Connecter une passerelle Citrix Gateway locale en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de Citrix Gateway local en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail.

En utilisant l’authentification Citrix Gateway, vous pouvez :

  • Continuer à authentifier les utilisateurs via votre Citrix Gateway existant afin qu’ils puissent accéder aux ressources de votre déploiement local d’applications et de bureaux virtuels via Citrix Workspace.
  • Utilisez les fonctions d’authentification, d’autorisation et d’audit (AAA) de Citrix Gateway avec Citrix Workspace.
  • Utilisez des fonctions telles que l’authentification unique, les cartes à puce, les jetons sécurisés, les stratégies d’accès conditionnel, la fédération et bien d’autres, tout en fournissant à vos utilisateurs l’accès aux ressources dont ils ont besoin via Citrix Workspace.

Versions prises en charge

L’authentification Citrix Gateway est prise en charge pour une utilisation avec les versions de produit locales suivantes :

  • Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure
  • Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure

Conditions préalables

Cloud Connector

Vous devez disposer d’au moins deux (2) serveurs sur lesquels installer le logiciel Citrix Cloud Connector. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Les serveurs doivent répondre à la configuration système décrite dans la section Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Être joints au domaine sur lequel réside votre site. Si les utilisateurs accèdent aux applications de votre site dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine.
  • Être connectés à un réseau pouvant contacter votre site.
  • Être connectés à Internet. Pour de plus amples informations, consultez la section Exigences en termes de connexion Internet.
  • Citrix recommande deux serveurs pour garantir la haute disponibilité de Cloud Connector. Après l’installation, les Cloud Connector permettent à Citrix Cloud de localiser et de communiquer avec votre site.

Pour plus d’informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory

Avant d’activer l’authentification Citrix Gateway, effectuez les tâches suivantes :

  • Vérifiez que vos abonnés à un espace de travail disposent de comptes d’utilisateur dans Active Directory (AD). Les abonnés sans compte AD ne peuvent pas se connecter à leur espace de travail.
  • Assurez-vous que les propriétés utilisateur des comptes AD de vos abonnés sont renseignées. Citrix Cloud utilise ces propriétés pour établir le contexte utilisateur lorsque les abonnés se connectent. Si ces propriétés ne sont pas renseignées, les abonnés ne peuvent pas se connecter à leur espace de travail. Ces propriétés comprennent :
    • Adresse e-mail
    • Nom d’affichage
    • Nom commun
    • Nom du compte SAM
    • Nom d’utilisateur principal
    • OID
    • SID
  • Connectez votre Active Directory (AD) à votre compte Citrix Cloud. Dans cette tâche, vous installez le logiciel Cloud Connector sur les serveurs que vous avez préparés, comme décrit dans la section Cloud Connector. Les Cloud Connector permettent à Citrix Cloud de communiquer avec votre environnement local. Pour obtenir des instructions, veuillez consulter la section Connecter Active Directory à Citrix Cloud.
  • Si vous configurez une fédération avec l’authentification Citrix Gateway, synchronisez vos utilisateurs AD avec le fournisseur de fédération. Citrix Cloud a besoin des attributs d’utilisateur AD pour vos abonnés à un espace de travail afin qu’ils puissent se connecter correctement.

Exigences

Stratégies avancées Citrix Gateway

L’authentification Citrix Gateway nécessite l’utilisation de stratégies avancées sur l’instance Gateway locale en raison de la mise hors service des stratégies classiques. Les stratégies avancées prennent en charge l’authentification multifacteur pour Citrix Cloud, y compris des options telles que le chaînage des fournisseurs d’identité. Si vous utilisez actuellement des stratégies classiques, vous devez créer de nouvelles stratégies avancées pour utiliser l’authentification Citrix Gateway dans Citrix Cloud. Vous pouvez réutiliser la partie Action de la stratégie classique lorsque vous créez la stratégie avancée.

Certificats de signature

Lors de la configuration de Gateway pour l’authentification des abonnés à Citrix Workspace, Gateway agit en tant que fournisseur OpenID Connect. Les messages entre Citrix Cloud et Gateway sont conformes au protocole OIDC, qui inclut la signature numérique de jetons. Par conséquent, vous devez configurer un certificat pour signer ces jetons. Ce certificat doit être délivré par une autorité de certification publique. L’utilisation d’un certificat émis par une autorité de certification privée n’est pas prise en charge car il n’existe aucun moyen de fournir à Citrix Cloud le certificat d’autorité de certification racine privée. Ainsi, la chaîne de certificat de confiance ne peut pas être établie. Si vous configurez plusieurs certificats pour la signature, une rotation des clés est effectuée pour chaque message.

Les clés doivent être liées à vpn global. Sans ces clés, les abonnés ne peuvent pas accéder à leur espace de travail après s’être connectés.

Synchronisation de l’horloge

Étant donné que les messages signés numériquement dans OIDC portent un horodatage, Gateway doit être synchronisé avec l’heure NTP. Si l’horloge n’est pas synchronisée, Citrix Cloud suppose que les jetons sont périmés lors de la vérification de leur validité.

Vue d’ensemble des tâches

Pour configurer l’authentification Citrix Gateway, vous effectuez les tâches suivantes :

  1. Dans Gestion des identités et des accès, commencez à configurer la connexion à votre passerelle. Au cours de cette étape, vous générez l’ID client, le secret et l’URL de redirection pour Gateway.
  2. Sur Gateway, créez une stratégie avancée de fournisseur d’identité OAuth à l’aide des informations générées à partir de Citrix Cloud. Cela permet à Citrix Cloud de se connecter à votre passerelle Gateway locale. Pour de plus amples informations, consultez les articles suivants :
  3. DansConfiguration de l’espace de travail, activez l’authentification Citrix Gateway pour les abonnés.

Pour activer l’authentification Citrix Gateway pour les abonnés de l’espace de travail

  1. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  2. Dans l’onglet Authentification, dans Citrix Gateway, cliquez sur le menu des points de suspension et sélectionnez Connecter. Option d'authentification Gateway avec menu Connecter en surbrillance
  3. Entrez le nom de domaine complet de votre passerelle Gateway locale et cliquez sur Détecter. Boîte de dialogue Nom de domaine complet de Gateway avec la commande Détecter en surbrillance Une fois que Citrix Cloud l’a détecté correctement, cliquez sur Continuer.
  4. Créez une connexion avec votre passerelle Gateway locale :
    1. Copiez l’ID client, Secret et URL de redirection affichées par Citrix Cloud. Boîte de dialogue de connexion avec les informations générées Téléchargez aussi une copie de ces informations et enregistrez-les en toute sécurité hors ligne pour votre référence. Ces informations ne sont pas disponibles dans Citrix Cloud une fois générées.
    2. Sur Gateway, créez une stratégie avancée de fournisseur d’identité OAuth à l’aide de l’ID client, du secret et de l’URL de redirection provenant de Citrix Cloud. Pour de plus amples informations, consultez les articles suivants :
    3. Cliquez sur Tester et terminer. Citrix Cloud vérifie que votre passerelle Gateway est accessible et configurée correctement.
  5. Activez l’authentification Citrix Gateway pour les espaces de travail :
    1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail.
    2. Dans l’onglet Authentification, sélectionnez Citrix Gateway.
    3. Sélectionnez Je comprends l’impact sur l’expérience de l’abonné, puis cliquez sur Enregistrer.

Résolution des problèmes

Dans un premier temps, passez en revue les sections Conditions préalables et Exigences de cet article. Vérifiez que vous disposez de tous les composants requis dans votre environnement local et que vous avez effectué toutes les configurations requises. Si l’un de ces composants est manquant ou mal configuré, l’authentification de l’espace de travail avec Citrix Gateway ne fonctionne pas.

Si vous rencontrez un problème lors de l’établissement d’une connexion entre Citrix Cloud et votre passerelle Gateway locale, vérifiez les éléments suivants :

Serveurs de catalogues globaux

En plus de récupérer les détails des comptes d’utilisateur, Gateway récupère le nom de domaine des utilisateurs, le nom AD NETBIOS et le nom de domaine AD racine. Pour récupérer le nom AD NETBIOS, Gateway recherche l’AD dans lequel résident les comptes d’utilisateur. Les noms NETBIOS ne sont pas répliqués sur les serveurs de catalogues globaux.

Si vous utilisez des serveurs de catalogues globaux dans votre environnement AD, les actions LDAP configurées sur ces serveurs ne fonctionnent pas avec Citrix Cloud. Vous devez configurer les AD individuels dans l’action LDAP. Si vous avez plusieurs domaines ou forêts, vous pouvez configurer plusieurs stratégies LDAP.

Recherche AD pour l’authentification unique avec Kerberos ou le chaînage de fournisseurs d’identité

Si vous utilisez Kerberos ou un fournisseur d’identité externe qui utilise les protocoles SAML ou OIDC pour la connexion des abonnés, vérifiez que la recherche AD est configurée. Gateway utilise des recherches AD pour récupérer les propriétés des utilisateurs AD et les propriétés de configuration AD des abonnés. Assurez-vous que des stratégies LDAP sont configurées, même si l’authentification est gérée par des serveurs tiers.

Mot de passe par défaut pour l’authentification multifacteur

Si vous utilisez l’authentification multifacteur pour les abonnés d’espace de travail, Gateway utilise le mot de passe du dernier facteur comme mot de passe par défaut pour l’authentification unique. Ce mot de passe est envoyé à Citrix Cloud lorsque les abonnés se connectent à leur espace de travail. Si l’authentification LDAP est suivie d’un autre facteur dans votre environnement, vous devez configurer le mot de passe LDAP comme mot de passe par défaut envoyé à Citrix Cloud. Activez SSOCredentials sur le schéma de connexion correspondant au facteur LDAP.