Prise en charge des applications Web d’entreprise

La mise à disposition d’applications Web à l’aide du Citrix Gateway Service permet de fournir des applications spécifiques à l’entreprise à distance en tant que service Web. Les applications Web couramment utilisées incluent SharePoint, Confluence, OneBug, etc.

Les applications Web sont accessibles à l’aide de Citrix Workspace à l’aide du Citrix Gateway Service. Le Citrix Gateway Service associé à Citrix Workspace fournit une expérience utilisateur unifiée pour les applications Web configurées, les applications SaaS, les applications virtuelles configurées ou toute autre ressource de l’espace de travail.

La connexion SSO et l’accès à distance aux applications Web sont disponibles dans le cadre des packages de services suivants :

  • Standard de service de passerelle
  • Workspace Standard, Workspace Premium ou Workspace Premium Plus

Configuration système requise

Citrix Gateway Connector  : dispositif virtuel qui facilite l’accès à distance aux applications Web d’entreprise. Citrix Gateway Connector est un dispositif virtuel. La spécification de la machine virtuelle doit comporter au moins les éléments suivants :

  • Le nombre de vCPU doit être exactement égal à 2.
  • 4 Go de RAM minimum.
  • 1 carte réseau (carte réseau virtuelle). Vous pouvez ajouter une carte réseau virtuelle supplémentaire si nécessaire.

Installez le connecteur de passerelle avant de configurer les applications Web d’entreprise pour une approche plus propre.

Important :

S’il existe des périphériques d’interception SSL dans le centre de données local où Citrix Gateway Connector doit être déployé, l’enregistrement du connecteur échoue si l’interception SSL est activée pour ces noms de domaine complet. L’interception SSL doit être désactivée pour ces noms de domaine complets pour l’inscription du connecteur réussisse. Pour plus d’informations sur Citrix Gateway Connector, consultez Citrix CloudGateway Connector.

Connector Appliance - Vous pouvez utiliser l’appliance Connector avec le service Citrix Secure Workspace Access pour prendre en charge l’accès sans VPN aux applications Web d’entreprise dans le centre de données des clients. Pour plus de détails, consultez https://docs.citrix.com/en-us/preview/connector-appliance-swa.html. Secure Workspace Access with Connector Appliance fait actuellement l’objet d’un aperçu technique privé.

Fonctionnement

Le Citrix Gateway Service se connecte en toute sécurité au centre de données local à l’aide de Citrix CloudGateway Connector, qui est déployé sur site. Ce connecteur sert de pont entre les applications Web d’entreprise déployées sur site et le Citrix Gateway Service. Ces connecteurs peuvent être déployés dans une paire HA et ne nécessitent qu’une connexion sortante.

Une connexion TLS entre le connecteur de passerelle et le Citrix Gateway Service dans le cloud sécurise les applications locales qui sont énumérées dans le service cloud. Les applications Web sont accessibles et mises à disposition via Workspace à l’aide d’une connexion sans VPN. La figure suivante illustre l’accès aux applications Web à l’aide de Citrix Workspace.

Fonctionnent des applications Web

Méthodes de configuration des applications Web d’entreprise

Les applications Web d’entreprise peuvent être configurées et publiées de deux manières :

Configurer et publier manuellement les applications Web d’entreprise

La configuration suivante prend l’application SharePoint comme exemple pour configurer et publier une application manuellement :

  1. Sur la vignette Citrix Gateway Service, cliquez sur Gérer.

  2. Cliquez sur Ajouter une application Web/SaaS sous la vignette Single Sign On .

  3. Cliquez sur Ignorer pour configurer manuellement l’application SharePoint .

    Sauter l'ajout d'un modèle

  4. Cochez la case d’option Dans mon réseau d’entreprise .

    Entrez les informations suivantes dans la section Détails de l’application, puis cliquez sur Suivant.

    Nom  : nom de l’application que vous ajoutez.

    URL : URL avec votre ID client. L’URL doit contenir votre ID client (ID client Citrix Cloud). Pour obtenir votre ID client, consultez la section S’inscrire à Citrix Cloud. En cas d’échec de l’authentification unique ou si vous ne souhaitez pas utiliser l’authentification unique, l’utilisateur est redirigé vers cette URL.

    Nom de domaine duclient et ID de domaine client : le nom et l’ID de domaine du client sont utilisés pour créer l’URL de l’application et les autres URL suivantes dans la page SSO SAML.

    Par exemple, si vous ajoutez une application Salesforce, votre nom de domaine est salesforceformyorg et l’ID est 123754, puis l’URL de l’application est https://salesforceformyorg.my.salesforce.com/?so=123754.

    Les champs Nom de domaine du client et ID client sont spécifiques à certaines applications.

    Domaines associés  : le domaine associé est automatiquement renseigné en fonction de l’URL que vous avez fournie. Le domaine associé aide le service à identifier l’URL dans le cadre de l’application et à acheminer le trafic en conséquence. Vous pouvez ajouter plusieurs domaines associés.

    Icône  : cliquez sur l’icône Modifier pour modifier l’icône de l’application. La taille du fichier d’icônes doit être de 128 x 128 pixels. Si vous ne modifiez pas l’icône, l’icône par défaut est affichée.

    Description  : cette description que vous entrez ici est affichée à vos utilisateurs dans l’espace de travail.

    Ne pas afficher l’icône de l’application aux utilisateurs  : cochez la case si vous souhaitez masquer cette application dans le portail Citrix Workspace. Lorsqu’une application est masquée dans le portail Citrix Workspace, le service Secure Workspace Access ne renvoie pas cette application pendant l’énumération. Toutefois, les utilisateurs peuvent toujours accéder à l’application masquée.

    Détails de l'application Web

  5. Dans la section Sécurité renforcée, sélectionnez Activer la sécurité renforcée pour choisir les options de sécurité que vous souhaitez appliquer à l’application.

    Important :

    La section Sécurité renforcée n’est disponible que si vous avez droit au service Secure Workspace Access. Pour plus de détails, consultez https://www.citrix.com/products/citrix-cloud/.

    • Les options de sécurité améliorées suivantes peuvent être activées pour l’application.

      • Restreindre l’accès au presse-papiers : désactive les opérations de couper/copier/coller entre l’application et le presse-papiers système
      • Restreindre l’impression : désactive la possibilité d’imprimer depuis le navigateur de l’application Citrix Workspace
      • Restreindre la navigation : désactive les boutons du navigateur de l’application suivante/arrière
      • Restreindre les téléchargements : désactive la possibilité de téléchargement de l’utilisateur à partir de l’application
      • Afficher le filigrane : affiche un filigrane sur l’écran de l’utilisateur affichant le nom d’utilisateur et l’adresse IP de la machine de l’utilisateur

      Options de sécurité améliorées

    • Les stratégies avancées de protection des applications suivantes peuvent être activées pour l’application.

      Restreindre l’enregistrement de frappe : protège contre les enregistreurs de frappe. Lorsqu’un utilisateur tente de se connecter à l’application à l’aide du nom d’utilisateur et du mot de passe, toutes les clés sont chiffrées sur les enregistreurs de frappe. De plus, toutes les activités effectuées par un utilisateur sur l’application sont protégées contre la journalisation des clés. Par exemple, si les stratégies de protection des applications sont activées pour Office365 et que l’utilisateur modifie un document Word Office365, toutes les frappes sont chiffrées sur les enregistreurs de frappe.

      Restreindre la capture d’écran : désactive la possibilité de capturer les écrans à l’aide de l’un des programmes ou applications de capture d’écran. Si un utilisateur tente de capturer l’écran, un écran vide est capturé.

      Important :

      • Vous ne pouvez activer les stratégies de protection avancée des applications qu’après avoir activé l’option Activer la sécurité renforcée .
      • Les stratégies de protection des applications sont activées par application, car toutes les applications peuvent ne pas nécessiter ces restrictions.
      • Les stratégies de protection des applications fonctionnent uniquement lorsque l’application est mise à disposition via le navigateur intégré Citrix.
    • Sélectionnez Lancer l’application toujours dans le service Citrix Secure Browser pour toujours lancer une application dans le service Secure Browser, quels que soient les autres paramètres de sécurité améliorés.

      Remarque :

      • Les autres options de sécurité renforcées sont toujours appliquées une fois que l’application est lancée dans le navigateur sécurisé.

      • Si vous accédez à l’application à partir de l’application Citrix Workspace ou de Citrix Workspace pour le Web, l’application est lancée dans le navigateur intégré ou le navigateur natif respectivement jusqu’à ce que la stratégie soit appliquée sur les appareils mobiles.

    • Sélectionnez Appliquer la stratégie sur les appareils mobiles pour activer les options de sécurité améliorées mentionnées précédemment sur votre appareil mobile.

      Remarque :

      Lorsque l’option Appliquer la stratégie sur l’appareil mobile est sélectionnée en même temps que Activer la sécurité renforcée, l’expérience utilisateur de l’accès à l’application est affectée négativement pour les utilisateurs de bureau et les utilisateurs mobiles.

  6. Vous devez maintenant vous connecter à un emplacement de ressources. Vous pouvez sélectionner un emplacement de ressources existant ou en créer un. Pour choisir un emplacement de ressources existant, cliquez sur l’un des emplacements de ressources dans la liste des emplacements de ressources, par exemple Mon emplacement de ressource, puis cliquez sur Suivant. Pour obtenir des conseils sur l’ajout d’un emplacement de ressources, cliquez sur https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

    Ajouter nouvel emplacement de ressources

  7. Sélectionnez le type d’authentification unique que vous souhaitez utiliser pour votre application, puis cliquez sur Enregistrer. Les types d’authentification unique suivants sont disponibles.

    • De base : si votre serveur principal vous présente un défi de base 401, choisissez l’authentification unique de base. Il n’est pas nécessaire de fournir des détails de configuration pour le type d’ accès SSO de base .
    • Kerberos — Si votre serveur principal vous présente le défi Negotiate-401, choisissez Kerberos. Il n’est pas nécessaire de fournir des détails de configuration pour le type d’accès SSO Kerberos .
    • Basé sur un formulaire  : si votre serveur principal vous présente un formulaire HTML pour l’authentification, choisissez Form Based. Entrez les détails de configuration du type SSO basé sur un formulaire .
    • SAML - Choisissez SAML pour l’SSO basée sur SAML dans les applications Web. Entrez les détails de configuration du type SSO SAML .
    • Ne pas utiliser l’authentification unique  : utilisez l’option Ne pas utiliser l’authentification unique lorsque vous n’avez pas besoin d’authentifier un utilisateur sur le serveur principal. Lorsque l’option Ne pas utiliser l’authentification unique est sélectionnée, l’utilisateur est redirigé vers l’URL configurée dans la section Détails de l’application .

    Détails basés sur un formulaire : saisissez les détails de configuration basés sur les formulaires suivants dans la section Connexion unique, puis cliquez sur Enregistrer.

    Enregistrer la configuration 1

    • URL de l’action  : saisissez l’URL à laquelle le formulaire rempli est envoyé.
    • URL du formulaire de connexion  : saisissez l’URL sur laquelle le formulaire d’ouverture de session est présenté.
    • Format du nom d’utilisateur  : sélectionnez un format pour le nom d’utilisateur.
    • Champ de formulaire de nom d’utilisateur : saisissez un attribut de nom d’utilisateur.
    • Champ de formulaire de mot de passe : entrez un attribut de mot de passe.

    SAML : saisissez les informations suivantes dans la section Connexion et cliquez sur Enregistrer.

    Enregistrer le fichier config2

    • Assertion de signature - La signature de l’assertion ou de la réponse garantit l’intégrité du message lorsque la réponse ou l’assertion est remise à la partie de confiance (SP). Vous pouvez sélectionner Assertion, Réponse, Les deux ou Aucun.
    • URL d’assertion : L’URL d’assertion est fournie par le fournisseur de l’application. L’assertion SAML est envoyée à cette URL.
    • État du relais  : le paramètre Relay State est utilisé pour identifier la ressource spécifique à laquelle les utilisateurs accèdent une fois qu’ils sont connectés et dirigés vers le serveur de fédération de la partie de confiance. État de relais génère une URL unique pour les utilisateurs. Les utilisateurs peuvent cliquer sur cette URL pour ouvrir une session sur l’application cible.
    • Audience  : l’audience est fournie par le fournisseur de l’application. Cette valeur confirme que l’assertion SAML est générée pour l’application appropriée.
    • Format d’ID de nom : sélectionnez le format d’identificateur de nom pris en charge.

    • ID de nom  : sélectionnez l’ID de nom pris en charge.
  8. Cliquez sur Terminer.

    Une fois que vous avez cliqué sur Terminer, l’application est ajoutée à la bibliothèque et les trois options suivantes s’affichent.

    • Ajouter une autre application
    • Modifier l’application
    • Accéder à la bibliothèque

Affecter des utilisateurs ou des groupes d’utilisateurs aux applications publiées

Une fois qu’une application est publiée, vous pouvez attribuer des utilisateurs ou des groupes à l’application.

  1. Sur l’écran Citrix Cloud, cliquez sur Accéder à la bibliothèque. Vous pouvez également cliquer sur Bibliothèque dans le menu supérieur gauche.

    Notez les fonctionnalités de l’application nouvellement ajoutées dans votre bibliothèque.

    Library

  2. Pour attribuer des utilisateurs à l’application, placez le pointeur de la souris sur les points de suspension à droite, puis cliquez sur Gérer les abonnés.

    Gérer les abonnés

  3. Cliquez sur Choisir une liste de domaines et sélectionnez un domaine. Cliquez sur Choisir un groupe ou un utilisateur et attribuer des utilisateurs.

    Attribuer des utilisateurs ou des groupes

    Remarque : un utilisateur abonné peut être désabonné en sélectionnant l’utilisateur et en cliquant sur l’icône de suppression en regard de État.

  4. Pour obtenir l’URL de l’espace de travail à partager avec les utilisateurs de l’application, sur Citrix Cloud, cliquez sur l’icône de menu et accédez à Configuration de l’espace de travail.

    Obtention de l'URL de l'espace

Gérez vos applications publiées

Vous pouvez modifier ou supprimer une application publiée, et ajouter d’autres abonnés à l’application publiée.

Modifier une application publiée

Pour modifier une application publiée, effectuez les opérations suivantes :

  1. Accédez à la bibliothèque et identifiez l’application à modifier.

  2. Placez le pointeur sur les ellipses à droite, puis cliquez sur Modifier.

  3. Modifiez les entrées dans la section Détails de l’application, puis cliquez sur Enregistrer.

  4. Modifiez les entrées de la section Connexion unique, cliquez sur Enregistrer, puis sur Terminer.

Supprimer une application publiée

Pour supprimer une application publiée, effectuez les opérations suivantes :

  1. Accédez à la bibliothèque et identifiez l’application à supprimer.
  2. Cliquez sur l’icône en forme de point à droite, puis sur Supprimer.

Gérer les abonnés à l’application publiée

Pour ajouter d’autres abonnés, effectuez les opérations suivantes :

  1. Accédez à la bibliothèque et identifiez l’application à modifier.
  2. Placez le pointeur de la souris sur les points de suspension à droite, puis cliquez sur Gérer les abonnés.

Lancement d’une application configurée — flux d’utilisateurs finaux

Pour lancer une application configurée, effectuez les opérations suivantes :

  1. Ouvrez une session sur Citrix Workspace avec les informations d’identification de l’utilisateur AD. L’application configurée par l’administrateur s’affiche.
  2. Cliquez sur l’application pour la lancer. L’application est lancée et l’utilisateur est connecté à l’application.

Activer l’accès sans VPN aux applications Web d’entreprise via un navigateur local

Vous pouvez utiliser l’extension de navigateur Citrix Secure Workspace Access pour activer l’accès sans VPN aux applications Web d’entreprise via un navigateur local. L’extension de navigateur Citrix Secure Workspace Access est prise en charge sur les navigateurs Google Chrome et Microsoft Edge.

Comment installer l’extension de navigateur Citrix Secure Workspace Access

  1. Téléchargez l’extension de navigateur Citrix Secure Workspace Access depuis le Google Chrome Store.
  2. Cliquez sur Enregistrer pour enregistrer le nom de domaine complet de votre serveur.
  3. Entrez le nom de domaine complet de votre serveur et cliquez sur Suivant. S'inscrire à l'extension de navigateur
  4. Entrez votre URL Citrix Workspace.
  5. Cliquez sur Suivant.
  6. Entrez votre nom d’utilisateur et votre mot de passe.
    • Lorsque vous saisissez les informations d’identification de l’utilisateur correctes, l’utilisateur est connecté au portail Web Workspace et à l’extension de navigateur.
    • L’icône de l’extension du navigateur devient bleue, indiquant que l’accès interne à l’application est activé.
    • La fenêtre d’extension du navigateur se ferme automatiquement après la connexion réussie. Après l'enregistrement de l'extension de navigateur
  7. L’accès aux liens des applications Web internes approuvées est désormais activé directement dans le navigateur. Si l’application Web est configurée pour l’authentification SSO, l’utilisateur est connecté à l’application.

Remarque :

  • Lorsque vous êtes sur le réseau interne et que vous n’avez pas besoin de l’extension de navigateur pour autoriser l’accès à ces URL, vous pouvez désactiver le curseur Accès interne aux applications, puis accéder aux URL.
  • Vous pouvez vous déconnecter de l’extension de navigateur si vous souhaitez désactiver l’accès à l’application Web interne à partir du navigateur local.
  • Vous pouvez également supprimer l’enregistrement de votre compte en cliquant sur le bouton Supprimer pour rétablir l’état initial de l’extension. Une fois que vous avez désinscrit votre compte, vous ne pouvez plus accéder aux applications Web d’entreprise à partir de votre navigateur natif.

Configuration des délais d’expiration de session

Les administrateurs peuvent configurer des délais d’expiration de session pour l’extension de navigateur Citrix Secure Workspace Access.

  1. Dans la vignette Citrix Gateway Service, cliquez sur Gérer.
  2. Cliquez sur l’onglet Manage.
  3. Dans Délai d’inactivité pour le comportement de l’extension du navigateur, sélectionnez le délai d’expiration conformément aux exigences.

Important :

Les règles de routage ne peuvent pas être envoyées temporairement à l’extension de navigateur.