour lier des comptes Citrix Cloud

  1. Ouvrez PowerShell ISE et collez le script suivant dans le volet de travail :

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links"
    
    $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers
    $allLinks = $resp.linkedCustomers + @("SpokeCustomerID")
    
    $body = @{"customers"=$allLinks}
    $bodyjson = $body | ConvertTo-Json
    
    $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json'
    Write-Host "Citrix Cloud Status Code: $($resp.RawContent)"
    <!--NeedCopy-->
    
  2. Sur la ligne 4, remplacez CWSAuth bearer=XXXXXXX par votre valeur CWSAuth (par exemple, CWSAuth bearer=AbCdef123Ghik…). Cette valeur est un hachage long qui ressemble à une clé de certificat.
  3. Sur la ligne 6, remplacez HubCustomerID par l’ID client du compte hub.
  4. Sur la ligne 9, remplacez SpokeCustomerID par l’ID client du compte spoke.
  5. Exécutez le script.
  6. Répétez les étapes 3 à 5 pour lier d’autres comptes en tant que spokes.

Pour dissocier des comptes Citrix Cloud

  1. Ouvrez PowerShell ISE. Si PowerShell ISE est déjà ouvert, désactivez le volet de travail.
  2. Collez le script suivant dans le volet de travail :

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID"
    
    $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers
    Write-Host "Response: $($resp.RawContent)"
    <!--NeedCopy-->
    
  3. Sur la ligne 4, remplacez CWSAuth bearer=xxxxxxx1 par votre valeur CWSAuth (par exemple, CWSAuth bearer=AbCdef123Ghik…). Cette valeur est un hachage long qui ressemble à une clé de certificat.
  4. Sur la ligne 6, remplacez HubCustomerID par l’ID client du compte hub.
  5. Sur la ligne 6, remplacez SpokeCustomerID par l’ID client du compte spoke.
  6. Exécutez le script.
  7. Répétez les étapes 4 à 6 pour dissocier d’autres comptes.