Citrix Secure Private Access

Tables de routage pour résoudre les conflits si les domaines associés dans SaaS et les applications Web sont identiques

La fonctionnalité Domaines d’application du service Citrix Secure Private Access permet aux clients de prendre des décisions de routage qui autorisent le routage des domaines d’applications connexes en externe ou en interne via les connecteurs Citrix Gateway.

Considérez que le client a configuré les mêmes domaines associés au sein d’une application SaaS et d’une application Web interne. Par exemple, si Okta est le fournisseur d’identité SAML pour Salesforce (application SaaS) et Jira (application Web interne), l’administrateur peut configurer en *.okta.com tant que domaine associé dans la configuration des deux applications. Cela entraîne un conflit et l’utilisateur final rencontre un comportement incohérent. Dans ce scénario, l’administrateur peut définir des règles pour acheminer ces applications en externe ou en interne via les connecteurs Citrix Gateway, conformément aux exigences.

La fonctionnalité Domaines d’application permet également aux administrateurs de configurer les connecteurs Citrix Gateway pour contourner les serveurs proxy Web du client pour atteindre les serveurs Web internes. Ces stratégies de contournement étaient auparavant configurées manuellement en exécutant les commandes NSCLI sur le connecteur Citrix Gateway.

Fonctionnement de la table de routage

Les administrateurs peuvent définir le type d’itinéraire des applications comme externe, interne ou externe via Gateway Connector en fonction de la manière dont ils souhaitent définir le flux de trafic.

  • Externe  : le trafic est directement acheminé vers Internet.
  • Interne  : le trafic circule via le connecteur de passerelle.
    • Dans le cas d’une application Web, le trafic circule dans le centre de données.
    • Pour une application SaaS, le trafic est acheminé en dehors du réseau via Citrix Gateway Connector.
  • Interne - contourner le proxy - Le trafic de domaine est acheminé via Citrix CloudGateway Connector, en contournant le proxy Web du client configuré sur le connecteur de passerelle.
  • Externe via Gateway Connector : les applications sont externes, mais le trafic doit passer par Citrix Gateway Connector vers le réseau externe.

Remarque :

  • Les entrées de route n’ont aucun impact sur les stratégies de sécurité configurées sur les applications.
  • Si les administrateurs n’ont pas l’intention d’utiliser une entrée dans la table de routage ou si les applications correspondantes ne fonctionnent pas comme prévu, les administrateurs peuvent simplement désactiver l’entrée au lieu de la supprimer.
  • Tous les connecteurs Citrix Gateway pour un client particulier, quel que soit le type d’application, obtiennent les paramètres SSO. Auparavant, le paramètre SSO d’une application particulière était lié à un emplacement de ressources.

Table de routage principale

La table de routage principale est accessible depuis la vignette Secure Private Access.

  1. Ouvrez une session sur le compte Citrix Cloud.
  2. Sur la vignette Secure Private Access, cliquez sur Gérer.
  3. Dans le volet de navigation, cliquez sur Paramètres. La page Domaines d’application s’affiche.

Table de routage principale

La table de routage principale affiche les colonnes suivantes.

  • FQDN/IP : nom de domaine complet ou adresse IP pour laquelle le type de routage du trafic doit être configuré.
  • Type : typed’application. Interne, Externeou Externe via Gateway Connector comme sélectionné lors de l’ajout de l’application.

    Important :

    En cas de conflit, une icône d’alerte s’affiche pour la ligne correspondante du tableau. Pour résoudre le conflit, les administrateurs doivent cliquer sur l’icône triangulaire et modifier le type d’application dans la table principale.

  • Emplacement des ressources : Emplacement des ressources pour la gamme de type Interne. Si aucun emplacement de ressource n’est alloué, une icône triangulaire apparaît dans la colonne Emplacement des ressources de l’application concernée. Lorsque vous passez la souris sur l’icône, le message suivant s’affiche.

    Emplacement des ressources manquant. Assurez-vous qu’un emplacement de ressources est associé à ce nom de domaine complet.

  • État : L’interrupteur à bascule de la colonne Statut peut être utilisé pour désactiver l’itinéraire d’une entrée de route sans supprimer l’application. Lorsque l’interrupteur à bascule est désactivé, l’entrée de route ne prend pas effet. De plus, s’il existe des noms de noms de liste de noms de niveau (FQDN) de correspondance exacte, les administrateurs peuvent sélectionner l’itinéraire à activer ou à désactiver.
  • Commentaires : affiche les commentaires, le cas échéant.
  • Actions : L’icône de modification permet d’ajouter un emplacement de ressource ou de modifier le type d’entrée d’itinéraire. L’icône Supprimer permet de supprimer l’itinéraire.

Ajouter un nom de domaine complet à la table Domaines d’application

Les administrateurs peuvent ajouter un nom de domaine complet dans le tableau Domaines d’application et choisir le type de routage approprié.

  1. Cliquez sur Ajouter dans la page Domaine des applications.
  2. Entrez le nom de domaine complet et sélectionnez le type de routage approprié pour le nom de domaine complet.

Ajouter une entrée de route

Mini table de routage

Une version mini du tableau Domaines d’application est disponible pour prendre les décisions de routage lors de la configuration de l’application. La mini table de routage disponible dans la section Connectivité des applications de l’interface utilisateur de Citrix Gateway Service.

Pour ajouter des itinéraires à la mini table de routage

Les étapes d’ajout d’une application dans l’interface utilisateur de Citrix Gateway Service restent les mêmes que celles décrites dans les rubriques Prise en charge des applications logicielles en tant que service et Prise en charge des applications Web d’entreprise, à l’exception des deux modifications suivantes :

  1. Effectuez les étapes suivantes :
    • Choisissez un modèle.
    • Entrez les détails de l’application.
    • Choisissez les détails de sécurité améliorés, le cas échéant.
    • Sélectionnez la méthode d’authentification unique, le cas échéant.
  2. Cliquez sur Connectivité des applications. - Une version mini du tableau Domaines d’application est disponible pour prendre les décisions de routage lors de la configuration de l’application.

    Mini table de routage

    • Domaines : la colonne Domaines affiche une ou plusieurs lignes pour une application particulière. La première ligne affiche l’URL de l’application que l’administrateur a saisie lors de l’ajout des détails de l’application. Les autres lignes sont tous des domaines associés qui sont saisis lors de l’ajout des détails de l’application. Si l’URL de l’application et les domaines associés sont identiques, ils sont affichés sur une ligne.

    Une ligne affiche l’URL d’assertion SAML, si l’authentification unique SAML est sélectionnée.

    • Type : sélectionnez l’une des options suivantes.
      • Externe  : le trafic est directement acheminé vers Internet.
      • Interne  : le trafic circule via le connecteur de passerelle et l’application est traitée comme une application Web.

        • Dans le cas d’une application Web, le trafic circule dans le centre de données.

        • Pour une application SaaS, le trafic est acheminé en dehors du réseau via Citrix Gateway Connector.

      • Interne - contourner le proxy - Le trafic de domaine est acheminé via Citrix Cloud Gateway Connector, contournant le proxy Web du client configuré sur le connecteur de passerelle.
      • Externe via Gateway Connector  : les applications sont externes, mais le trafic doit circuler via Citrix Gateway Connector vers le réseau externe.
    • Emplacement des ressources : renseigné automatiquement lorsque vous sélectionnez le type Interne pour une application. Modifiez-la si vous souhaitez un autre emplacement de ressources.
    • Statut du connecteur de passerelle : renseigné automatiquement, ainsi que l’emplacement des ressources, lorsque vous sélectionnez le type Interne pour une application.

Remarque :

Vous pouvez également ajouter un connecteur de passerelle dans un nouvel emplacement de ressources à l’aide du lien « Installer Gateway Connector » et obtenir le code d’activation pour l’enregistrement. Pour plus d’informations, consultez la section Méthodes d’installation de Citrix Gateway Connector.

Tables de routage pour résoudre les conflits si les domaines associés dans SaaS et les applications Web sont identiques