Création de stratégies avec l’Assistant Configuration rapide

Remarque : Citrix Endpoint Management n’est plus pris en charge.

Vous pouvez configurer des paramètres dans Citrix Gateway pour activer la communication avec Endpoint Management, StoreFront ou l’interface Web à l’aide de l’Assistant Configuration rapide. Lorsque vous avez terminé la configuration, l’Assistant crée les stratégies appropriées pour la communication entre Citrix Gateway, Endpoint Management, StoreFront ou l’Interface Web. Ces stratégies incluent des stratégies d’authentification, de session et d’accès sans client. Une fois l’Assistant terminé, les stratégies sont liées au serveur virtuel créé par l’Assistant.

Lorsque vous avez terminé l’Assistant Configuration rapide, Citrix Gateway peut communiquer avec Endpoint Management ou StoreFront, et les utilisateurs peuvent accéder à leurs applications Windows, à leurs bureaux virtuels et à leurs applications Web, SaaS et mobiles. Les utilisateurs peuvent ensuite se connecter directement à Endpoint Management.

Au cours de l’Assistant, vous configurez les paramètres suivants :

  • Nom du serveur virtuel, adresse IP et port
  • Redirection d’un port non sécurisé vers un port sécurisé
  • Certificats
  • Serveur LDAP
  • Serveur RADIUS
  • Certificat client pour l’authentification (uniquement pour l’authentification à deux facteurs)
  • Gestion de Endpoint Management, StoreFront ou l’Interface Web

Vous pouvez configurer des certificats pour Citrix Gateway dans l’Assistant Configuration rapide à l’aide des méthodes suivantes :

  • Sélectionnez un certificat installé sur l’appliance.
  • Installez un certificat et une clé privée.
  • Sélectionnez un certificat de test. Remarque : Si vous utilisez un certificat de test, vous devez ajouter le nom de domaine complet (FQDN) qui se trouve dans le certificat.

L’Assistant Configuration rapide prend en charge l’authentification par certificat LDAP, RADIUS et client. Vous pouvez configurer l’authentification à deux facteurs dans l’Assistant en suivant les instructions suivantes :

  • Si vous sélectionnez LDAP comme type d’authentification principal, vous pouvez configurer RADIUS comme type d’authentification secondaire.
  • Si vous sélectionnez RADIUS comme type d’authentification principal, vous pouvez configurer LDAP comme type d’authentification secondaire.
  • Si vous sélectionnez des certificats client comme type d’authentification principal, vous pouvez configurer LDAP ou RADIUS comme type d’authentification secondaire.

Vous ne pouvez configurer qu’une seule stratégie d’authentification LDAP à l’aide de l’Assistant Configuration rapide. L’Assistant ne vous permet pas de configurer plusieurs stratégies d’authentification LDAP. Si vous exécutez l’Assistant plusieurs fois et que vous souhaitez utiliser une stratégie LDAP différente, vous devez configurer manuellement les stratégies supplémentaires. Par exemple, vous souhaitez configurer une stratégie qui utilise SamAccountName dans le champ Attribut Nom d’ouverture de session du serveur et une seconde stratégie LDAP qui utilise le nom d’utilisateur principal (UPN) dans le champ Attribut Nom d’ouverture de session du serveur. Pour configurer ces stratégies distinctes, utilisez l’utilitaire de configuration pour créer les stratégies d’authentification. Pour plus d’informations sur la configuration de Citrix Gateway pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP, reportez-vous à la sectionConfiguration de l’authentification LDAP.

Lorsque vous créez un serveur virtuel à l’aide de l’Assistant Configuration rapide, si vous souhaitez supprimer le serveur virtuel ultérieurement, Citrix recommande de le supprimer à l’aide de l’onglet Accueil. Lorsque vous utilisez cette méthode pour supprimer le serveur virtuel, les stratégies et les profils configurés via l’Assistant sont supprimés. Si vous supprimez le serveur virtuel à l’aide de l’onglet Configuration, les stratégies et les profils ne sont pas supprimés. L’Assistant ne supprime pas les éléments suivants :

  • La paire de clés de certificat créée au cours de l’Assistant ne sont pas supprimées, même si le certificat n’est pas lié à un serveur virtuel
  • La stratégie et le profil d’authentification LDAP restent si la stratégie est liée à un autre serveur virtuel. Citrix Gateway supprime la stratégie LDAP uniquement si la stratégie n’est pas liée à un serveur virtuel.

Les tableaux suivants décrivent les stratégies et les profils créés par l’Assistant Configuration rapide. Comme décrit dans les tableaux, les stratégies et les profils configurés dépendent de la façon dont les utilisateurs se connectent - avec le plug-in Citrix Gateway, Citrix Receiver ou Secure Hub. Les stratégies appliquées dépendent de la licence Citrix Endpoint Management Universal ou Platform utilisée lorsque les utilisateurs se connectent. Lorsque vous avez acheté Citrix Gateway, vous avez également acheté un nombre défini de licences Universal, par exemple 100. Si les utilisateurs se connectent avec le plug-in Citrix Gateway, la session utilise une licence universelle. Si les utilisateurs se connectent à Receiver pour accéder aux applications Windows et aux bureaux, la session utilise la licence Platform. Si les utilisateurs se connectent à partir d’un appareil mobile à l’aide d’un micro VPN et se connectent avec Secure Hub ou démarrent des applications, telles que WorxMail ou WorxWeb, la session utilise une licence Universal.

Stratégies, expressions et profils de session pour la licence universelle

L’Assistant Configuration rapide crée les stratégies et expressions de session suivantes qui sont appliquées lorsque la session utilise la licence universelle.

Type de stratégie Expression
Session - Worx Home ou récepteur REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
Session - Receiver pour Web REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
Session - Citrix Gateway REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS

Le tableau suivant présente les paramètres de profil de session que l’Assistant Configuration rapide crée pour chaque type de stratégie de session dans le tableau précédent. La première colonne décrit où trouver le paramètre de profil ou l’onglet dans le profil de session dans l’utilitaire de configuration.

L’URL StoreFront que vous entrez dépend de la façon dont les utilisateurs se connectent. Si les utilisateurs se connectent à l’aide de Receiver pour Web ou d’un navigateur Web, vous utilisez le formulaire URLhttps://SF-FQDN/Citrix/StoreWeb. Si les utilisateurs se connectent à l’aide de Receiver sur Windows, Mac ou appareils mobiles, vous utilisez le formulaire URLhttps://SF-FQDN/Citrix/Store.

Emplacement du profil Paramétrage du profil Receiver Receiver pour Web Citrix Gateway
Ressources > Applications Intranet Interception transparente S.O. Off On
Session > Onglet Expérience client Accès sans client On On Off
Session > Onglet Applications publiées Proxy ICA Off Off Off
Session > Onglet Expérience client Connexion unique aux applications Web On On On
Session > Onglet Applications publiées Domaine d’authentification unique URL StoreWeb de Endpoint Management URL StoreWeb de Endpoint Management URL StoreWeb de Endpoint Management
Session > Onglet Applications publiées Adresse de l’interface Web URL StoreWeb de Endpoint Management URL StoreWeb de Endpoint Management URL StoreWeb de Endpoint Management
Session > Onglet Applications publiées Adresse des services de compte URL StoreFront S.O. URL StoreFront
Session > Onglet Expériences client Split Tunnel Off S.O. Off
Session > Onglet Expériences client Encodage d’URL d’accès sans client Effacer S.O. Effacer
Session > Onglet Expériences client Page d’accueil S.O. URL StoreWeb de Endpoint Management URL StoreWeb de Endpoint Management
Session > onglet Expériences client, puis cliquez sur Paramètres avancés > onglet Général Choix des clients Off Off Off
Session >Onglet Sécurité Action d’autorisation par défaut Autoriser Autoriser Autoriser
Session > Onglet Expériences client Délai d’expiration de session (minutes) 24 heures S.O. S.O.
Session > Onglet Expériences client Délai d’inactivité client (minutes) (0) désactivé S.O. S.O.
Session > onglet Configuration réseau, puis cliquez sur Paramètres avancés Délai d’expiration forcé (minutes) 24 heures S.O. S.O.

Paramètres de profil d’accès sans client pour la licence universelle

L’Assistant Configuration rapide crée les paramètres de profil d’accès sans client suivants pour la licence Universal :

  • Configurez les domaines pour l’accès sans client pour autoriser l’accès. Configure le jeu de motifs ns_cvpn_default_inet_domains <App Controller FQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com
  • URL du contrôleur d’application. Configure le jeu de motifs ns_cvpn_default_inet_domains <App Controller FQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com
  • ShareFile. Permet jusqu’à cinq fixations. Configurez le jeu de motifs ns_cvpn_default_inet_domains <App Controller FQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com

Paramètres et règles d’accès sans client pour la licence universelle

Le tableau suivant répertorie les paramètres de stratégie d’accès sans client appliqués lorsque la session utilise la licence universelle.

Nom de la stratégie Règle Profil Étiquette de réécriture d’URL Étiquette de réécriture Javascript Ensemble de motifs Commentaires
CLT_LESS_VIP Receiver_NoRewrite NO_RW_VIP Défaut Défaut Défaut Receiver_NoRewrite
CLT_LESS_RF_VIPCLT_LESS_RF_VIP True ST_WB_RW_VIP ns_cvpn_default_inet_url_label Défaut STORE_WEB_COOKIES<VIP> RfWeb_Rewrite

Le jeu de modèles STORE_WEB_COOKIES for Receiver for Web ajoute l’adresse IP virtuelle Citrix Gateway au nom, comme indiqué dans la figure suivante :

Figure 1. Jeu de motifs pour Receiver pour Web

Ensemble de motifs de cookies

Stratégies, règles et profils de session pour la licence de plate-forme

La licence Platform avec Citrix Gateway permet un nombre illimité de connexions ICA aux applications et bureaux Windows hébergés par Citrix Virtual Apps and Desktops. Les tableaux suivants présentent les règles de session et les paramètres de stratégie de session pour les utilisateurs qui se connectent à Citrix Receiver.

| Type de stratégie | Règle | | ———————————————— | ————————————————————————————— | | Session - Système d’exploitation et Citrix Gateway | Agent utilisateur REQ.HTTP.HEADER CONTINENT CitrixReceiver | | REQ.HTTP.HEADER Référer NOTEXISTS | | Session - Receiver pour Web | ns_true |

|Emplacement du profil|Paramétrage du profil|Système d’exploitation/Citrix Gateway|Web| |— |— |— |— | |Ressources > Applications Intranet|Interception transparente|S.O.|Off| |Session > Onglet Expérience client|Accès sans client|Off|Off| |Session > Onglet Applications publiées|Proxy ICA|On|On| |Session > Onglet Expérience client|Connexion unique aux applications Web|On|On| |Session > Onglet Applications publiées|Domaine Single Sign-On|Set|Set| | Session > onglet Applications publiées | Adresse de l’interface Web | config.xml si l’URL StoreFront de l’interface Web avec StoreWeb | URL StoreFront | | Session > onglet Applications publiées | Adresse des services de compte | URL StoreFront avec StoreWeb | N/A | | Session > onglet Expériences client | Fractionner Tunnel | Désactivé | N/A | | Session > onglet Expériences client | Encodage d’URL d’accès sans client | N/A | N/A | | Session > onglet Expériences client | Page d’accueil | N/A | N/A | | Session > onglet Expériences client, puis cliquez sur Paramètres avancés > onglet Général | Choix du client | Désactivé | | Session > Onglet Sécurité | Action d’autorisation par défaut | Autoriser | | Session > onglet Expériences client | Délai de session (minutes) | N/A | N/A | | Session > onglet Expériences client | Délai d’inactivité client (minutes) | N/A | | Session > onglet Configuration réseau, puis cliquez sur Paramètres avancés | Temps forcé Départ (minutes) | N/A | S/O |