Utilisation de WebFront pour l’intégration avec StoreFront

WebFront est une application Web hébergée sur un conteneur Tomcat qui s’exécute sur Citrix ADC. WebFront offre une optimisation et des performances améliorées pour les utilisateurs accédant à StoreFront via Gateway à l’aide des navigateurs clients et Citrix Native Receivers. WebFront coexiste avec l’interface Web sur Citrix ADC.

WebFront offre les fonctionnalités suivantes :

  • Receiver for Web Proxy
  • SSO transparent

Receiver for Web Proxy

Receiver for Web Proxy (RFWeb) permet aux navigateurs Web de communiquer avec un magasin dans StoreFront. Fonctionnellement, c’est la même chose que RFWeb dans StoreFront avec quelques optimisations comme la mise en cache et l’optimisation du flux de paquets.

Fonctionnalités

Pour les utilisateurs accédant à travers les navigateurs (proxy ReceiverForWeb) :

  • Fonction RFWeb de StoreFront sur Citrix ADC
  • Cache le contenu statique et les icônes de StoreFront
  • Flux de paquets optimisé pour l’énumération Apps/Desktop.
  • Prise en charge du récepteur HTML5

Ouverture de session unique transparente (SSO)

Les applications Citrix Workspace natives nécessitent actuellement au moins 12 transactions HTTP avec StoreFront pour effectuer l’énumération des ressources. Parallèlement à cela, une taille de jeton d’authentification de 4K est transportée avec chaque requête HTTP. WebFront optimise cela en réduisant le nombre de transactions de 12 à 2 et empêche l’envoi du jeton par proxy.

Fonctionnalités

Pour les utilisateurs qui accèdent via Citrix Native Receivers (Transparent SSO) :

  • Caches icônes de StoreFront servies
  • Flux de paquets optimisé pour l’énumération des applications et des postes de travail (les données transférées sur WAN sont réduites de 1%)
  • L’authentification complète à SF est déléguée à WebFront

Remarque

Le trafic ICA natif ne circule pas via WebFront.

Fonctionnalité

Receiver for Web Proxy

Le proxy RFWeb utilisé avec le serveur Web Tomcat sert du contenu statique (HTML, CSS, JS, icônes statiques, etc.) aux navigateurs Web et fournit les services suivants :

  • Répertorie toutes les applications du magasin. Les informations renvoyées sont au format JSON.
  • Obtient des informations pour une application spécifiée par l’ID de l’application. Les informations renvoyées sont au format JSON.
  • Obtient une icône d’application spécifiée par l’ID d’icône. Les icônes sont renvoyées au format PNG.
  • Obtient les informations de lancement d’une application HDX spécifiée par l’ID de l’application. La réponse se présente sous la forme d’un fichier ICA.
  • Prend en charge le lancement d’applications Web/SaaS.
  • Arrêt des ordinateurs de bureau.
  • Affecte des postes de travail.
  • S’abonne à une application donnée spécifiée par l’ID de l’application et la position dans la liste des applications abonnées.
  • Désabonne une application donnée spécifiée par l’ID de l’application.
  • Met à jour la position d’abonnement pour une application donnée spécifiée par l’ID de l’application.

Dans le contrôle de l’espace de travail, les actions suivantes sont effectuées :

  • Répertorie les sessions disponibles (y compris les sessions actives)
  • Lance des sessions
  • Déconnecte les sessions utilisateur
  • Se déconnecte des sessions utilisateur
  1. Effectue l’authentification unique (SSO) avec StoreFront à l’aide des informations d’identification de Gateway et stocke le jeton dans le cache de la session Tomcat pour réutilisation pour les demandes suivantes.
  2. Prend en charge le lancement des applications ICA via le client HTML5 Receiver.

Mise en cache de contenu statique et d’icônes

Mise en cache d’icônes et de contenu statique : Ceci est fait à l’aide de la fonctionnalité de mise en cache intégrée de Citrix ADC. Cela ne nécessite pas de licence IC ; seule une licence VPN est suffisante.

SSO transparent

L’authentification unique transparente (authentification unique) est applicable uniquement aux applications Citrix Citrix Workspace natives.

WebFront est conçu comme une webapp Java, qui s’exécute sur le Tomcat v6, hébergé sur Citrix ADC. WebFront est développé en utilisant Spring MVC v3.1.2. WebFront est conçu pour fonctionner via Gateway avec SSO uniquement.

Installation et configuration de WebFront à l’aide de l’Assistant WebFront

Composants requis

Assurez-vous que vous avez téléchargé les fichiers TAR JRE et les fichiers TAR WebFront.

Pour installer WebFront

  1. Accédez à Système > WebFront et cliquez sur Installer WebFront dans la section Mise en route.
  2. Recherchez le fichier TAR WebFront et le fichier TAR JRE que vous avez téléchargé, puis cliquez sur Installer.
    Vous pouvez sélectionner les fichiers à partir de l’appliance ou de votre répertoire local.

image localisée

Un message de confirmation s’affiche une fois l’installation terminée.

Pour configurer WebFront à l’aide de l’assistant WebFront

  1. Accédez à Système > WebFront et cliquez sur AssistantWebFront dans la section Mise en route.

    image localisée

  2. Entrez tous les détails obligatoires, vérifiez et cliquez sur Continuer.

  3. Cliquez sur Terminé après avoir vérifié les données.

Serveur virtuel Citrix Gateway

Vous pouvez sélectionner un serveur virtuel déjà configuré pour votre périphérique ou configurer un nouveau serveur virtuel.

Pour configurer un serveur virtuel :

  1. Cliquez sur + pour ajouter un nouveau serveur virtuel.
  2. Spécifiez l’adresse IP Citrix Gateway.
  3. Spécifiez le numéro de port.
  4. Attribuez un nom au serveur virtuel.
  5. Activez la case à cocher Rediriger les demandes du port 80 vers le port sécurisé pour rediriger les connexions HTTP vers une connexion sécurisée HTTPS.
  6.  Cliquez sur Continuer.

Approuver le certificat SSL

En sélectionnant le bouton Parcourir, vous pouvez sélectionner un certificat à partir de l’appliance ou de votre répertoire local.

Dans l’appliance, sélectionnez un certificat dans la liste et cliquez sur Ouvrir.

Désinstallation de WebFront

1.Accédez à Système > WebFront et cliquez sur Désinstaller WebFront dans la page Sites WebFront.Un message de confirmation s’affiche.

image localisée

2. Cliquez sur Yes.

Configuration des sites WebFront

1.Accédez à Système > WebFront et cliquez sur SitesWebFront dans la section Résumé de la configuration.

image localisée

2. Les sites WebFront permettent les opérations de site suivantes :

  • Ajouter

  • Modifier

  • Supprimer

Ajouter des sites WebFront

  1. Cliquez sur Ajouter dans la page Sites WebFront.
  2. Sélectionnez le serveur virtuel Citrix ADC sur lequel vous souhaitez utiliser ce site.
  3. Entrez tous les détails obligatoires et cliquez sur Continuer.
  4. Créez l’action de session VPN. Entrez tous les détails obligatoires et cliquez sur Continuer.
  5. Cliquez sur Terminé après avoir vérifié la configuration.

Modifier les sites WebFront

  1. Sélectionnez le site WebFront et cliquez sur Modifier.
  2. Modifiez la configuration et cliquez sur Continuer.
  3. Entrez tous les détails obligatoires et cliquez sur Continuer.
  4. Cliquez sur Terminé après avoir vérifié la configuration.

Supprimer les sites WebFront

  1. Sélectionnez le site WebFront et cliquez sur Supprimer.Un message de confirmation s’affiche.
  2. Cliquez sur Oui.

Installation et configuration de WebFront à l’aide des commandes CLI

Installer le package WebFront

La commande CLI suivante installe WebFront.

install wf package –jre <JDK location> -wf <WebFront location>

Cette commande installe WebFront sur le système. Sur le shell, il crée un dossier /var/wi s’il n’est pas présent, et installe WebFront dans le répertoire ROOT présent dans le dossier /var/wi/tomcat/webapps. WebFront peut coexister avec l’interface Web. Par exemple, si WI est déjà installé, WebFront ne s’extrait que dans le répertoire ROOT ; tous les sites et la configuration wi resteront intacts. Après l’extraction, WebFront redémarre Tomcat s’il est déjà en cours d’exécution.

Dans le cadre de la commande install, WF alloue 198 Mo de RAM sur un VPX et 576 Mo de RAM sur un MPX, en plus de la mémoire allouée par WI.

Pour que RFWebProxy fonctionne avec CVPN, liez un ClientLessAccessPolicy, ns_cvpn_wf_policy, au VPN global pendant l’installation.

Désinstaller le package WebFront

Cette commande désinstalle WebFront du système.

uninstall wf package –jre <JDK location> -wf <WebFront location>

Si WI est présent dans le système, il ne supprimera pas la structure complète du répertoire /var/wi - seulement la partie WebFront. Si WI n’est pas présent, il supprimera tout le dossier /var/wi.

Désinstallez unbinds policy ns_cvpn_wf_policy de VPN global.

Afficher le package WebFront

Cette commande affiche les fichiers WebFront et l’emplacement d’installation.

paquet sh wf

Cette commande est utile en cas de changement de numéro de version de WebFront. L’utilisateur voit le WebFront installé et où WebFront est installé.

Ajouter un package WebFront

Cette commande ajoute un site WF.

add wf site <siteName> -storefronturl <string> -storeName <string>
  [-html5Receiver <html5Receiver>] [-workspaceControl ( ON | OFF )]
   [-displayRoamingAccounts ( ON | OFF )]
  [-xframeOptions ( ALLOW | DENY )]

Dans PPE, un site WebFront sera créé avec le nom de domaine complet et le nom du magasin. Les deux arguments sont obligatoires. L’utilisateur peut les modifier à l’aide de la commande set.

  1. Il ne crée pas de dossier séparé pour le site wf dans le répertoire /var/wi/tomcat/webapps à la place, il crée un lien logiciel de /var/wi/tomcat/root/<siteName> vers ROOT/WEB -INF/Views. Cette modification a été effectuée pour éviter la duplication de la partie d’affichage HTML statique. Depuis le site WF va utiliser le même Front End.
  2. Il ajoute également une entrée <siteName>=<storeFront URL>#<storeName>#<html5>#<workspace Control>#<session timeout>#<roamingaccounts>#<xframe> dans le fichier /var/wi/tomcat/ROOT/WEB-INF/classes/wfsite.properties. Ceci est nécessaire pour le redémarrage de tomcat.
  3. Aussi l’interface de ligne de commande envoie HTTP POST http://127.0.0.1:8080/<addsite>\<SiteName> avec le corps de publication “<storeFront URL>#<storeName>#<html5>#<workspace Control>#<session timeout>#<roamingaccounts>#<xframe>”. Cela demande à WF d’extraire les URL de service de magasin et d’authentification (Discovery &Endpoints) à partir de StoreFront.
Nom de la propriété Description Valeur par défaut
HTML5Receiver Spécifie s’il faut ou non utiliser le récepteur HTML5 pour lancer des applications pour tous les sites WF. Valeurs possibles : Toujours — Toujours utiliser uniquement le récepteur HTML5 pour le lancement d’applications ; Fallback — Utiliser le récepteur HTML5 comme repli, si le lancement via le récepteur natif n’est pas possible ; Désactivé — N’utilisez jamais le récepteur HTML5, toujours utiliser le récepteur natif Fallback
WorkspaceControl Spécifie s’il faut utiliser ou non le contrôle d’Workspace pour tous les sites WF. Valeurs possibles : Activé — Le contrôle de l’espace de travail est activé. Désactivé : le contrôle de l’espace de travail est désactivé On
DisplayRoamingAccounts Indique s’il faut ou non afficher l’écran de sélection des comptes lors de la première utilisation du récepteur. Valeurs possibles : On — Afficher l’écran de sélection du compte. Désactivé — Ne pas afficher l’écran de sélection du compte. Off
XFrameOptions Valeur à envoyer dans l’en-tête X-Frame-Options. Valeurs possibles : Autoriser - Autoriser l’affichage dans un cadre. Refuser - Interdire l’affichage dans un cadre Deny

rm wf site

Cette commande supprime le site (le cas échéant) de WebFront. Plus important encore, il annule ce que le site add wf a fait. Il supprime l’entrée de wfsite.properties et il supprime le lien symbolique du répertoire ROOT envoie également http post request « POSThttp://127.0.0.1:8080/rmsite/<siteName>. Comme toujours, le site serait retiré de l’EPI.

set wf site <siteName> -storeFronturl <> -storeName <>
[-html5Receiver <html5Receiver>] [-workspaceControl ( ON | OFF )]
   [-displayRoamingAccounts ( ON | OFF )]
  [-xframeOptions ( ALLOW | DENY )]

Si l’utilisateur veut modifier l’entrée dans le site WF déjà présent, il/elle peut utiliser la commande set. L’utilisateur peut modifier StoreFrontFQDN ou StoreName ou les deux. Il envoie également la requête http post “POSThttp://127.0.0.1:8080/modsite/\<SiteName avec le corps de publication ““<storeFront URL>#<storeName>#<html5>#<workspace Control>#<session timeout>#<roamingaccounts>#<xframe>”. Ce changement serait reflété dans wfsite.properties et PPE.

site sh wf

Il affichera les détails du site WF. Y compris l’état du site WF. L’état du site sera UP ou (DOWN et raison d’être DOWN, remède suggéré).

L’état est obtenu en envoyant une requête POST à http://127.0.0.1:8080/shsite/<SiteName>. Le corps de la réponse aura le message à afficher dans le champ « Statut ».

     
Message d’erreur Cause de l’échec Remède suggérée
INITIALIZING Le site WF est toujours en cours d’initialisation Vérifier l’état du site après quelques secondes
DOWN-HostUnknown Le nom d’hôte de StoreFront ne peut pas être résolu en une adresse IP Assurez-vous que le nom d’hôte est résolu ou ajoutez un addrec dns sur NS
DOWN-ReqTimeout Impossible d’atteindre le serveur StoreFront. La demande a expiré lors du contact avec SF. Assurez-vous que SF est accessible via NSIP
DOWN-Wrong Store StoreName spécifié n’existe pas dans SF Remplacez StoreName par StoreName correct à l’aide de la commande set wf site
DOWN-SSL Error L’autorité de certification utilisée pour signer le certificat de serveur de SF n’est pas présente dans le magasin d’autorité de certification de confiance Java Ajouter le certificat d’autorité de certification à l’aide de la commande exportcert.sh
DOWN-SF Error Erreur interne dans SF Vérifiez l’erreur dans SF via l’Observateur d’événements Windows et corrigez l’erreur
DOWN-ConnReset La connexion a été réinitialisée lors de la communication avec SF Assurez-vous que SF est accessible via NSIP
DOWN Une erreur inconnue s’est produite Collectez les fichiers décrits à la section 13.1 et contactez le support technique

Coexistence de WebFront et WebInterface (les deux sont installés)

  1. Nous interdisons le même nom de site pour WF et WI. CLI lancera l’erreur que le site est déjà présent si le site par ce nom est déjà présent dans le dossier webapps et la tentative est de créer dans son homologue.

Étapes à suivre pour installer et utiliser WF via CLI

  1. Installer WebFront sur NS :
    install wf package –jre “file:///var/openjdk7.tbz” –wf “file:///var/nswf-1.0.tar”
  2. Importer le certificat CA de StoreFront vers NS (obligatoire uniquement si SF est configuré pour https):
    shell /netscaler/wi/export_cert.sh /var/CA.cer
  3. Ajouter un site WF : add wf site site1 –StoreFrontURL http://storefront.lab.com -storeName store 1
  4. Vérifier l’état du site WF nouvellement ajouté et déboguer si l’état est DOWN : sh wf site site1
  5. Si le site est UP, configurez VPN vServer avec WF : ajoutez vpn sessionaction WF_ACT —sso ON —ntDomainlab.com —wihomehttp://127.0.0.1:8080/site1 add vpn sessionpolicy WF_POL NS_TRUE WF_ACT
  6. Bind vpn vs VPN1 –policy WF_POL –priority 10

Comment configurer WF pour fonctionner dans le 1er volet de la page d’accueil VPN à 3 volets

Set wf site <siteName> -XFrameOptions ALLOW

Ce paramètre définit l’en-tête HTTP X-Frame-Options sur Autoriser, le rendant affiché dans un iframe (1<sup>er</sup>volet de fenêtre à 3 volets).