Prise en charge des applications Web d’entreprise

La mise à disposition d’applications Web à l’aide du service Citrix Gateway permet de fournir des applications spécifiques à l’entreprise à distance en tant que service Web. Les applications Web couramment utilisées incluent SharePoint, Confluence, OneBug, etc.

Les applications Web sont accessibles à l’aide de Citrix Workspace à l’aide du service Citrix Gateway. Le service Citrix Gateway couplé à Citrix Workspace offre une expérience utilisateur unifiée pour les applications Web configurées, les applications SaaS, les applications virtuelles configurées ou toute autre ressource d’espace de travail.

L’accès SSO et l’accès à distance aux applications Web sont disponibles dans le cadre des packages de services suivants :

  • Norme de service passerelle
  • Espace de travail Standard, Workspace Premium ou Workspace Premium Plus

Configuration système requise

Citrix Gateway Connector : appliance virtuelle qui facilite l’accès à distance aux applications Web d’entreprise. Citrix Gateway Connector est une appliance virtuelle. La spécification de la machine virtuelle doit au moins avoir :

  • Le nombre de VCPU doit être exactement 2.
  • 4 Go de RAM minimum.
  • 1 Carte réseau (carte réseau virtuelle). Vous pouvez ajouter une carte réseau virtuelle supplémentaire si nécessaire.

Installez Gateway Connector avant de configurer les applications Web Enterprise pour une approche plus propre.

Important :

s’il existe des périphériques d’interception SSL dans le centre de données local où le connecteur Citrix Gateway doit être déployé, l’enregistrement du connecteur ne réussit pas si l’interception SSL est activée pour ces noms complets. L’interception SSL doit être désactivée pour ces noms de domaine complets pour l’inscription du connecteur réussisse. Pour plus d’informations sur Citrix Gateway Connector, reportez-vous à la section Connecteur Citrix CloudGateway.

Fonctionnement

Le service Citrix Gateway se connecte en toute sécurité au centre de données local à l’aide de Citrix CloudGateway Connector, qui est déployé sur site. Ce connecteur agit comme un pont entre les applications Web d’entreprise déployées sur site et le service Citrix Gateway. Ces connecteurs peuvent être déployés dans une paire HA et nécessitent uniquement une connexion sortante.

Une connexion TLS entre le connecteur Gateway et le service Citrix Gateway dans le cloud sécurise les applications locales énumérées dans le service cloud. Les applications Web sont accessibles et livrées via Workspace à l’aide d’une connexion sans VPN. La figure suivante illustre l’accès aux applications Web à l’aide de Citrix Workspace.

Fonctionnement des applications Web

Méthodes de configuration des applications Web d’entreprise

Les applications Web d’entreprise peuvent être configurées et publiées de deux manières :

Configurer et publier manuellement des applications Web d’entreprise

La configuration suivante prend l’application SharePoint comme exemple pour configurer et publier une application manuellement :

  1. Sur la vignette Citrix Gateway Service, cliquez sur Gérer.

  2. Cliquez sur Ajouter une application Web/SaaS sous la vignette Connexion unique.

  3. Cliquez sur Ignorer pour configurer manuellement l’application SharePoint.

    Ignorer l'ajout de modèle

  4. Vérifiez à l’intérieur de mon réseau d’entreprise bouton radio.

    Entrez les détails suivants dans la section Détails de l’application et cliquez sur Suivant.

    Nom  : nom de l’application que vous ajoutez.

    URL : URL avec votre ID client. L’URL doit contenir votre ID client (ID client Citrix Cloud). Pour obtenir votre ID client, consultez S’inscrire à Citrix Cloud. En cas d’échec de l’authentification SSO ou si vous ne souhaitez pas utiliser l’authentification SSO, l’utilisateur est redirigé vers cette URL.

    Nom de domaine clientet ID de domaine client - Le nom de domaine client et l’ID sont utilisés pour créer l’URL de l’application et d’autres URL suivantes dans la page SSO SAML.

    Par exemple, si vous ajoutez une application Salesforce, votre nom de domaine est salesforceformyorg et l’ID est 123754, l’URL de l’application est https://salesforceformyorg.my.salesforce.com/?so=123754.

    Les champs Nom de domaine client et ID client sont spécifiques à certaines applications.

    Domaines associés — Le domaine associé est automatiquement renseigné en fonction de l’URL que vous avez fournie. Le domaine associé aide le service à identifier l’URL dans le cadre de l’application et à acheminer le trafic en conséquence. Vous pouvez ajouter plus d’un domaine associé.

    Icône : cliquez sur Changer icône pour modifier l’icône de l’application. La taille du fichier d’icônes doit être de 128 x 128 pixels. Si vous ne modifiez pas l’icône, l’icône par défaut s’affiche.

    Description — Cette description que vous entrez ici est affichée pour vos utilisateurs dans l’espace de travail.

    Détails de l'application Web

  5. Dans la section Sécurité renforcée, sélectionnez Activer la sécurité renforcée pour choisir les options de sécurité que vous souhaitez appliquer à l’application.

    Important :

    la section Sécurité améliorée n’est disponible que si vous avez droit au service Secure Workspace Access. Pour plus de détails, consultez la section https://www.citrix.com/products/citrix-cloud/.

    • Les options de sécurité améliorées suivantes peuvent être activées pour l’application.

      • Restreindre l’accès au Presse-papiers : désactive les opérations de coupe/copier/coller entre l’application et le Presse-papiers système
      • Restreindre l’impression : désactive la possibilité d’imprimer à partir du navigateur de l’application Citrix Workspace
      • Restreindre la navigation : désactive les boutons du navigateur de l’application suivante/arrière
      • Restreindre les téléchargements : désactive la possibilité de téléchargement de l’utilisateur à partir de l’application
      • Afficher filigrane : Affiche un filigrane sur l’écran de l’utilisateur affichant le nom d’utilisateur et l’adresse IP de la machine de l’utilisateur

      Options de sécurité améliorées

    • Les stratégies avancées de protection des applications suivantes peuvent être activées pour l’application.

      Restreindre la journalisation des touches : protège contre les enregistreurs de clés. Lorsqu’un utilisateur tente de se connecter à l’application à l’aide du nom d’utilisateur et du mot de passe, toutes les clés sont chiffrées dans les enregistreurs de clés. En outre, toutes les activités qu’un utilisateur effectue sur l’application sont protégées contre la journalisation des clés. Par exemple, si les stratégies de protection des applications sont activées pour Office365 et que l’utilisateur modifie un document Word Office365, tous les traits de touches sont chiffrés sur les enregistreurs de clés.

      Restreindre la capture d’écran : désactive la possibilité de capturer les écrans à l’aide de l’un des programmes ou applications de capture d’écran. Si un utilisateur tente de capturer l’écran, un écran vide est capturé.

      Important :

      • Vous ne pouvez activer les stratégies avancées de protection des applications qu’après avoir activé l’option Activer la sécurité améliorée.
      • Les stratégies de protection des applications sont activées par application car toutes les applications peuvent ne pas nécessiter ces restrictions.
      • Les stratégies de protection des applications fonctionnent uniquement lorsque l’application est livrée via le navigateur intégré Citrix.
    • Sélectionnez Lancer l’application toujours dans le service Citrix Secure Browser pour toujours lancer une application dans le service Secure Browser, quels que soient les autres paramètres de sécurité améliorés.

      L’option permettant de lancer des applications toujours dans le service Citrix Secure Browser est sous Private Tech Preview.

      Remarque :

      • Les autres options de sécurité améliorées sont toujours appliquées une fois l’application lancée dans le navigateur sécurisé.

      • Si vous accédez à l’application à partir de l’application Citrix Workspace ou de Citrix Workspace pour le web, l’application est lancée dans le navigateur intégré ou le navigateur natif respectivement jusqu’à ce que la stratégie soit appliquée sur les appareils mobiles.

    • Sélectionnez Appliquer la stratégie sur les appareils mobiles pour activer les options de sécurité améliorées mentionnées précédemment sur votre appareil mobile.

      Note :

      Lorsque l’option Appliquer la stratégie sur l’appareil mobile est sélectionnée avec Activer la sécurité renforcée, l’expérience utilisateur pour l’accès à l’application est affectée négativement pour les utilisateurs de bureau et les utilisateurs mobiles.

  6. Vous devez maintenant vous connecter à un emplacement de ressource. Vous pouvez sélectionner un emplacement de ressource existant ou en créer un. Pour choisir un emplacement de ressource existant, cliquez sur l’un des emplacements de ressources dans la liste des emplacements de ressources, par exemple Mon emplacement de ressource, puis cliquez sur Suivant. Pour obtenir des conseils sur l’ajout d’un emplacement de ressource, cliquez sur https://docs.citrix.com/en-us/citrix-gateway-service/gateway-connector.html

    Ajouter un nouvel emplacement de ressource

  7. Sélectionnez le type d’authentification unique que vous souhaitez utiliser pour votre application, puis cliquez sur Enregistrer. Les types d’authentification unique suivants sont disponibles.

    • De base : si votre serveur principal vous présente un défi de base 401, choisissez l’authentification unique de base. Vous n’avez pas besoin de fournir des détails de configuration pour le type SSO de base.
    • Kerberos — Si votre serveur back-end vous présente le défi négociation-401, choisissez Kerberos. Vous n’avez pas besoin de fournir des détails de configuration pour le type SSO Kerberos.
    • Basé sur un formulaire  : si votre serveur principal vous présente un formulaire HTML pour l’authentification, choisissez Formulaire. Entrez les détails de configuration du type SSO basé sur un formulaire.
    • SAML - Choisissez SAML pour SSO basé sur SAML dans les applications Web. Entrez les détails de configuration pour le type SAML SSO.
    • Ne pas utiliser l’authentification SSO — Utilisez l’option Ne pas utiliser l’authentification SSO lorsque vous n’avez pas besoin d’authentifier un utilisateur sur le serveur back-end. Lorsque l’option Ne pas utiliser l’authentification SSO est sélectionnée, l’utilisateur est redirigé vers l’URL configurée sous la section Détails de l’application.

    Détails basés sur le formulaire : saisissez les détails de configuration basés sur les formulaires suivants dans la section Connexion unique, puis cliquez sur Enregistrer.

    Enregistrer config1

    • URL de l’action - Tapez l’URL à laquelle le formulaire rempli est soumis.
    • URL du formulaire d’ouverture de session : saisissez l’URL sur laquelle le formulaire d’ouverture de session est présenté.
    • Format du nom d’utilisateur  : sélectionnez un format pour le nom d’utilisateur.
    • Champ de formulaire Nom d’utilisateur — Saisissez un attribut de nom d’utilisateur.
    • Champ de formulaire de mot de passe : entrez un attribut de mot de passe.

    SAML : saisissez les informations suivantes dans la section Signer et cliquez sur Enregistrer.

    Enregistrer config2

    • Assertion de signature - L’assertion ou la réponse de signature garantit l’intégrité du message lorsque la réponse ou l’assertion est remise à la partie de confiance (SP). Vous pouvez sélectionner Assertion, Réponse, Les deux ou Aucune.
    • URL d’assertion : L’URL d’assertion est fournie par le fournisseur de l’application. L’assertion SAML est envoyée à cette URL.
    • État du relais  : le paramètre État du relais est utilisé pour identifier la ressource spécifique que les utilisateurs accèdent après avoir été connectés et dirigés vers le serveur de fédération de la partie de confiance. État de relais génère une URL unique pour les utilisateurs. Les utilisateurs peuvent cliquer sur cette URL pour se connecter à l’application cible.
    • Audience — Le public est fourni par le fournisseur de l’application. Cette valeur confirme que l’assertion SAML est générée pour l’application correcte.
    • Nom ID Format  : sélectionnez le format d’identificateur de nom pris en charge.

    • Nom ID — Sélectionnez l’ID de nom pris en charge.
  8. Cliquez sur Terminer.

    Après avoir cliqué sur Terminer, l’application est ajoutée à la bibliothèque et les trois options suivantes vous sont présentées.

    • Ajouter une autre application
    • Modifier application
    • Accéder à la bibliothèque

Affecter des utilisateurs ou des groupes d’utilisateurs aux applications publiées

Après la publication d’une application, vous pouvez affecter des utilisateurs ou des groupes à l’application.

  1. Dans l’écran Citrix Cloud, cliquez sur Accéder à la bibliothèque. Vous pouvez également cliquer sur Bibliothèque dans le menu supérieur gauche.

    Notez les fonctionnalités de l’application nouvellement ajoutées dans votre bibliothèque.

    Library

  2. Pour affecter des utilisateurs à l’application, placez votre pointeur sur les points de suspension à droite, puis cliquez sur Gérer les abonnés.

    Gérer les abonnés

  3. Cliquez sur Choisir une liste de domaines et sélectionnez un domaine. Cliquez sur Choisir un groupe ou un utilisateur et affecter des utilisateurs.

    Affecter des utilisateurs ou des groupes

    Remarque : un utilisateur abonné peut être désabonné en sélectionnant l’utilisateur et en cliquant sur l’icône de suppression en regard de État.

  4. Pour obtenir l’URL de l’espace de travail à partager avec les utilisateurs d’applications, sur Citrix Cloud, cliquez sur l’icône de menu et accédez à Configuration de l’espace de travail.

    Obtenir l'URL d'espace de travail

Gérer vos applications publiées

Vous pouvez modifier ou supprimer une application publiée et ajouter d’autres abonnés à l’application publiée.

Modifier une application publiée

Pour modifier une application publiée, effectuez les opérations suivantes :

  1. Accédez à Bibliothèque et identifiez l’application à modifier.

  2. Placez le pointeur sur les ellipses à droite, puis cliquez sur Modifier.

  3. Modifiez les entrées sous la section Détails de l’application et cliquez sur Enregistrer.

  4. Modifiez les entrées sous la section Connexion unique, cliquez sur Enregistrer, puis sur Terminer.

Supprimer une application publiée

Pour supprimer une application publiée, effectuez les opérations suivantes :

  1. Accédez à Bibliothèque et identifiez l’application à supprimer.
  2. Cliquez sur l’icône de point à droite et cliquez sur Supprimer.

Gérer les abonnés pour l’application publiée

Pour ajouter d’autres abonnés, effectuez les opérations suivantes :

  1. Accédez à Bibliothèque et identifiez l’application à modifier.
  2. Placez votre pointeur sur les points de suspension à droite, puis cliquez sur Gérer les abonnés.

Lancer une application configurée — flux utilisateur final

Pour lancer une application configurée, effectuez les opérations suivantes :

  1. Connectez-vous à Citrix Workspace avec les informations d’identification utilisateur AD. L’application configurée par l’administrateur s’affiche.
  2. Cliquez sur l’application pour lancer l’application. L’application est lancée et l’utilisateur est connecté à l’application.

Activer l’accès sans VPN aux applications Web d’entreprise via un navigateur local

Vous pouvez utiliser l’extension de navigateur Citrix Secure Workspace Access pour activer l’accès sans VPN aux applications Web d’entreprise via un navigateur local. L’extension de navigateur Citrix Secure Workspace Access est prise en charge sur les navigateurs Google Chrome et Microsoft Edge.

Comment faire pour installer l’extension de navigateur Citrix Secure Workspace Access

  1. Téléchargez l’extension de navigateur Citrix Secure Workspace Access à partir du magasin Google Chrome.
  2. Cliquez sur Enregistrer pour enregistrer le nom de domaine complet de votre serveur.
  3. Entrez le nom de domaine complet de votre serveur et cliquez sur Suivant. S'inscrire pour l'extension du navigateur
  4. Entrez votre URL Citrix Workspace.
  5. Cliquez sur Suivant.
  6. Entrez votre nom d’utilisateur et votre mot de passe.
    • En entrant les informations d’identification de l’utilisateur correctes, l’utilisateur est connecté au portail Web Workspace et à l’extension du navigateur.
    • L’icône d’extension du navigateur devient bleue, indiquant que l’accès interne à l’application est activé.
    • La fenêtre d’extension du navigateur se ferme automatiquement après la connexion réussie. Poster l'enregistrement de l'extension du navigateur
  7. L’accès aux liens des applications Web internes sanctionnées est désormais activé directement dans le navigateur. Si l’application Web est configurée pour l’authentification SSO, l’utilisateur est connecté à l’application.

Remarque :

  • Lorsque vous êtes sur le réseau interne et que vous n’avez pas besoin de l’extension du navigateur pour activer l’accès à ces URL, vous pouvez désactiver le curseur Internal App Access sur OFF, puis accéder aux URL.
  • Vous pouvez vous déconnecter de l’extension du navigateur si vous souhaitez désactiver l’accès aux applications Web internes à partir du navigateur local
  • Vous pouvez également supprimer l’enregistrement de votre compte en cliquant sur le bouton Supprimer pour rétablir l’état d’origine de l’extension. Une fois que vous avez désinscrit votre compte, vous ne pouvez pas accéder aux applications Web Enterprise à partir de votre navigateur natif.

Configurer les délais d’expiration de session

Les administrateurs peuvent configurer des délais d’expiration de session pour l’extension de navigateur Citrix Secure Workspace Access.

  1. Dans la vignette du service Citrix Gateway, cliquez sur Gérer.
  2. Cliquez sur l’onglet Manage.
  3. Dans Délai d’attente d’inactivité pour le comportement d’extension du navigateur, sélectionnez le délai d’expiration conformément à l’exigence.

Important :

les règles de routage ne peuvent pas être envoyées temporairement à l’extension du navigateur.