Configurer Citrix SSO pour les utilisateurs iOS et Citrix Secure Access pour les utilisateurs de macOS

IMPORTANT :

Le VPN Citrix ne peut pas être utilisé sur iOS 12 et versions ultérieures. Pour continuer vers le VPN, utilisez l’application Citrix SSO.

Le tableau suivant compare la disponibilité de diverses fonctionnalités entre Citrix VPN, Citrix SSO pour les utilisateurs iOS et Citrix Secure Access pour les utilisateurs de macOS.

Fonctionnalité Citrix VPN Citrix SSO pour les utilisateurs iOS/Citrix Secure Access pour les utilisateurs de macOS
VPN au niveau de l’appareil Prise en charge Prise en charge
VPN par application (MDM uniquement) Prise en charge Prise en charge
Split tunneling par application Non pris en charge Prise en charge
Profils VPN configurés MDM Prise en charge Prise en charge
VPN à la demande Prise en charge Prise en charge
Jetons de mot de passe (basés sur T-OTP) Non pris en charge Prise en charge
Connexion basée sur les notifications push (second facteur à partir du téléphone enregistré) Non pris en charge Prise en charge
Authentification basée sur les certificats Prise en charge Prise en charge
Authentification par nom d’utilisateur/mot de passe Prise en charge Prise en charge
Vérification du contrôle d’accès réseau avec Citrix Endpoint Management (anciennement XenMobile) Non pris en charge Prise en charge
Vérification du contrôle d’accès réseau avec Microsoft Intune Prise en charge Prise en charge
Prise en charge de DTLS Non pris en charge Prise en charge
Bloquer les profils VPN créés par l’utilisateur Prise en charge Prise en charge
Authentification unique pour les applications natives gérées par Citrix Cloud Non pris en charge Prise en charge
Proxy côté client Prise en charge Prise en charge
Version de système d’exploitation prise en charge iOS 9, 10, 11 (ne fonctionne pas à partir d’iOS 12+) iOS 9+

Compatibilité avec les produits MDM

Citrix SSO (iOS) et Citrix Secure Access (macOS) sont compatibles avec la plupart des fournisseurs MDM tels que Citrix Endpoint Management (anciennement XenMobile), Microsoft Intune, etc.

Citrix SSO (iOS) et Citrix Secure Access (macOS) prennent également en charge une fonctionnalité appelée Contrôle d’accès réseau (NAC). Pour plus d’informations sur NAC, consultez Configurer la vérification des périphériques de contrôle d’accès réseau pour le serveur virtuel Citrix Gateway pour la connexion à facteur unique. Avec NAC, les administrateurs MDM peuvent appliquer la conformité des machines des utilisateurs finaux avant de se connecter à l’appliance Citrix ADC. La NAC sur Citrix SSO (iOS) et Citrix Secure Access (macOS) nécessite un serveur MDM tel que Citrix Endpoint Management ou Intune et Citrix ADC.

Remarque :

Pour utiliser l’application Citrix SSO sur iOS ou l’agent Citrix Secure Access sur macOS avec Citrix Gateway VPN sans MDM, vous devez ajouter une configuration VPN. Vous pouvez ajouter la configuration VPN sur iOS à partir de la page d’accueil Citrix SSO (iOS) et Citrix Secure Access (macOS).

Configurer un profil VPN géré par MDM pour l’application Citrix SSO (iOS) ou l’agent Citrix Secure Access (macOS)

La section suivante présente des instructions détaillées pour configurer les profils VPN à l’échelle de l’appareil et par application pour l’application Citrix SSO (iOS) ou l’agent Citrix Secure Access (macOS) à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lorsque vous travaillez avec Citrix SSO (iOS) et Citrix Secure Access (macOS).

Remarque :

Cette section explique les étapes de configuration d’un profil VPN de base à l’échelle de l’appareil et par application. Vous pouvez également configurer des proxies à la demande, toujours actifs, en suivant la documentation de Citrix Endpoint Management (anciennement XenMobile) ou la configuration de la charge utile VPN MDM d’Apple.

Profils VPN au niveau de l’appareil

Les profils VPN au niveau de l’appareil sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et services est acheminé vers Citrix Gateway en fonction des stratégies VPN (telles que tunnel complet, tunnel partagé, tunnel partagé inverse) définies dans Citrix ADC.

Pour configurer un VPN au niveau de l’appareil sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN au niveau de l’appareil sur Citrix Endpoint Management.

  1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies d’appareil > Ajouter une nouvelle stratégie.

  2. Sélectionnez iOS dans le volet de gauche Policy Platform. Sélectionnez VPN dans le volet droit.

  3. Sur la page Informations sur la stratégie, saisissez un nom de stratégie et une description valides, puis cliquez sur Suivant.

  4. Sur la page Stratégie VPN pour iOS, saisissez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.

    Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPN doit être définie sur VPN.

  5. Dans Identificateur SSL personnalisé (format DNS inverse), saisissez com.citrix.netscalergateway.ios.app. Il s’agit de l’identifiant de bundle de l’application Citrix SSO sur iOS.

    Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubtype .

  6. Dans l’identifiant du bundle fournisseur, entrez com.citrix.netscalergateway.ios.app.vpnPlugin. Il s’agit de l’identifiant de bundle de l’extension réseau contenue dans le binaire de l’application Citrix SSO iOS.

    Dans la charge utile VPN MDM, l’identificateur de bundle de fournisseur correspond à la clé ProviderBundleIdentifier .

  7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet (FQDN) du Citrix ADC associé à cette instance Citrix Endpoint Management.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management (anciennement XenMobile).

  8. Cliquez sur Suivant.

    Page de stratégie VPN CEM

  9. Cliquez sur Enregistrer.

Profils VPN par application

Les profils VPN par application sont utilisés pour configurer le VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est acheminé vers Citrix Gateway. La charge utile du VPN par application prend en charge toutes les clés du VPN à l’échelle de l’appareil, ainsi que quelques autres clés.

Pour configurer un VPN au niveau de l’application sur Citrix Endpoint Management

Effectuez les étapes suivantes pour configurer un VPN par application :

  1. Terminez la configuration VPN au niveau de l’appareil sur Citrix Endpoint Management.

  2. Activez le commutateur Activer le VPN par application dans la section VPN par application.

  3. Activez le commutateur On-Demand Match App Enabled si Citrix SSO (iOS) et Citrix Secure Access (macOS) doivent être démarrés automatiquement lorsque l’application Match est lancée. Cette option est recommandée pour la plupart des cas par application.

    Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppEnabled.

  4. Dans Type de fournisseur, sélectionnez Tunnel de paquets.

    Dans la charge utile VPN MDM, ce champ correspond au type de fournisseurclé.

  5. La configuration du domaine Safari est facultative. Lorsqu’un domaine Safari est configuré, Citrix SSO (iOS) et Citrix Secure Access (macOS) démarrent automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL qui correspond à celle du champ Domaine . Cette option n’est pas recommandée si vous souhaitez restreindre le VPN pour une application spécifique.

    Dans la charge utile VPN MDM, ce champ correspond à la clé SafariDomains.

    Les autres champs de la page de configuration sont facultatifs. Les configurations de ces champs sont disponibles dans la documentation Citrix Endpoint Management (anciennement XenMobile).

    Page de stratégie VPN CEM

  6. Cliquez sur Suivant.

  7. Cliquez sur Enregistrer.

Pour associer ce profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.

Configuration du split tunnel dans un VPN par application

Les clients MDM peuvent configurer le split tunnel dans le VPN par application pour Citrix SSO (iOS) et Citrix Secure Access (macOS). La paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

split-tunnel-per-app-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

!split-tunnel-per-app-Intune

Désactivation des profils VPN créés par les utilisateurs

Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de l’application Citrix SSO (iOS) et de l’agent Citrix Secure Access (macOS). Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration du fournisseur du profil VPN créé sur le serveur MDM.

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"
<!--NeedCopy-->

La clé est sensible à la casse et doit correspondre exactement à la casse, tandis que la valeur n’est pas sensible à la casse.

Remarque :

L’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard parmi les fournisseurs MDM. Contactez le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

disable-VPN-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

disable_VPN_Intune

Gestion DNS

Les paramètres DNS recommandés pour l’application Citrix SSO ou l’agent Citrix Secure Access sont les suivants :

  • Split DNS > REMOTE si le split tunnel est désactivé.
  • Split DNS > BOTH si le split tunnel est défini sur ON. Dans ce cas, les administrateurs doivent ajouter des suffixes DNS pour les domaines intranet. Les requêtes DNS pour les noms de noms de noms de noms de famille (FQDN) appartenant à des suffixes DNS sont acheminées vers l’appliance Citrix ADC et les autres requêtes sont envoyées au routeur local.

Remarque :

  • Il est recommandé que l’indicateur de correction de troncature DNS soit toujours actif. Pour plus de détails, consultez https://support.citrix.com/article/CTX200243.

  • Lorsque le split tunnel est défini sur ON et que Split DNS est défini sur REMOTE, des problèmes peuvent survenir lors de la résolution des requêtes DNS après la connexion du VPN. Cela est lié au fait que le framework Network Extension n’intercepte pas toutes les requêtes DNS.

Problèmes connus

Description du problème : Tunneling pour les adresses de nom de domaine complet qui contiennent un domaine “.local” dans les configurations VPN par application ou VPN à la demande. Il existe un bogue dans le cadre d’extension réseau d’Apple qui empêche les adresses FQDN contenant .local dans la partie domaine (par exemple, http://wwww.abc.local) d’être tunnelisées sur l’interface TUN du système. Le trafic pour cette adresse est envoyé via l’interface physique de l’appareil. Le problème est observé uniquement avec la configuration VPN par application ou VPN à la demande et n’est pas visible avec les configurations VPN à l’échelle du système. Citrix a déposé un rapport de bogue radar auprès d’Apple, et Apple a noté que, selon la RFC-6762 : https://tools.ietf.org/html/rfc6762, local est une requête DNS multicast (mDNS) et n’est donc pas un bogue. Cependant, Apple n’a pas encore résolu le bogue et il n’est pas clair si le problème sera résolu dans les prochaines versions d’iOS.

Solution : attribuez un nom de domaine non .local à ces adresses comme solution de contournement.

Limitations

  • Le split tunneling basé sur le nom de domaine complet n’est pas encore entièrement pris en charge.
  • L’analyse des points de terminaison (EPA) n’est pas prise en charge sur iOS.
  • Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.
Configurer Citrix SSO pour les utilisateurs iOS et Citrix Secure Access pour les utilisateurs de macOS