Citrix Secure Private Access

Service d’authentification adaptative

Les clients Citrix Cloud peuvent utiliser Citrix Workspace pour fournir une authentification adaptative à Citrix DaaS. Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace. Le service Authentification adaptative est un ADC géré par Citrix et hébergé sur Citrix Cloud qui fournit toutes les fonctionnalités d’authentification avancées, telles que les suivantes :

Authentification multifacteur : L’authentification multifacteur améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. Les clients peuvent configurer différentes combinaisons de facteurs dans le mécanisme d’authentification multifacteur en fonction des besoins de l’entreprise. Pour plus de détails, voir Exemples de configurations d’authentification.

Analyses de position de l’appareil : les utilisateurs peuvent être authentifiés en fonction de l’état de sécurité de l’appareil L’analyse de l’état de sécurité de l’appareil, également appelée analyse des points de terminaison, vérifie si l’appareil est conforme. Par exemple, si l’appareil exécute la dernière version du système d’exploitation, les Service Packs et les clés de registre sont définis. La conformité à la sécurité implique des analyses pour vérifier si un antivirus est installé ou si le pare-feu est activé, etc. L’état de l’appareil peut également vérifier si l’appareil est géré ou non, s’il appartient à l’entreprise ou s’il est BYOL.

Authentification conditionnelle : en fonction des paramètres de l’utilisateur, tels que l’emplacement du réseau, l’état de l’appareil, le groupe d’utilisateurs, l’heure de la journée, l’authentification conditionnelle peut être activée. Vous pouvez utiliser l’un de ces paramètres ou une combinaison de ces paramètres pour effectuer une authentification conditionnelle. Exemple d’authentification basée sur l’état de sécurité de l’appareil : vous pouvez effectuer une analyse de l’état de l’appareil pour vérifier si l’appareil est géré par l’entreprise ou s’il s’agit d’un appareil BYOD. Si l’appareil est un appareil géré par l’entreprise, vous pouvez défier l’utilisateur avec le simple AD (nom d’utilisateur et mot de passe). Si l’appareil est un BYOD, vous pouvez défier l’utilisateur avec l’authentification AD plus RADIUS.

Si vous envisagez d’énumérer de manière sélective les applications et les bureaux virtuels en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée pour ces groupes de mise à disposition à l’aide de stratégies Citrix Studio au lieu de Workspace. Lors de la création d’un groupe de mise à disposition, dans le paramètre utilisateurs, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs suivants ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela active l’onglet Stratégie d’accès sous Groupe de mise à disposition pour configurer l’accès adaptatif.

Accès contextuel à Citrix DaaS : Adaptive Authentication permet un accès contextuel à Citrix DaaS. Adaptive Authentication affiche toutes les informations de stratégie concernant l’utilisateur sur Citrix DaaS. Les administrateurs peuvent utiliser ces informations dans leurs configurations de stratégie pour contrôler les actions des utilisateurs qui peuvent être effectuées sur Citrix DaaS. L’action de l’utilisateur, par exemple, peut être l’activation ou la désactivation de l’accès au presse-papiers et la redirection d’imprimante du mappage du lecteur client

Un accès contextuel à Secure Internet Access et à d’autres services Citrix Cloud via l’authentification adaptative est prévu dans les prochaines versions.

Personnalisation de la page d’ouverture de session : Adaptive Authentication aide l’utilisateur à personnaliser fortement la page d’ouverture de session Citrix Cloud.

Fonctions d’authentification adaptative

Voici les fonctionnalités prises en charge dans Citrix Workspace avec authentification adaptative.

  • LDAP (Active Directory)
  • Prise en charge des annuaires pour AD, Azure AD, Okta
  • Prise en charge RADIUS (Duo, Symantec)
  • MFA intégré au jeton AD +
  • SAML 2.0
  • Prise en charge OAuth, OIDC
  • Authentification par certificat
  • Évaluation de la posture de l’appareil (analyse des points de terminaison)
  • Intégration avec des fournisseurs d’authentification tiers
  • Notification push via l’application
  • reCAPTCHA
  • Authentification conditionnelle/en fonction d’une stratégie
  • Stratégies d’authentification pour SmartAccess (accès contextuel)
  • Personnalisation de la page de connexion
  • Réinitialisation en libre-service du mot

Conditions préalables

  • Réservez un nom de domaine complet pour votre instance Adaptive Authentication. Par exemple aauth.xyz.com, en supposant que xyz.com c’est le domaine de votre entreprise. Ce nom de domaine complet est appelé nom de domaine complet du service d’authentification adaptative dans ce document et est utilisé lors du provisionnement de l’instance. Mappez le nom de domaine complet avec l’adresse IP publique du serveur virtuel IdP. Cette adresse IP est obtenue après le provisionnement à l’étape Télécharger le certificat .
  • Procurez-vous un certificat pour aauth.xyz.com. Les certificats doivent contenir l’attribut SAN. Sinon, les certificats ne sont pas acceptés.

  • L’interface utilisateur d’authentification adaptative ne prend pas en charge le téléchargement de lots de certificats. Pour lier un certificat intermédiaire, consultez la section Configurer des certificats intermédiaires.

  • Choisissez votre type de connectivité pour la connectivité AD/RADIUS sur site. Les deux options suivantes sont disponibles. Si vous ne souhaitez pas que le centre de données soit accessible, utilisez le type de connectivité du connecteur.

  • Configurez le serveur NTP (Network Time Protocol) pour éviter les décalages temporels. Pour plus de détails, consultez Comment synchroniser l’horloge système avec les serveurs du réseau.

Points à noter

  • Citrix recommande de ne pas exécuter de configuration claire pour toute instance d’authentification adaptative ou de modifier toute configuration avec le préfixe AA (par exemple, AAuthAutoConfig), y compris les certificats. Cela perturbe la gestion de l’authentification adaptative et l’accès des utilisateurs est impacté. Le seul moyen de récupérer est le reprovisionnement.
  • N’ajoutez pas SNIP ni aucune route supplémentaire sur l’instance Adaptive Authentication.
  • L’authentification de l’utilisateur échoue si l’ID client n’est pas entièrement en minuscules. Vous pouvez convertir votre ID en minuscules et le définir sur l’instance ADC à l’aide de la commande set cloud parameter -customerID <all_lowercase_customerid>.
  • La configuration nFactor requise pour Citrix Workspace ou le service Citrix Secure Private Access est la seule configuration que les clients sont censés créer directement sur les instances. Actuellement, aucune vérification ni aucun avertissement dans Citrix ADC n’empêche les administrateurs d’effectuer ces modifications.
  • Ne mettez pas à niveau les instances Adaptive Authentication vers des versions RTM aléatoires. Toutes les mises à niveau sont gérées par Citrix Cloud.
  • Seul le Cloud Connector basé sur Windows est pris en charge. L’appliance Connector n’est pas prise en charge dans cette version.
  • Si vous êtes un client Citrix Cloud existant et que vous avez déjà configuré Azure AD (ou d’autres méthodes d’authentification), pour passer à l’authentification adaptative (par exemple, la vérification de l’état de l’appareil), vous devez configurer l’authentification adaptative comme méthode d’authentification et configurer les stratégies d’authentification dans le Instance d’authentification adaptative. Pour plus de détails, consultez Connecter Citrix Cloud à Azure AD.
  • Pour le déploiement du serveur RADIUS, ajoutez toutes les adresses IP privées du connecteur en tant que clients RADIUS sur le serveur RADIUS.
  • N’ajoutez pas vos serveurs LDAP ou RADIUS en tant que service ou serveur.
  • Dans la version actuelle, l’agent ADM externe n’est pas autorisé et Citrix Analytics (CAS) n’est donc pas pris en charge.
  • Le service Citrix Application Delivery Management collecte la sauvegarde de votre instance Adaptive Authentication. Pour extraire la sauvegarde d’ADM, intégrez le service ADM. Pour plus de détails, voir Sauvegarde et restauration de la configuration. Citrix ne prend pas les sauvegardes explicitement à partir du service d’authentification adaptative. Les clients doivent effectuer la sauvegarde de leurs configurations à partir du service Application Delivery Management si nécessaire.

Comment configurer le service d’authentification adaptative

Accéder à l’interface utilisateur Adaptive Authentication

Vous pouvez accéder à l’interface utilisateur Adaptive Authentication par l’une des méthodes suivantes.

  • Saisissez manuellement l’URL https://adaptive-authentication.cloud.com.
  • Connectez-vous à l’aide de vos identifiants et sélectionnez un client.

    Une fois que vous êtes authentifié avec succès, vous êtes redirigé vers l’interface utilisateur Adaptive Authentication.

OU

  • Accédez à Citrix Cloud > Gestion des identités et des accès.
  • Dans l’onglet Authentification, dans Authentification adaptative, cliquez sur le menu de points de suspension et sélectionnez Gérer.

L’interface utilisateur Adaptive Authentication s’affiche.

La figure suivante illustre les étapes de configuration de l’authentification adaptative.

Provisioning de la page principale

Étape 1 : Provisionner l’authentification adaptative

Procédez comme suit :

  1. Dans l’interface utilisateur d’authentification adaptative, cliquez sur Provisionner
  2. Sélectionnez la connexion préférée pour l’authentification adaptative.

    • Citrix Cloud Connector : pour ce type de connexion, vous devez configurer un connecteur sur votre réseau local. Citrix vous recommande de déployer au moins deux Citrix Cloud Connector dans votre environnement pour configurer la connexion à Citrix Gateway hébergé sur Azure. Vous devez autoriser votre Citrix Cloud Connector à accéder au domaine/URL que vous avez réservé pour l’instance Adaptive Authentication. Par exemple, autorisez https://aauth.xyz.com/*.

      Pour plus de détails sur Citrix Cloud Connector, consultez Citrix Cloud Connector.

    • Appairage de réseaux virtuels Azure  : vous devez configurer la connectivité entre les serveurs à l’aide de l’appairage de réseaux virtuels Azure.

    Type de connexion

    Pour ajouter un Citrix Cloud Connector comme connexion préférée :

    Effectuez les étapes suivantes.

    • Sélectionnez l’option Citrix Cloud Connector, puis cochez la case Contrat d’utilisateur final.
    • Cliquez sur Provisionner. La configuration du provisionnement peut prendre jusqu’à 30 minutes.

    Remarque :

    pour le type de connectivité du connecteur, assurez-vous que votre nom de domaine complet d’authentification adaptative est accessible depuis la machine virtuelle du connecteur après le provisionnement.

    Pour configurer l’appairage de réseaux virtuels Azure :

    Si vous sélectionnez l’ appairage de réseau virtuel Azure comme connexion, vous devez ajouter un bloc d’adresse CIDR de sous-réseau qui doit être utilisé pour provisionner l’instance Adaptive Authentication. Vous devez également vous assurer que le bloc d’adresse CIDR ne chevauche pas les autres plages réseau de votre organisation.

    Pour plus de détails, consultez Configuration de la connectivité aux serveurs d’authentification locaux à l’aide de l’appairage de réseaux virtuels Azure.

  3. Configurez les informations d’identification pour accéder aux instances que vous avez activées pour l’authentification adaptative. Vous avez besoin de l’accès à la console de gestion pour créer des stratégies d’authentification, d’accès conditionnel, etc.

    1. Dans l’écran d’accès à la console, entrez le nom d’utilisateur et le mot de passe.
    2. Cliquez sur Suivant.

    Remarque : Les utilisateurs créés à partir de l’écran d’ accès à la console disposent de privilèges « SuperUser » qui ont accès à l’interpréteur de commandes.

    Accès à la console

  4. Ajoutez le nom de domaine complet du service Adaptive Authentication et chargez la paire de clés de certificat. Vous devez saisir le nom de domaine complet du service Adaptive Authentication de votre choix pour le serveur d’authentification accessible au public.

    1. Dans l’écran Télécharger le certificat, entrez le nom de domaine complet que vous avez réservé pour l’authentification adaptative.
    2. Sélectionnez le type de certificat.
    3. Téléchargez le certificat et la clé.

    Remarque :

    • Installez votre certificat intermédiaire sur l’instance Adaptive Authentication et associez-le au certificat du serveur.

      1.  Connectez-vous à l'instance Adaptive Authentication. 1.  Accédez à **Gestion du trafic > SSL**. Pour plus de détails, consultez la section [Configuration des certificats intermédiaires](/fr-fr/citrix-gateway/current-release/install-citrix-gateway/certificate-management-on-citrix-gateway/configure-intermediate-certificate.html).
      
    • Seuls les certificats publics sont acceptés. Les certificats signés par des autorités de certification privées ou inconnues ne sont pas acceptés.
    • La configuration du certificat doit être effectuée à l’aide de l’interface d’authentification adaptative uniquement. Ne le modifiez pas directement sur l’instance car cela pourrait entraîner des incohérences.

    Ajouter un FQDN

  5. Téléchargez le certificat et la clé.

    L’instance Adaptive Authentication est désormais connectée au service Identity and Access Management. L’état de la méthode d’authentification adaptative s’affiche comme Connecté.

    Authentification adaptative connectée sur IDAM

  6. Configurez une adresse IP permettant d’accéder à la console de gestion Adaptive Authentication.
    1. Dans l’écran Adresses IP autorisées, pour chaque instance, entrez une adresse IP publique comme adresse IP de gestion. Pour restreindre l’accès à l’adresse IP de gestion, vous pouvez ajouter plusieurs adresses IP autorisées à accéder à la console de gestion.
    2. Pour ajouter plusieurs adresses IP, vous devez cliquer sur Ajouter, saisir l’adresse IP, puis cliquer sur Terminé. Cela doit être fait pour chaque adresse IP. Si vous ne cliquez pas sur le bouton Terminé, les adresses IP ne sont pas ajoutées à la base de données mais uniquement dans l’interface utilisateur.

    Adresses IP autorisées

Étape 2 : Configuration des stratégies d’authentification adaptative

Après le provisionnement, vous pouvez accéder directement à l’adresse IP de gestion de l’authentification adaptative. Toutefois, l’accès à l’instance à l’aide de l’adresse IP n’est pas fiable et de nombreux navigateurs bloquent l’accès avec des avertissements. Citrix vous recommande d’accéder à la console de gestion Adaptive Authentication avec un nom de domaine complet afin d’éviter toute barrière de sécurité. Vous devez réserver le nom de domaine complet pour la console de gestion Adaptive Authentication et le mapper avec l’adresse IP de gestion principale et secondaire.

Par exemple, si l’IP de votre instance AA est 20.1.1.1 et Secondary : 20.2.2.2, alors ;

  • primary.domain.com peut être mappé à 20.1.1.1

  • secondary.domain.com peut être mappé à 20.2.2.2

Après avoir accédé à l’instance Adaptive Authentication, vous pouvez configurer les cas d’utilisation du flux d’authentification selon vos besoins. Pour différents cas d’utilisation, voir Exemples de configurations d’authentification.

Pour accéder à la console de gestion de l’authentification adaptative à l’aide du nom de domaine complet, consultez la section Configurer SSL pour l’accès à l’interface

Configuration des stratégies d'authentification adaptative

Important :

  • Dans une configuration haute disponibilité, dans le cadre du processus de synchronisation, les certificats sont également synchronisés. Veillez donc à utiliser le certificat générique.
  • Si vous avez besoin d’un certificat unique pour chaque nœud, téléchargez les fichiers de certificat et les clés dans un dossier qui n’est pas synchronisé (par exemple, créez un dossier distinct (nosync_cert) dans le répertoire NSConfig/SSL), puis chargez le certificat de manière unique sur chaque nœud.
  • Pour activer l’authentification unique aux applications, veillez à activer l’option Envoyer le mot de passe dans le profil d’IdP OAuth.

Étape 3 : activer l’authentification adaptative pour Workspace

Une fois le provisionnement terminé, vous pouvez activer l’authentification pour Workspace en cliquant sur Activer dans la section Activer l’authentification adaptative pour Workspace .

Activer l'authentification adaptative pour Workspace

Remarque :

Avec cette étape, la configuration de l’authentification adaptative est terminée.

Migrez votre méthode d’authentification vers l’authentification adaptative

Les clients qui utilisent déjà Adaptive Authentication avec méthode d’authentification en tant que Citrix Gateway doivent migrer Adaptive Authentication, puis supprimer la configuration OAuth de l’instance Adaptive Authentication.

  1. Passez à une autre méthode d’authentification autre que Citrix Gateway.
  2. Dans Citrix Cloud > Gestion des identités et des accès, cliquez sur le bouton de sélection correspondant à Citrix Gateway, puis cliquez sur Déconnecter.

    Déconnecter la passerelle

  3. Sélectionnez Je comprends l’impact sur l’expérience des abonnés, puis cliquez sur Confirmer.

    Lorsque vous cliquez sur Confirmer, la connexion des utilisateurs finaux à l’espace de travail est affectée et l’authentification adaptative n’est pas utilisée pour l’authentification tant que l’authentification adaptative n’est pas réactivée

  4. Dans la console de gestion de l’instance Adaptive Authentication, supprimez la configuration liée à OAuth.

    En utilisant la CLI :

    unbind authentication vs <authvsName> -policy <oauthIdpPolName>
    rm authentication oauthIdpPolicy <oauthIdpPolName>
    rm authentication oauthIdpProfile <oauthIdpProfName>
    <!--NeedCopy-->
    

    En utilisant l’interface graphique :

    1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
    2. Dissociez la stratégie OAuth.
    3. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP OAuth.
    4. Supprimez la stratégie et le profil OAuth.
  5. Accédez à Citrix Cloud > Gestion des identités et des accès. Dans l’onglet Authentification, dans Authentification adaptative, cliquez sur le menu de points de suspension et sélectionnez Gérer.

    OU accédez à https://adaptive-authentication.cloud.com

  6. Cliquez sur Voir les détails.
  7. Dans l’écran Upload Certificate, procédez comme suit :
    • Ajoutez le nom de domaine complet d’authentification adaptative.
    • Supprimez les certificats et les fichiers clés, puis chargez-les à nouveau.

    Modifier le FQDN

    Important :

    Si vous modifiez un nom de domaine complet ou la paire de clés de certificat directement sans migrer vers Adaptive Authentication, la connexion à Identity and Access Management échoue et les erreurs suivantes s’affichent. Vous devez migrer vers la méthode d’authentification adaptative pour corriger ces erreurs.

    • La commande ADC a échoué avec une erreur. Une stratégie est déjà liée à la priorité spécifiée.
    • La commande ADC a échoué avec une erreur. Impossible de dissocier une stratégie qui n’est pas liée.
  8. Cliquez sur Enregistrer.

    À ce stade, Identity and Access Management affiche l’authentification adaptative comme étant connectée et le profil OAuth de l’instance Adaptive Authentication est automatiquement configuré.

    Vous pouvez le valider à partir de l’interface graphique.

    1. Accédez à votre instance Adaptive Authentication et connectez-vous avec vos informations d’identification.
    2. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels. Vous devez voir que le profil d’IdP OAuth a été créé.
    3. Accédez à Citrix Cloud > Gestion des identités et des accès. L’authentification adaptative est à l’état Connecté .
  9. Activez à nouveau la méthode d’authentification adaptative en cliquant sur Activer (étape 3) dans la page d’accueil de l’authentification adaptative.

    Activer l'authentification

    Cette étape active la méthode d’authentification en tant qu’authentification adaptative dans la configuration de votre espace de travail.

  10. Cliquez sur le lien Espace de travail à l’étape 3 après avoir cliqué sur Activer Vous devez voir que la méthode d’authentification est remplacée par Adaptive Authentication.

Remarque :

les nouveaux utilisateurs doivent suivre les mêmes étapes, à l’exception de l’étape de suppression de la configuration liée à OAuth.

Modifier un nom de domaine complet

Vous ne pouvez pas modifier un nom de domaine complet si l’authentification adaptative est sélectionnée comme méthode d’authentification dans la configuration de Workspace. Vous devez passer à une autre méthode d’authentification pour modifier le nom de domaine complet. Toutefois, vous pouvez modifier le certificat si nécessaire.

Important :

  • Avant de modifier le nom de domaine complet, assurez-vous que le nouveau nom de domaine complet est mappé à l’adresse IP publique du serveur virtuel IdP.
  • Les utilisateurs existants connectés à Citrix Gateway à l’aide de stratégies OAuth doivent migrer votre méthode d’authentification vers Adaptive Authentication. Pour plus de détails, consultez Migrer votre méthode d’authentification vers l’authentification adaptative.

Pour modifier un nom de domaine complet, procédez comme suit :

  1. Passez à une méthode d’authentification différente de celle de l’authentification adaptative.

    Méthode d'authentification du commutateur

  2. Sélectionnez Je comprends l’impact sur l’expérience des abonnés, puis cliquez sur Confirmer.

    Lorsque vous cliquez sur Confirmer, la connexion des utilisateurs finaux à l’espace de travail est affectée et l’authentification adaptative n’est pas utilisée pour l’authentification tant que l’authentification adaptative n’est pas réactivée Par conséquent, il est recommandé de modifier le nom de domaine complet pendant une fenêtre de maintenance.

  3. Dans l’écran Upload Certificate, modifiez le nom de domaine complet.

    Modifier le FQDN

  4. Cliquez sur Enregistrer.

    Important :

    si vous modifiez un nom de domaine complet, vous devez également télécharger à nouveau le certificat.

  5. Activez à nouveau la méthode d’authentification adaptative en cliquant sur Activer (étape 3) dans la page d’accueil de l’authentification adaptative.

    Activer l'authentification

  6. Cliquez sur Actualiser.

Options de configuration avancées

À l’aide de l’interface graphique d’authentification adaptative, vous pouvez également configurer les éléments suivants.

  • Planifier la mise à niveau de vos instances d’authentification
  • Déprovisionner vos instances Adaptive Authentication
  • Permettre un accès sécurisé à la passerelle

Options avancées

Planifier la mise à niveau de vos instances d’authentification

Pour le site ou le déploiement en cours, vous pouvez sélectionner la fenêtre de maintenance pour la mise à niveau.

Important :

ne mettez pas à niveau les instances Adaptive Authentication vers des versions RTM aléatoires. Toutes les mises à niveau sont gérées par Citrix Cloud.

  1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.
  2. Cliquez sur Schedule upgrade.
  3. Sélectionnez le jour et l’heure de la mise à niveau.

Planifier la mise

Déprovisionner vos instances Adaptive Authentication

Les clients peuvent déprovisionner les instances Adaptive Authentication dans les cas suivants et conformément à la suggestion du support Citrix.

  • Les instances d’authentification adaptative ne sont pas accessibles (en particulier après une mise à niveau planifiée), bien que ce scénario ne se produise pas.
  • Si le client doit passer du mode d’appairage de réseau virtuel au mode connecteur ou inversement.
  • Si le client a sélectionné un sous-réseau incorrect au moment du provisionnement du mode d’appairage de réseau virtuel (le sous-réseau entre en conflit avec d’autres sous-réseaux de son centre de données ou du réseau virtuel Azure).

Remarque :

le déprovisionnement supprime également la sauvegarde de configuration des instances. Par conséquent, vous devez télécharger les fichiers de sauvegarde et les enregistrer avant de déprovisionner vos instances Adaptive Authentication.

Effectuez les opérations suivantes pour déprovisionner une instance Adaptive Authentication :

  1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.
  2. Cliquez sur Déprovisionner.

    Remarque :

    avant de procéder au déprovisionnement, vous devez déconnecter Citrix Gateway de la configuration de Workspace.

  3. Entrez l’ID client pour déprovisionner les instances Adaptive Authentication.

Déprovisionner

Permettre un accès sécurisé à la passerelle

  1. Dans l’interface utilisateur Adaptive Authentication, dans la section Provisionner des instances d’authentification adaptative, cliquez sur le bouton de sélection.
  2. Cliquez sur Accès sécurisé à la passerelle.

    Accès sécurisé

  3. Dans Keys should expire in, sélectionnez une durée d’expiration pour la nouvelle clé SSH.
  4. Cliquez sur Générer et télécharger des clés. Copiez ou téléchargez la clé privée SSH pour une utilisation ultérieure, car elle ne s’affiche pas après la fermeture de la page. Cette clé peut être utilisée pour se connecter aux instances Adaptive Authentication avec le nom d’utilisateur authadmin.

    Vous pouvez cliquer sur Générer et télécharger des clés pour créer une nouvelle paire de clés si la paire de clés précédente expire. Cependant, une seule paire de clés peut être active.

  5. Cliquez sur Terminé.

Important :

  • Si vous utilisez PuTTY sous Windows pour vous connecter à des instances d’authentification adaptative, vous devez convertir la clé privée téléchargée en PEM. Pour plus de détails, consultez https://www.puttygen.com/convert-pem-to-ppk.

  • Il est recommandé d’utiliser la commande suivante pour se connecter aux instances d’authentification adaptative via le terminal à partir du MAC ou de l’invite de commande PowerShell/de Windows (version 10). ssh -i <path-to-private-key> authadmin@<ip address of ADC>
  • Si vous souhaitez que les utilisateurs AD accèdent à l’interface graphique d’authentification adaptative, vous devez les ajouter en tant que nouveaux administrateurs au groupe LDAP. Pour plus de détails, consultez https://support.citrix.com/article/CTX123782. Pour toutes les autres configurations, Citrix recommande d’utiliser l’interface graphique d’authentification adaptative et non les commandes CLI.

Configuration de la connectivité aux serveurs d’authentification locaux à l’aide de l’appairage de réseaux virtuels Azure

Vous devez configurer cette configuration uniquement si vous avez sélectionné le type de connectivité comme appairage de réseaux virtuels Azure.

Remarque : si vous utilisez des IdP tiers tels que Okta, Azure AD, Ping, cette étape n’est pas requise.

  1. Dans l’interface utilisateur Connect Adaptive Authentication, cliquez sur Provisionner, puis sur Peering de réseau virtuel Azure.

    Peering réseau virtuel

    Le champ Principal de service géré Citrix contient l’ID d’application d’un principal de service Azure créé par Citrix pour votre client. Ce principal de service est requis pour permettre à Citrix d’ajouter un appairage de réseau virtuel à un réseau virtuel dans votre abonnement et votre locataire.

    Pour permettre à ce principal de service de se connecter au tenant du client, l’administrateur du site client (administrateur global du tenant) doit exécuter les commandes PowerShell suivantes pour ajouter le SPN au tenant. CloudShell peut également être utilisé. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID$App_ID est un ID d’application SPN partagé par Citrix.

    Remarque :

    • La commande mentionnée précédemment génère un nom principal de service qui doit être utilisé pour les attributions de rôles.
    • Pour permettre à ce principal de service d’ajouter un appairage de réseau virtuel Azure, l’administrateur du site client (sans se limiter à l’administrateur global) doit ajouter un rôle « contributeur réseau » au réseau virtuel qui doit être lié au réseau virtuel géré par Citrix.
    • Le SPN est un identifiant unique qui est utilisé pour associer le réseau virtuel Citrix dans Azure. L’association du SPN au réseau virtuel permet au réseau virtuel Citrix de se connecter au réseau local des clients via le réseau virtuel d’Azure.
  2. Créez un appairage de réseau virtuel.

    • Saisissez l’ID du locataire pour lequel les étapes précédentes ont été exécutées et cliquez sur Fetch.

    Cela permet de renseigner l’ID de ressource de réseau virtuel géré par le client avec les réseaux virtuels candidats pour lesquels le rôle de contributeur réseau est ajouté pour le SPN. Si vous ne voyez pas votre réseau virtuel, assurez-vous que les étapes précédentes sont exécutées correctement ou répétez les étapes.

    Remarque :

    Pour plus de détails sur la façon de trouver votre identifiant de locataire, consultez https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

  3. Sélectionnez Utiliser Azure VPN Gateway pour connecter vos réseaux locaux à Azure.
  4. Dans ID de ressource de réseau virtuel géré par le client, sélectionnez le réseau virtuel identifié pour l’appairage, puis cliquez sur Ajouter. Le réseau virtuel est ajouté à la table avec le statut initial En cours. Une fois l’appairage terminé avec succès, le statut passe à Terminé.
  5. Cliquez sur Terminé.
  6. Poursuivez la configuration, reportez-vous à Étape 1 : Provisionnement de l’authentification adaptative.

    Important :

    • Pour que le trafic circule entre le réseau virtuel géré par Citrix et le réseau local, les règles de pare-feu et de routage peuvent être modifiées sur le réseau local pour diriger le trafic vers le réseau virtuel géré par Citrix.
    • Vous ne pouvez ajouter qu’un seul pair de réseau virtuel à la fois. Les peerings de réseaux virtuels multiples ne sont pas autorisés actuellement. Vous pouvez supprimer un appairage de réseaux virtuels ou en créer un selon vos besoins.

Le provisionnement est terminé

Autres configurations associées

Modifier le mot de passe authadmin

Vous pouvez suivre les étapes suivantes pour modifier le mot de passe de l’utilisateur authadmin, à la fois sur les instances et dans le profil d’appareil ADM.

  1. Accédez à Système > Administration des utilisateurs > Utilisateurs, puis créez l’utilisateur. Pour plus de détails, consultez la section Configuration des comptes d’utilisateurs
  2. Enregistrez la configuration.
  3. Dans le service Citrix Application Delivery Management, effectuez les opérations suivantes :
    • Accédez à Réseaux > Instances > Citrix ADC.
    • Cliquez sur Profils et sélectionnez le profil préfixé par gateway-hosted.
    • Sélectionnez Modifier le mot de passe et définissez le mot de passe utilisé à l’étape 2.
    • Cliquez sur Retour.
    • Accédez à Citrix ADC > Sélectionnez Action > Redécouvrir.

Pour plus d’informations, consultez Comment modifier le mot de passe racine Citrix ADC MPX et VPX.

URL personnalisée de l’espace de travail ou URL personnalisée

Pour l’URL personnalisée de l’espace de travail ou l’URL personnalisée, configurez un nouveau profil OAuthIDP avec le même ID client, le même secret et la même audience que votre profil actuel, mais avec une URL de redirection de https://your.company.com/core/login-cip. Dans cet exemple, your.company.com est l’URL de l’espace de travail personnalisé correspondant à votre domaine. Par exemple, nssvctesting.net est le domaine et l’URL de l’espace de travail personnalisé est ws1.nssvctesting.net. Créez une nouvelle stratégie OAuthIDP et liez-la au serveur virtuel d’authentification et d’autorisation.

Remarque :

les deux stratégies OAuthIDP peuvent coexister et un utilisateur peut accéder à Workspace en utilisant l’URL par défaut de l’espace de travail ou l’URL de l’espace de travail personnalisé, ou les deux.

Sauvegarde et restauration de configuration

Le service Application Delivery Management assure la gestion des sauvegardes pour les instances Adaptive Authentication. Pour plus de détails, consultez Sauvegarder et restaurer des instances Citrix ADC.

  1. Sur la vignette Application Delivery Management, cliquez sur Gérer.
  2. Accédez à Infrastructure > Instances et accédez aux sauvegardes.

Remarque :

si vous ne voyez pas le service intégré, intégrez le service Application Delivery Management. Pour plus de détails, consultez la section Pour commencer.

Résolution des problèmes

Les problèmes sont classés en fonction des différentes étapes de la configuration :

  • Provisioning : problèmes lors du provisionnement de l’instance d’authentification
  • Problème d’accessibilité de l’instance : l’instance est provisionnée mais l’administrateur ne peut pas y accéder
  • Problème de connectivité et d’authentification AD/Radius : la stratégie d’authentification est configurée pour le service sur site mais ne fonctionne pas
  • Problèmes d’authentification
  • Problèmes liés à l’EPA/à l’état de sécurité de l’appareil
  • Problèmes liés aux balises intelligentes
  • Collecte de journaux

Vous pouvez également résoudre les problèmes à l’aide de l’interface de ligne de commande Adaptive Authentication. Pour vous connecter à l’interface de ligne de commande, procédez comme suit :

  • Téléchargez le client SSH comme putty/securecrt sur votre machine.
  • Accédez à l’instance Adaptive Authentication à l’aide de l’adresse IP de gestion (principale).
  • Connectez-vous avec vos informations d’identification.

Pour plus de détails, consultez la section Accès à une appliance Citrix ADC.

Problèmes de provisionnement

  • Impossible d’accéder à l’interface utilisateur d’authentification adaptative

    Vérifiez si le droit est activé pour votre numéro de client/locataire.

  • Bloqué dans la page d’approvisionnement pendant plus de 45 minutes

    Collectez la capture d’écran de l’erreur, le cas échéant, puis contactez le support Citrix pour obtenir de l’aide.

  • Le pair de réseau virtuel est en panne

    • Vérifiez s’il existe des alertes dans le portail Azure correspondant à cet appairage et prenez les mesures recommandées.
    • Supprimez l’appairage, ajoutez-le à nouveau depuis l’interface utilisateur d’authentification adaptative.
  • Le deprovisioning n’est pas terminé

    Contactez l’assistance Citrix pour obtenir de l’aide.

Problème d’accessibilité des instances

  • L’adresse IP de gestion n’est pas accessible pour l’instance

    • Vérifiez si l’adresse IP publique du client utilisée pour l’accès fait partie des adresses IP sources autorisées.

    • Vérifiez s’il existe un proxy qui modifie l’adresse IP source du client.

  • Impossible de se connecter à l’instance

    Assurez-vous que l’accès administrateur fonctionne correctement avec les informations d’identification que vous avez saisies lors du provisionnement.

  • Les utilisateurs finaux ne disposent pas de tous les droits

    Lors de l’ajout de l’utilisateur, assurez-vous d’avoir lié la stratégie de commande appropriée pour l’accès. Pour plus d’informations, consultez la section Utilisateur, groupes d’utilisateurs et stratégies de commande.

Problème de connectivité AD ou RADIUS

Problème avec le type de connectivité d’appairage de réseau virtuel Azure :

  • Vérifiez si le réseau virtuel Azure géré par le client est accessible à partir des instances Adaptive Authentication.
  • Vérifiez si la connectivité/l’accessibilité entre le réseau virtuel Azure géré par le client et AD fonctionne.
  • Assurez-vous que les routes appropriées sont ajoutées pour diriger le trafic des réseaux virtuels sur site vers les réseaux virtuels Azure.

Connecteur basé sur Windows :

  • Tous les journaux sont disponibles dans le répertoire /var/log/ns.log et chaque journal est préfixé par [NS_AAUTH_TUNNEL].
  • ConnectionId des journaux peut être utilisé pour corréler différentes transactions.
  • Assurez-vous que l’adresse IP privée de la machine virtuelle du connecteur est ajoutée en tant que client RADIUS dans le serveur RADIUS, car cette adresse IP est l’adresse IP source du connecteur.

    Pour chaque demande d’authentification, le tunnel est établi entre l’instance d’authentification adaptative (processus NS - AAAD) et le serveur d’authentification. Une fois le tunnel établi avec succès, l’authentification a lieu.

    Assurez-vous que la machine virtuelle du connecteur peut résoudre le nom de domaine complet de l’authentification adaptative.

  • Le connecteur est installé, mais la connectivité sur site échoue.

    Validez si NSAUTH-TUNNEL est en cours d’établissement

    Cat ns.log | grep -I “tunnel”

    Si l’exemple de journal suivant n’est pas imprimé dans le fichier ns.log pour la demande d’authentification, il peut y avoir un problème lors de l’établissement d’un tunnel ou un problème du côté du connecteur.

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    Vérifiez les détails du journal et prenez les mesures appropriées.

    Détails du journal Action corrective
    Aucun journal avec préfixe [NS_AAUTH_TUNNEL] n’est inclus dans le fichier journal Exécutez la commande show cloudtunnel vserver. Cette commande doit répertorier à la fois le serveur virtuel de tunnel cloud (TCP et UDP) avec l’état « UP ».
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector Pour ce journal, si la réponse suivante n’est pas reçue : [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" Vérifiez si la machine du connecteur est en mesure d’accéder au nom de domaine complet de l’authentification adaptative OU vérifiez le pare-feu côté connecteur pour les connexions sortantes au nom de domaine complet de l’authentification adaptative.
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0 et[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" Contactez l’assistance Citrix.

Aucune réponse du connecteur :

  • Assurez-vous que le nom de domaine complet de l’authentification adaptative est accessible depuis la machine virtuelle du connecteur.
  • Assurez-vous que vous disposez d’un certificat intermédiaire lié et lié au certificat du serveur sur l’instance Adaptive Authentication.

Paramètres LDAP/RADIUS incorrects :

Si l’adresse IP de votre serveur AD/RADIUS est une adresse IP publique, vous devez ajouter le sous-réseau ou l’adresse IP des expressions dans l’appliance Citrix ADC. Ne modifiez pas les plages existantes.

  • Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface de ligne de commande :

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface graphique :

    Accédez à AppExpert > Expressions. Ajouter l’expression aauth_allow_rfc1918_subnets

Si le tunnel est établi mais que l’authentification échoue toujours, suivez les étapes suivantes pour résoudre le problème.

LDAP :

  • Validez les détails du DN de liaison.
  • Utilisez le test de connectivité pour confirmer l’erreur.
  • Validez les erreurs à l’aide du débogage aaad.
  • Connectez-vous à l’instance Adaptive Authentication à l’aide de la CLI.

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

Erreurs LDAP courantes :

Rayon :

  • L’adresse IP du connecteur doit être ajoutée en tant qu’adresse IP source du client RADIUS dans la configuration du serveur RADIUS.

Problèmes d’authentification

  • Erreurs de post-assertion pour OAuth

    • Assurez-vous que toutes les réclamations sont fournies par AD. Vous avez besoin de 7 demandes pour que cela aboutisse.

    • Validez les journaux dans les var/log ns.log fichiers pour localiser l’erreur en cas d’échec OAuth.

    • Validez les paramètres du profil OAuth.

  • Authentification Azure AD bloquée lors de la post-assertion

    Ajoutez l’authentification AD comme facteur suivant avec l’authentification désactivée. Cela permet d’obtenir toutes les revendications requises pour une authentification réussie.

Questions liées à l’EPA

  • Le plug-in est déjà présent mais l’utilisateur est invité à le télécharger.

    Causes possibles : discordance de version ou fichiers corrompus

    • Exécutez les outils de développement et vérifiez si le fichier de liste de plug-ins contient la même version que celle de Citrix ADC et de votre machine cliente.

    • Assurez-vous que la version du client sur Citrix ADC est la même que sur la machine cliente.

      Mettez à jour le client sur Citrix ADC.

      Sur l’instance Adaptive Authentication, accédez à Citrix Gateway > Paramètres généraux > Mettre à jour les bibliothèques clientes.

      La page des bibliothèques de plug-ins EPA sur les téléchargements Citrix vous fournit des informations détaillées.

    • Parfois, la demande peut être mise en cache sur Citrix ADC même si la version est mise à jour.

      show cache object affiche les détails du plug-in mis en cache. Vous pouvez le supprimer à l’aide de la commande ;

      flush cache object -locator 0x00000023345600000007

    Pour plus de détails sur la collecte des journaux EPA, reportez-vous à https://support.citrix.com/article/CTX209148.

  • Existe-t-il un moyen de rétablir les paramètres EPA (Toujours, Oui, Non) une fois que l’utilisateur a sélectionné une option.

    Actuellement, la restauration des paramètres EPA est effectuée manuellement.

    • Sur la machine cliente, accédez à C:\Users <user_name>\ AppData \ Local \ Citrix \ AGEE.
    • Ouvrez le fichier config.js et définissez TrustAlways sur null - "trustAlways":null

Problèmes liés aux balises d’accès intelligentes

  • Après avoir configuré Smart Access, les applications ne sont pas disponibles

    Assurez-vous que les balises sont définies à la fois sur l’instance Adaptive Authentication et sur les groupes de mise à disposition Citrix VDA.

    Vérifiez que les balises sont ajoutées au groupe de mise à disposition Workspace en majuscules.

    Vous pouvez récupérer le fichier ns.log et contacter le support Citrix si cela ne fonctionne pas.

Collecte de journaux générale pour l’instance d’authentification adaptative

Contactez le support Citrix pour obtenir des conseils.

Exemples de configurations d’authentification

Les clients peuvent configurer la stratégie d’authentification de leur choix et la lier au serveur virtuel d’authentification. Les liaisons de profil d’authentification ne sont pas requises pour le serveur virtuel d’authentification. Seules les stratégies d’authentification peuvent être configurées. Voici quelques exemples d’utilisation.

Important :

la configuration de l’authentification doit être effectuée uniquement sur les nœuds principaux.

Authentification multifacteur avec authentification conditionnelle

Intégration de tiers avec authentification multifactorielle

Scans de posture de l’appareil (EPA)

Scénarios divers

Responsabilités de sécurité partagées

Actions requises de la part des clients

Voici quelques-unes des mesures prises par les clients dans le cadre des meilleures pratiques de sécurité.

  • Informations d’identification pour accéder à l’interface utilisateur d’authentification adaptative : le client est responsable de la création et de la gestion des informations d’identification permettant d’accéder à l’interface utilisateur Si le client travaille avec le support Citrix pour résoudre un problème, il peut avoir besoin de partager ces informations d’identification avec le personnel de support.
  • Modifier le mot de passe authadmin : dans le cadre du provisionnement, Citrix crée un utilisateur initial appelé authadmin et le profil d’appareil correspondant dans le service Citrix Application Delivery Management et les instances d’authentification adaptative. Les clients doivent modifier le mot de passe de cet utilisateur dans le nœud principal et dans le profil d’appareil d’ADM. Ouvrez une session sur votre Citrix Gateway, modifiez le nom d’utilisateur et le mot de passe. Pour plus de détails, voir Modifier le authadmin mot de passe

  • Sécurité d’accès à l’interface de ligne de commande distante : Citrix fournit un accès CLI distant Cependant, les clients sont responsables du maintien de la sécurité de l’instance pendant l’exécution.

  • Clés privées SSL : Citrix ADC étant sous le contrôle du client, Citrix n’a aucun accès au système de fichiers. Les clients doivent s’assurer qu’ils protègent les certificats et les clés qu’ils hébergent sur l’instance Citrix ADC.

  • Sauvegarde des données : sauvegardez la configuration, les certificats, les clés, les personnalisations du portail et toute autre modification du système de fichiers.

  • Images disque des instances ADC : Maintenez et gérez l’espace disque Citrix ADC et le nettoyage du disque. Le client est responsable de l’exécution de ces tâches en toute sécurité.
  • Mise à niveau : planifiez la mise à niveau des instances d’authentification adaptative Pour plus de détails, consultez Planifier la mise à niveau de vos instances d’authentification adaptative

Actions requises à la fois de la part du client et de Citrix

  • Reprise après sinistre : dans les régions Azure prises en charge, les instances haute disponibilité Citrix ADC sont provisionnées dans des zones de disponibilité distinctes pour se protéger contre la perte de données. En cas de perte de données Azure, Citrix récupère autant de ressources que possible dans l’abonnement Azure géré par Citrix.

    En cas de perte d’une région Azure complète, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouvel appairage de réseau virtuel.

  • Accès sécurisé via l’adresse IP de gestion publique :

    Sécurisez l’accès aux interfaces de gestion par des adresses IP publiques attribuées et autorisez la connectivité sortante à Internet.

Limitations

  • L’authentification par serveur virtuel d’équilibrage de charge n’est pas prise en charge.
  • Le téléchargement d’un bundle de certificats n’est pas pris
  • L’authentification RADIUS est affectée pendant quelques minutes si le connecteur servant la requête RADIUS tombe en panne. Dans ce cas, l’utilisateur doit se réauthentifier.
  • Actuellement, l’instance Adaptive Authentication peut envoyer la demande de trafic sur site à n’importe quel connecteur de n’importe quel emplacement de ressources. La connectivité des centres de données peut échouer si les centres de données sont disjoints. Si nécessaire, tout le trafic de connectivité sur site peut être envoyé à un emplacement de ressources à l’aide de la commande suivante :

    set cloudtunnel parameter -resourceLocation <RL>

    Pour rétablir les paramètres par défaut, utilisez la commande suivante :

    set cloudtunnel parameter -resourceLocation 00000000-0000-0000-0000-000000000000

  • Le tunneling DNS n’est pas pris en charge. Des enregistrements statiques doivent être ajoutés sur l’appliance Citrix ADC pour les noms de domaine complets utilisés dans les stratégies/profils d’authentification (LDAP/RADIUS) pour les serveurs d’authentification du centre de données sur site du client. Pour plus de détails sur l’ajout d’enregistrements statiques DNS, voir Créer des enregistrements d’adresses pour un nom de domaine.

  • Letest de connectivité réseau dans le profil LDAP peut donner un résultat incorrect car « Le serveur est accessible » même si la connectivité au serveur LDAP n’est pas établie. Des messages d’erreur tels que « le port n’est pas ouvert » ou « le serveur n’est pas LDAP » peuvent s’afficher pour indiquer l’échec. Citrix recommande de collecter les traces dans ce scénario et de poursuivre le dépannage.
  • Pour que les analyses EPA fonctionnent sous macOS, vous devez lier les courbes ECC par défaut au serveur virtuel d’authentification et d’autorisation en sélectionnant l’option Courbe ECC sur ALL.

Qualité de service

L’authentification adaptative est un service haute disponibilité (actif-veille).