Citrix Gateway

Stratégies de post-authentification

Une stratégie de post-authentification est un ensemble de règles génériques que la machine utilisateur doit respecter pour maintenir la session active. Si la stratégie échoue, la connexion à Citrix Gateway prend fin. Lorsque vous configurez la stratégie de post-authentification, vous pouvez configurer n’importe quel paramètre pour les connexions utilisateur pouvant être rendu conditionnel.

Remarque :

Cette fonctionnalité fonctionne uniquement avec l’agent Citrix Secure Access. Si les utilisateurs ouvrent une session avec l’application Citrix Workspace, l’analyse Endpoint Analysis s’exécute uniquement à l’ouverture de session.

Vous utilisez des stratégies de session pour configurer les stratégies de post-authentification. Tout d’abord, vous créez les utilisateurs auxquels la stratégie s’applique. Vous ajoutez ensuite les utilisateurs à un groupe. Ensuite, vous liez la session, les stratégies de trafic et les applications intranet au groupe.

Vous pouvez également spécifier que les groupes soient des groupes d’autorisation. Ce type de groupe vous permet d’attribuer des utilisateurs à des groupes en fonction d’une expression de sécurité client au sein de la stratégie de session.

Vous pouvez également configurer une stratégie de post-authentification pour placer les utilisateurs dans un groupe de quarantaine si la machine utilisateur ne répond pas aux exigences de la stratégie. Une stratégie simple inclut une expression de sécurité client et un message de sécurité client. Lorsque les utilisateurs se trouvent dans le groupe de quarantaine, ils peuvent ouvrir une session sur Citrix Gateway. Toutefois, ils bénéficient d’un accès limité aux ressources réseau.

Vous ne pouvez pas créer de groupe d’autorisation et de groupe de quarantaine en utilisant le même profil de session et la même stratégie. Les étapes de création de la stratégie de post-authentification sont les mêmes. Lorsque vous créez la stratégie de session, vous sélectionnez un groupe d’autorisation ou un groupe de quarantaine. Vous pouvez créer deux stratégies de session et lier chaque stratégie au groupe.

Les stratégies de post-authentification sont également utilisées avec SmartAccess. Pour plus d’informations sur SmartAccess, consultez Configuration de SmartAccess sur Citrix Gateway.

Configurer une stratégie de post-authentification

Vous utilisez une stratégie de session pour configurer une stratégie de post-authentification. Une stratégie simple inclut une expression de sécurité client et un message de sécurité client.

Pour configurer une stratégie de post-authentification à l’aide de l’interface graphique

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Demander un profil, cliquez sur Nouveau.
  5. Dans Nom, saisissez un nom pour le profil.
  6. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  7. Sous Client Security, cliquez sur Override Global, puis cliquez sur New.
  8. Configurez l’expression de sécurité du client, puis cliquez sur Créer.
  9. Sous Client Security, dans Groupe de quarantaine, sélectionnez un groupe.
  10. Dans Message d’erreur, tapez le message que les utilisateurs doivent recevoir en cas d’échec de l’analyse post-authentification.
  11. Sous Groupes d’autorisation, cliquez sur Remplacer le groupe global, sélectionnez un groupe, cliquez sur Ajouter, cliquez sur OK, puis cliquez sur Créer.
  12. Dans la boîte de dialogue Créer une stratégie de session, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, cliquez sur Créer, puis cliquez sur Fermer.

Configuration de la fréquence des analyses post-authentification

Vous pouvez configurer Citrix Gateway pour exécuter la stratégie de post-authentification à des intervalles spécifiés. Par exemple, vous avez configuré une stratégie de sécurité client et souhaitez qu’elle s’exécute sur la machine utilisateur toutes les 10 minutes. Vous pouvez configurer cette fréquence en créant une expression personnalisée dans la stratégie.

Remarque :

La fonctionnalité de vérification de la fréquence des stratégies de post-authentification fonctionne uniquement avec l’agent Citrix Secure Access. Si les utilisateurs ouvrent une session avec l’application Citrix Workspace, l’analyse Endpoint Analysis s’exécute uniquement à l’ouverture de session.

Vous pouvez définir la fréquence (en minutes) de configuration de la stratégie de sécurité du client en suivant la procédure Configuration d’une stratégie de post-authentification. La figure suivante montre où vous pouvez entrer une valeur de fréquence dans la boîte de dialogue Ajouter une expression .

Affiche une figure de la boîte de dialogue de configuration de la fréquence des analyses post-authentification.

Groupes de quarantaine et d’autorisation

Lorsque les utilisateurs ouvrent une session sur Citrix Gateway, vous les affectez à un groupe que vous configurez sur Citrix Gateway ou sur un serveur d’authentification du réseau sécurisé. Si un utilisateur échoue lors d’une analyse post-authentification, vous pouvez l’affecter à un groupe restreint, appelé groupe de quarantaine, qui limite l’accès aux ressources réseau.

Vous pouvez également utiliser des groupes d’autorisation pour restreindre l’accès des utilisateurs aux ressources réseau. Par exemple, il se peut qu’un groupe de contractuels n’ait accès qu’à votre serveur de messagerie et à un partage de fichiers. Lorsque les machines utilisateur satisfont aux exigences de sécurité que vous avez définies sur Citrix Gateway, les utilisateurs peuvent devenir membres de groupes de manière dynamique.

Vous utilisez des paramètres globaux ou des stratégies de session pour configurer des groupes de quarantaine et d’autorisation liés à un utilisateur, un groupe ou un serveur virtuel. Vous pouvez attribuer des utilisateurs à des groupes en fonction d’une expression de sécurité client au sein de la stratégie de session. Lorsque l’utilisateur est membre d’un groupe, Citrix Gateway applique la stratégie de session en fonction de l’appartenance au groupe.

Configuration des groupes d’autorisation

Lorsque vous configurez une analyse Endpoint Analysis, vous pouvez ajouter dynamiquement des utilisateurs à un groupe d’autorisations lorsque la machine utilisateur réussit l’analyse. Par exemple, vous créez une analyse Endpoint Analysis qui vérifie l’appartenance au domaine de la machine utilisateur. Sur Citrix Gateway, créez un groupe local appelé Ordinateurs joints au domaine et ajoutez-le en tant que groupe d’autorisation pour toute personne ayant réussi l’analyse. Lorsque des utilisateurs rejoignent le groupe, ils héritent des stratégies associées au groupe.

Vous ne pouvez pas lier des stratégies d’autorisation globalement ou à un serveur virtuel. Vous pouvez utiliser des groupes d’autorisation pour fournir un ensemble de stratégies d’autorisation par défaut lorsque les utilisateurs ne sont pas configurés pour être membres d’un autre groupe sur Citrix Gateway.

Pour configurer un groupe d’autorisations à l’aide d’une stratégie de session

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Demander un profil, cliquez sur Nouveau.
  5. Dans Nom, saisissez le nom du profil.
  6. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  7. Sous Groupes d’autorisation, cliquez sur Remplacer le groupe global, sélectionnez un groupe dans la liste déroulante, cliquez sur Ajouter, cliquez sur OK, puis sur Créer.
  8. Dans la boîte de dialogue Créer une stratégie de session, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Après avoir créé la stratégie de session, vous pouvez la lier à un utilisateur, un groupe ou un serveur virtuel.

Pour configurer un groupe d’autorisations global

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  4. Sous Groupe d’autorisations, sélectionnez un groupe dans la liste déroulante, cliquez sur Ajouter, puis cliquez deux fois sur OK.

Si vous souhaitez supprimer un groupe d’autorisations globalement ou de la stratégie de session, dans la boîte de dialogue Paramètres de sécurité - Avancés, sélectionnez le groupe d’autorisations dans la liste, puis cliquez sur Supprimer.

Configuration des groupes de quarantaine

Lorsque vous configurez un groupe de quarantaine, vous configurez l’expression de sécurité du client à l’aide de la boîte de dialogue Paramètres de sécurité - Paramètres avancés dans un profil de session.

Pour configurer l’expression de sécurité du client pour un groupe de quarantaine

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Demander un profil, cliquez sur Nouveau.
  5. Dans Nom, saisissez le nom du profil.
  6. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  7. Sous Client Security, cliquez sur Override Global, puis cliquez sur New.
  8. Dans la boîte de dialogue Expression client, configurez l’expression de sécurité du client, puis cliquez sur Créer.
  9. Dans Groupe de quarantaine, sélectionnez le groupe.
  10. Dans Message d’erreur, tapez un message décrivant le problème pour les utilisateurs, puis cliquez sur Créer.
  11. Dans la boîte de dialogue Créer une stratégie de session, en regard de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Après avoir créé la stratégie de session, liez-la à un utilisateur, un groupe ou un serveur virtuel.

Remarque

Si l’analyse Endpoint Analysis échoue et que l’utilisateur est placé dans le groupe de quarantaine, les stratégies liées au groupe de quarantaine ne sont effectives que si aucune stratégie liée directement à l’utilisateur n’a un numéro de priorité égal ou inférieur à celui des stratégies liées au groupe de quarantaine.

Pour configurer un groupe de quarantaine global

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  4. Dans Client Security, configurez l’expression de sécurité du client.
  5. Dans Groupe de quarantaine, sélectionnez le groupe.
  6. Dans Message d’erreur, tapez un message décrivant le problème pour les utilisateurs, puis cliquez sur OK.
Stratégies de post-authentification