Vue d’ensemble de Citrix SSO

Citrix SSO fournit la meilleure solution d’accès aux applications et de protection des données offerte par Citrix Gateway. Vous pouvez désormais accéder en toute sécurité aux applications stratégiques, aux bureaux virtuels et aux données d’entreprise depuis n’importe où et à tout moment. Citrix SSO est le client VPN de nouvelle génération pour Citrix Gateway construit à l’aide du framework Network Extension d’Apple. Il remplace l’ancien client VPN Citrix sur l’App Store.

L’application Citrix SSO fournit une prise en charge complète de la gestion des appareils mobiles (MDM) sur iOS. Avec un serveur MDM, un administrateur peut désormais configurer et gérer à distance les profils VPN au niveau de l’appareil et les profils VPN par application.

Nouveautés

Le client VPN Citrix hérité a été construit à l’aide des API VPN privées d’Apple qui ont maintenant été obsolètes. La prise en charge VPN dans Citrix SSO a été réécrite à partir de zéro à l’aide du framework public Network Extension d’Apple.

Voici quelques-unes des principales fonctionnalités introduites avec l’application Citrix SSO :

Jetons de mot de passe : Un jeton de mot de passe est un code à 6 chiffres qui est une alternative aux services de mot de passe secondaires tels que VIP, OKTA. Ce code utilise le protocole T-OTP (Mot de passe à usage unique basé sur le temps) pour générer le code OTP similaire à des services tels que Google Authenticator, Microsoft Authenticator, etc. Les utilisateurs sont invités à entrer deux mots de passe lors de l’authentification à Citrix Gateway pour un utilisateur Active Directory donné. Le deuxième facteur est un code à six chiffres évloutif que les utilisateurs copient à partir d’un service tiers enregistré tel que Google ou Microsoft Authenticator dans le navigateur de bureau.

Les utilisateurs doivent d’abord s’inscrire à T-OTP sur l’appliance Citrix ADC. Pour les étapes d’inscription, reportez-vous à la section https://support.citrix.com/article/CTX228454. Sur l’application, les utilisateurs peuvent ajouter la fonctionnalité OTP en scannant le code QR généré sur Citrix ADC ou en saisissant manuellement le secret TOTP. Les jetons OTP une fois ajoutés apparaissent sur le segment de jetons de mot de passe de l’interface utilisateur. Pour améliorer l’expérience, l’ajout d’un OTP invite l’utilisateur à créer automatiquement un profil VPN. Les utilisateurs peuvent profiter de ce profil VPN pour se connecter directement à VPN à partir de leurs appareils iOS.

Remarque :

  • L’application Citrix SSO peut être utilisée pour scanner le code QR lors de l’inscription à la prise en charge Native OTP.
  • La fonctionnalité de notification Push Citrix Gateway est disponible uniquement pour les utilisateurs de l’application Citrix SSO.
  • La fonctionnalité de jetons de mot de passe est disponible sur Citrix SSO pour les utilisateurs iOS uniquement.

Notification push : Citrix Gateway envoie une notification push sur votre appareil mobile enregistré pour une expérience d’authentification simplifiée à deux facteurs. Au lieu d’ouvrir l’application Citrix SSO pour taper le deuxième facteur OTP sur la page d’ouverture de session Citrix ADC, vous pouvez valider votre identité en fournissant le code PIN de votre périphérique, l’ID tactile/l’ID visage du périphérique enregistré.

Remarque :

  • Une fois que vous avez enregistré votre appareil pour la notification Push, vous pouvez également l’utiliser pour prendre en charge Native OTP à l’aide de l’application Citrix SSO. L’enregistrement pour les notifications push est transparent pour l’utilisateur. Lorsque les utilisateurs enregistrent TOTP, l’appareil est également enregistré pour les notifications Push si Citrix ADC le prend en charge.
  • La fonctionnalité de notification push est disponible sur Citrix SSO pour les utilisateurs iOS uniquement.

Comparaison des fonctionnalités entre Citrix VPN et Citrix SSO

IMPORTANT : Citrix VPN ne peut pas être utilisé sur iOS 12 et versions ultérieures. Pour continuer au VPN, utilisez l’application Citrix SSO.

Le tableau suivant compare la disponibilité de diverses fonctionnalités entre Citrix VPN et Citrix SSO.

Fonctionnalité Citrix VPN Citrix SSO
VPN au niveau de l’appareil Pris en charge Pris en charge
VPN par application (MDM uniquement) Pris en charge Pris en charge
Split tunneling par application Non pris en charge Pris en charge
Profils VPN configurés MDM Pris en charge Pris en charge
VPN à la demande Pris en charge Pris en charge
Jetons de mot de passe (basés sur T-OTP) Non pris en charge Pris en charge
Connexion basée sur les notifications push (second facteur à partir du téléphone enregistré) Non pris en charge Pris en charge
Authentification basée sur le certificat Pris en charge Pris en charge
Authentification du nom d’utilisateur/mot de passe Pris en charge Pris en charge
Vérification du contrôle d’accès réseau avec Citrix Endpoint Management (anciennement XenMobile) Non pris en charge Pris en charge
Vérification du contrôle d’accès réseau avec Microsoft Intune Pris en charge Pris en charge
Prise en charge de DTLS Non pris en charge Pris en charge
Bloquer les profils VPN créés par l’utilisateur Pris en charge Pris en charge
Authentification unique pour les applications natives gérées par Citrix Cloud Non pris en charge Pris en charge
Version de système d’exploitation prise en charge iOS 9, 10, 11 (ne fonctionne pas à partir d’iOS 12+) iOS 9+

Compatibilité avec les produits MDM

Citrix SSO est compatible avec la plupart des fournisseurs MDM tels que Citrix Endpoint Management (anciennement XenMobile), Microsoft Intune, etc.

Citrix SSO prend également en charge une fonctionnalité appelée Contrôle d’accès réseau (NAC). Pour en savoir plus sur NAC, cliquez ici. Avec NAC, les administrateurs MDM peuvent appliquer la conformité des machines de l’utilisateur final avant de se connecter à Citrix ADC. NAC sur Citrix SSO nécessite un serveur MDM tel que Citrix Endpoint Management ou Intune et Citrix ADC.

Configurer un profil VPN géré par MDM pour Citrix SSO

La section suivante capture les instructions étape par étape pour configurer les profils VPN à l’échelle du périphérique et par application pour Citrix SSO à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lorsque vous travaillez avec Citrix SSO.

Remarque : Cette section explique les étapes de configuration d’un profil VPN de base pour l’ensemble du périphérique et par application. Vous pouvez également configurer les serveurs proxy à la demande, en continu et en suivant la documentation Citrix Endpoint Management (anciennement XenMobile) ou la configuration de charge utile VPN MDM d’Apple.

Profils VPN au niveau du périphérique

Les profils VPN de niveau périphérique sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et services est mis en tunnel vers Citrix Gateway en fonction des stratégies VPN (telles que Full-Tunnel, Split-Tunnel, Reverse Split Tunnel) définies dans Citrix ADC.

Pour configurer un VPN au niveau du périphérique sur Citrix Endpoint Management

Procédez comme suit pour configurer un VPN au niveau du périphérique sur Citrix Endpoint Management.

1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies de périphérique > Ajouter une nouvelle stratégie.

2. Sélectionnez iOS dans le volet de gauche de la Plateforme de stratégie. Sélectionnez VPN dans le volet droit.

3. Dans la page Informations sur la stratégie, entrez un nom et une description de stratégie valides, puis cliquez sur Suivant.

4. Sur la page Stratégie VPN pour iOS, tapez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.

Remarque : Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPNdoit être définie sur VPN.

5. Dans l’identifiant SSL personnalisé (format DNS inverse), entrez com.citrix.netscalerGateway.ios.app. Il s’agit de l’identificateur de bundle pour l’application Citrix SSO sur iOS.

Remarque : Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubType.

6. Dans l’identifiant du bundle fournisseur, entrez com.citrix.NetScalerGateway.ios.app.vpnPlugin . Il s’agit de l’identificateur de bundle de l’extension réseau contenue dans le binaire de l’application Citrix SSO iOS.

Remarque : Dans la charge utile VPN MDM, l’identificateur de bundle du fournisseur correspond à la clé ProviderBundleIdentifier.

7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet (nom de domaine complet) du Citrix ADC associé à cette instance de Citrix Endpoint Management.

Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management (anciennement XenMobile).

8 Cliquez sur Suivant.

Image localisée

9 Cliquez sur Enregistrer.

Profils VPN par application

Les profils VPN par application sont utilisés pour configurer VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est acheminé vers Citrix Gateway. La charge utile VPN par application prend en charge toutes les clés pour VPN à l’échelle de l’appareil ainsi que quelques clés supplémentaires.

Pour configurer un VPN par application sur Citrix Endpoint Management

Procédez comme suit pour configurer un VPN par application :

1. Terminez la configuration VPN au niveau du périphérique sur Citrix Endpoint Management.

2. Activez le commutateur Activer Per App VPN dans la section Per App VPN.

3. Activez le commutateur Correspondance d’application à la demande activée si Citrix SSO doit être démarré automatiquement lorsque l’application Match est lancée. Ceci est recommandé pour la plupart des cas par application.

Remarque : Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppenabled.

4. Dans Type de fournisseur, sélectionnez Tunnel de paquets.

Remarque : Dans la charge utile VPN MDM, ce champ correspond au type de fournisseurclé.

5. La configuration du domaine Safari est facultative. Lorsque le domaine Safari est configuré, Citrix SSO démarre automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL correspondant à celle du champ Domaine. Ceci n’est pas recommandé si vous souhaitez restreindre le VPN pour une application spécifique.

Remarque : Dans la charge utile VPN MDM, ce champ correspond aux principaux SafariDomains.

Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management (anciennement XenMobile).

image localisée

14. Cliquez sur Suivant.

15 Cliquez sur Enregistrer.

Pour associer ce profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.

Importer des certificats dans Citrix SSO pour l’authentification client

Citrix SSO sur iOS prend en charge l’authentification par certificat client avec Citrix Gateway. Sur iOS, les certificats peuvent être remis à l’application Citrix SSO de l’une des manières suivantes :

  • Serveur MDM - C’est l’approche préférée pour les clients MDM. Les certificats sont configurés directement sur le profil VPN géré par MDM. Les profils VPN et les certificats sont ensuite poussés vers les périphériques inscrits lorsque le périphérique s’inscrit dans le serveur MDM. Veuillez suivre les documents spécifiques du fournisseur MDM pour cette approche.

  • E-mail - Approche uniquement pour les clients non-MDM. Dans cette approche, les administrateurs envoient aux utilisateurs un e-mail contenant l’identité de certificat d’utilisateur (certificat et clé privée) joint en tant que fichier PCKS #12. Les utilisateurs doivent avoir leurs comptes de messagerie configurés sur leur appareil iOS pour recevoir l’e-mail avec pièce jointe. Le fichier peut ensuite être importé dans l’application Citrix SSO sur iOS. La section suivante explique les étapes de configuration de cette approche.

Composants requis

  • Certificat utilisateur - Un fichier d’identité PKCS #12 avec une extension .pfx ou .p12 pour un utilisateur donné. Ce fichier contient à la fois le certificat et la clé privée.

  • Compte de messagerie configuré sur l’appareil iOS.

  • Application Citrix SSO installée sur le périphérique iOS.

Étapes de configuration

1. Renommez l’extension/MIME type du certificat utilisateur.

Les extensions de fichiers les plus couramment utilisées pour le certificat utilisateur sont « .pfx », « .p12 », etc. Ces extensions de fichiers ne sont pas standard pour la plate-forme iOS contrairement aux formats tels que .pdf, .doc. “.pfx” et “.p12” sont revendiqués par le système iOS et ne peuvent pas être revendiqués par des applications tierces telles que Citrix SSO. Par conséquent, Citrix SSO a défini un nouveau type d’extension/MIME appelé “.citrixsso-pfx” et “.citrixsso-p12”. Les administrateurs doivent modifier le type d’extension/MIME du certificat utilisateur, de “.pfx” standard ou “.p12” à “.citrixsso-pfx” ou “.citrixsso-p12” respectivement. Pour renommer l’extension, les administrateurs peuvent exécuter la commande suivante sur l’invite de commande ou le terminal.

Windows 10

cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>
rename <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.citrixsso-pfx

macOS

cd <DIRECTORY_PATH_TO_CERTIFICATE_FILE>
mv <CERTIFICATE_FILE_NAME>.pfx <CERTIFICATE_FILE_NAME>.citrixsso-pfx

2. Envoyez le fichier sous la forme d’une pièce jointe à un e-mail.

Le fichier de certificat utilisateur avec la nouvelle extension peut maintenant être envoyé en pièce jointe à l’utilisateur.

3. Ouvrez E-mail avec l’application Citrix SSO.

  • À la réception de l’e-mail, les utilisateurs doivent taper sur la pièce jointe pour afficher le menu « OpenIn » du système.

  • Touchez Copier vers Citrix SSO.

sso-ios-email

4. Installez le certificat dans l’application Citrix SSO.

  • L’application est maintenant lancée et une invite pour la phrase secrète de certificat est affichée à l’utilisateur. L’utilisateur doit entrer la phrase secrète correcte pour que le certificat soit installé dans le trousseau de l’application.

— Une fois la validation réussie, le certificat est importé.

sso-ios-install

5. Utilisation de l’authentification basée sur le certificat avec VPN.

  • Pour utiliser le certificat pour l’authentification VPN, les utilisateurs doivent d’abord créer une configuration/profil VPN sur Citrix SSO. Accédez à l’affichage Connexions VPN et appuyez sur Ajouter une configuration VPN.

  • Dans la vue de configuration du profil VPN, l’utilisateur peut sélectionner le certificat importé dans la section Configuration des certificats.

sso-ios-certificate1

  • Touchez Enregistrer pour importer le certificat. Le certificat est importé avec succès.

sso-ios-certificate2

6. Gestion des certificats. Les certificats importés dans Citrix SSO peuvent être gérés par l’utilisateur en accédant à Paramètres de l’application > Certificats.

Configuration du split tunneling dans un VPN par application

Les clients MDM peuvent configurer le split tunneling dans le VPN Per-App pour Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.

-  Clé = "PerAppSplitTunnel"
-  Valeur = "true ou 1 ou yes"

La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.

Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

split-tunnel-per-app-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

split-tunnel-per-app-Intune

Désactivation des profils VPN créés par l’utilisateur

Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de l’application Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.

-  Clé = "disableUserProfiles"
-  Valeur = "true ou 1 ou yes"

La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.

Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.

disable-VPN-CEM

Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.

disable_VPN_Intune

Problèmes connus

Description du problème : Tunneling pour les adresses de nom complet contenant un domaine « .local » dans les configurations VPN par application ou VPN à la demande. Il y a un bogue dans le framework d’extension réseau d’Apple qui empêche les adresses FQDN contenant .local dans la partie domaine (par exemple http://wwww.abc.local) d’être tunnelées sur l’interface TUN du système. Le trafic de cette adresse est envoyé via l’interface physique de l’appareil à la place. Le problème est observé uniquement avec les configurations VPN par application ou VPN à la demande et n’est pas vu avec les configurations VPN à l’échelle du système. Citrix a déposé un rapport de bogue radar auprès d’Apple, et Apple avait noté que selon RFC-6762 :https://tools.ietf.org/html/rfc6762, .local est une requête DNS multicast (MDN) et n’est donc pas un bogue. Cependant, Apple n’a pas encore fermé le bogue et il n’est pas clair si le problème sera résolu dans les futures versions iOS.

Solution : attribuez un nom de domaine non .local à de telles adresses comme solution de contournement.

Limitations

  • le split tunneling basé sur le nom de domaine complet n’est pas encore entièrement pris en charge.
  • L’analyse des points de terminaison (EPA) n’est pas prise en charge sur iOS.
  • Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.

Questions fréquentes

Cette section capture les questions fréquemment posées sur l’application Citrix SSO.

En quoi l’application Citrix SSO est-elle différente de l’application Citrix VPN ? Citrix SSO est le client VPN SSL de nouvelle génération pour Citrix ADC. L’application utilise le cadre d’extension réseau d’Apple pour créer et gérer des connexions VPN sur les appareils iOS et macOS. Citrix VPN est le client VPN hérité qui a utilisé les API VPN privées d’Apple qui est désormais obsolète. La prise en charge du VPN Citrix sera supprimée de l’App Store dans les mois à venir.

Qu’est-ce que NE ? Le framework Network Extension (NE) d’Apple est une bibliothèque moderne qui contient des API qui peuvent être utilisées pour personnaliser et étendre les fonctionnalités de réseau de base d’iOS et de macOS. Network Extension avec prise en charge du VPN SSL est disponible sur les appareils exécutant iOS 9+ et macOS 10.11+.

Quelles versions de Citrix ADC sont-elles compatibles avec Citrix SSO ? Les fonctionnalités VPN dans Citrix SSO sont prises en charge sur Citrix ADC versions 10.5 et supérieures. Le TOTP est disponible sur Citrix ADC version 12.0 et supérieure. La notification Push sur Citrix ADC n’a pas encore été annoncée publiquement. L’application nécessite les versions iOS 9+ et macOS 10.11+.

Comment fonctionne l’authentification basée sur le certificat pour les clients non MDM ? Les clients qui ont déjà distribué des certificats via courrier électronique ou navigateur pour effectuer l’authentification de certificat client dans Citrix VPN doivent noter cette modification lors de l’utilisation de Citrix SSO. Ceci est principalement vrai pour les clients non-MDM qui n’utilisent pas de serveur MDM pour distribuer des certificats utilisateur. Veuillez vous référer à « Importation de certificats dans Citrix SSO via e-mail » pour pouvoir distribuer des certificats.

Qu’est-ce que le contrôle d’accès réseau (NAC) ? Comment configurer NAC avec Citrix SSO et Citrix Gateway ? Les clients MDM Microsoft Intune et Citrix Endpoint Management (anciennement XenMobile) peuvent tirer parti de la fonctionnalité de contrôle d’accès réseau (NAC) dans Citrix SSO. Avec NAC, les administrateurs peuvent sécuriser leur réseau interne d’entreprise en ajoutant une couche supplémentaire d’authentification pour les appareils mobiles gérés par un serveur MDM. Les administrateurs peuvent appliquer une vérification de conformité des périphériques au moment de l’authentification dans Citrix SSO.

Pour utiliser NAC avec Citrix SSO, vous devez l’activer sur Citrix Gateway et le serveur MDM.

  • Pour activer NAC sur Citrix ADC, reportez-vous à cette rubrique lien.
  • Si le fournisseur MDM est Intune, reportez-vous à cette rubrique lien.
  • Si le fournisseur MDM est Citrix Endpoint Management (anciennement XenMobile), reportez-vous à cette section lien.

Remarque : La version minimale prise en charge de Citrix SSO est 1.1.6 et supérieure.