Autoriser l’accès à partir d’appareils mobiles avec Citrix Mobile Productivity Apps

L’assistant Citrix ADC pour XenMobile configure les paramètres requis pour permettre aux utilisateurs de se connecter à partir des périphériques pris en charge via Citrix Gateway aux applications mobiles et aux ressources du réseau interne. Les utilisateurs se connectent à l’aide de Secure Hub (précédemment Worx Home), qui établit un tunnel Micro VPN. Lorsque les utilisateurs se connectent, un tunnel VPN s’ouvre à Citrix Gateway, puis est transmis à XenMobile dans le réseau interne. Les utilisateurs peuvent ensuite accéder à leurs applications Web, mobiles et SaaS à partir de XenMobile.

Pour vous assurer que les utilisateurs utilisent une seule licence universelle lors de la connexion à Citrix Gateway avec plusieurs périphériques simultanément, vous pouvez activer le transfert de session sur le serveur virtuel. Pour plus de détails, reportez-vous à la section Configuration des types de connexion sur le serveur virtuel.

Si vous devez modifier votre configuration après avoir utilisé l’assistant Citrix ADC pour XenMobile, utilisez les sections de cet article pour obtenir des conseils. Avant de modifier les paramètres, assurez-vous de bien comprendre les implications de vos modifications. Pour plus d’informations, reportez-vous auxDéploiement XenMobilearticles.

Configuration de Secure Browse dans Citrix Gateway

Vous pouvez modifier Secure Browse dans le cadre de paramètres globaux ou dans le cadre d’un profil de session. Vous pouvez lier la stratégie de session à des utilisateurs, des groupes ou des serveurs virtuels. Lorsque vous configurez Secure Browse, vous devez également activer l’accès sans client. Toutefois, l’accès sans client ne nécessite pas l’activation de la navigation sécurisée. Lorsque vous configurez l’accès sans client, définissez Encodage d’URL d’accès sans client sur Effacer .

Pour configurer Secure Browse globalement :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans la boîte de dialogue Paramètres globaux Citrix Gateway , sous l’onglet Sécurité , cliquez sur Navigation sécurisée , puis cliquez sur OK .

Pour configurer Secure Browse dans une stratégie et un profil de session :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    • Si vous créez une stratégie de session, cliquez sur Ajouter.
    • Si vous modifiez une stratégie existante, sélectionnez-la, puis cliquez sur Ouvrir.
  3. Dans la stratégie, créez un profil ou modifiez un profil existant. Pour ce faire, effectuez l’une des opérations suivantes :
    • En regard de Demande de profil, cliquez sur Nouveau.
    • En regard de Profil de demande, cliquez sur Modifier.
  4. Sous l’onglet Sécurité , en regard de Navigation sécurisée , cliquez sur Remplacer global , puis sélectionnez Navigation sécurisée .
  5. Procédez comme suit :
    • Si vous créez un profil, cliquez sur Créer, définissez l’expression dans la boîte de dialogue de stratégie, cliquez sur Créer, puis sur Fermer.
    • Si vous modifiez un profil existant, après avoir effectué la sélection, cliquez deux fois sur OK .

Pour configurer des stratégies de trafic pour Secure Web en mode Navigation sécurisée :

Suivez les étapes suivantes pour configurer les stratégies de trafic pour acheminer le trafic Secure Web via un serveur proxy en mode Navigation sécurisée.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez Citrix Gateway > Stratégies, puis cliquez sur Traffic.
  2. Dans le volet droit, cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter.
  3. Dans Nom, entrez un nom pour le profil, sélectionnez TCPcomme protocoleet laissez le reste des paramètres tels quels.
  4. Cliquez sur Créer.
  5. Cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter.
  6. Dans Nom, entrez un nom pour le profil, puis sélectionnez HTTPcomme protocole. Ce profil de trafic est pour HTTP et SSL. Le trafic CVPN est le trafic HTTP par conception, quel que soit le port de destination ou le type de service. Ainsi, vous spécifiez le trafic SSL et HTTP comme HTTP dans le profil de trafic.
  7. Dans Proxy, entrez l’adresse IP du serveur proxy. Dans Port, entrez le numéro de port du serveur proxy.
  8. Cliquez sur Créer.
  9. Cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter.
  10. Entrez le nom de la stratégie de trafic et, pour le profil de demande , sélectionnez le profil de trafic que vous avez créé à l’étape 3. Entrez l’expression suivante, puis cliquez sur Créer :

    REQ.HTTP.HEADER HOST contains ActiveSyncServer   REQ.HTTP.HEADER User-Agent CONTAINS WorxMail   REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise   REQ.HTTP.HEADER User-Agent CONTAINS WorxHome   REQ.HTTP.URL CONTAINS AGServices   REQ.HTTP.URL CONTAINS StoreWeb

    Cette règle effectue une vérification basée sur l’en-tête de l’hôte. Pour contourner le trafic ActiveSync à partir du proxy, remplacez ActiveSyncServer par le nom du serveur ActiveSync approprié.

  11. Cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter. Entrez le nom de la stratégie de trafic et, pour le profil de demande, sélectionnez le profil de trafic créé à l’étape 6.**** Entrez l’expression suivante, puis cliquez sur Créer :

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 80
  12. Cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter. Entrez le nom de la stratégie de trafic et, pour le profil de demande , sélectionnez le profil de trafic créé à l’étape 6. Entrez l’expression suivante, puis cliquez sur Créer :

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla   REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser   REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 443
  13. Accédez à Citrix Gateway > Serveurs virtuels, sélectionnez le serveur virtuel dans le volet droit, puis cliquez sur Modifier.
  14. Dans la ligne Stratégies , cliquez sur + .
  15. Dans le menu Choisir une stratégie , sélectionnez Trafic .
  16. Cliquez sur Continuer.
  17. Sous Liaison de stratégie, en face de Sélectionner une stratégie, cliquez sur >.
  18. Sélectionnez la stratégie que vous avez créée à l’étape 10, puis cliquez sur OK.
  19. Cliquez sur Bind.
  20. Sous Stratégies, cliquez sur Stratégie de trafic.
  21. Sous Liaison de stratégie de trafic VPN Virtual Server, cliquez sur Ajouter une liaison.
  22. Sous Liaison de stratégie, en regard du menu Sélectionner une stratégie, cliquez sur >pour afficher la liste des stratégies.
  23. Sélectionnez la stratégie que vous avez créée à l’étape 17, puis cliquez sur OK.
  24. Cliquez sur Bind.
  25. Sous Stratégies, cliquez sur Stratégies de trafic.
  26. Sous Liaison de stratégie de trafic VPN Virtual Server, cliquez sur Ajouter une liaison.
  27. Sous Liaison de stratégie, en regard du menu Sélectionner une stratégie, cliquez sur >pour afficher la liste des stratégies.
  28. Sélectionnez la stratégie que vous avez créée à l’étape 18, puis cliquez sur OK.**
  29. Cliquez sur Bind.
  30. Cliquez sur Fermer.
  31. Cliquez sur Terminé.

Assurez-vous de configurer l’application Secure Web (WorxWeb) dans la console XenMobile. Accédez à Configurer > Applications, sélectionnez l’application Secure Web, cliquez sur Modifier, puis effectuez les modifications suivantes :

  • Sur la page d’informations sur l’application, modifiez le mode VPN initial en mode sur Navigation sécurisée.
  • Sur la page iOS , changez le mode VPN initial en modeNavigation sécurisée .
  • Sur la page Android , changez le mode VPN préféré en modeNavigation sécurisée .

Configuration des délais d’expiration des jetons MDX et de l’application

Lorsque les utilisateurs ouvrent une session à partir d’un appareil iOS ou Android, un jeton d’application ou un jeton MDX est émis. Le jeton est similaire à la Secure Ticket Authority (STA).

Vous pouvez définir le nombre de secondes ou de minutes pendant lesquelles les jetons sont actifs. Si le jeton expire, les utilisateurs ne peuvent pas accéder à la ressource demandée, telle qu’une application ou une page Web.

Les délais d’expiration des jetons sont des paramètres globaux. Lorsque vous configurez le paramètre, il s’applique à tous les utilisateurs qui se connectent à Citrix Gateway.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans la boîte de dialogue Paramètres globaux Citrix Gateway , sous l’onglet Expérience client , cliquez sur Paramètres avancés .
  4. Sous l’onglet Général , dans le délai d’ expiration du jeton d’application (s) , entrez le nombre de secondes avant l’expiration du jeton. La valeur par défaut est 100 secondes.
  5. Dans Délai d’expiration du jeton MDX (minutes), entrez le nombre de minutes avant l’expiration du jeton, puis cliquez sur OK. La valeur par défaut est de 10 minutes.

Désactivation de l’analyse des points de terminaison pour les périphériques mobiles

Si vous configurez l’analyse des points de terminaison, vous devez configurer les expressions de stratégie de sorte que les analyses de points de terminaison ne s’exécutent pas sur les appareils mobiles Android ou iOS. Les analyses de points de terminaison ne sont pas prises en charge sur les appareils mobiles.

Si vous liez une stratégie d’analyse de point de terminaison à un serveur virtuel, vous devez créer un serveur virtuel secondaire pour les périphériques mobiles. Ne liez pas les stratégies de préauthentification ou de post-authentification au serveur virtuel de périphérique mobile.

Lorsque vous configurez l’expression de stratégie dans une stratégie de préauthentification, vous ajoutez la chaîne User-Agent pour exclure Android ou iOS. Lorsque les utilisateurs ouvrent une session à partir de l’un de ces périphériques et que vous excluez le type de périphérique, l’analyse du point de terminaison ne s’exécute pas.

Par exemple, vous créez l’expression de stratégie suivante pour vérifier si l’agent utilisateur contient Android, si l’application virus.exe n’existe pas, et pour terminer le processus keylogger.exe s’il est en cours d’exécution à l’aide du profil de préauthentification. L’expression de stratégie peut ressembler à ceci :

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains   CLIENT.APPLICATION.PROCESS (virus.exe) contient

Après avoir créé la stratégie et le profil de préauthentification, liez la stratégie au serveur virtuel. Lorsque les utilisateurs ouvrent une session à partir d’un appareil Android ou iOS, l’analyse ne s’exécute pas. Si les utilisateurs ouvrent une session à partir d’un périphérique Windows, l’analyse s’exécute.

Pour plus d’informations sur la configuration des stratégies de préauthentification, reportez-vous à la sectionConfiguration des stratégies de point de terminaison.

Prise en charge des requêtes DNS à l’aide de suffixes DNS pour les appareils Android

Lorsque les utilisateurs établissent une connexion Micro VPN à partir d’un périphérique Android, Citrix Gateway envoie des paramètres DNS fractionnés à la machine utilisateur. Citrix Gateway prend en charge les requêtes DNS fractionnées basées sur les paramètres DNS fractionnés que vous configurez. Citrix Gateway peut également prendre en charge les requêtes DNS fractionnées basées sur les suffixes DNS configurés sur l’appliance. Si les utilisateurs se connectent à partir d’un appareil Android, vous devez configurer les paramètres DNS sur Citrix Gateway.

Split DNS fonctionne de la manière suivante :

  • Si vous définissez DNS fractionné sur Local, le périphérique Android envoie toutes les demandes DNS au serveur DNS local.
  • Si vous définissez DNS fractionné sur Remote, toutes les demandes DNS sont envoyées aux serveurs DNS configurés sur Citrix Gateway (serveur DNS distant) pour résolution.
  • Si vous définissez DNS fractionné sur Les deux, le périphérique Android recherche le type de requête DNS.
    • Si le type de requête DNS n’est pas « A », il envoie le paquet de requête DNS aux serveurs DNS locaux et distants.
    • Si le type de requête DNS est « A », le plugin Android extrait le nom de domaine complet de la requête et fait correspondre ce nom de domaine complet à la liste de suffixe DNS configurée sur Citrix ADC. Si le nom de domaine complet de la demande DNS correspond, la demande DNS est envoyée au serveur DNS distant. Si le nom de domaine complet ne correspond pas, la demande DNS est envoyée aux serveurs DNS locaux.

Le tableau suivant résume les DNS fractionnés en fonction de l’enregistrement de type A et de la liste de suffixe.

Paramètre DNS fractionné Est-ce un enregistrement de type A ? Est-ce sur la liste des suffixe ? Où la demande DNS est envoyée
Local Oui ou Non Oui ou Non Local
À distance Oui ou Non Oui ou Non À distance
Tous les deux Non N.D Tous les deux
Tous les deux Oui Oui À distance
Tous les deux Oui Non Local

Pour configurer un suffixe DNS :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez une stratégie de session, puis cliquez sur Ouvrir.
  3. En regard de Profil de demande, cliquez sur Modifier.
  4. Sous l’onglet Configuration réseau, cliquez sur Avancé.
  5. En regard de Suffixe DNS IP Intranet, cliquez sur Remplacer global, tapez le suffixe DNS, puis cliquez trois fois sur OK.

Pour configurer globalement DNS fractionné sur Citrix Gateway :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Sous l’onglet Expérience client, cliquez sur Paramètres avancés.
  4. Sous l’onglet Général , dans Split DNS , sélectionnez Les deux , Remote ou Local , puis cliquez sur OK .

Pour configurer le DNS fractionné dans une stratégie de session sur Citrix Gateway :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez un nom pour la stratégie.
  4. En regard de Demande de profil, cliquez sur Nouveau.
  5. Dans Nom, tapez un nom pour le profil.
  6. Sous l’onglet Expérience client, cliquez sur Paramètres avancés.
  7. Sous l’onglet Général , en regard de Split DNS , cliquez sur Remplacer global , sélectionnez Les deux , Remote ou Local , puis cliquez sur OK .
  8. Dans la boîte de dialogue Créer une stratégie de session , en regard de Expressions nommées , sélectionnez Général , sélectionnez True , cliquez sur Ajouter une expression , cliquez sur Créer , puis sur Fermer .