Citrix Cloud

Active Directory avec appliance Connector (aperçu)

Vous pouvez utiliser des appliances Connector pour connecter un emplacement de ressources à des forêts qui ne contiennent pas de ressources Citrix Virtual Apps and Desktops. Par exemple, dans le cas des clients Citrix Secure Private Access ou des clients Citrix Virtual Apps and Desktops dont certaines forêts sont uniquement utilisées pour l’authentification des utilisateurs.

Dans cet aperçu d’Active Directory multidomaine avec appliance Connector, les restrictions suivantes s’appliquent :

  • L’appliance Connector ne peut pas être utilisé à la place de Cloud Connector dans les forêts contenant des VDA.

Exigences

Configuration requise pour Active Directory

  • Être associée à un domaine Active Directory contenant les ressources et les utilisateurs que vous utiliserez pour créer des offres et les mettre à la disposition de vos utilisateurs. Pour plus d’informations, consultez Scénarios de déploiement d’appliances Connector dans Active Directory dans cet article.
  • Chaque forêt Active Directory que vous prévoyez d’utiliser avec Citrix Cloud doit toujours être accessible par deux appliances Connector.
  • L’appliance Connector doit pouvoir accéder aux contrôleurs de domaine à la fois dans le domaine racine de la forêt et dans les domaines que vous avez l’intention d’utiliser avec Citrix Cloud. Pour plus d’informations, consultez les articles de support de Microsoft suivants :
  • Utilisez des groupes de sécurité universels au lieu de groupes de sécurité globaux. Cette configuration garantit que l’appartenance au groupe d’utilisateurs peut être obtenue auprès de n’importe quel contrôleur de domaine de la forêt.
  • Assurez-vous que LDAPS est pris en charge dans tous les contrôleurs de domaine. L’appliance Connector utilise le protocole LDAPS crypté pour établir des connexions Active Directory. Pour activer ce protocole, assurez-vous que des certificats valides sont installés dans chaque contrôleur de domaine de la forêt. Pour plus d’informations, consultez la section Activer LDAP sur SSL.

    Si les certificats ne sont pas installés, la jonction au domaine échoue avec le message « Erreur d’authentification. Vérifiez vos informations d’authentification et réessayez ».

Configuration réseau requise

Niveaux fonctionnels Active Directory pris en charge

L’appliance Connector a été testée et est prise en charge avec les niveaux fonctionnels de forêt et de domaine suivants dans Active Directory.

Niveau fonctionnel de la forêt Niveau fonctionnel du domaine Contrôleurs de domaine pris en charge
Windows Server 2016 Windows Server 2016 Windows Server 2019

Les autres combinaisons de contrôleur de domaine, de niveau fonctionnel de forêt et de niveau fonctionnel de domaine n’ont pas été testées avec l’appliance Connector. Toutefois, ces combinaisons devraient fonctionner et sont également prises en charge dans cette version préliminaire.

Connexion d’un domaine Active Directory à Citrix Cloud à l’aide d’une appliance Connector (version préliminaire)

Pour configurer Active Directory pour la connexion à Citrix Cloud via l’appliance Connector, procédez comme suit.

  1. Installez une appliance Connector dans votre emplacement de ressources.

    Vous pouvez suivre les informations de la documentation produit de l’appliance Connector.

  2. Connectez-vous à la page Web d’administration de l’appliance Connector dans votre navigateur à l’aide de l’adresse IP fournie dans la console de l’appliance Connector.

  3. Dans la section Domaines Active Directory, cliquez sur + Ajouter un domaine Active Directory.

  4. Entrez le nom de domaine dans le champ Nom de domaine. Cliquez sur Ajouter.

    L’appliance Connector vérifie le domaine. Si la vérification réussit, la boîte de dialogue Joindre Active Directory s’ouvre.

  5. Entrez le nom d’utilisateur et le mot de passe d’un utilisateur Active Directory qui dispose d’une autorisation de connexion pour ce domaine.

  6. L’appliance Connector suggère un nom de machine. Vous pouvez choisir de remplacer le nom suggéré et de fournir votre propre nom de machine, d’une longueur maximale de 15 caractères.

    Ce nom de machine est créé dans le domaine Active Directory lorsque l’appliance Connector le rejoint.

  7. Cliquez sur Joindre.

    Le domaine est désormais répertorié dans la section Domaines Active Directory de l’interface utilisateur Appliance Connector.

  8. Pour ajouter d’autres domaines Active Directory, sélectionnez + Ajouter un domaine Active Directory et répétez les étapes précédentes.

  9. Si vous n’avez pas encore enregistré votre appliance Connector, poursuivez avec les étapes décrites dans Enregistrer votre appliance Connector auprès de Citrix Cloud.

Si vous recevez un message d’erreur lorsque vous rejoignez le domaine, vérifiez que votre environnement répond aux exigences d’Active Directory et aux exigences de réseau.

Prochaine étape

  • Vous pouvez ajouter d’autres domaines à cette appliance Connector.

    Remarque :

    Pour cette version préliminaire, l’appliance Connector est testée avec un maximum de 10 forêts.

  • Pour des raisons de résilience, ajoutez chaque domaine à plusieurs appliances Connector dans chaque emplacement de ressources.

Affichage de votre configuration Active Directory

Vous pouvez afficher la configuration des domaines Active Directory et des appliances Connector dans vos emplacements de ressources aux endroits suivants :

  • Dans Citrix Cloud :

    1. Dans le menu, accédez à la page Gestion des identités et des accès .
    2. Accédez à l’onglet Domaines.

      Vos domaines Active Directory sont répertoriés avec les emplacements de ressources dont ils font partie.

  • Sur la page Web de l’appliance Connector :

    1. Connectez-vous à la page Web de l’appliance Connector à l’aide de l’adresse IP fournie dans la console de l’appliance Connector.
    2. Connectez-vous avec le mot de passe que vous avez créé lors de votre inscription initiale.
    3. Dans la section Domaines Active Directory de la page, vous pouvez voir la liste des domaines Active Directory auxquels cette appliance Connector est jointe.

Suppression d’un domaine Active Directory d’une appliance Connector

Pour quitter un domaine Active Directory, procédez comme suit :

  1. Connectez-vous à la page Web de l’appliance Connector à l’aide de l’adresse IP fournie dans la console de l’appliance Connector.
  2. Connectez-vous avec le mot de passe que vous avez créé lors de votre inscription initiale.
  3. Dans la section Domaines Active Directory de la page, recherchez le domaine que vous souhaitez quitter dans la liste des domaines Active Directory joints.
  4. Notez le nom du compte de machine créé par votre appliance Connector.
  5. Cliquez sur l’icône Supprimer (corbeille) en regard du domaine. Un dialogue de confirmation s’affiche.
  6. Cliquez sur Continuer pour confirmer l’action.
  7. Accédez à votre contrôleur Active Directory.
  8. Supprimez le compte de machine créé par votre appliance Connector du contrôleur.

Scénarios de déploiement pour l’utilisation d’appliance Connector avec Active Directory

Vous pouvez utiliser à la fois un Cloud Connector et un appliance Connector pour vous connecter aux contrôleurs Active Directory. Le type de connecteur à utiliser dépend de votre déploiement.

Pour plus d’informations sur l’utilisation de Cloud Connector avec Active Directory, consultez la section Scénarios de déploiement de Cloud Connector dans Active Directory.

Utilisez l’appliance Connector pour connecter votre emplacement de ressources à la forêt Active Directory dans les situations suivantes :

  • Vous configurez Secure Private Access. Pour plus d’informations, consultez Secure Private Access avec appliance Connector.
  • Vous avez une ou plusieurs forêts qui ne sont utilisées que pour l’authentification des utilisateurs
  • Vous souhaitez réduire le nombre de connecteurs nécessaires pour prendre en charge plusieurs forêts
  • Vous avez besoin d’un connecteur pour d’autres cas d’utilisation

Uniquement les utilisateurs d’une ou plusieurs forêts avec un seul ensemble d’appliances de connexion pour toutes les forêts

Ce scénario s’applique aux clients Workspace Standard ou aux clients utilisant des appliances Connector pour Secure Private Access.

Dans ce scénario, plusieurs forêts ne contiennent que des objets utilisateur (forest1.local, forest2.local). Ces forêts ne contiennent pas de ressources. Un ensemble d’appliances Connector est déployé dans un emplacement de ressources et joint aux domaines de chacune de ces forêts.

  • Relation d’approbation : Aucune
  • Domaines répertoriés dans Gestion des identités et des accès : forest1.local, forest2.local
  • Connexions utilisateur à Citrix Workspace : pris en charge pour tous les utilisateurs
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs

Utilisateurs et ressources dans des forêts distinctes (avec approbation) avec un seul groupe d’appliances de connecteur pour toutes les forêts

Ce scénario s’applique aux clients Citrix Virtual Apps and Desktops possédant plusieurs forêts.

Dans ce scénario, certaines forêts (resourceforest1.local, resourceforest2.local) contiennent vos ressources (par exemple, des VDA) et certaines forêts (userforest1.local, userforest2.local) contiennent uniquement vos utilisateurs. Il existe entre ces forêts une approbation qui permet aux utilisateurs de se connecter aux ressources.

Un groupe de Cloud Connector est déployé dans la forêt resourceforest1.local. Un groupe distinct de Cloud Connector est déployé dans la forêt resourceforest2.local.

Un groupe d’appliances Connector est déployé dans la forêt userforest1.local et le même groupe est déployé dans la forêt userforest2.local.

  • Relation d’approbation : approbation de forêt bidirectionnelle, ou approbation unidirectionnelle entre les forêts de ressources et les forêts d’utilisateurs
  • Domaines répertoriés dans Gestion des identités et des accès : resourceforest1.local, resourceforest2.local, userforest1.local, userforest2.local
  • Connexions utilisateur à Citrix Workspace : pris en charge pour tous les utilisateurs
  • Connexions utilisateur à un StoreFront local : pris en charge pour tous les utilisateurs