Citrix Secure Private Access

Prise en charge des applications client-serveur

Avec Citrix Secure Private Access, vous pouvez désormais accéder à toutes les applications privées, y compris les applications TCP/HTTPS, à l’aide d’un navigateur natif ou d’une application cliente native via l’agent Citrix Secure Access exécuté sur votre machine.

Grâce à la prise en charge supplémentaire des applications client-serveur dans Citrix Secure Private Access, vous pouvez désormais éliminer la dépendance à une solution VPN traditionnelle pour fournir un accès à toutes les applications privées pour les utilisateurs distants.

Fonctionnement

Les utilisateurs finaux peuvent facilement accéder à toutes leurs applications privées sanctionnées en installant simplement l’agent Citrix Secure Access sur leurs appareils clients.

Non inclus dans cette version

  • L’accès aux applications UDP n’est pas pris en charge.

Configuration administrateur : accès aux applications TCP basé sur l’agent ZTNA

Conditions préalables

  • Accès à Citrix Secure Private Access dans Citrix Cloud.
  • Citrix Cloud Connector - Installez une configuration de domaine Citrix Cloud Connector pour Active Directory telle que capturée dans Installation de Cloud Connector.
  • Gestion des identités et des accès : terminez la configuration. Pour plus de détails, consultez Gestion des identités et des accès.
  • Appliance Connector : Citrix recommande d’installer deux appliances Connector dans une configuration haute disponibilité dans votre emplacement de ressources. Le connecteur peut être installé sur site, dans l’hyperviseur du centre de données ou dans un cloud public. Pour plus d’informations sur Connector Appliance et son installation, consultez Connector Appliance for Cloud Services.

    Remarque :

    Vous devez utiliser une appliance Connector pour les applications TCP.

Étapes à suivre pour configurer les applications TCP :

Important :

pour une configuration complète de bout en bout d’une application, consultez Workflow guidé par l’administrateur pour faciliter l’intégration et la configuration.

  1. Sur la vignette Citrix Secure Private Access, cliquez sur Gérer.
  2. Cliquez sur Continuer, puis sur Ajouter une application.

    Remarque :

    Le bouton Continuer n’apparaît que la première fois que vous utilisez l’assistant. Dans les utilisations suivantes, vous pouvez accéder directement à la page Applications, puis cliquer sur Ajouter une application.

    L’application est un regroupement logique de destinations. Nous pouvons créer une application pour plusieurs destinations. Chaque destination signifie différents serveurs en arrière-plan. Par exemple, une application peut avoir un SSH, un RDP, un serveur de base de données et un serveur Web. Il n’est pas nécessaire de créer une application par destination, mais une application peut avoir plusieurs destinations.

  3. Dans la section Choisissez un modèle, cliquez sur Ignorer pour configurer l’application TCP manuellement.
  4. Dans la section Détails de l’application, sélectionnez Au sein de mon réseau d’entreprise, saisissez les informations suivantes, puis cliquez sur Suivant.

    Détails de l'application TCP

    • Type d’application  : sélectionnez TCP/UDP.
    • Nom de l’application  : nom de l’application.
    • Icône de l’application : une icône d’application s’affiche. Ce champ est facultatif.
    • Description de l’application  : description de l’application que vous ajoutez. Ce champ est facultatif.
    • Destinations  : adresses IP ou noms de domaine complets des machines principales résidant dans l’emplacement des ressources. Une ou plusieurs destinations peuvent être spécifiées comme suit.
      • Adresse IP v4
      • Plage d’adresses IP — Exemple : 10.68.90.10-10.68.90.99
      • CIDR — Exemple : 10.106.90.0/24
      • Nom de domaine complet des machines ou nom de domaine  : domaine unique ou générique. Exemple : ex.destination.domain.com, *.domain.com

        Important :

        Si l’administrateur a configuré les destinations basées sur IP, les utilisateurs finaux sont censés accéder à l’application uniquement avec l’adresse IP. De même, si l’application est configurée avec un nom de domaine complet, les utilisateurs sont censés accéder à l’application via le nom de domaine complet uniquement. Vous ne pouvez pas accéder à une application via le nom de domaine complet si l’application est configurée en fonction de l’adresse IP.

        Le tableau suivant fournit des exemples de différentes destinations et explique comment accéder aux applications associées à ces destinations.

        Entrée de destination Comment accéder à l’application
        10.10.10.1-10.10.10.100 L’utilisateur final est censé accéder à l’application uniquement par le biais d’adresses IP comprises dans cette plage.
        10.10.10.0/24 L’utilisateur final est censé accéder à l’application uniquement par le biais d’adresses IP configurées dans le CIDR IP.
        10.10.10.101 L’utilisateur final est censé accéder à l’application uniquement via 10.10.10.101
        *.info.citrix.com L’utilisateur final est censé accéder aux sous-domaines de info.citrix.com et également info.citrix.com (le domaine parent). Par exemple, info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com Remarque : le caractère générique doit toujours être le caractère de début du domaine et un seul *. est autorisé.
        info.citrix.com L’utilisateur final n’est censé accéder info.citrix.com qu’aux sous-domaines et aucun sous-domaine. Par exemple, n’ sub1.info.citrix.com est pas accessible.
    • Port  : port sur lequel l’application est exécutée. Les administrateurs peuvent configurer plusieurs ports ou plages de ports par destination.

      Le tableau suivant fournit des exemples de ports pouvant être configurés pour une destination.

      Entrée du port Description
      * Par défaut, le champ Port est défini sur “*” (n’importe quel port). Les numéros de port compris entre 1 et 65535 sont pris en charge pour la destination.
      1300–2400 Les numéros de port compris entre 1300 et 2400 sont pris en charge pour la destination.
      38389 Seul le numéro de port 38389 est pris en charge pour la destination.
      22,345,5678 Les ports 22, 345, 5678 sont pris en charge pour la destination.
      1300–2400, 42000-43000,22,443 Les numéros de port sont compris entre 1300 et 2400, 42000—43000, et les ports 22 et 443 sont pris en charge pour la destination.

      Remarque :

      Le port générique (*) ne peut pas coexister avec des numéros ou des plages de ports.

    • Protocole — TCP
  5. Dans la section Connectivité des applications, une mini-version du tableau Domaines d’application est disponible pour prendre les décisions de routage. Pour chaque destination, vous pouvez choisir un emplacement de ressources différent ou identique. Les destinations configurées à l’étape précédente sont renseignées dans la colonne DESTINATION . Les destinations ajoutées ici sont également ajoutées au tableau principal des domaines d’application . Le tableau Domaines d’application est la source de vérité pour prendre la décision de routage afin de diriger l’établissement de la connexion et le trafic vers l’emplacement de ressources correct. Pour plus d’informations sur le tableau Domaines d’application et sur les scénarios de conflits IP possibles, consultez la section Domaines d’application - Résolution des conflits d’adresses IP .
  6. Pour les champs suivants, sélectionnez une entrée dans le menu déroulant et cliquez sur Suivant.

    Remarque :

    Seul le type de route interne est pris en charge.

    • EMPLACEMENT DES RESSOURCES — Dans le menu déroulant, vous devez vous connecter à un emplacement de ressources sur lequel au moins un dispositif Connector est installé.

      Remarque :

      L’installation de Connector Appliance est prise en charge dans la section App Connectivity. Vous pouvez également l’installer dans la section Emplacements des ressources du portail Citrix Cloud. Pour plus d’informations sur la création d’un emplacement de ressources, voir Configurer des emplacements de ressources.

    Connectivité des applications

  7. Dans la section Abonnés de l’application, attribuez des utilisateurs ou des groupes à l’application.

    • Dans Choisir un domaine, sélectionnez le domaine applicable à l’application, puis dans Choisir un groupe ou un utilisateur, sélectionnez le groupe ou l’utilisateur auquel vous abonnez cette application. Vous pouvez différencier un utilisateur d’un groupe en fonction de l’apparence des alphabets U ou G par rapport au nom.

    • Cliquez sur Enregistrer. Les détails de l’abonné sont chargés automatiquement.

    Vous pouvez désabonner un utilisateur ou un groupe abonné en cliquant sur l’icône Supprimer en regard de Statut.

    Gérer les abonnés

  8. Cliquez sur Terminer. L’application est ajoutée à la page Applications. Vous pouvez supprimer, gérer les abonnés ou modifier une application à partir de la page Applications après avoir configuré l’application. Pour ce faire, cliquez sur le bouton de sélection d’une application et sélectionnez les actions correspondantes.

    • Gérer les abonnés
    • Modifier l’application
    • Supprimer
  • Pour configurer les méthodes d’authentification requises pour vos utilisateurs, voir Configuration de l’identité et de l’authentification.

  • Pour obtenir l’URL de l’espace de travail à partager avec vos utilisateurs, dans le menu Citrix Cloud, cliquez sur Configuration de l’espacede travail, puis sélectionnez l’onglet Accès .

    Gestion des accès d'identité

Configuration administrateur : accès aux applications HTTP (S) basé sur l’agent ZTNA

Remarque :

pour accéder aux applications HTTP/HTTPS existantes ou nouvelles à l’aide de l’agent Citrix Secure Access, en plus d’un connecteur Gateway, vous devez également installer au moins une appliance Connector (recommandée deux pour une haute disponibilité) dans votre emplacement de ressources. Le connecteur peut être installé sur site, dans l’hyperviseur du centre de données ou dans le cloud public. Pour plus de détails sur Connector Appliance et son installation, consultez Connector Appliance for Cloud Services.

Conditions préalables

  • Accès à Citrix Secure Private Access dans Citrix Cloud.

Points à noter

  • Les applications Web internes appliquées avec des contrôles de sécurité améliorés ne sont pas accessibles via l’agent Citrix Secure Access.
  • Si vous essayez d’accéder à une application HTTP (S) pour laquelle les contrôles de sécurité améliorés sont activés, le message contextuel suivant s’affiche. Des contrôles de sécurité supplémentaires sont activés pour l’application <”app name”(FQDN) >. Veuillez y accéder à partir de Citrix Workspace.

    Message d'erreur

  • Si vous souhaitez activer l’expérience SSO, accédez aux applications Web à l’aide de l’application ou du portail Web Citrix Workspace.

Les étapes de configuration des applications HTTP (S) restent les mêmes que les fonctionnalités existantes expliquées dans la section Prise en charge des applications Web d’entreprise.

Accès adaptatif aux applications TCP et HTTP(S)

L’accès adaptatif permet aux administrateurs de gérer l’accès aux applications stratégiques en fonction de plusieurs facteurs contextuels tels que la vérification de l’état de sécurité de l’appareil, la géolocalisation de l’utilisateur, le rôle de l’utilisateur et le score de risque fourni par le service Citrix Analytics.

Remarque :

  • Vous pouvez refuser l’accès aux applications TCP, les administrateurs créer des stratégies basées sur les utilisateurs, les groupes d’utilisateurs, les appareils à partir desquels les utilisateurs accèdent aux applications et l’emplacement (pays) à partir duquel une application est accessible. L’accès aux applications est autorisé par défaut.

  • L’abonnement utilisateur souscrit pour une application s’applique à toutes les destinations d’applications TCP configurées pour l’application ZTNA.

Pour créer une stratégie d’accès adaptative

Les administrateurs peuvent utiliser l’assistant de workflow guidé par l’administrateur pour configurer l’accès réseau Zero Trust aux applications SaaS, aux applications Web internes et aux applications TCP dans le service Secure Private Access.

Remarque :

Points à noter

  • L’accès à une application Web existante pour laquelle la sécurité renforcée est activée est refusé via l’agent Secure Access. Un message d’erreur suggérant de se connecter à l’aide de l’application Citrix Workspace s’affiche.
  • Les configurations de stratégie pour l’application Web basées sur le score de risque utilisateur, la vérification de l’état de sécurité de l’appareil, etc. via l’application Citrix Workspace sont valables lors de l’accès à l’application via l’agent Secure Access.
  • La stratégie liée à une application s’applique à toutes les destinations de l’application.

Résolution DNS

L’appliance Connector doit disposer d’une configuration de serveur DNS pour la résolution DNS.

Étapes pour installer l’agent Citrix Secure Access sur une machine Windows

Versions d’OS prises en charge :

Windows : Windows 11, Windows 10, Windows Server 2016 et Windows Server 2019.

Voici les étapes à suivre pour installer l’agent Citrix Secure Access sur un ordinateur Windows.

  1. Téléchargez l’agent Citrix Secure Access à partir de https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
  2. Cliquez sur Installer pour installer l’agent sur votre ordinateur Windows. Si vous disposez d’un agent Citrix Gateway existant, celui-ci est mis à niveau. Installer l'agent
  3. Cliquez sur Terminer pour terminer l’installation. Installer l'agent 2

Remarque : Les

sessions multi-utilisateurs sous Windows ne sont pas prises en charge.

Procédure d’installation de Microsoft Edge Runtime

Microsoft Edge Runtime est désormais requis pour l’interface utilisateur d’authentification sur l’agent Secure Access. Il est installé par défaut sur les derniers ordinateurs Windows 10 et Windows 11. Pour les machines utilisant des versions antérieures, effectuez les opérations suivantes.

  1. Allez sur le lien suivant, https://go.microsoft.com/fwlink/p/?LinkId=2124703.
  2. Téléchargez et installez Microsoft Edge. Si le moteur d’exécution Microsoft Edge n’est pas installé sur le système utilisateur, le client de l’agent Citrix Secure Access vous invite à procéder à l’installation lorsque vous essayez de vous connecter à l’URL de l’espace de travail.

Remarque :

Vous pouvez utiliser une solution automatisée telle que le logiciel SCCM ou une stratégie de groupe pour envoyer l’agent Citrix Secure Access ou Microsoft Edge Runtime sur les machines clientes.

Étapes à suivre pour installer l’agent Citrix Secure Access sur une machine macOS

Pré-requis :

  • Téléchargez l’application Citrix Secure Access pour macOS depuis l’App Store. Cette application est disponible à partir de macOS 10.15 (Catalina) et versions ultérieures.
  • Les versions d’aperçu sont disponibles dans l’application TestFlight uniquement pour macOS Monterey (12.x).
  • Si vous basculez entre l’application App Store et l’application d’aperçu TestFlight, vous devez recréer le profil que vous souhaitez utiliser avec l’application Citrix Secure Access. Par exemple, si vous utilisiez un profil de connexion avec blr.abc.company.com, supprimez le profil VPN et créez à nouveau le même profil.

Versions d’OS prises en charge :

macOS — 12.x (Monterey). 11.x (Big Sur) et 10.15 (Catalina) sont pris en charge.

Remarque :

appareils mobiles - iOS et Android ne sont pas pris en charge.

Lancer une application configurée - Flux de l’utilisateur final

  1. Lancez l’agent Citrix Secure Access sur l’appareil client.
  2. Entrez l’URL de l’espace de travail fournie par l’administrateur du client dans le champ URL de l’agent Citrix Secure Access et cliquez sur Se connecter. Il s’agit d’une activité ponctuelle et l’URL est enregistrée pour une utilisation ultérieure. Lancer une application
  3. L’utilisateur est invité à s’authentifier en fonction de la méthode d’authentification configurée dans Citrix Cloud. Une fois l’authentification réussie, l’utilisateur peut accéder aux applications privées configurées.

Messages de notification utilisateur

Un message de notification contextuel s’affiche dans les scénarios suivants :

  • L’application n’est pas autorisée par l’administrateur pour l’utilisateur.

    Cause : L’application configurée pour l’adresse IP ou le nom de domaine complet de destination accédée n’est pas abonnée pour l’utilisateur connecté.

    Message contextuel 1

  • L’évaluation de la stratégie d’accès entraîne un refus d’accès.

    Cause : L’accès à l’adresse IP ou au nom de domaine complet de destination est refusé car la stratégie liée à l’application est évaluée comme « Refuser l’accès » à l’utilisateur connecté.

    Message contextuel 2

  • Le contrôle de sécurité amélioré est activé pour l’application.

    Cause : Le contrôle de sécurité amélioré est activé pour l’application pour la destination consultée. L’application peut être lancée à l’aide de l’application Citrix Workspace.

    Message contextuel 3

Informations supplémentaires

Domaines d’application : résolution des conflits d’adresses IP

Les destinations ajoutées lors de la création d’une application sont ajoutées à un tableau de routage principal. La table de routage est la source de vérité permettant de prendre la décision de routage pour diriger l’établissement de la connexion et le trafic vers l’emplacement correct des ressources.

  • L’adresse IP de destination doit être unique pour tous les emplacements de ressources.
  • Citrix recommande d’éviter le chevauchement des adresses IP ou des domaines dans la table de routage. Si vous rencontrez un chevauchement, vous devez le résoudre.

Voici les types de scénarios de conflit. Complete Overlap est le seul scénario d’erreur qui restreint la configuration de l’administrateur jusqu’à ce que le conflit soit résolu.

Scénarios de conflit Entrée de domaine d’application existante Nouvelle entrée de l’ajout d’une application Comportement
Chevauchement de sous-ensemble 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 Autoriser ; informations d’avertissement - Chevauchement de sous-ensemble du domaine IP avec les entrées existantes
Chevauchement de sous-ensemble 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 Autoriser ; informations d’avertissement - Chevauchement de sous-ensemble du domaine IP avec les entrées existantes
Chevauchement partiel 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 Autoriser ; informations d’avertissement : chevauchement partiel du domaine IP avec les entrées existantes
Chevauchement partiel 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 Autoriser ; informations d’avertissement : chevauchement partiel du domaine IP avec les entrées existantes
Chevauchement complet 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 Erreur ; le domaine <Completely overlapping IP domain's value> IP chevauche complètement les entrées existantes. Modifiez l’entrée IP de routage existante ou configurez une autre destination
Chevauchement complet 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 Erreur ; le domaine <Completely overlapping IP domain's value> IP chevauche complètement les entrées existantes. Modifiez l’entrée IP de routage existante ou configurez une autre destination
Correspondance exacte 20.20.20.0/29 RL1 20.20.20.0/29 Autoriser ; Les domaines existent déjà dans la table de routage des domaines. Les modifications apportées mettent à jour la table de routage de

Remarque :

  • Si les destinations ajoutées entraînent un chevauchement complet, une erreur s’affiche lors de la configuration de l’application dans la section Détails de l’application . L’administrateur doit résoudre cette erreur en modifiant les destinations dans la section Connectivité des applications .

    S’il n’y a aucune erreur dans la section Détails de l’application, l’administrateur peut enregistrer les détails de l’application. Toutefois, dans la section Connectivité des applications, si les destinations ont un sous-ensemble et se chevauchent partiellement les unes avec les autres ou avec des entrées existantes dans la table de routage principale, un message d’avertissement s’affiche. Dans ce cas, l’administrateur peut choisir de résoudre l’erreur ou de poursuivre la configuration.

  • Citrix recommande de conserver une table de domaine d’application propre. Il est plus facile de configurer de nouvelles entrées de routage si les domaines d’adresse IP sont divisés en segments appropriés sans chevauchement.

Registres de configuration des scripts de connexion et de déconnexion

Le client Citrix Secure Access accède à la configuration du script de connexion et de déconnexion à partir des registres suivants lorsque le client Citrix Secure Access se connecte au service cloud Citrix Secure Private Access.

Registre : HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • Chemin du script de connexion : SecureAccessLogInScript type REG_SZ
  • Chemin du script de déconnexion : SecureAccessLogOutScript type REG_SZ

Références des notes de version