Accès contextuel en fonction de l’état de sécurité de l’appareil

Le service Citrix Secure Private Access fournit un accès contextuel basé sur l’état de l’appareil à l’aide d’une passerelle NetScaler Gateway sur site ou d’une passerelle NetScaler Gateway hébergée par le client (authentification adaptative) en tant que fournisseur d’identité auprès de Citrix Workspace. Les applications Web d’entreprise ou SaaS peuvent être énumérées ou masquées pour l’utilisateur final en fonction des résultats de la vérification EPA et de la stratégie Smart Access configurée.

Remarque : L’authentification adaptative est un service Citrix Cloud qui permet l’authentification avancée pour les utilisateurs qui se connectent à Citrix Workspace. L’authentification adaptative fournit une instance de passerelle exécutée dans le cloud et vous pouvez configurer le mécanisme d’authentification pour cette instance, le cas échéant.

Conditions préalables

• Citrix Gateway en tant que fournisseur d’identité doit être configuré pour Citrix Workspace. Pour plus d’informations, consultez la section Utiliser une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour Citrix Cloud.
• NetScaler ADC version 13.0 Build 82.109 ou supérieure.
• Les balises Smart Access sont configurées sur l’appliance Citrix Gateway.

Comprendre le flux des événements

• L’utilisateur entre l’URL de l’espace de travail dans un navigateur ou se connecte à un magasin d’espace de travail à l’aide d’une application Citrix Workspace native.
• L’utilisateur est redirigé vers Citrix Gateway configuré en tant que fournisseur d’identité.
• L’utilisateur est invité à autoriser l’exécution d’une vérification EPA sur son appareil.
• NetScaler Gateway effectue une vérification EPA après avoir donné le consentement de l’utilisateur pour analyser l’appareil et écrit les balises d’accès intelligentes dans le CAS par rapport à l’ID de l’appareil.
• L’utilisateur se connecte à Citrix Workspace à l’aide du fournisseur d’identité Citrix Gateway et du mécanisme d’authentification configuré.
• Citrix Gateway fournit des informations de stratégie d’accès intelligent à Citrix Workspace et Secure Private Access.
• L’utilisateur est redirigé vers la page d’accueil de Citrix Workspace.
• Citrix Workspace traite les balises d’accès intelligentes fournies par Citrix Gateway configuré en tant que fournisseur d’identité, puis détermine les applications qui doivent être énumérées et affichées à l’utilisateur final.

Scénario de configuration : énumération d’applications Web ou SaaS d’entreprise basée sur des analyses de posture de l’appareil

Étape 1 : Configuration des stratégies d’accès intelligent à l’aide de l’interface graphique Citrix Gateway

1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Profils.
2. Dans l’onglet Profils, cliquez sur Ajouter pour créer un profil.

1. Dans la zone Balises, saisissez le nom de la balise Smart Access. Il s’agit de la balise que vous devez entrer manuellement lors de la création de la stratégie d’accès contextuelle.
2. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Stratégies.
3. Cliquez sur Add pour créer une stratégie.

1. Dans Action, sélectionnez le profil créé précédemment et cliquez sur Ajouter.
2. Dans Expression, créez l’expression de stratégie et cliquez sur OK.

Étape 2 : Créer une stratégie d’accès contextuelle

Suivez les étapes détaillées dans la section Créer une stratégie d’accès contextuelle.

• Dans SI LA CONDITION SUIVANTE EST REMPLIE, sélectionnez Vérification de l’état de sécurité de l’appareil.
• SI vous avez configuré plusieurs balises d’accès intelligentes, sélectionnez l’une des options suivantes selon vos besoins.
  • Correspondance de tous : l’ID de l’appareil doit correspondre à toutes les balises d’accès intelligentes écrites sur l’ID de l’appareil lorsque vous vous connectez à Citrix Workspace.
  • Correspondance le cas échéant : l’ID de l’appareil doit correspondre à l’une des balises d’accès intelligentes écrites sur l’ID de l’appareil lorsque vous vous connectez à Citrix Workspace.
• Dans la zone Entrer des balises personnalisées, tapez manuellement la balise Smart Access. Ces balises doivent être identiques aux balises configurées dans NetScaler Gateway (Créer un profil Smart Access d’authentification > Balises).

Points à noter

• L’évaluation de l’état de sécurité se produit uniquement lorsque vous ouvrez une session sur Citrix Workspace (uniquement pendant les authentifications).
• Dans la version actuelle, l’évaluation continue de l’état de sécurité de l’appareil n’est pas effectuée. Si le contexte de l’appareil change après que l’utilisateur se connecte à Citrix Workspace, les conditions de stratégie n’ont aucun impact sur l’évaluation de l’état de sécurité de l’appareil.
• Device ID est un GUID généré pour chaque machine de l’utilisateur final. L’ID de l’appareil peut changer si le navigateur utilisé pour accéder à Citrix Workspace est modifié, si les cookies sont supprimés ou si le mode incognito/privé est utilisé. Toutefois, ce changement n’a aucune incidence sur l’évaluation de la stratégie.