Citrix Secure Private Access

Prise en charge des applications Web d’entreprise

La mise à disposition d’applications Web à l’aide du service Secure Private Access permet de diffuser à distance des applications spécifiques à l’entreprise sous la forme d’un service Web. Les applications Web couramment utilisées incluent SharePoint, Confluence, OneBug, etc.

Les applications Web sont accessibles à l’aide de Citrix Workspace à l’aide du service Secure Private Access. Le service Secure Private Access associé à Citrix Workspace fournit une expérience utilisateur unifiée pour les applications Web configurées, les applications SaaS, les applications virtuelles configurées ou toute autre ressource de l’espace de travail.

La connexion SSO et l’accès à distance aux applications Web sont disponibles dans le cadre des packages de services suivants :

  • Standard de service de passerelle
  • Workspace Standard, Workspace Premium ou Workspace Premium Plus

Configuration système requise

Vous avez besoin de l’un des types de connecteurs pour les applications Web d’entreprise.

Appliance Connector  : vous pouvez utiliser l’appliance Connector avec le service Citrix Secure Private Access pour prendre en charge l’accès sans VPN aux applications Web d’entreprise dans le centre de données du client. Pour plus de détails, consultez la section Secure Workspace Access de travail avecle

Important :

  • Il est prévu que Citrix Gateway Connector soit obsolète dans la prochaine version. Citrix vous recommande de migrer vers une appliance Connector qui est un connecteur d’accès réseau Zero Trust unique. Pour plus de détails sur Connector Appliance, consultez Connector Appliance for Cloud Services.

  • Pour migrer votre Gateway Connector vers Connector Appliance, voir Migrer Gateway Connector vers Connector Appliance.

  • Pour les applications TCP, l’appliance Connector doit être utilisée.

Citrix Gateway Connector  : dispositif virtuel qui facilite l’accès à distance aux applications Web d’entreprise. Citrix Gateway Connector est un dispositif virtuel. La spécification de la machine virtuelle doit comporter au moins les éléments suivants :

  • Le nombre de vCPU doit être exactement égal à 2.
  • 4 Go de RAM minimum.
  • 1 carte réseau (carte réseau virtuelle). Vous pouvez ajouter une carte réseau virtuelle supplémentaire si nécessaire.

Installez le connecteur de passerelle avant de configurer les applications Web d’entreprise pour une approche plus propre.

Pour plus d’informations sur Citrix Gateway Connector, consultez Citrix Gateway Connector.

Remarque :

S’il existe des périphériques d’interception SSL dans le centre de données sur site où Citrix Gateway Connector doit être déployé, l’enregistrement du connecteur échoue si l’interception SSL est activée pour ces noms de domaine complets. L’interception SSL doit être désactivée pour ces noms de domaine complets pour l’inscription du connecteur réussisse. Pour plus d’informations sur Citrix Gateway Connector, consultez Citrix CloudGateway Connector.

Fonctionnement

Le service Citrix Secure Private Access se connecte en toute sécurité au centre de données sur site à l’aide du connecteur, qui est déployé sur site. Ce connecteur agit comme un pont entre les applications Web d’entreprise déployées sur site et le service Citrix Secure Private Access. Ces connecteurs peuvent être déployés dans une paire HA et ne nécessitent qu’une connexion sortante.

Une connexion TLS entre le connecteur de passerelle et le service Citrix Secure Private Access dans le cloud sécurise les applications locales qui sont énumérées dans le service cloud. Les applications Web sont accessibles et mises à disposition via Workspace à l’aide d’une connexion sans VPN.

La figure suivante illustre l’accès aux applications Web à l’aide de Citrix Workspace.

Fonctionnent des applications Web

Pour configurer une application Web d’entreprise

  1. Sur la vignette Secure Private Access, cliquez sur Gérer.

  2. Sur la page d’accueil de Secure Private Access, cliquez sur Continuer, puis sur Ajouter une application.

    Remarque :

    Le bouton Continuer n’apparaît que la première fois que vous utilisez l’assistant. Dans les utilisations suivantes, vous pouvez accéder directement à la page Applications, puis cliquer sur Ajouter une application.

  3. Sélectionnez l’application que vous souhaitez ajouter et cliquez sur Ignorer.

  4. Dans Où se trouve l’emplacement de l’application ?, sélectionnez l’emplacement.

  5. Saisissez les informations suivantes dans la section Détails de l’application, puis cliquez sur Suivant.

    Détails de l'application SPA

    • Type d’application  : sélectionnez le type d’application. Vous pouvez choisir parmi les applications HTTP/HTTPS ou UDP/TCP .

    • Nom de l’application  : nom de l’application.

    • Description de l’application  : brève description de l’application. La description que vous entrez ici est affichée pour vos utilisateurs dans l’espace de travail.

    • Icône de l’application  : cliquez sur Modifier l’icône pour modifier l’icône de l’application. La taille du fichier d’icônes doit être de 128 x 128 pixels. Si vous ne modifiez pas l’icône, l’icône par défaut est affichée.

      Si vous ne souhaitez pas afficher l’icône de l’application, sélectionnez Ne pas afficher l’icône de l’application aux utilisateurs.

    • Sélectionnez Accès direct pour permettre aux utilisateurs d’accéder à l’application directement depuis un navigateur client. Pour plus de détails, voir Accès direct aux applications Web d’entreprise.

    • URL : URL avec votre ID client. L’URL doit contenir votre ID client (ID client Citrix Cloud). Pour obtenir votre ID client, consultez la section S’inscrire à Citrix Cloud. En cas d’échec de l’authentification unique ou si vous ne souhaitez pas utiliser l’authentification unique, l’utilisateur est redirigé vers cette URL.

      Nom de domaine duclient et ID de domaine client : le nom et l’ID de domaine du client sont utilisés pour créer l’URL de l’application et les autres URL suivantes dans la page SSO SAML.

      Par exemple, si vous ajoutez une application Salesforce, votre nom de domaine est salesforceformyorg et l’ID est 123754, puis l’URL de l’application est https://salesforceformyorg.my.salesforce.com/?so=123754.

      Les champs Nom de domaine du client et ID client sont spécifiques à certaines applications.

    • Domaines associés  : le domaine associé est automatiquement renseigné en fonction de l’URL que vous avez fournie. Le domaine associé aide le service à identifier l’URL dans le cadre de l’application et à acheminer le trafic en conséquence. Vous pouvez ajouter plusieurs domaines associés.

  6. Cliquez sur Suivant.

  7. Sélectionnez votre type d’authentification unique préféré à utiliser pour votre application et cliquez sur Enregistrer. Les types d’authentification unique suivants sont disponibles.

    Authentification unique au SPA

    • De base : si votre serveur principal vous présente un défi de base 401, choisissez l’authentification unique de base. Il n’est pas nécessaire de fournir des détails de configuration pour le type d’ accès SSO de base .
    • Kerberos — Si votre serveur principal vous présente le défi Negotiate-401, choisissez Kerberos. Il n’est pas nécessaire de fournir des détails de configuration pour le type d’accès SSO Kerberos .
    • Basé sur un formulaire  : si votre serveur principal vous présente un formulaire HTML pour l’authentification, choisissez Form Based. Entrez les détails de configuration du type SSO basé sur un formulaire .
    • SAML - Choisissez SAML pour l’SSO basée sur SAML dans les applications Web. Entrez les détails de configuration du type SSO SAML .
    • Ne pas utiliser l’authentification unique : utilisez l’option Ne pas utiliser l’authentification unique lorsque vous n’avez pas besoin d’authentifier un utilisateur sur le serveur principal. Lorsque l’option Ne pas utiliser l’authentification unique est sélectionnée, l’utilisateur est redirigé vers l’URL configurée dans la section Détails de l’application .

    Détails basés sur le formulaire : entrez les détails de configuration basés sur les formulaires suivants dans la section Single Sign On et cliquez sur Enregistrer.

    Enregistrer la configuration 1

    • URL de l’action  : saisissez l’URL à laquelle le formulaire rempli est envoyé.
    • URL du formulaire de connexion  : saisissez l’URL sur laquelle le formulaire d’ouverture de session est présenté.
    • Format du nom d’utilisateur  : sélectionnez un format pour le nom d’utilisateur.
    • Champ de formulaire de nom d’utilisateur : saisissez un attribut de nom d’utilisateur.
    • Champ de formulaire de mot de passe : entrez un attribut de mot de passe.

    SAML : entrez les informations suivantes dans la section Connexion et cliquez sur Enregistrer.

    Enregistrer le fichier config2

    • Assertion de signature - La signature de l’assertion ou de la réponse garantit l’intégrité du message lorsque la réponse ou l’assertion est remise à la partie de confiance (SP). Vous pouvez sélectionner Assertion, Réponse, Les deux ou Aucun.
    • URL d’assertion : L’URL d’assertion est fournie par le fournisseur de l’application. L’assertion SAML est envoyée à cette URL.
    • État du relais  : le paramètre Relay State est utilisé pour identifier la ressource spécifique à laquelle les utilisateurs accèdent une fois qu’ils sont connectés et dirigés vers le serveur de fédération de la partie de confiance. État de relais génère une URL unique pour les utilisateurs. Les utilisateurs peuvent cliquer sur cette URL pour ouvrir une session sur l’application cible.
    • Audience  : l’audience est fournie par le fournisseur de l’application. Cette valeur confirme que l’assertion SAML est générée pour l’application appropriée.
    • Format d’ID de nom : sélectionnez le format d’identificateur de nom pris en charge.

    • ID de nom  : sélectionnez l’ID de nom pris en charge.
  8. Dans Attributs avancés (facultatif), ajoutez des informations supplémentaires sur l’utilisateur qui est envoyé à l’application pour les décisions de contrôle d’accès.

  9. Téléchargez le fichier de métadonnées en cliquant sur le lien sous Métadonnées SAML. Utilisez le fichier de métadonnées téléchargé pour configurer l’authentification SSO sur le serveur d’applications SaaS.

    Remarque :

    • Vous pouvez copier l’URL de connexion SSO sous URL de connexion et utiliser cette URL lors de la configuration de l’authentification unique sur le serveur d’applications SaaS.
    • Vous pouvez également télécharger le certificat à partir de la liste des certificats et utiliser le certificat lors de la configuration de l’authentification SSO sur le serveur d’applications SaaS.
  10. Cliquez sur Suivant.

  11. Dans la section App Connectivity, définissez le routage pour les domaines associés des applications, si les domaines doivent être routés en externe ou en interne via les connecteurs Citrix Gateway. Pour plus de détails, consultez la section Tables de routage pour résoudre les conflits si les domaines associés dans les applications SaaS et Web sont identiques.

    Connectivité des applications SPA

  12. Cliquez sur Suivant.

  13. Dans la section Abonnés de l’application, attribuez des utilisateurs ou des groupes à l’application.

    Abonnés aux applications SPA

    • Dans Choisir un domaine, sélectionnez le domaine applicable à l’application, puis dans Choisir un groupe ou un utilisateur, sélectionnez le groupe ou l’utilisateur auquel vous abonnez cette application. Vous pouvez différencier un utilisateur d’un groupe en fonction de l’apparence des alphabets U ou G par rapport au nom.

    • Cliquez sur Enregistrer. Les détails de l’abonné sont chargés automatiquement.

    Vous pouvez désabonner un utilisateur ou un groupe abonné en cliquant sur l’icône Supprimer en regard de Statut.

    Important :

    l’accès aux applications n’est activé qu’une fois que l’administrateur a ajouté une stratégie d’accès en plus de l’abonnement à l’application.

  14. Cliquez sur Terminer.

    Après avoir cliqué sur Terminer, l’application est ajoutée à la page Applications. Vous pouvez supprimer, gérer les abonnés ou modifier une application à partir de la page Applications après avoir configuré l’application. Pour ce faire, cliquez sur le bouton de sélection d’une application et sélectionnez les actions correspondantes.

    • Gérer les abonnés
    • Modifier l’application
    • Supprimer
Prise en charge des applications Web d’entreprise