SmartAccess pour applications HDX

Cette fonctionnalité vous permet de contrôler l’accès aux applications HDX en fonction des propriétés d’un appareil, des propriétés utilisateur d’un appareil ou des applications installées sur un appareil. Pour utiliser cette fonctionnalité, vous définissez des actions automatisées pour marquer l’appareil comme non conforme pour refuser l’accès de cet appareil. Utilisées en conjonction avec cette fonctionnalité, les applications HDX sont configurées dans XenApp et XenDesktop à l’aide d’une stratégie SmartAccess qui refuse l’accès aux appareils non conformes. XenMobile communique l’état de l’appareil à StoreFront à l’aide d’une balise signée et cryptée. Ensuite, StoreFront autorise ou refuse l’accès en fonction de la stratégie de contrôle d’accès de l’application.

Pour utiliser cette fonctionnalité, votre déploiement requiert :

  • XenApp et XenDesktop 7.6
  • StoreFront 3.7 ou 3.8
  • XenMobile configuré avec des applications HDX agrégées à partir d’un serveur StoreFront
  • XenMobile configuré avec un certificat SAML à utiliser pour la signature et le cryptage des balises. Le même certificat sans clé privée est chargé sur le serveur StoreFront.

Pour commencer à utiliser cette fonctionnalité :

  • Configurer le certificat du serveur XenMobile pour le magasin StoreFront
  • Configurer au moins un groupe de mise à disposition XenApp et XenDesktop avec la stratégie SmartAccess requise
  • Définir l’action automatisée dans XenMobile

Exporter et configurer le certificat du serveur XenMobile et le charger vers le magasin StoreFront

SmartAccess utilise des balises signées et cryptées pour communiquer entre les serveurs StoreFront et XenMobile. Pour activer cette communication, vous ajoutez le certificat du serveur XenMobile au magasin StoreFront.

Pour plus d’informations sur l’intégration de StoreFront et XenMobile lorsque XenMobile est activé avec l’authentification basée sur domaine et sur certificats, consultez le Centre de connaissances.

Exporter le certificat SAML à partir de XenMobile

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche. Cliquez sur Certificats.

  2. Localisez le certificat SAML pour le serveur XenMobile.

    Image de la configuration de Smart Access

  3. Assurez-vous que Exporter clé privée est défini sur Désactivé. Cliquez sur Exporter pour exporter le certificat vers votre répertoire de téléchargement.

    Image de la configuration de Smart Access

  4. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format PEM.

    Image de la configuration de Smart Access

Convertir le certificat de PEM vers CER

  1. Ouvrez la console Microsoft Management Console (MMC) et cliquez avec le bouton droit sur Certificats > Toutes les tâches > Importer.

    Image de la configuration de Smart Access

  2. Lorsque l’Assistant Importation de certificat apparaît, cliquez sur Suivant.

    Image de la configuration de Smart Access

  3. Accédez au certificat dans votre répertoire de téléchargement.

    Image de la configuration de Smart Access

  4. Sélectionnez Placer tous les certificats dans le magasin suivant et sélectionnez Personnel comme magasin de certificats. Cliquez sur Suivant.

    Image de la configuration de Smart Access

  5. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK dans la fenêtre de confirmation.

  6. Dans la console MMC, cliquez avec le bouton droit de la souris sur le certificat et sélectionnez Toutes les tâches > Exporter.

    Image de la configuration de Smart Access

  7. Lorsque l’Assistant Exportation de certificat apparaît, cliquez sur Suivant.

    Image de la configuration de Smart Access

  8. Choisissez le format X.509 binaire encodé DER (*.cer). Cliquez sur Suivant.

    Image de la configuration de Smart Access

  9. Localisez le certificat. Saisissez un nom pour le certificat et cliquez sur Suivant.

    Image de la configuration de Smart Access

  10. Enregistrez le certificat.

    Image de la configuration de Smart Access

  11. Localisez le certificat et cliquez sur Suivant.

    Image de la configuration de Smart Access

  12. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK dans la fenêtre de confirmation.

    Image de la configuration de Smart Access

  13. Localisez le certificat dans votre répertoire de téléchargement. Veuillez noter que le certificat est au format CER.

    Image de la configuration de Smart Access

Copiez le certificat vers le serveur StoreFront

  1. Sur le serveur StoreFront, créez un dossier appelé SmartCert.

  2. Copiez le certificat dans le dossier SmartCert.

    Image de la configuration de Smart Access

Configurer le certificat sur le magasin StoreFront

Sur le serveur StoreFront, exécutez cette commande PowerShell pour configurer le certificat du serveur XenMobile converti sur le magasin :

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”

Image de la configuration de Smart Access

S’il existe des certificats dans le magasin StoreFront, exécutez cette commande PowerShell pour les révoquer :

    Revoke-STFStorePnaSmartAccess –StoreService $store –All

Image de la configuration de Smart Access

Vous pouvez également exécuter l’une de ces commandes PowerShell sur le serveur StoreFront pour révoquer des certificats existants sur le magasin StoreFront :

  • Révoquer par nom :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
  • Révoquer par empreinte numérique :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “1094821dec7834d5d42 bb456329efe4fca86c60b”
  • Révoquer par objet serveur :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]

Configurer la stratégie SmartAccess pour XenApp et XenDesktop

Pour ajouter la stratégie SmartAccess requise au groupe de mise à disposition de l’application HDX :

  1. Sur le serveur XenApp et XenDesktop, ouvrez Citrix Studio.

  2. Sélectionnez Groupes de mise à disposition dans le volet de navigation de Studio.

  3. Sélectionnez un groupe mettant à disposition l’application ou les applications dont vous souhaitez contrôler l’accès. Sélectionnez Modifier le groupe de mise à disposition dans le volet Actions.

  4. Dans la page Stratégie d’accès, sélectionnez Connexions transitant par NetScaler Gateway et Connexions remplissant l’un des critères de filtre suivants.

  5. Cliquez sur Ajouter.

  6. Ajoutez une stratégie d’accès dans laquelle Batterie est XM et Filtre est XMCompliantDevice.

    Image de la configuration de Smart Access

  7. Cliquez sur Appliquer pour appliquer les modifications que vous avez apportées et garder la fenêtre ouverte, ou cliquez sur OK pour appliquer les modifications et fermer la fenêtre.

Définir les actions automatisées dans XenMobile

La stratégie SmartAccess que vous avez définie dans le groupe de mise à disposition pour une application HDX refuse l’accès à un appareil lorsque l’appareil n’est pas conforme. Utilisez des actions automatisées pour marquer l’appareil comme non conforme.

Image de la configuration de Smart Access

  1. Dans la console XenMobile, cliquez sur Configurer > Actions. La page Actions s’affiche.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action s’affiche.

  3. Sur la page Informations sur l’action, entrez un nom et une description pour l’action.

  4. Cliquez sur Suivant. La page sur les Détails de l’action s’affiche. Dans l’exemple suivant, un déclencheur est créé qui marque immédiatement les appareils comme non conformes s’ils ont le nom de propriété utilisateur eng5 ou eng6.

    Image de la configuration de Smart Access

  5. Dans la liste Déclencheur, sélectionnez Propriété de l’appareil, Propriété utilisateur ou Nom de l’application installée. SmartAccess ne prend pas en charge les déclencheurs d’événements.

  6. Dans la liste Action :

    • Choisissez Marquer l’appareil comme non conforme.
    • Choisissez Est.
    • Choisissez Vrai.
    • Pour que l’action marque l’appareil comme non conforme dès que la condition de déclencheur est remplie, définissez le délai sur 0.
  7. Choisissez les groupes de mise à disposition XenMobile auxquels appliquer cette action.

  8. Vérifiez le récapitulatif de l’action.

  9. Cliquez sur Suivant, puis cliquez sur Enregistrer.

Lorsque l’appareil est marqué comme non conforme, les applications HDX ne s’affichent plus dans le magasin Secure Hub. L’utilisateur n’est plus abonné aux applications. Aucune notification n’est envoyée à l’appareil et rien dans le magasin Secure Hub n’indique que les applications HDX ont été disponibles.

Si vous souhaitez que les utilisateurs soient avertis lorsqu’un appareil est marqué comme non conforme, créez une notification, puis créez une action automatique pour envoyer cette notification.

Cet exemple crée et envoie cette notification lorsqu’un appareil est marqué comme non conforme : « L’appareil (numéro de série ou numéro de téléphone) n’est plus conforme avec la stratégie et les applications HDX vont être bloquées. »

Image de la configuration de Smart Access

Créer la notification que les utilisateurs voient lorsqu’un appareil est marqué comme non conforme

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Modèles de notification. La page Modèles de notification s’affiche.

  3. Cliquez sur Ajouter pour ajouter un nouveau modèle de notification sur la page Modèles de notification.

  4. Lorsque vous êtes invité à configurer le serveur SMS, cliquez sur Non, configurer plus tard.

    Image de la configuration de Smart Access

  5. Pour configurer ces paramètres :

    • Nom : Blocage application HDX
    • Description : notification de l’agent lorsque l’appareil n’est pas conforme
    • Type : Notification Ad Hoc
    • Secure Hub : Activé
    • Message : L’appareil ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} n’est plus conforme avec la stratégie et les applications HDX vont être bloquées.

    Image de la configuration de Smart Access

  6. Cliquez sur Enregistrer.

Créer l’action qui envoie la notification lorsqu’un appareil est marqué comme non conforme

  1. Dans la console XenMobile, cliquez sur Configurer > Actions. La page Actions s’affiche.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action s’affiche.

  3. Sur la page Informations sur l’action, entrez un nom et une description pour l’action.

    • Nom : Notification HDX bloquée
    • Description : notification HDX bloquée car l’appareil n’est pas conforme
  4. Cliquez sur Suivant. La page sur les Détails de l’action s’affiche.

  5. Dans la liste Déclencheur :

    • Choisissez Propriété de l’appareil.
    • Choisissez Non conforme.
    • Choisissez Est.
    • Choisissez Vrai.

    Image de la configuration de Smart Access

  6. Dans la liste Action, spécifiez les actions qui se produisent lorsque le critère du déclencheur est rencontré :

    • Choisissez Envoyer une notification.
    • Choisissez L’application HDX a bloqué la notification que vous avez créée.
    • Choisissez 0. Lorsque cette valeur est définie sur 0, la notification est envoyée dès que la condition du déclencheur est rencontrée.
  7. Choisissez les groupes de mise à disposition XenMobile auxquels appliquer cette action. Dans cet exemple, choisissez AllUsers.

  8. Vérifiez le récapitulatif de l’action.

  9. Cliquez sur Suivant, puis cliquez sur Enregistrer.

Pour de plus amples informations sur la configuration d’actions automatiques, consultez la section Actions automatisées.

Comment les utilisateurs peuvent rétablir l’accès aux applications HDX

Les utilisateurs peuvent de nouveau accéder aux applications HDX une fois que la conformité de l’appareil est rétablie :

  1. Sur l’appareil, accédez au magasin Secure Hub pour actualiser les applications dans le magasin.

  2. Accédez à l’application et touchez Ajouter à l’application.

Une fois que l’application est ajoutée, elle s’affiche dans Mes applications avec un point bleu, car il s’agit d’une application nouvellement installée.

Image de la configuration de Smart Access