Citrix Gateway

Configurer le scénario de secours d’accès

SmartAccess permet à Citrix Gateway de déterminer automatiquement les méthodes d’accès autorisées pour une machine utilisateur en fonction des résultats d’une analyse d’analyse des points de terminaison. Le scénario de secours Access étend encore cette fonctionnalité en permettant à une machine utilisateur de se replier de l’agent Citrix Secure Access vers l’Interface Web ou StoreFront à l’aide de l’application Citrix Workspace si la machine utilisateur ne réussit pas l’analyse initiale des points de terminaison.

Pour activer le scénario de secours d’accès, vous configurez une stratégie de post-authentification qui détermine si les utilisateurs bénéficient d’une autre méthode d’accès lors de la connexion à Citrix Gateway. Cette stratégie de post-authentification est définie comme une expression de sécurité client que vous configurez globalement ou dans le cadre d’un profil de session. Si vous configurez un profil de session, le profil est associé à une stratégie de session que vous liez ensuite aux utilisateurs, groupes ou serveurs virtuels. Lorsque vous activez le scénario de secours d’accès, Citrix Gateway lance une analyse d’analyse des points de terminaison après l’authentification de l’utilisateur. Les résultats pour les machines utilisateur qui ne répondent pas aux exigences d’une analyse post-authentification de secours sont les suivants :

  • Si les choix du client sont activés, les utilisateurs peuvent ouvrir une session sur l’interface Web ou StoreFront à l’aide de l’application Citrix Workspace uniquement.
  • Si l’accès sans client et les choix de client sont désactivés, les utilisateurs peuvent être mis en quarantaine dans un groupe qui fournit un accès uniquement à l’interface Web ou à StoreFront.
  • Si l’accès sans client et l’interface Web ou StoreFront sont activés sur Citrix Gateway et que le proxy ICA est désactivé, les utilisateurs reviennent à l’accès sans client.
  • Si l’interface Web ou StoreFront n’est pas configuré et que l’accès sans client est configuré pour autoriser, les utilisateurs reviennent à l’accès sans client.

Lorsque l’accès sans client est désactivé, la combinaison de paramètres suivante doit être configurée pour le scénario de secours d’accès :

  • Définissez les paramètres de sécurité du client pour l’analyse de secours après authentification.
  • Définissez la page d’accueil de l’interface Web.
  • Désactivez les choix du client.
  • Si les machines utilisateur échouent au contrôle de sécurité du client, les utilisateurs sont placés dans un groupe de quarantaine qui autorise l’accès uniquement à l’interface Web ou à StoreFront et aux applications publiées.

Créer des stratégies pour le scénario de secours Access Scenario

Pour configurer Citrix Gateway pour le scénario de secours d’accès, vous devez créer des stratégies et des groupes de la manière suivante :

  • Créez un groupe de quarantaine dans lequel les utilisateurs sont placés en cas d’échec de l’analyse de l’analyse des points de terminaison.
  • Créez une interface Web globale ou un paramètre StoreFront qui sera utilisé en cas d’échec de l’analyse d’analyse des points de terminaison.
  • Créez une stratégie de session qui remplace le paramètre global, puis liez la stratégie de session à un groupe.
  • Créez une stratégie de sécurité client globale qui sera appliquée en cas d’échec de l’analyse des points de terminaison.

Lorsque vous configurez le scénario de secours d’accès, suivez les instructions suivantes :

  • L’utilisation des choix du client ou du scénario de secours d’accès nécessite le plug-in Endpoint Analysis pour tous les utilisateurs. Si l’analyse des points de terminaison ne peut pas être exécutée ou si les utilisateurs sélectionnent Ignorer l’analyse pendant l’analyse, l’accès est refusé aux utilisateurs. Remarque : L’option permettant d’ignorer l’analyse est supprimée dans Citrix Gateway 10.1, Build 120.1316.e
  • Lorsque vous activez les choix du client, si la machine utilisateur échoue à l’analyse d’analyse des points de terminaison, les utilisateurs sont placés dans le groupe de quarantaine. Les utilisateurs peuvent continuer à ouvrir une session à l’aide de l’agent Citrix Secure Access ou de l’application Citrix Workspace sur l’Interface Web ou StoreFront. Remarque : Citrix recommande de ne pas créer de groupe de quarantaine si vous activez les choix des clients. Les machines utilisateur qui échouent à l’analyse des points de terminaison sont mises en quarantaine sont traitées de la même manière que les machines utilisateur qui réussissent l’analyse des terminaux.
  • Si l’analyse de l’analyse des points de terminaison échoue et que l’utilisateur est placé dans le groupe de quarantaine, les stratégies liées au groupe de quarantaine ne sont effectives que si aucune stratégie liée directement à l’utilisateur n’a un numéro de priorité égal ou inférieur à celui des stratégies liées au groupe de quarantaine.
  • Vous pouvez utiliser différentes adresses Web pour l’interface d’accès et l’interface Web ou StoreFront. Lorsque vous configurez les pages d’accueil, la page d’accueil de l’interface d’accès est prioritaire pour l’agent Citrix Secure Access et la page d’accueil de l’interface Web est prioritaire pour les utilisateurs de l’interface Web. La page d’accueil de l’application Citrix Workspace est prioritaire pour StoreFront.

Créer un groupe de quarantaine

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom du groupe, tapez un nom pour le groupe, cliquez sur Créer, puis cliquez sur Fermer. Important : Le nom du groupe de quarantaine ne doit pas correspondre au nom d’un groupe de domaines auquel les utilisateurs peuvent appartenir. Si le groupe de quarantaine correspond à un nom de groupe Active Directory, les utilisateurs sont mis en quarantaine même si la machine utilisateur réussit l’analyse de sécurité de l’analyse des points de terminaison.

Après avoir créé le groupe, configurez Citrix Gateway pour revenir à l’interface Web si la machine utilisateur échoue à l’analyse d’analyse des points de terminaison.

Configuration des paramètres de mise en quarantaine des connexions utilisateur

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans la boîte de dialogue Paramètres globaux de Citrix Gateway, sous l’onglet Applications publiées, en regard de Proxy ICA, sélectionnez Désactivé.
  4. En regard de Adresse de l’interface Web, tapez l’adresse Web de StoreFront ou de l’interface Web.
  5. En regard de Domaine d’authentification unique, tapez le nom de votre domaine Active Directory, puis cliquez sur OK.

Après avoir configuré les paramètres globaux, créez une stratégie de session qui remplace le paramètre proxy ICA global, puis liez la stratégie de session au groupe de quarantaine.

Créer une stratégie de session pour le scénario de secours Access Scenario

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Demander un profil, cliquez sur Nouveau.
  5. Dans l’onglet Applications publiées, en regard de Proxy ICA, cliquez sur Override Global, sélectionnez On, puis cliquez sur Create.
  6. Dans la boîte de dialogue Créer une stratégie de session, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer,puis surFermer.

Après avoir créé la stratégie de session, liez la stratégie à un groupe de quarantaine.

Liez la stratégie de session au groupe de quarantaine

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Administration des utilisateurs, puis cliquez sur Groupes AAA.
  2. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Ouvrir.
  3. Cliquez sur Session.
  4. Dans l’onglet Stratégies, sélectionnez Session, puis cliquez sur Insérer une stratégie.
  5. Sous Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur OK.

Après avoir créé la stratégie de session et le profil activant l’interface Web ou StoreFront sur Citrix Gateway, créez une stratégie de sécurité client globale.

Créer une stratégie de sécurité client globale

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  4. Dans Client Security, saisissez l’expression. Pour plus d’informations sur la configuration des expressions système, consultez Configuration des expressions système et Configuration des expressions de sécurité du client composé
  5. Dans Groupe de quarantaine, sélectionnez le groupe que vous avez configuré dans la procédure de groupe, puis cliquez sur OK.
Configurer le scénario de secours d’accès