Citrix Gateway et Endpoint Management

Lorsqu’il est intégré à Endpoint Management, Citrix Gateway fournit un accès à distance à votre réseau interne et à vos ressources. Endpoint Management crée un micro VPN depuis les applications vers Citrix Gateway sur l’appareil.

Vous pouvez utiliser le service Citrix Gateway ou Citrix Gateway local, également appelé NetScaler Gateway. Pour obtenir une vue d’ensemble des deux solutions Citrix Gateway, reportez-vous à Configurer Citrix Gateway pour une utilisation avec Endpoint Management.

Configurer l’authentification pour un accès à distance au réseau interne

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche. Dans l’exemple suivant, il existe une instance Citrix Gateway.

    Écran de configuration de Citrix Gateway

  3. Pour configurer ces paramètres :

    • Authentification : sélectionnez cette option pour activer l’authentification. La valeur par défaut est Activé.
    • Délivrer un certificat utilisateur pour l’authentification : indiquez si vous voulez que Endpoint Management partage le certificat d’authentification avec Secure Hub. Le partage du certificat permet à Citrix Gateway de gérer l’authentification du certificat client. La valeur par défaut est OFF.
    • Fournisseur d’identités : dans la liste, cliquez sur le fournisseur d’identités. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
  4. Cliquez sur Enregistrer.

Ajouter une instance Citrix Gateway

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance Citrix Gateway à Endpoint Management.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche.

  3. Vous pouvez ajouter le service Citrix Gateway ou une passerelle Citrix Gateway sur site. Pour ajouter une passerelle sur site, passez à l’étape suivante. Pour ajouter le service Gateway, cliquez sur Ajouter, puis choisissez Ajouter Gateway Service. La page Ajouter Citrix Gateway Service s’affiche. Complétez ces paramètres.

    Écran de configuration de Citrix Gateway

    • URL externe : entrez l’adresse URL publiquement accessible de Citrix Gateway. Par exemple, https://url.com.
    • Définir par défaut : indiquez si cette passerelle Citrix Gateway doit être utilisée par défaut. La valeur par défaut est Activé.
    • Emplacement des ressources : obligatoire si vous utilisez Secure Mail. Spécifiez l’emplacement des ressources pour le service STA. L’emplacement des ressources doit inclure une passerelle Citrix Gateway configurée. Si vous devez ultérieurement supprimer un emplacement de ressources configuré pour le service Gateway, mettez ce paramètre à jour.

    Lorsque vous avez terminé de définir ces paramètres, cliquez sur Enregistrer. La nouvelle passerelle Citrix Gateway est ajoutée et s’affiche dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

  4. Pour ajouter une passerelle sur site, cliquez sur Ajouter, puis choisissez Ajouter une passerelle sur site. La page Ajouter Citrix Gateway apparaît.

    Écran de configuration de Citrix Gateway

    Pour configurer ces paramètres :

    • Nom : entrez un nom pour l’instance Citrix Gateway.
    • Alias : si vous le souhaitez, vous pouvez inclure un alias pour Citrix Gateway.
    • URL externe : entrez l’adresse URL publiquement accessible de Citrix Gateway. Par exemple, https://receiver.com.
    • Type d’ouverture de session : choisissez un type d’ouverture de session. Les types disponibles sont les suivants : Domaine et jeton de sécurité, Certificat et domaine, Certificat et jeton de sécurité. La valeur par défaut pour le champ Mot de passe requis change selon le Type d’ouverture de session sélectionné. La valeur par défaut est Domaine uniquement.

    Si vous disposez de plusieurs domaines, utilisez Certificat et domaine. Pour de plus amples informations, consultez la section Configuration de l’authentification multi-domaines.

    L’authentification basée sur les certificats sur Citrix Gateway nécessite une configuration supplémentaire. Par exemple, vous devez charger votre certificat d’autorité de certification racine sur votre appliance Citrix ADC. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.

    Pour plus d’informations, consultez la section Authentification dans le manuel de déploiement.

    • Mot de passe requis : indiquez si vous souhaitez demander l’authentification par mot de passe. La valeur par défaut varie selon le Type d’ouverture de session choisi.
    • Définir par défaut : indiquez si cette passerelle Citrix Gateway doit être utilisée par défaut. La valeur par défaut est OFF.
    • Exporter le script de configuration : cliquez sur le bouton pour exporter un bundle de configuration que vous chargerez sur Citrix Gateway pour le configurer avec les paramètres de Endpoint Management. Pour plus d’informations, consultez « Configurer Citrix Gateway pour une utilisation avec Endpoint Management » après cette procédure.
  5. Cliquez sur Enregistrer.

    La nouvelle passerelle Citrix Gateway est ajoutée et s’affiche dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

Configurer une passerelle Citrix Gateway sur site pour une utilisation avec Endpoint Management

Pour configurer une instance Citrix Gateway locale pour une utilisation avec Endpoint Management, vous devez effectuer les étapes générales suivantes, détaillées dans les sections suivantes.

  1. Vérifiez que votre environnement répond à la configuration requise.

  2. Exportez le bundle de script à partir de la console Endpoint Management.

  3. Exécutez le script sur Citrix Gateway. Pour plus d’informations, consultez le fichier Lisez-moi accompagnant le script pour accéder aux instructions détaillées les plus récentes.

  4. Testez la configuration.

Le script configure les paramètres Citrix Gateway suivants requis par Endpoint Management :

  • Serveurs virtuels Citrix Gateway requis pour le mode MDM et MAM
  • Stratégies de session pour les serveurs virtuels Citrix Gateway
  • Détails du serveur Endpoint Management
  • Équilibrage de charge du proxy pour la validation du certificat
  • Stratégies d’authentification et Actions pour le serveur virtuel NSG. Le script décrit les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur Citrix Gateway
  • Autres liaisons : stratégie de service, certificat d’autorité de certification

Le script ne prend pas en charge la configuration suivante :

  • Équilibrage de charge Exchange
  • Equilibrage de charge Citrix Files
  • Configuration du proxy ICA
  • Déchargement SSL

Conditions préalables à l’utilisation du script de configuration de Citrix Gateway

Configuration requise pour Endpoint Management :

  • Effectuez la configuration LDAP et Citrix Gateway dans Endpoint Management avant d’exporter le script. Si vous modifiez les paramètres, exportez à nouveau le script.

Configuration requise pour Citrix Gateway :

  • Lorsque vous utilisez l’authentification basée sur les certificats sur Citrix Gateway, vous devez créer des certificats SSL sur une appliance Citrix ADC. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.
  • Citrix Gateway (version minimale 11.0, Build 70.12).
  • L’adresse IP Citrix Gateway est configurée et peut se connecter au serveur LDAP, à moins d’un équilibrage de charge de LDAP.
  • L’adresse IP de sous-réseau de Citrix Gateway (SNIP) est configurée, peut se connecter aux serveurs back-end nécessaires et dispose d’un accès réseau public sur le port 8443/TCP.
  • DNS peut résoudre les domaines publics.
  • Citrix Gateway est utilisé sous licence Platform/Universal ou d’évaluation. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX126049.

Installez le script dans votre environnement

Le bundle de script inclut les éléments suivants :

  • Fichier Lisez-moi avec instructions détaillées
  • Script contenant les commandes d’interface de ligne de commande NetScaler permettant de configurer les composants requis dans NetScaler
  • Certificat d’autorité de certification racine public et certificat d’autorité de certification intermédiaire
  • Script contenant les commandes d’interface de ligne de commande NetScaler permettant de supprimer la configuration de NetScaler
  1. Chargez et installez les fichiers de certificat (fournis dans le bundle de script) sur le boîtier Citrix ADC sur le répertoire /nsconfig/ssl/. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.

    Écran de configuration de Citrix Gateway

    Les exemples suivants expliquent comment installer le certificat racine.

    Écran de configuration de Citrix Gateway

    Écran de configuration de Citrix Gateway

    Écran de configuration de Citrix Gateway

    Écran de configuration de Citrix Gateway

    Assurez-vous que vous installez à la fois les certificats racine et intermédiaire.

  2. Modifiez le script (OfflineNSGConfigtBundle_CREATESCRIPT) en remplaçant tous les espaces réservés avec les détails de votre environnement.

    Écran de configuration de Citrix Gateway

  3. Exécutez le script modifié dans le shell bash NetScaler, comme décrit dans le fichier Lisez-moi accompagnant le bundle de script. Par exemple :

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    Écran de configuration de Citrix Gateway

    Lorsque le script prend fin, les lignes suivantes s’affichent.

    Écran succès de Citrix Gateway

Tester la configuration

Pour valider la configuration :

  1. Vérifiez que le serveur virtuel Citrix Gateway affiche un état Actif.

    Écran état de Citrix Gateway

  2. Vérifiez que le serveur virtuel d’équilibrage de charge du proxy indique un état Actif.

    Écran état de Citrix Gateway

  3. Ouvrez un navigateur Web, connectez-vous à l’adresse URL de Citrix Gateway et essayez de vous authentifier. Si l’authentification réussit, vous serez redirigé vers un message « État HTTP 404 - Introuvable. »

  4. Inscrivez un appareil et assurez-vous qu’il est inscrit auprès de MDM et MAM.

Configuration de l’authentification multi-domaines

Si vous disposez de plusieurs instances Endpoint Management, telles que les environnements de test, de développement et de production, vous devez configurer manuellement Citrix Gateway pour les environnements supplémentaires. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Configuration de Citrix Gateway

Pour configurer les stratégies d’authentification Citrix Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’onglet Configuration de l’outil de configuration Citrix Gateway, développez Citrix Gateway > Policies > Authentication.
  2. Dans le panneau de navigation, cliquez sur LDAP.
  3. Cliquez pour modifier le profil LDAP. Définissez Server Logon Name Attribute sur userPrincipalName ou sur l’attribut que vous souhaitez utiliser pour vos recherches. Prenez note de l’attribut que vous spécifiez. Vous devez le fournir lorsque vous configurez les paramètres LDAP dans la console Endpoint Management.

    Écran de configuration de Citrix Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel Citrix Gateway, accédez à Edit session profile > Published Applications. Assurez-vous que le champ Single Sign-On Domain est vide.

Configuration de Endpoint Management

Pour configurer les paramètres LDAP de Endpoint Management pour un environnement multi-domaine :

  1. Dans la console Endpoint Management, accédez à Settings > LDAP et ajoutez ou modifiez un répertoire.

    Écran des paramètres LDAP de Endpoint Management

  2. Entrez les informations.

    • Dans Domain Alias, spécifiez chaque domaine à utiliser pour l’authentification utilisateur. Séparez les domaines avec une virgule et n’insérez pas d’espaces entre les domaines. Par exemple : domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champ User search by correspond à l’attribut Server Logon Name Attribute spécifié dans la stratégie LDAP Citrix Gateway.

    Écran des paramètres LDAP de Endpoint Management

Supprimer les demandes de connexion entrante vers des adresses URL spécifiques

Dans votre environnement, si Citrix Gateway est configuré pour le déchargement SSL, vous pouvez souhaiter que la passerelle supprime les demandes de connexion entrante pour des adresses URL spécifiques. Si vous préférez une sécurité supplémentaire, contactez Citrix Cloud Operations et demandez-leur de placer votre adresse IP sur liste blanche dans vos centres de données locaux.