Configuration des stratégies et des profils de session pour Citrix Endpoint Management et StoreFront

Pour autoriser les connexions via Citrix Gateway à partir des différentes versions de Receiver et à l’aide de Secure Hub, vous devez créer des stratégies et des profils de session pour Endpoint Management et StoreFront avec des règles spécifiques pour permettre aux connexions de fonctionner. Vous pouvez créer des stratégies de session et des profils distincts pour les éléments suivants :

  • Plug-in Citrix Gateway
  • Receiver pour Android
  • Récepteur pour BlackBerry 10 1.0
  • Receiver pour BlackBerry 2.2
  • Receiver pour Chromebook
  • Receiver pour HTML5
  • Receiver pour iOS
  • Receiver pour Linux
  • Receiver pour Mac
  • Receiver pour Playbook 1.0
  • Receiver pour Windows 8/RT
  • Receiver pour Web
  • Secure Hub

Lorsque vous configurez l’expression pour Secure Hub, Receiver pour Windows, Receiver pour Mac ou Receiver pour Web, l’en-tête User-Agent commence toujours par CitrixReceiver. Les versions plus récentes de Receiver qui reconnaissent les protocoles natifs dans Citrix Endpoint Management incluent également un en-tête appelé X-Citrix-Gateway. Lorsque vous créez une règle, vous pouvez utiliser AND (& &) ou OR (| |) pour spécifier la condition de deux expressions configurées.

Important : Citrix recommande d’exécuter l’Assistant Configuration rapide pour configurer toutes les stratégies requises pour les connexions à Endpoint Management et StoreFront à partir de Citrix Gateway. Les sections suivantes fournissent des informations sur la configuration manuelle des stratégies.

Configuration des serveurs virtuels

Si Endpoint Management fait partie de votre déploiement, vous devez créer deux serveurs virtuels :

  • Le premier serveur virtuel est destiné aux utilisateurs qui se connectent à l’aide de Secure Hub. Après l’authentification de l’utilisateur, ce serveur virtuel communique directement avec Endpoint Management.
  • Le deuxième serveur virtuel est les utilisateurs qui se connectent à l’aide de Receiver pour Web, Citrix Receiver pour Windows ou Citrix Receiver pour Mac. Receiver communique directement avec StoreFront, au lieu de Endpoint Management, une fois que Citrix Gateway authentifie les utilisateurs.

Sur chaque serveur virtuel Citrix Gateway, vous devez installer un certificat de serveur doté d’un nom de domaine complet unique.

Configuration des stratégies de session

Vous configurez des stratégies de session pour les déploiements Endpoint Management et StoreFront. Vous pouvez utiliser les mêmes expressions de stratégie pour les deux déploiements, mais les paramètres du profil de session sont légèrement différents. Les expressions de stratégie de session que vous configurez dépendent de la version de Receiver et du plug-in Citrix Gateway que vous utilisez.

Certaines versions de Receiver ne prennent pas entièrement en charge les protocoles de services StoreFront qui permettent des connexions directes via Citrix Gateway vers les magasins de StoreFront. Les versions antérieures de Receiver qui ne prennent pas en charge ces protocoles incluent :

  • Receiver pour Windows 3.0 et versions antérieures
  • Receiver pour Mac 11.4 et versions antérieures
  • Receiver pour Android 3.0 et versions antérieures
  • Receiver pour iOS 5.5 et version antérieure

Le tableau suivant présente l’expression de stratégie à configurer en fonction de la version de Receiver et du plug-in Citrix Gateway que vous utilisez :

   
La version Receiver ne prend pas en charge les protocoles des services StoreFront L’agent utilisateur REQ.HTTP.HEADER CONTINENT CitrixReceiver & & REQ.HTTP.HEADER X-Citrix-Gateway NOTEXISTES
La version Worx Home ou Receiver prend en charge les protocoles des services StoreFront REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
Plug-in Citrix Gateway pour Windows ; Plug-in Citrix Gateway pour Mac REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS
Receiver pour Web REQ.HTTP.HEADER User-Agent NOTCONTINENT CitrixReceiver & & REQ.HTTP.HEADER Référer EXISTE
Receiver pour Windows 8/RT REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & & REQ.HTTP.HEADER User-Agent CONTIENT WindowsRT

Lorsque vous configurez l’expression de stratégie pour les versions de Receiver, vous pouvez distinguer le type Receiver dans l’expression de stratégie.

   
Receiver pour Android REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT Android
Receiver pour BlackBerry 2.2 REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT Blackberry
Receiver pour Chromebook L’agent utilisateur REQ.HTTP.HEADER CONTIENT CitrixReceiver & & & REQ.HTTP.HEADER User-Agent CONTIENT Chromebook
Receiver pour HTML5 L’agent utilisateur REQ.HTTP.HEADER CONTIENT CitrixReceiver & & & REQ.HTTP.HEADER User-Agent CONTIENT HTML5
Receiver pour iOS REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT iOS
Receiver pour Linux REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT Linux
Receiver pour Mac L’agent utilisateur REQ.HTTP.HEADER CONTIENT CitrixReceiver & & & REQ.HTTP.HEADER User-Agent CONTIENT MacOSX
Receiver pour Playbook 1.0 REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT Playbook
Récepteur pour Windows 8/RT. 1.3 REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER User-Agent CONTIENT Win8
Receiver pour Windows REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTAINS Windows
Récepteur pour Windows Phone 8 REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & & REQ.HTTP.HEADER User-Agent CONTIENT WindowsPhone
Worx Accueil REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTAINS Windows

Si vous configurez une stratégie de session qui prend en charge les protocoles de services StoreFront et Receiver pour iOS, l’expression peut ressembler à la suivante :

REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver & & REQ.HTTP.HEADER X-Citrix-Gateway EXISTE & & REQ.HTTP.HEADER User-Agent CONTIENT iOS /

Pour configurer des expressions dans des stratégies de session

Lorsque vous configurez l’expression pour une stratégie de session, suivez les instructions suivantes. Vous pouvez utiliser cette procédure pour les déploiements Endpoint Management et StoreFront.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, cliquez sur Ajouter. Remarque : Pour modifier une stratégie de session, dans le volet d’informations, sélectionnez la stratégie, puis cliquez sur Ouvrir.
  3. Dans la boîte de dialogue Créer une stratégie de session Citrix Gateway, sélectionnez Formulaire libre avancé, puis cliquez sur Ajouter.
  4. Dans la boîte de dialogue Ajouter une expression, utilisez les paramètres suivants comme guide pour l’expression :
    1. Dans Type d’expression, sélectionnez Général.
    2. Dans Type de flux, sélectionnez REQ.
    3. Dans Protocole, sélectionnez HTTP.
    4. Dans Qualificateur, sélectionnez En-tête.
    5. Dans Opérateur, sélectionnez CONTAINS, NOTCONTATS, EXISTS ou NOTEXISTES selon l’expression.
    6. Dans Valeur, tapez le paramètre, tel que CitrixReceiver.
    7. Dans Nom de l’en-tête, tapez User-Agent, puis cliquez sur OK.
  5. Après avoir enregistré la première expression, cliquez sur Et dans la boîte de dialogue Créer une stratégie de session Citrix Gateway pour ajouter & & à l’expression, puis cliquez sur Ajouter.
  6. Répétez l’étape 2 pour configurer la deuxième règle.
  7. Lorsque vous avez terminé d’ajouter les règles, cliquez sur Créer, puis sur Fermer.

Configuration des profils de session

Lorsque vous configurez des profils de session à utiliser avec une stratégie de session, vous devez configurer des paramètres spécifiques au type de connexion pris en charge par le profil.

Si l’adresse IP StoreFront est une adresse IP publique et si vous désactivez le split tunneling dans le profil de session, la fonctionnalité SSO est désactivée en interne sur Citrix Gateway. Les utilisateurs reçoivent un message d’erreur d’accès refusé lorsqu’ils tentent de se connecter à StoreFront. Vous devez activer le split tunneling pour autoriser l’accès SSO à partir d’une adresse IP publique.

Lorsque vous avez terminé la configuration de la stratégie et du profil, vous liez ensuite la stratégie de session au serveur virtuel. Vous devez également attribuer un numéro de priorité à chaque stratégie de session.

Les profils de session que vous configurez ont des paramètres différents pour Endpoint Management et StoreFront. Pour plus d’informations, consultez les rubriques de Endpoint Management et StoreFront plus loin dans cette section.