Citrix Secure Private Access

Tables de routage pour résoudre les conflits résultant des mêmes domaines connexes

La fonctionnalité des domaines d’application du service Citrix Secure Private Access permet aux clients de prendre des décisions de routage qui autorisent le routage des domaines d’applications connexes en externe ou en interne via des appliances Connector.

Considérez que le client a configuré les mêmes domaines associés au sein d’une application SaaS et d’une application Web interne. Par exemple, si Okta est le fournisseur d’identité SAML pour Salesforce (application SaaS) et Jira (application Web interne), l’administrateur peut configurer en *.okta.com tant que domaine associé dans la configuration des deux applications. Cela entraîne un conflit et l’utilisateur final rencontre un comportement incohérent. Dans ce scénario, l’administrateur peut définir des règles pour acheminer ces applications en externe ou en interne via les appliances Connector, selon les besoins.

La fonctionnalité Application Domains permet également aux administrateurs de configurer les appliances Connector de manière à contourner les serveurs proxy Web du client pour accéder aux serveurs Web internes. Ces politiques de contournement étaient auparavant configurées manuellement en exécutant les commandes NSCLI sur le Connector Appliance.

Fonctionnement de la table de routage

Les administrateurs peuvent définir le type d’itinéraire pour les applications comme étant externe, interne ou externe via Connector Appliance, en fonction de la manière dont ils souhaitent définir le flux de trafic.

  • Externe  : le trafic est directement acheminé vers Internet.
  • Interne  : le trafic passe par l’Connector Appliance.
    • Dans le cas d’une application Web, le trafic circule dans le centre de données.
    • Pour une application SaaS, le trafic est acheminé hors du réseau via l’Connector Appliance.
  • Interne : proxy de contournement  : le trafic du domaine est acheminé via les appliances Citrix CloudConnector, en contournant le proxy Web du client configuré sur l’Connector Appliance.
  • Externe via un connecteur  : les applications sont externes mais le trafic doit passer par l’Connector Appliance vers le réseau externe.

Remarque :

  • Les entrées de route n’ont aucun impact sur les stratégies de sécurité configurées sur les applications.
  • Si les administrateurs n’ont pas l’intention d’utiliser une entrée dans la table de routage ou si les applications correspondantes ne fonctionnent pas comme prévu, les administrateurs peuvent simplement désactiver l’entrée au lieu de la supprimer.
  • Tous les appareils Connector destinés à un client en particulier, quel que soit le type d’application, bénéficient des paramètres SSO. Auparavant, le paramètre SSO d’une application particulière était lié à un emplacement de ressources.

Table de routage principale

La table de routage principale est accessible depuis la vignette Secure Private Access.

  1. Ouvrez une session sur le compte Citrix Cloud.
  2. Dans la vignette Accès privé sécurisé, cliquez sur Gérer .
  3. Dans le volet de navigation, cliquez sur Paramètres. La page Domaines d’application s’affiche.

Table de routage principale

La table de routage principale affiche les colonnes suivantes.

  • FQDN/IP : nom de domaine complet ou adresse IP pour laquelle le type de routage du trafic doit être configuré.
  • Type : typed’application. Interne, externeou externe via le connecteur sélectionné lors de l’ajout de l’application.

    Important :

    En cas de conflit, une icône d’alerte s’affiche pour la ligne correspondante du tableau. Pour résoudre le conflit, les administrateurs doivent cliquer sur l’icône triangulaire et modifier le type d’application dans la table principale.

  • Emplacement des ressources : Emplacement des ressources pour la gamme de type Interne. Si aucun emplacement de ressource n’est alloué, une icône triangulaire apparaît dans la colonne Emplacement des ressources de l’application concernée. Lorsque vous passez la souris sur l’icône, le message suivant s’affiche.

    Emplacement des ressources manquant. Assurez-vous qu’un emplacement de ressources est associé à ce nom de domaine complet.

  • État : L’interrupteur à bascule de la colonne Statut peut être utilisé pour désactiver l’itinéraire d’une entrée de route sans supprimer l’application. Lorsque l’interrupteur à bascule est désactivé, l’entrée de route ne prend pas effet. De plus, s’il existe des noms de noms de liste de noms de niveau (FQDN) de correspondance exacte, les administrateurs peuvent sélectionner l’itinéraire à activer ou à désactiver.
  • Commentaires : affiche les commentaires, le cas échéant.
  • Actions : L’icône de modification permet d’ajouter un emplacement de ressource ou de modifier le type d’entrée d’itinéraire. L’icône Supprimer permet de supprimer l’itinéraire.

Ajouter un nom de domaine complet à la table Domaines d’application

Les administrateurs peuvent ajouter un nom de domaine complet dans le tableau Domaines d’application et choisir le type de routage approprié.

  1. Cliquez sur Ajouter dans la page Domaine des applications.
  2. Entrez le nom de domaine complet et sélectionnez le type de routage approprié pour le nom de domaine complet.

Ajouter une entrée de route

Mini table de routage

Une version mini du tableau Domaines d’application est disponible pour prendre les décisions de routage lors de la configuration de l’application. La mini-table de routage disponible dans la section App Connectivity de l’interface utilisateur du service Citrix Secure Private Access.

Pour ajouter des itinéraires à la mini table de routage

Les étapes pour ajouter une application dans le service Citrix Secure Private Access restent les mêmes que celles décrites dans les rubriques Support pour les applications logicielles en tant que service et Support pour les applications Web d’entreprise, à l’exception des deux modifications suivantes :

  1. Effectuez les étapes suivantes :
    • Choisissez un modèle.
    • Entrez les détails de l’application.
    • Choisissez les détails de sécurité améliorés, le cas échéant.
    • Sélectionnez la méthode d’authentification unique, le cas échéant.
  2. Cliquez sur Connectivité des applications. - Une version mini du tableau Domaines d’application est disponible pour prendre les décisions de routage lors de la configuration de l’application.

    Mini table de routage

    • Domaines : la colonne Domaines affiche une ou plusieurs lignes pour une application particulière. La première ligne affiche l’URL de l’application que l’administrateur a saisie lors de l’ajout des détails de l’application. Les autres lignes sont tous des domaines associés qui sont saisis lors de l’ajout des détails de l’application. Si l’URL de l’application et les domaines associés sont identiques, ils sont affichés sur une ligne.

    Une ligne affiche l’URL d’assertion SAML, si l’authentification unique SAML est sélectionnée.

    • Type : sélectionnez l’une des options suivantes.
      • Externe  : le trafic est directement acheminé vers Internet.
      • Interne  : le trafic passe par l’Connector Appliance et l’application est traitée comme une application Web.

        • Dans le cas d’une application Web, le trafic circule dans le centre de données.

        • Pour une application SaaS, le trafic est acheminé hors du réseau via l’Connector Appliance.

      • Interne — proxy de contournement  : le trafic du domaine est acheminé via les appliances Citrix Cloud Connector, en contournant le proxy Web du client configuré sur l’Connector Appliance.
      • Externe via un connecteur  : les applications sont externes mais le trafic doit être acheminé via l’Connector Appliance vers le réseau externe.
    • Emplacement des ressources : renseigné automatiquement lorsque vous sélectionnez le type Interne pour une application. Modifiez-la si vous souhaitez un autre emplacement de ressources.
    • État de Connector Appliance : renseigné automatiquement, avec l’emplacement des ressources, lorsque vous sélectionnez le type Internal pour une application.
Tables de routage pour résoudre les conflits résultant des mêmes domaines connexes