Citrix Cloud

Connecter Google en tant que fournisseur d’identité à Citrix Cloud

Citrix Cloud prend en charge l’utilisation de Google en tant que fournisseur d’identité pour authentifier les abonnés qui se connectent à leurs espaces de travail. En connectant le compte Google de votre organisation à Citrix Cloud, vous pouvez fournir une expérience de connexion unifiée pour accéder aux ressources de Citrix Workspace et de Google.

Remarque :

L’authentification Google est disponible en Tech Preview. Citrix recommande d’utiliser les fonctionnalités en Tech Preview uniquement dans un environnement de non production.

Exigences relatives à une configuration appartenant ou non à un domaine

Vous pouvez configurer Google en tant que fournisseur d’identité dans Citrix Cloud à l’aide d’une machine appartenant ou non à un domaine.

  • L’appartenance à un domaine signifie que les machines sont jointes à un domaine de votre Active Directory (AD) local et que l’authentification utilise les profils utilisateur qui y sont stockés.
  • L’absence d’appartenance à un domaine signifie que les machines ne sont pas jointes à un domaine AD et que l’authentification utilise les profils utilisateur stockés dans votre annuaire Google Workspace (également appelés utilisateurs natifs de Google).

Le tableau suivant répertorie les exigences pour chaque type de configuration.

Exigences Joint à un domaine Non joint au domaine Informations supplémentaires
AD local Oui Non Consultez la section Préparer Active Directory et les Citrix Cloud Connector dans cet article.
Citrix Cloud Connector déployés dans votre emplacement de ressources Oui Non ; les Cloud Connector ne sont pas nécessaires pour accéder aux machines n’appartenant pas à un domaine. Préparer Active Directory et les Citrix Cloud Connector dans cet article.
Synchronisation d’AD avec Google Cloud Facultatif uniquement si vous utilisez Gateway Service ou des micro-apps et aucun autre service. Dans le cas contraire, cette tâche est obligatoire. Non Consultez Synchroniser Active Directory avec Google Cloud dans cet article.
Un compte développeur avec accès à la console Google Cloud Platform. Utilisé pour créer un compte de service et une clé, et activer Admin SDK API. Oui Oui Consultez les sections Créer un compte de service, Créer une clé de compte de serviceet Configurer la délégation au niveau du domaine dans cet article.
Un compte administrateur avec accès à la console d’administration de Google Workspace. Utilisé pour configurer la délégation au niveau du domaine et un compte utilisateur d’API en lecture seule. Oui Oui Consultez les sections Configurer la délégation au niveau du domaine et Ajouter un compte utilisateur d’API en lecture seule dans cet article.

Authentification Google avec plusieurs comptes Citrix Cloud

Cet article explique comment connecter Google en tant que fournisseur d’identité à un seul compte Citrix Cloud. Si vous disposez de plusieurs comptes Citrix Cloud, vous pouvez connecter chacun d’eux au même compte Google Cloud à l’aide du même compte de service et du même compte utilisateur d’API en lecture seule. Il vous suffit de vous connecter à Citrix Cloud et de sélectionner l’ID client approprié dans le sélecteur de clients.

Préparer Active Directory et les Citrix Cloud Connector

Si vous utilisez une machine jointe à un domaine pour configurer l’authentification Google, utilisez cette section pour préparer votre AD local. Si vous utilisez une machine non jointe à un domaine, ignorez cette tâche et passez à la section Créer un compte de service dans cet article.

Vous devez disposer d’au moins deux (2) serveurs dans votre domaine Active Directory sur lesquels installer le logiciel Citrix Cloud Connector. Les composants Cloud Connector sont requis pour établir la communication entre Citrix Cloud et vos emplacements des ressources. Au moins deux Cloud Connector sont nécessaires pour garantir une connexion haute disponibilité avec Citrix Cloud. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Répondre aux exigences décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs, ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Appartenir à votre domaine Active Directory (AD). Si vos ressources et vos utilisateurs d’espace de travail résident dans plusieurs domaines, vous devez installer au moins deux Cloud Connector dans chaque domaine. Pour plus d’informations, consultez Scénarios de déploiement de Cloud Connector dans Active Directory.
  • Être connectés à un réseau pouvant contacter les ressources auxquelles les utilisateurs accèdent via Citrix Workspace.
  • Être connectés à Internet. Pour plus d’informations, consultez la section Configuration requise pour le système et la connectivité.

Pour plus d’informations sur l’installation des composants Cloud Connector, consultez la section Installation de Cloud Connector.

Synchroniser Active Directory avec Google Cloud

Si vous utilisez une machine jointe à un domaine pour configurer l’authentification Google, utilisez cette section pour préparer votre AD local. Si vous utilisez une machine non jointe à un domaine, ignorez cette tâche et passez à la section Créer un compte de service dans cet article.

La synchronisation de votre AD avec Google est facultative si vous utilisez uniquement Citrix Gateway Service ou des micro-apps, et qu’aucun autre service n’est activé. Pour ces services uniquement, vous pouvez utiliser des utilisateurs natifs de Google sans avoir à vous synchroniser avec votre AD.

Si vous utilisez d’autres services Citrix Cloud, la synchronisation de votre AD avec Google est requise. Google Cloud doit transmettre les attributs d’utilisateur AD suivants à Citrix Cloud :

  • SecurityIDentifier (SID)
  • objectGUID
  • userPrincipalName (UPN)

Pour synchroniser votre AD avec Google Cloud

  1. Téléchargez et installez l’utilitaire Google Cloud Directory Sync à partir du site Web de Google. Pour plus d’informations sur cet utilitaire, consultez la documentation Google Cloud Directory Sync sur le site Web de Google.
  2. Après avoir installé l’utilitaire, lancez Configuration Manager (Démarrer > Configuration Manager).
  3. Spécifiez les paramètres de domaine Google et les paramètres LDAP comme décrit dans la section Configurer la synchronisation avec le gestionnaire de configuration de la documentation de l’utilitaire.
  4. Dans General Settings, sélectionnez Custom Schemas. Laissez les sélections par défaut inchangées.
  5. Configurez un schéma personnalisé à appliquer à tous les comptes d’utilisateurs. Saisissez les informations requises en utilisant la casse et l’orthographe exactes spécifiées dans cette section.
    1. Sélectionnez l’onglet Custom Schemas, puis Add Schema.
    2. Sélectionnez Use rules defined dans “User Accounts”.
    3. Dans Schema Name, saisissez citrix-schema.
    4. Sélectionnez Add Field, puis entrez les informations suivantes :
      • Sous Schema field template, dans Schema Field, sélectionnez userPrincipalName.
      • Sous Google field details, dans Field Name, saisissez UPN.
    5. Répétez l’étape 4 pour créer les champs suivants :
      • objectGUID : sous Schema field template, sélectionnez objectGUID. Sous Google field details, saisissez objectGUID.
      • SID : sous Schema field template, sélectionnez Custom. Sous Google field details, saisissez SID.
      • objectSID : sous Schema field template, sélectionnez Custom. Sous Google field details, saisissez objectSID.
    6. Cliquez sur OK pour enregistrer vos entrées.
  6. Terminez la configuration des paramètres restants pour votre organisation et vérifiez les paramètres de synchronisation comme décrit dans la section Configurer la synchronisation avec le gestionnaire de configuration de la documentation de l’utilitaire.
  7. Sélectionnez Sync & apply changes pour synchroniser votre Active Directory avec votre compte Google.

Une fois la synchronisation terminée, la section User Information de Google Cloud affiche les informations Active Directory des utilisateurs.

Créer un compte de service

Pour effectuer cette tâche, vous devez disposer d’un compte développeur Google Cloud Platform.

  1. Connectez-vous à https://console.cloud.google.com.
  2. Dans la barre latérale du Tableau de bord, sélectionnez IAM et Administration, puis Comptes de service.
  3. Sélectionnez Créer un compte de service.
  4. Sous Détails du compte de service, saisissez le nom du compte de service et l’ID du compte de service.
  5. Sélectionnez Terminé.

Créer une clé de compte de service

  1. Sur la page Comptes de service, sélectionnez le compte de service que vous avez créé.
  2. Sélectionnez l’onglet Clés, puis sélectionnez Ajouter une clé > Créer une clé.
  3. Laissez l’option de type de clé JSON par défaut sélectionnée.
  4. Sélectionnez Créer. Conservez la clé dans un emplacement sécurisé auquel vous pourrez accéder ultérieurement. Vous entrez la clé privée dans la console Citrix Cloud lorsque vous connectez Google en tant que fournisseur d’identité.

Configurer la délégation au niveau du domaine

  1. Activez Admin SDK API :
    1. Dans le menu Google Cloud Platform, sélectionnez API et services > API et services activés.
    2. Sélectionnez Activer les API et les services en haut de la console. La page d’accueil de la bibliothèque d’API apparaît.
    3. Recherchez Admin SDK API et sélectionnez-la dans la liste des résultats.
    4. Sélectionnez Activer.
  2. Créez un client API pour le compte de service :
    1. Dans le menu Google Cloud Platform, sélectionnez IAM et Administration > Comptes de service, puis sélectionnez le compte de service que vous avez créé précédemment.
    2. Dans l’onglet Détails du compte de service, développez Paramètres avancés.
    3. Sous Délégation au niveau du domaine, copiez l’ID client, puis sélectionnez Afficher la console d’administration Google Workspace.
    4. Le cas échéant, sélectionnez le compte d’administrateur Google Workspace que vous souhaitez utiliser. La console d’administration Google s’affiche.
    5. Dans la barre latérale Google Admin, sélectionnez Sécurité > Contrôle de l’accès et des données > Commandes des API.
    6. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.
    7. Sélectionnez Ajouter.
    8. Dans ID client, collez l’ID client du compte de service que vous avez copié à l’étape C.
    9. Dans les Habilitations OAuth, entrez les habilitations suivantes sur une seule ligne délimitée par des virgules :

      https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
      <!--NeedCopy-->
      
    10. Sélectionnez Autoriser.

Ajouter un compte utilisateur d’API en lecture seule

Dans cette tâche, vous allez créer un compte d’utilisateur Google Workspace disposant d’un accès API en lecture seule pour Citrix Cloud. Ce compte n’est utilisé à aucune autre fin et ne dispose d’aucun autre privilège.

  1. Dans le menu Administration de Google, sélectionnez Annuaire > Utilisateurs.
  2. Sélectionnez Ajouter un utilisateur et saisissez les informations utilisateur appropriées.
  3. Sélectionnez Ajouter un utilisateur pour enregistrer les informations du compte.
  4. Créez un rôle personnalisé pour le compte d’utilisateur en lecture seule :
    1. Dans le menu Administration de Google, sélectionnez Compte > Rôles d’administrateur.
    2. Sélectionnez Créer un rôle.
    3. Entrez un nom pour le nouveau rôle. Exemple : API-Readonly
    4. Sélectionnez Continue.
    5. Sous Droits de l’API Admin, sélectionnez les droits suivants :
      • Utilisateurs > Lire
      • Groupes > Lire
      • Gestion des domaines
    6. Sélectionnez Continuer, puis Créer un rôle.
  5. Attribuez le rôle personnalisé au compte d’utilisateur en lecture seule que vous avez créé précédemment :
    1. Sur la page des détails du rôle personnalisé, dans le volet Admins, sélectionnez Attribuer des utilisateurs.
    2. Commencez à taper le nom du compte d’utilisateur en lecture seule et sélectionnez-le dans la liste des utilisateurs.
    3. Sélectionnez Attribuer un rôle.
    4. Pour vérifier l’attribution des rôles, revenez à la page Utilisateurs (Annuaire > Utilisateurs) et sélectionnez le compte d’utilisateur en lecture seule. L’attribution de rôle personnalisé s’affiche sous Rôles et droits d’administrateur.

Connecter Google à Citrix Cloud

  1. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.
  3. Localisez Google et sélectionnez Connecter dans le menu des points de suspension.
  4. Sélectionnez Importer un fichier, puis sélectionnez le fichier JSON que vous avez enregistré lorsque vous avez créé la clé pour le compte de service. Cette action importe votre clé privée et l’adresse e-mail du compte de service Google Cloud que vous avez créé.
  5. Dans Utilisateur représenté, entrez le nom du compte utilisateur de l’API en lecture seule.
  6. Sélectionnez Next. Citrix Cloud vérifie les détails de votre compte Google et teste la connexion.
  7. Passez en revue les domaines associés répertoriés. S’ils sont corrects, sélectionnez Confirmer pour enregistrer votre configuration.

Activer Google pour l’authentification de l’espace de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.
  2. Sélectionnez Google. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés et cliquez sur Enregistrer.