Prise en charge des applications client-serveur

Avec Citrix Secure Private Access, vous pouvez désormais accéder à toutes les applications privées, y compris les applications TCP/UDP et HTTPS, à l’aide d’un navigateur natif ou d’une application cliente native via le client Citrix Secure Access exécuté sur votre machine.

Grâce à la prise en charge supplémentaire des applications client-serveur dans Citrix Secure Private Access, vous pouvez désormais éliminer la dépendance à une solution VPN traditionnelle pour fournir un accès à toutes les applications privées pour les utilisateurs distants.

Fonctionnalités préliminaires

Prise en charge des suffixes DNS pour résoudre les FQDN en adresses IP.

Fonctionnement

Les utilisateurs finaux peuvent facilement accéder à toutes leurs applications privées approuvées en installant simplement le client Citrix Secure Access sur leurs appareils clients.

• Pour Windows, la version client (22.3.1.5 et versions ultérieures) peut être téléchargée à l’adresse https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.

• Pour macOS, la version client (22.02.3 et versions ultérieures) peut être téléchargée depuis l’App Store.

Configuration d’administration : accès client Citrix Secure Access aux applications TCP/UDP

Conditions préalables

Assurez-vous que les conditions suivantes sont remplies pour accéder aux applications TCP/UDP.

• Accès à Citrix Secure Private Access dans Citrix Cloud.
• Citrix Cloud Connector - Installez une configuration de domaine Citrix Cloud Connector pour Active Directory telle que capturée dans Installation de Cloud Connector.
• Gestion des identités et des accès : terminez la configuration. Pour plus de détails, consultez Gestion des identités et des accès.
• Appliance Connector : Citrix recommande d’installer deux appliances Connector dans une configuration haute disponibilité dans votre emplacement de ressources. Le connecteur peut être installé sur site, dans l’hyperviseur du centre de données ou dans un cloud public. Pour plus d’informations sur Connector Appliance et son installation, consultez Connector Appliance for Cloud Services.
• Vous devez utiliser une Connector Appliance pour les applications TCP/UDP.

Important :

pour une configuration complète de bout en bout d’une application, consultez Workflow guidé par l’administrateur pour faciliter l’intégration et la configuration.

1. Sur la vignette Citrix Secure Private Access, cliquez sur Gérer.

2. Cliquez sur Continuer , puis sur Ajouter une application .

   Remarque :

   Le bouton Continuer n’apparaît que la première fois que vous utilisez l’assistant. Dans les utilisations suivantes, vous pouvez accéder directement à la page Applications , puis cliquer sur Ajouter une application .

   L’application est un regroupement logique de destinations. Nous pouvons créer une application pour plusieurs destinations. Chaque destination signifie différents serveurs en arrière-plan. Par exemple, une application peut avoir un SSH, un RDP, un serveur de base de données et un serveur Web. Il n’est pas nécessaire de créer une application par destination, mais une application peut avoir plusieurs destinations.

3. Dans la section Choisir un modèle, cliquez sur Ignorer pour configurer manuellement l’application TCP/UDP.

4. Dans la section Détails de l’application, sélectionnez Au sein de mon réseau d’entreprise, saisissez les informations suivantes, puis cliquez sur Suivant.

   

   • Type d’application  : sélectionnez TCP/UDP.
   • Nom de l’application  : nom de l’application.
   • Icône de l’application : une icône d’application s’affiche. Ce champ est facultatif.
   • Description de l’application  : description de l’application que vous ajoutez. Ce champ est facultatif.
   • Destinations  : adresses IP ou noms de domaine complets des machines principales résidant dans l’emplacement des ressources. Une ou plusieurs destinations peuvent être spécifiées comme suit.
     • Adresse IP v4
     • Plage d’adresses IP — Exemple : 10.68.90.10-10.68.90.99
     • CIDR — Exemple : 10.106.90.0/24

     • Nom de domaine complet des machines ou nom de domaine  : domaine unique ou générique. Exemple : ex.destination.domain.com, *.domain.com

       Important :

       les utilisateurs finaux peuvent accéder aux applications à l’aide du FQDN même si l’administrateur les a configurées à l’aide de l’adresse IP. Cela est possible car le client Citrix Secure Access peut résoudre un FQDN en adresse IP réelle. Le tableau suivant fournit des exemples de différentes destinations et explique comment accéder aux applications avec ces destinations :

       Entrée de destination	Comment accéder à l’application
       10.10.10.1-10.10.10.100	L’utilisateur final est censé accéder à l’application uniquement par le biais d’adresses IP comprises dans cette plage.
       10.10.10.0/24	L’utilisateur final est censé accéder à l’application uniquement par le biais d’adresses IP configurées dans le CIDR IP.
       10.10.10.101	L’utilisateur final est censé accéder à l’application uniquement via 10.10.10.101
       *.info.citrix.com	L’utilisateur final est censé accéder aux sous-domaines de info.citrix.com et également info.citrix.com (le domaine parent). Par exemple, info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com Remarque : le caractère générique doit toujours être le caractère de début du domaine et un seul *. est autorisé.
       info.citrix.com	L’utilisateur final n’est censé accéder info.citrix.com qu’aux sous-domaines et aucun sous-domaine. Par exemple, n’ sub1.info.citrix.com est pas accessible.

   • Port  : port sur lequel l’application est exécutée. Les administrateurs peuvent configurer plusieurs ports ou plages de ports par destination.

     Le tableau suivant fournit des exemples de ports pouvant être configurés pour une destination.

     Entrée du port	Description
     *	Par défaut, le champ Port est défini sur “*” (n’importe quel port). Les numéros de port compris entre 1 et 65535 sont pris en charge pour la destination.
     1300–2400	Les numéros de port compris entre 1300 et 2400 sont pris en charge pour la destination.
     38389	Seul le numéro de port 38389 est pris en charge pour la destination.
     22,345,5678	Les ports 22, 345, 5678 sont pris en charge pour la destination.
     1300–2400, 42000-43000,22,443	Les numéros de port sont compris entre 1300 et 2400, 42000—43000, et les ports 22 et 443 sont pris en charge pour la destination.

     Remarque :

     Le port générique (*) ne peut pas coexister avec des numéros ou des plages de ports.

   • Protocole  : TCP/UDP
5. Dans la section Connectivité des applications, une mini-version du tableau des domaines d’application est disponible pour prendre les décisions de routage. Pour chaque destination, vous pouvez choisir un emplacement de ressources différent ou identique. Les destinations configurées à l’étape précédente sont renseignées dans la colonne DESTINATION . Les destinations ajoutées ici sont également ajoutées au tableau principal des domaines d’application . La table des domaines d’application est la source de vérité pour prendre la décision de routage afin de diriger l’établissement de la connexion et le trafic vers l’emplacement de ressources approprié. Pour plus d’informations sur le tableau Domaines d’application et sur les scénarios de conflits IP possibles, consultez la section Domaines d’application - Résolution des conflits d’adresses IP .

6. Pour les champs suivants, sélectionnez une entrée dans le menu déroulant et cliquez sur Suivant.

   Remarque :

   Seul le type de route interne est pris en charge.

   • EMPLACEMENT DES RESSOURCES — Dans le menu déroulant, vous devez vous connecter à un emplacement de ressources sur lequel au moins un dispositif Connector est installé.

     Remarque :

     L’installation de Connector Appliance est prise en charge dans la section App Connectivity. Vous pouvez également l’installer dans la section Emplacements des ressources du portail Citrix Cloud. Pour plus d’informations sur la création d’un emplacement de ressources, voir Configurer des emplacements de ressources.

   

7. Cliquez sur Terminer. L’application est ajoutée à la page Applications . Vous pouvez modifier ou supprimer une application depuis la page Applications après avoir configuré l’application. Pour ce faire, cliquez sur le bouton de sélection d’une application et sélectionnez les actions correspondantes.

   • Modifier l’application
   • Supprimer

Remarque :

• Pour accorder l’accès aux applications aux utilisateurs, les administrateurs doivent créer des stratégies d’accès. Dans les stratégies d’accès, les administrateurs ajoutent des abonnés à l’application et configurent des contrôles de sécurité. Pour plus de détails, voir Création de stratégies d’accès.

• Pour configurer les méthodes d’authentification requises pour les utilisateurs, voir Configuration de l’identité et de l’authentification.

• Pour obtenir l’URL de l’espace de travail à partager avec les utilisateurs, dans le menu Citrix Cloud, cliquez sur Configuration de l’espace de travail, puis sélectionnez l’onglet Accès .

Configuration administrative : accès client Citrix Secure Access aux applications HTTP/HTTPS

Remarque :

Pour accéder à des applications HTTP/HTTPS existantes ou nouvelles à l’aide du client Citrix Secure Access, vous devez installer au moins un Connector Appliance (deux recommandés pour une haute disponibilité) dans votre emplacement de ressources. L’appliance Connector peut être installée sur site, dans l’hyperviseur du centre de données ou dans le cloud public. Pour plus de détails sur Connector Appliance et son installation, consultez Connector Appliance for Cloud Services.

Conditions préalables

• Accès à Citrix Secure Private Access dans Citrix Cloud.

Points à noter

• Les applications Web internes appliquées avec des contrôles de sécurité renforcés ne sont pas accessibles via le client Citrix Secure Access.

• Si vous essayez d’accéder à une application HTTP (S) pour laquelle les contrôles de sécurité améliorés sont activés, le message contextuel suivant s’affiche. Des contrôles de sécurité supplémentaires sont activés pour l’application <”app name”(FQDN) >. Veuillez y accéder à partir de Citrix Workspace.

  

• Si vous souhaitez activer l’expérience SSO, accédez aux applications Web à l’aide de l’application ou du portail Web Citrix Workspace.

Les étapes de configuration des applications HTTP (S) restent les mêmes que les fonctionnalités existantes expliquées dans la section Prise en charge des applications Web d’entreprise.

Accès adaptatif aux applications TCP/UDP et HTTP (S)

L’accès adaptatif permet aux administrateurs de gérer l’accès aux applications stratégiques en fonction de plusieurs facteurs contextuels tels que la vérification de l’état de sécurité de l’appareil, la géolocalisation de l’utilisateur, le rôle de l’utilisateur et le score de risque fourni par le service Citrix Analytics.

Remarque :

• Vous pouvez refuser l’accès aux applications TCP/UDP, les administrateurs peuvent créer des politiques en fonction des utilisateurs, des groupes d’utilisateurs, des appareils à partir desquels les utilisateurs accèdent aux applications et de l’emplacement (pays) à partir duquel une application est accessible. L’accès aux applications est autorisé par défaut.

• L’abonnement utilisateur souscrit pour une application s’applique à toutes les destinations d’applications TCP/UDP configurées pour les applications TCP/UDP.

Pour créer une stratégie d’accès adaptative

Les administrateurs peuvent utiliser l’assistant de flux de travail guidé par l’administrateur pour configurer l’accès réseau Zero Trust aux applications SaaS, aux applications Web internes et aux applications TCP/UDP dans le service Secure Private Access.

Remarque :

• Pour plus de détails sur la création d’une stratégie d’accès adaptative, voir Créer des stratégies d’accès.
• Pour une configuration complète de l’accès réseau Zero Trust aux applications SaaS, aux applications Web internes et aux applications TCP/UDP dans le service Secure Private Access, consultez le flux de travail guidé par l’administrateur pour faciliter l’intégration et la configuration.

Points à noter

• L’accès à une application Web existante pour laquelle la sécurité renforcée est activée est refusé via le client Secure Access. Un message d’erreur suggérant de se connecter à l’aide de l’application Citrix Workspace s’affiche.
• Les configurations de politique pour les applications Web basées sur le score de risque de l’utilisateur, la vérification de la posture de l’appareil, etc. via l’application Citrix Workspace sont applicables lors de l’accès à l’application via le client Secure Access.
• La stratégie liée à une application s’applique à toutes les destinations de l’application.

Résolution DNS

L’appliance Connector doit disposer d’une configuration de serveur DNS pour la résolution DNS.

Étapes pour installer le client Citrix Secure Access sur une machine Windows

Versions d’OS prises en charge :

Windows : Windows 11, Windows 10, Windows Server 2016 et Windows Server 2019.

Voici les étapes à suivre pour installer le client Citrix Secure Access sur une machine Windows.

1. Téléchargez le client Citrix Secure Access depuis https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html.
2. Cliquez sur Installer pour installer le client sur votre ordinateur Windows. Si vous avez déjà un client Citrix Gateway, celui-ci est mis à niveau.
3. Cliquez sur Terminer pour terminer l’installation.

Remarque :

les sessions multi-utilisateurs ne sont pas prises en charge sous Windows.

Procédure d’installation de Microsoft Edge Runtime

Microsoft Edge Runtime est désormais requis pour l’interface utilisateur d’authentification sur le client Secure Access. Il est installé par défaut sur les derniers ordinateurs Windows 10 et Windows 11. Pour les machines utilisant des versions antérieures, effectuez les opérations suivantes.

1. Allez sur le lien suivant, https://go.microsoft.com/fwlink/p/?LinkId=2124703.
2. Téléchargez et installez Microsoft Edge. Si le moteur d’exécution Microsoft Edge n’est pas installé sur le système utilisateur, le client Citrix Secure Access vous invite à l’installer lorsque vous essayez de vous connecter à l’URL de Workspace.

Remarque :

Vous pouvez utiliser une solution automatisée telle que le logiciel SCCM ou une stratégie de groupe pour envoyer le client Citrix Secure Access ou Microsoft Edge Runtime vers les ordinateurs clients.

Étapes pour installer le client Citrix Secure Access sur une machine macOS

Pré-requis :

• Téléchargez le client Citrix Secure Access pour macOS depuis l’App Store. Cette application est disponible à partir de macOS 10.15 (Catalina) et versions ultérieures.
• Les versions d’aperçu sont disponibles dans l’application TestFlight uniquement pour macOS Monterey (12.x).
• Si vous basculez entre l’application App Store et l’application d’aperçu TestFlight, vous devez recréer le profil que vous souhaitez utiliser avec l’application Citrix Secure Access. Par exemple, si vous utilisiez un profil de connexion avec blr.abc.company.com, supprimez le profil VPN et créez à nouveau le même profil.

Versions d’OS prises en charge :

• macOS : 12.x (Monterey). 11.x (Big Sur) et 10.15 (Catalina) sont pris en charge.

• Appareils mobiles : iOS et Android ne sont pas pris en charge.

Lancer une application configurée - Flux de l’utilisateur final

1. Lancez le client Citrix Secure Access sur l’appareil client.
2. Entrez l’URL de l’espace de travail fournie par l’administrateur du client dans le champ URL du client Citrix Secure Access et cliquez sur Connect. Il s’agit d’une activité ponctuelle et l’URL est enregistrée pour une utilisation ultérieure.
3. L’utilisateur est invité à s’authentifier en fonction de la méthode d’authentification configurée dans Citrix Cloud. Une fois l’authentification réussie, l’utilisateur peut accéder aux applications privées configurées.

Messages de notification utilisateur

Un message de notification contextuel s’affiche dans les scénarios suivants :

• L’application n’est pas autorisée par l’administrateur pour l’utilisateur.

  Cause : L’application configurée pour l’adresse IP ou le nom de domaine complet de destination accédée n’est pas abonnée pour l’utilisateur connecté.

  

• L’évaluation de la stratégie d’accès entraîne un refus d’accès.

  Cause : L’accès à l’adresse IP ou au nom de domaine complet de destination est refusé car la stratégie liée à l’application est évaluée comme « Refuser l’accès » à l’utilisateur connecté.

  

• Le contrôle de sécurité amélioré est activé pour l’application.

  Cause : Le contrôle de sécurité amélioré est activé pour l’application pour la destination consultée. L’application peut être lancée à l’aide de l’application Citrix Workspace.

  

Informations supplémentaires

Domaines d’application : résolution des conflits d’adresses IP

Les destinations ajoutées lors de la création d’une application sont ajoutées à un tableau de routage principal. La table de routage est la source de vérité pour prendre la décision de routage afin de diriger l’établissement de la connexion et le trafic vers le bon emplacement des ressources.

• L’adresse IP de destination doit être unique pour tous les emplacements de ressources.
• Citrix recommande d’éviter le chevauchement des adresses IP ou des domaines dans la table de routage. Si vous rencontrez un chevauchement, vous devez le résoudre.

Voici les types de scénarios de conflit. Complete Overlap est le seul scénario d’erreur qui restreint la configuration de l’administrateur jusqu’à ce que le conflit soit résolu.

Remarque :

• Si les destinations ajoutées entraînent un chevauchement complet, une erreur s’affiche lors de la configuration de l’application dans la section Détails de l’application . L’administrateur doit résoudre cette erreur en modifiant les destinations dans la section Connectivité des applications .

  S’il n’y a aucune erreur dans la section Détails de l’application, l’administrateur peut procéder à l’enregistrement des détails de l’application. Toutefois, dans la section Connectivité des applications, si les destinations ont un sous-ensemble et se chevauchent partiellement les unes avec les autres ou avec des entrées existantes dans la table de routage principale, un message d’avertissement s’affiche. Dans ce cas, l’administrateur peut choisir de résoudre l’erreur ou de poursuivre la configuration.

• Citrix recommande de conserver une table de domaine d’application propre. Il est plus facile de configurer de nouvelles entrées de routage si les domaines d’adresse IP sont divisés en segments appropriés sans chevauchement.

Registres de configuration des scripts de connexion et de déconnexion

Le client Citrix Secure Access accède à la configuration du script de connexion et de déconnexion à partir des registres suivants lorsque le client Citrix Secure Access se connecte au service cloud Citrix Secure Private Access.

Registre : HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

• Chemin du script de connexion : SecureAccessLogInScript type REG_SZ
• Chemin du script de déconnexion : SecureAccessLogOutScript type REG_SZ

Références des notes de version

• Notes de mise à jour de Citrix Secure Access pour Windows

• Notes de publication de Citrix Secure Access pour macOS

• Notes de mise à jour de Citrix Secure Private Access