Configurer les applications et les stratégies à l’aide de l’outil de configuration Secure Private Access - Legacy

Vous pouvez utiliser l’outil de configuration Secure Private Access sur un contrôleur de mise à disposition Citrix Virtual Apps and Desktops pour créer rapidement une application SaaS ou Web. En outre, vous pouvez utiliser cet outil pour définir les restrictions des applications, le routage du trafic et créer un NetScaler Gateway. L’outil génère des fichiers de script en sortie qui peuvent être exécutés sur les machines respectives pour déployer la configuration.

Versions de produits prises en charge

Assurez-vous que votre produit répond aux exigences minimales de la version.

• Application Citrix Workspace
  • Windows — 2303 et versions ultérieures
  • macOS — 2304 et versions ultérieures
• Citrix Virtual Apps and Desktops : versions LTSR et actuelles prises en charge
• StoreFront : LTSR 2203 ou version non LTSR 2212 et versions ultérieures
• NetScaler — 12.1 et versions ultérieures

Prérequis pour utiliser l’outil de configuration

• Accédez au téléchargement de l’outil de configuration depuis la page Téléchargements.
• Autorisations d’administrateur sur le contrôleur Citrix Virtual Apps and Desktops pour exécuter l’outil de configuration.
• Au moins un groupe de mise à disposition existe sur le contrôleur de mise à disposition.

Commencez à utiliser l’outil de configuration

Vous pouvez effectuer les tâches suivantes à l’aide de l’outil de configuration.

• Publier une nouvelle application
• Définir les restrictions d’application
• Configurer les paramètres de StoreFront et NetScaler Gateway
• Configurer un nouveau NetScaler Gateway

Publier une nouvelle application

1. Exécutez l’outil de configuration.

2. Dans la section Sélectionner une application, sélectionnez Nouvelle application dans la liste déroulante, puis cliquez sur Ajouter.

   

3. Terminez la configuration de l’application.

   • Groupe de mise à disposition pour ordinateur de bureau : sélectionnez le groupe de mise à disposition pour lequel cette application doit être rendue accessible. Tous les groupes de mise à disposition existants sont énumérés dans le groupe de mise à disposition Desktop.
   • Nom de l’application : entrez le nom de l’application.
   • URL de l’application : Spécifiez l’URL de l’application.

   • Groupe d’utilisateurs : Entrez à la fois le nom de domaine et le nom du groupe au format « Domaine \ Groupe ». Les groupes d’utilisateurs peuvent contenir des espaces. Par exemple, « cgwsanity.net \ grp-microsoft », « cgwsanity.net \ grp microsoft ». Ces groupes doivent déjà exister dans Active Directory.

     Note:

     • Built-in domain security groups such as “Domain Users” or “Domain Admins” are not supported. Only the manually created user groups must be used.
     • The user group is only used in NetScaler Gateway authorization policies and not for app assignments in Citrix Virtual Apps and Desktops. Hence, the user group that you enter here is not visible in Studio.

   • Icône de l’application : l’outil utilise le fichier favicon.ico de l’URL s’il est détecté. L’administrateur peut également personnaliser les icônes si nécessaire. Si aucune icône n’est fournie par l’administrateur, l’icône par défaut est attribuée à l’application.
4. Cliquez sur Créer.

L’application est publiée sur le Delivery Controller et est disponible pour les utilisateurs des groupes d’utilisateurs de StoreFront.

Définir les restrictions d’application

Après avoir publié une nouvelle application, vous pouvez activer ou désactiver les restrictions pour cette application.

1. Dans la section Sélectionner une application, sélectionnez l’application dans la liste déroulante pour laquelle vous souhaitez appliquer les paramètres.

   

2. Configurez les paramètres de l’ application dans la section Paramètres de l’application.

   • Modèles de domaines associés : L’URL du domaine associé est renseignée automatiquement en fonction de l’URL de l’application. Les administrateurs peuvent ajouter des domaines supplémentaires séparés par une virgule.
   • Groupe Active Directory : entrez les groupes pour lesquels cette application doit être accessible. Ce champ est obligatoire. Vous pouvez saisir plusieurs groupes séparés par une virgule. Ces groupes doivent correspondre aux groupes disponibles dans Active Directory. Aucune validation n’est effectuée sur les noms de groupe que vous saisissez ici. Il est donc important que vous preniez soin de saisir les noms des groupes pour qu’ils correspondent à ceux qui figurent dans Active Directory.
   • Paramètres de l’application : tous les paramètres de l’application sont restreints (sélectionnés) par défaut. Vous pouvez sélectionner ou effacer les paramètres appropriés que vous souhaitez pour les groupes d’utilisateurs.
   • Trafic proxy : sélectionnez SecureBrowse. Ce paramètre permet au navigateur d’entreprise Citrix de canaliser le trafic vers la page Web via NetScaler Gateway.

3. Cliquez sur Appliquer.

Configurer les paramètres de StoreFront et NetScaler Gateway

Vous pouvez configurer les paramètres de routage du trafic via NetScaler Gateway. Vous pouvez configurer un NetScaler Gateway existant ou créer un nouveau NetScaler Gateway dans la section Paramètres de Gateway et StoreFront.

• Itinéraire par défaut : si aucune stratégie n’est définie pour l’application, l’itinéraire par défaut est appliqué pour les applications.

  • SecureBrowse : le navigateur d’entreprise Citrix tunnelise le trafic vers la page Web via NetScaler Gateway.
  • Direct : le navigateur d’entreprise Citrix permet un accès direct aux applications.
• NetScaler Gateway : entrez l’URL de NetScaler Gateway.
• URL du magasin StoreFront : entrez l’URLcomplète du magasin StoreFront. Par exemple, http://<directory path>/Citrix/<StoreName>. Vous pouvez obtenir l’URL à partir de la console StoreFront.
• (Facultatif) Créer une nouvelle passerelle : cochez la case pour créer un nouveau NetScaler Gateway et cliquez sur Créer.

Créez un nouveau NetScaler Gateway (facultatif)

Vous pouvez créer un nouveau NetScaler Gateway si vous ne souhaitez pas modifier les paramètres de passerelle existants.

Si vous possédez déjà NetScaler Gateway, vous pouvez configurer les stratégies d’autorisation et les liaisons pour les applications à l’aide de l’outil de configuration.

1. Vous devez saisir les informations suivantes pour le nouveau NetScaler Gateway. Aucune validation n’est effectuée par l’outil sur les valeurs que vous saisissez lors de la création d’une nouvelle passerelle. Il est donc important que vous preniez soin de saisir des valeurs précises.

   

   • IP de la passerelle : adresse IP de NetScaler Gateway.

   • Profil d’authentification : entrez le nom du profil d’authentification déjà configuré sur NetScaler. Pour plus de détails, voir Profils d’authentification.
   • Nom du certificat du serveur : entrez le nom du certificat SSL déjà configuré sur NetScaler. Pour plus de détails, consultez la section Certificats SSL.
   • Domaine : utilisé pour l’authentification unique (SSO) pour les applications du réseau interne. Pour plus de détails, consultez la section Action de la session VPN.
2. Cliquez sur Appliquer.

3. Cliquez sur Générer une stratégie et des scripts.

   Les fichiers policy.json, storefront.ps1 et gateway_config sont générés et stockés à l’emplacement à partir duquel vous avez exécuté l’outil de configuration.

   

Lorsque vous ouvrez le fichier gateway_config dans une application compatible, vous pouvez afficher deux sections du fichier de sortie.

• Sections relatives à la configuration de NetScaler Gateway (applicables uniquement lorsqu’une nouvelle passerelle est créée)
• Sections relatives aux stratégies d’autorisation, aux groupes d’utilisateurs et aux stratégies de liaison aux groupes d’utilisateurs.

L’image suivante montre le fichier gateway_config d’une nouvelle configuration de NetScaler Gateway.

L’image suivante montre le fichier gateway_config d’une configuration NetScaler Gateway mise à jour.

Configurer StoreFront avec le nouveau NetScaler Gateway

• Pour configurer les paramètres de StoreFront et NetScaler Gateway dans l’outil, vous avez besoin des éléments suivants :

  • Nom de domaine complet de NetScaler Gateway
  • URL du magasin StoreFront

• Exigences de configuration de StoreFront :

  • NetScaler Gateway : l’accès à distance est activé.
  • L’authentification directe depuis NetScaler Gateway est activée.
  • Active Directory : accès administrateur pour ajouter ou mettre à jour des utilisateurs ou des groupes, et pour configurer le profil ou les stratégies d’authentification sur NetScaler.

Pour plus de détails, voir Intégrer NetScaler Gateway à StoreFront.

Utiliser les fichiers de sortie de l’outil de configuration pour déployer des applications et configurer des stratégies

L’outil de configuration génère les fichiers suivants. Ces fichiers sont enregistrés à l’emplacement/dans le répertoire où l’outil est chargé et exécuté.

• policy.json
• storefront.ps1
• gateway_config

1. Copiez les fichiers storefront.ps1 dans StoreFront.

2. Exécutez le script storefront.ps1 sur PowerShell, en tant qu’administrateur.

   Le script crée un dossier Resources \ SecureBrowser s’il n’est pas déjà disponible dans le chemin du magasin.

   Le script met également à jour le fichier web.config correspondant à l’itinéraire du fichier policy.json.

3. Copiez le fichier policy.json dans le dossier Resources \ SecureBrowser créé par storefront.ps1 sous le magasin.

4. Copiez le gateway_config sur un NetScaler et exécutez le script à l’aide de la commande batch suivante sur l’interface de ligne de commande NetScaler.

   batch -fileName /var/tmp/gateway_config -outfile /var/tmp/gateway_config_output

Remarque :

• Lorsqu’une modification de configuration est effectuée dans l’outil, les scripts et les stratégies doivent être régénérés. Vous devez copier à nouveau le fichier policy.json dans le dossier Resources \ SecureBrowser de la machine StoreFront et le script gateway_config doit être réexécuté sur NetScaler.
• Il n’est pas nécessaire de réexécuter le fichier storefront.ps1 si le nom/l’URL du magasin n’est pas modifié.

Références supplémentaires

Reportez-vous à la documentation suivante pour plus de détails.

• Secure Private Access for on-premises
• Guide de déploiement : Secure Private Access sur site