Considérations SSO et proxy pour les applications MDX

L’intégration de Endpoint Management avec Citrix Gateway vous permet de fournir aux utilisateurs une authentification unique (SSO) à toutes les ressources HTTP / HTTPS principales. En fonction de vos exigences d’authentification unique (SSO), vous pouvez configurer les connexions utilisateur d’une application MDX pour utiliser l’une des options suivantes :

  • Secure Browse (Tunnel - SSO Web), qui est un type de VPN sans client
  • Tunnel VPN complet

Important :

La version 18.12.0 de MDX Toolkit inclut de nouvelles stratégies combinant ou remplaçant des stratégies plus anciennes. La stratégie Accès réseau combine Accès réseau, Mode VPN préféré et Autoriser le basculement vers le mode VPN. La stratégie Liste d’exclusion remplace Liste d’exclusion de split tunneling. La stratégie Session micro VPN requise remplace Session en ligne requise. Pour de plus amples informations, consultez la section Nouveautés dans le MDX Toolkit 18.12.0.

Tunnel - SSO Web est le nom de Secure Browse dans les paramètres. Le comportement est le même.

Si Citrix Gateway n’est pas le meilleur moyen de fournir une authentification unique dans votre environnement, vous pouvez configurer une application MDX avec une mise en cache de mot de passe locale basée sur une stratégie. Cet article explore les différentes options SSO et proxy, en mettant l’accent sur Secure Web. Les concepts s’appliquent à d’autres applications MDX.

L’organigramme suivant résume le flux décisionnel pour les connexions SSO et utilisateur.

Diagramme du flux décisionnel pour les connexions SSO et utilisateur

Méthodes d’authentification Citrix Gateway

Cette section fournit des informations générales sur les méthodes d’authentification prises en charge par Citrix Gateway.

Authentification SAML

Lorsque vous configurez Citrix Gateway pour le langage SAML (Assertion Marking Language), les utilisateurs peuvent se connecter aux applications Web prenant en charge le protocole SAML pour l’authentification unique. Citrix Gateway prend en charge l’authentification unique de fournisseur d’identité pour les applications Web SAML.

Configuration requise :

  • Configurez l’authentification unique SAML dans le profil Citrix Gateway Traffic.
  • Configurez le fournisseur d’identité SAML pour le service demandé.

Authentification NTLM

Si l’authentification unique pour les applications Web est activée dans le profil de session, Citrix Gateway effectue automatiquement l’authentification NTLM.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session Citrix Gateway.

Emprunt d’identité Kerberos

Endpoint Management prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez Citrix Gateway pour Kerberos SSO, Citrix Gateway utilise l’emprunt d’identité lorsqu’un utilisateur est disponible pour Citrix Gateway. L’emprunt d’identité signifie que Citrix Gateway utilise des informations d’identification utilisateur pour obtenir le ticket requis pour accéder aux services, tels que Secure Web.

Configuration requise :

  • Configurez la stratégie de session Citrix Gateway “Worx” pour lui permettre d’identifier le domaine Kerberos à partir de votre connexion.
  • Configurez un compte Kerberos Constrained Delegation (KCD) sur Citrix Gateway. Configurez ce compte sans mot de passe et associez-le à une stratégie de trafic sur votre passerelle Endpoint Management.
  • Pour plus de détails sur la configuration, consultez le blog Citrix : WorxWeb and Kerberos Impersonation SSO.

Délégation Kerberos contrainte

Endpoint Management prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez Citrix Gateway pour Kerberos SSO, Citrix Gateway utilise la délégation contrainte lorsqu’un mot de passe utilisateur n’est pas disponible pour Citrix Gateway.

Avec une délégation contrainte, Citrix Gateway utilise un compte d’administrateur spécifié pour obtenir des tickets au nom des utilisateurs et des services.

Configuration requise :

  • Configurez un compte KCD dans Active Directory avec les autorisations requises et un compte KDC sur Citrix Gateway.
  • Activez l’authentification unique dans le profil de trafic Citrix Gateway.
  • Configurez le site Web principal pour l’authentification Kerberos.
  • Pour plus de détails sur la configuration, consultez le blog Citrix : Configuring Kerberos Single Sign-on for WorxWeb.

Authentification par remplissage de formulaire

Lorsque vous configurez Citrix Gateway pour l’authentification par remplissage de formulaire, les utilisateurs peuvent se connecter une seule fois pour accéder à toutes les applications protégées de votre réseau. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Tunnel - SSO Web ou VPN complet.

Configuration requise :

  • Configurez l’authentification unique par remplissage de formulaire dans le profil de trafic Citrix Gateway.

Authentification HTTP Digest

Si vous activez l’authentification unique pour les applications Web dans le profil de session, Citrix Gateway effectue automatiquement l’authentification HTTP Digest. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Tunnel - SSO Web ou VPN complet.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session Citrix Gateway.

Authentification HTTP de base

Si vous activez l’authentification unique pour les applications Web dans le profil de session, Citrix Gateway effectue automatiquement l’authentification HTTP de base. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Tunnel - SSO Web ou VPN complet.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session Citrix Gateway.

Tunnel - SSO Web, tunnel VPN complet ou tunnel VPN complet avec PAC

Les sections suivantes décrivent les types de connexion utilisateur pour Secure Web.

Tunnel VPN complet

Les connexions qui sont tunnelisées sur le réseau interne peuvent utiliser un tunnel VPN complet. Utilisez la stratégie Mode VPN préféré de Secure Web pour configurer un tunnel VPN complet. Citrix recommande un tunnel VPN complet pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne. Full VPN tunnel gère tout protocole sur TCP. Vous pouvez utiliser un tunnel VPN complet avec les appareils Windows, Mac, iOS et Android.

En mode Tunnel VPN complet, Citrix Gateway n’a pas de visibilité dans une session HTTPS.

Tunnel - SSO Web

Les connexions qui sont tunnélisées sur le réseau interne peuvent utiliser une variante d’un VPN sans client, appelé Tunnel - SSO Web. Tunnel - SSO Web est la configuration par défaut spécifiée pour la stratégie Mode VPN préféré de Secure Web. Citrix recommande Tunnel - SSO Web pour les connexions qui nécessitent l’authentification unique (SSO).

En mode Tunnel - SSO Web, Citrix Gateway divise la session HTTPS en deux parties :

  • Du client à Citrix Gateway
  • De Citrix Gateway au serveur de ressources principal

De cette manière, Citrix Gateway a une visibilité complète sur toutes les transactions entre le client et le serveur, ce qui lui permet de fournir une authentification unique.

Vous pouvez également configurer des serveurs proxy pour Secure Web lorsque vous utilisez le mode Tunnel - SSO Web. Pour plus d’informations, consultez le blog Endpoint Management WorxWeb Traffic Through Proxy Server in Secure Browse Mode.

Tunnel VPN complet avec PAC

Vous pouvez utiliser un fichier PAC (Proxy Automatic Configuration) avec un déploiement de tunnel VPN complet pour Secure Web sur les appareils iOS. Endpoint Management prend en charge l’authentification proxy fournie par Citrix Gateway. Un fichier PAC contient des règles qui définissent la manière dont les navigateurs Web sélectionnent un serveur proxy pour accéder à une URL spécifiée. Les règles du fichier PAC peuvent spécifier la procédure à suivre pour les sites internes et externes. Secure Web analyse les règles du fichier PAC et envoie les informations sur le serveur proxy à Citrix Gateway. Citrix Gateway ignore le fichier PAC ou le serveur proxy.

Pour l’authentification aux sites Web HTTPS : la stratégie MDX de Secure Web Activer la mise en cache du mot de passe Web permet à Secure Web de s’authentifier et de fournir l’authentification unique (SSO) au serveur proxy via MDX.

Split tunneling Citrix Gateway

Lors de la planification de votre configuration SSO et proxy, vous devez également décider si vous souhaitez utiliser la fonction split tunneling de Citrix Gateway. Citrix vous recommande d’utiliser le split tunneling de Citrix Gateway uniquement si nécessaire. Cette section fournit un aperçu général de la manière dont le split tunneling fonctionne : Citrix Gateway détermine le chemin du trafic en fonction de sa table de routage. Lorsque le split tunneling de Citrix Gateway est activé, Secure Hub distingue le trafic réseau interne (protégé) du trafic Internet. Secure Hub procède en fonction du suffixe DNS et des applications intranet. Secure Hub tunnellise uniquement le trafic réseau interne via le tunnel VPN. Lorsque le split tunneling de Citrix Gateway est désactivé, tout le trafic passe par le tunnel VPN.

  • Si vous préférez surveiller tout le trafic pour des raisons de sécurité, désactivez le split tunneling de Citrix Gateway. Dans ce cas, tout le trafic passe par le tunnel VPN.
  • Si vous utilisez un tunnel VPN complet avec PAC, vous devez désactiver le split tunneling de Citrix Gateway. Si le split tunneling est activé et qu’un fichier PAC est configuré, les règles du fichier PAC remplacent les règles de split tunneling de Citrix Gateway. Un serveur de proxy configuré dans une stratégie de trafic ne remplace pas les règles de split tunneling de Citrix Gateway.

Par défaut, la stratégie Accès réseau est définie sur Tunnélisé vers le réseau interne pour Secure Web. Avec cette configuration, les applications MDX utilisent les paramètres de split tunneling de Citrix Gateway. La stratégie Accès réseau par défaut diffère pour certaines autres applications de productivité mobiles Citrix.

Citrix Gateway dispose également d’un mode de split tunneling inverse à micro VPN. Cette configuration prend en charge une liste d’exclusion d’adresses IP qui ne sont pas tunnellisées sur Citrix Gateway. Ces adresses sont envoyées en utilisant la connexion Internet de l’appareil. Pour plus d’informations sur le split tunneling inverse, veuillez consulter la documentation relative à Citrix Gateway.

Endpoint Management inclut une liste d’exclusion de split tunneling inversé. Pour empêcher que certains sites Web soient envoyés par un tunnel via Citrix Gateway : ajoutez une liste séparée par des virgules des noms de domaine complet (FQDN) ou des suffixes DNS qui se connectent à l’aide du réseau local (LAN). Cette stratégie s’applique uniquement au mode Tunnel - SSO Web avec Citrix Gateway configuré pour le split tunneling inverse.