Citrix Secure Private Access

Résoudre les problèmes liés aux applications

Cette rubrique fournit des informations sur certains des problèmes courants que vous pouvez rencontrer lors de la configuration ou de l’accès à une application. En outre, lors du test des applications pour les contrôles de sécurité. Ces erreurs et les codes d’erreur associés sont également enregistrés dans les journaux de diagnostic.

Architecture de Secure Private Access

Le schéma suivant illustre l’architecture système de haut niveau du service Secure Private Access. Les composants répertoriés dans le diagramme résument le flux de données entre les différents composants impliqués dans le flux de lancement de l’application.

Cloud Secure Private Access : un service mutualisé distribué s’exécutant dans différentes régions du monde. Il comprend divers composants, principalement un composant proxy cloud qui attire tout le trafic client, applique diverses stratégies configurées par l’administrateur avant de prendre des décisions de routage vers des applications SaaS exécutées sur un autre cloud public ou des applications de bureau et Web exécutées dans les centres de données des clients.

Appliance de connecteur sur site : les connecteurs s’exécutent sur le centre de données du client et incluent divers composants en plus du fournisseur Secure Private Access. L’appliance s’enregistre d’abord auprès de Citrix Cloud, puis s’enregistre auprès du POP cloud Secure Private Access le plus proche.

Clients : Les clients sont généralement classés en deux catégories.

  • Citrix Workspace (CWA) : ces clients sont disponibles en tant qu’applications mobiles et de bureau natives ou en tant que clients Web. Ces clients se connectent d’abord à Citrix Cloud lors de la connexion utilisateur. Citrix Cloud, en plus des différentes opérations, récupère les applications Web et SaaS à partir du cloud Secure Private Access et les affiche sur le tableau de bord de l’utilisateur.
  • Client Citrix Secure Access : il s’agit d’un agent VPN qui configure un tunnel VPN SSL vers les serveurs proxy VPN sur le service Secure Private Access. Une fois l’établissement du tunnel terminé, il effectue l’interception de couche 3 du trafic réseau sur la machine cliente et tunnelise sélectivement certaines applications TCP ou UDP/FQDN configurées dans le cloud Secure Private Access à travers l’appliance Connector via le proxy VPN sur le cloud Secure Private Access.

Architecture système de haut niveau

Points à noter

  • Outil de diagnostic :

    • Cette rubrique complète l’ outil de diagnostic SPA qui est disponible sous forme de script PowerShell aujourd’hui. Les administrateurs doivent d’abord exécuter les tests de diagnostic lorsqu’ils découvrent un comportement inattendu de la part de leurs utilisateurs.

    • L’outil de diagnostic regroupe les événements analytiques provenant de divers composants du système Secure Private Access. Cette rubrique vous guide pour accéder au fichier csv de diagnostic afin de résoudre les problèmes liés à la configuration sur le portail cloud Secure Private Access ou sur l’appliance Connector sur site gérée par le client.

  • Filtrage des événements dans l’outil de diagnostic Secure Private Access

    La plupart des composants de Citrix Cloud, y compris les composants du serveur Secure Private Access, envoient des informations de diagnostic utiles indexées sous forme de tableaux et incluent l’horodatage, les informations d’application, les informations utilisateur, le type de produit ou de composant, les codes d’erreur, la raison de l’échec, le correctif recommandé, etc.

    1. Téléchargez et ouvrez le fichier CSV dans Microsoft Excel ou une application similaire.
    2. Activez l’option Données > Filtre .

    Fichier csv SPA Diagnostics

    1. Dans la colonne Prod, sélectionnez WebSaas.
    2. Ajoutez un filtre supplémentaire dans la userName colonne et sélectionnez le nom d’utilisateur concerné. Si un groupe d’utilisateurs est confronté au problème, vous pouvez sélectionner n’importe quel utilisateur du groupe.

      L’ajout de ces filtres vous permet de limiter les événements de diagnostic au premier composant de routage de Secure Private Access sur le cloud pour un utilisateur spécifique.

      La reason colonne du fichier csv fournit des journaux détaillés des événements d’échec ou de réussite, y error code compris les informations de l’application telles que App Name et App Id.

    3. Copiez le code d’erreur associé à l’application que vous êtes en train de résoudre et recherchez-le dans le tableau de recherche d’erreur Secure Private Access.

Tableau de recherche des erreurs de Secure Private Access

Le tableau de recherche d’erreurs suivant fournit un aperçu complet des différentes erreurs que les utilisateurs peuvent rencontrer lors de l’utilisation du service Secure Private Access.

Le tableau contient les informations suivantes :

  • Type d’accès  : indique le type de logiciel client utilisé. Pour tous les lancements d’applications Web et SaaS à l’aide du client lourd Citrix Workspace ou du client léger Citrix Workspace basé sur un navigateur, le type d’accès est défini sur Application Citrix Workspace. De même, pour les applications TCP et UDP, le type d’accès est défini sur Citrix Secure Access.

    La différence entre l’application Citrix Workspace et Citrix Secure Access réside dans la technologie de tunneling sous-jacente utilisée pour accéder à l’application principale exécutée derrière le pare-feu de l’entreprise. L’application Citrix Workspace fournit un accès sans agent aux applications Web et SaaS tandis que Citrix Secure Access est un client VPN SSL qui effectue le routage de couche 3 du trafic client via le serveur VPN sur le cloud.

  • App Operation - Indique la fonctionnalité de haut niveau de Secure Private Access pour les applications Web/SaaS et TCP/UDP.

    Pour l’application Citrix Workspace, étant donné que nous traitons des applications Web/SaaS, elle est classée dans les catégories suivantes :

    • App Enumeration - Il s’agit de l’opération de pré-lancement qui consiste à répertorier toutes les applications auxquelles l’utilisateur est abonné, sur le tableau de bord de l’utilisateur immédiatement après la connexion à l’application Citrix Workspace.
    • App Access - L’opération effectuée par un utilisateur dans le cadre du lancement de l’application en cliquant sur l’icône de l’application.
    • Enhanced Security - Cette opération est configurée par l’administrateur sur la console de gestion et l’utilisateur en voit l’effet. Ex : activer des restrictions telles que Couper/Copier/Coller, etc. ou appliquer un accès conditionnel tel que la redirection de l’utilisateur vers le service Secure Browser au lieu d’un accès direct si l’appareil de l’utilisateur ne répond pas à certaines exigences de conformité.

    Pour Citrix Secure Access, comme nous traitons du trafic TCP-UDP par tunnel, les opérations de l’application sont les suivantes :

    • Tunnel Establishment - l’opération effectuée par un utilisateur dans le cadre de l’établissement d’une connexion VPN sur Citrix Secure Access.
    • Packet Tunneling - cette opération se produit une fois que le tunnel VPN est établi et que le client transfère les paquets IP au serveur VPN.
Type d’accès Fonctionnement de l’application Comportement de l’interface Description de l’erreur Code d’erreur lié Étapes recommandées
Application Citrix Workspace Énumération des applications Une ou plusieurs applications ne figurant pas sur le tableau de bord de CWA Applications restreintes par une stratégie contextuelle 0x180055 Voir les étapes de résolution
    Aucune application répertoriée sur le tableau de bord de CWA) Erreurs de recherche dans la cache   Contactez le support Citrix
      Erreurs dans l’évaluation de la stratégie   Contactez le support Citrix
  Accès aux applications L’utilisateur se voit refuser l’accès aux liens d’une application L’utilisateur n’est pas abonné à l’application 0x1800BC Voir les étapes de résolution
      Applications restreintes par une stratégie contextuelle 0x18000F Voir les étapes de résolution
    Ralentissement des performances de l’application backend Applications restreintes par une stratégie contextuelle 0x18000F Voir les étapes de résolution
      Applications restreintes par une stratégie contextuelle 0x18000F Voir les étapes de résolution
    Les applications ne s’ouvrent pas ou ne génèrent des erreurs Longueur du FQDN de l’application dépassée 0x180006 Voir les étapes de résolution
      Longueur des détails de l’application dépassée 0x18000E Voir les étapes de résolution
      L’accès à l’application est refusé 0x18000A Voir les étapes de résolution
      Échec de l’établissement de la connexion entre Citrix Cloud et les connecteurs sur site 0x1800EF Voir les étapes de résolution
      Échec de l’établissement de la connexion entre Citrix Cloud et les connecteurs sur site 0x1800EF Voir les étapes de résolution
      Erreurs d’authentification unique 0x180001, 0x18001A, 0x18001B Voir les étapes de résolution
      Serveur d’authentification en panne 0x180022 Voir les étapes de résolution
      Erreurs StoreFront 0x180002, 0x180003, 0x180004, 0x180005, 0x180033, 0x180034, 0x180037, 0x180035 Contactez le support Citrix
      Erreurs dans l’évaluation de la stratégie 0x18000F, 0x18001D, 0x18001E, 0x18001F, 0x180020, 0x18006E Contactez le support Citrix
      Erreurs de cache 0x18000C, 0x18000D, 0x180010, 0x180029, 0x18002A, 0x180036, 0x18004E Contactez le support Citrix
      Erreurs du cache global (service de billetterie) 0x180016, 0x180044, 0x180045 Contactez le support Citrix
      Erreurs de pré-lancement de Secure Browser Service 0x180017, 0x180018 Contactez le support Citrix
      Erreurs internes 0x180007, 0x180011, 0x180012, 0x180013, 0x180014, 0x180015, 0x180019, 0x180021, 0x180025, 0x180028, 0x18002B, 0x18002D, 0x18002E, 0x18003F, 0x180040, 0x180047, 0x180063, 0x180064, 0x180065, 0x180066, 0x180067, 0x180068, 0x18006A Contactez le support Citrix
      Erreurs liées aux Feature flag 0x18001C, 0x180087 Contactez le support Citrix
      Erreurs internes d’authentification 0x180021, 0x180022, 0x180023, 0x180024, 0x180026, 0x180027, 0x180039, 0x18003A, 0x18003B, 0x18003C, 0x18003D, 0x180042, 0x180043, 0x180046, 0x180049, 0x18006B, 0x180083, 0x180084, 0x180085, 0x180086 Contactez le support Citrix
      VPN sans client - erreurs internes de réécriture d’URL 0x180041, 0x180069, 0x1800C2, 0x1800C4, 0x1800C6, 0x1800C6, 0x1800C8, 0x1800C9, 0x1800CA Contactez le support Citrix
      Échec de la validation OTT 0x180079, 0x18007A, 0x18007B, 0x18007C, 0x18007D, 0x18007E, 0x18007F, 0x180080, 0x180081, 0x180082, 0x180088, 0x180089 Contactez le support Citrix
      Échec de transmission de requête CVMS 0x18006F, 0x180070, 0x180071, 0x180072, 0x180073, 0x180074, 0x180075, 0x180076, 0x180077, 0x180078 Contactez le support Citrix
      Échec SSO SAML 0x18008A, 0x1800A9, 0x1800AA, 0x1800AB, 0x1800AC, 0x1800AD, 0x1800AE, 0x1800AF, 0x1800B0, 0x1800B1, 0x1800B2, 0x1800B3 Voir les étapes de résolution
      FQDN d’application non valide 0x180048 Voir les étapes de résolution
  Redirection du service Secure Browser L’application backend ne se charge pas Erreurs de connexion/recherche DNS 0x18009D Voir les étapes de résolution
      Erreurs internes inattendues 0x18008B, 0x18008C, 0x18008D, 0x18008E, 0x18008F, 0x180090 Contactez le support Citrix
    La navigation sur Secure Browser Service est interrompue Certains liens ne fonctionnent pas 0x180092, 0x180093, 0x180094, 0x180095, 0x180096, 0x180097, 0x180098, 0x180099, 0x18009A, 0x18009B, 0x18009C, 0x18009D, 0x18009E, 0x18009F Contactez le support Citrix
  CWA Web Erreurs de navigateur spécifiques aux applications internes Erreurs de connexion/de recherche DNS 0x1800A0, 0x1800A2, 0x1800A3 Voir les étapes de résolution
    Erreurs de navigateur spécifiques aux applications SaaS Erreurs de connexion/de recherche DNS 0x1800A6 Voir les étapes de résolution
    L’application ne se charge pas sur le navigateur Erreurs d’analyse internes 0x1800A4, 0x1800A8 Contactez le support Citrix
      Erreur d’indicateur de fonctionnalité 0x1800B5 Contactez le support Citrix
      Longueur du FQDN de l’application dépassée 0x1800B7 Voir les étapes de résolution
      L’utilisateur n’est pas abonné à l’application 0x1800BC Voir les étapes de résolution
      Configuration erronée en tant que WebApp 0x1800BF Voir les étapes de résolution
      Désactivé pour les clients autres que Citrix Workspace 0x1800BD Voir les étapes de résolution
      Erreurs internes 0x1800B6, 0x1800B8, 0x1800B9, 0x1800B8, 0x1800B9, 0x1800BA, 0x1800BB, 0x1800C0 Contactez le support Citrix
    Les liens d’une page Web ne fonctionnent pas Configuration de l’application ou domaines associés non configurés pour ce nom de domaine complet 0x1800C1, 0x1800C3, 0x1800C4, 0x1800CA Contactez le support Citrix
  Sécurité renforcée L’application ne s’ouvre pas dans Secure Browser Service même si elle a été vérifiée dans la configuration de l’application La règle de stratégie contextuelle est probablement en conflit avec les paramètres de Secure Browser 0x1800C3 Voir les étapes de résolution
    Ouverture forcée de l’application dans Secure Browser Service même si elle n’a pas été sélectionnée dans la configuration de l’application   0x18006D Voir les étapes de résolution
    Application incorrecte des stratégies telles que watermark clipboard access restriceted printing et ainsi de suite Les stratégies de sécurité améliorées sont probablement mal configurées 0x180091 Voir les étapes de résolution
Application Citrix Secure Access Applications TCP/UDP Échec d’établissement du tunnel La configuration dépasse la longueur maximale autorisée 0x1800D0 Voir les étapes de dépannage
      Demandes clients mal formées 0x1800CD, 0x1800CE, 0x1800D6, 0x1800EA Voir les étapes de résolution
      Panne d’établissement du tunnel due à des erreurs internes 0x1800CC, 0x1800CF, 0x1800D1, 0x1800D2, 0x1800D3, 0x1800D4, 0x1800D5, 0x1800D7, 0x1800D8, 0x1800D9, 0x1800DA, 0x1800E1, 0x1800E2, 0x1800E4, 0x1800E5, 0x1800E6, 0x1800E7, 0x1800E8, 0x1800E9, 0x1800EE Contactez le support Citrix
    Erreurs de tunneling dues à des configurations d’applications mal configurées Le contrôle de sécurité renforcé n’est pas autorisé pour les applications TCP/UDP 0x1800DC Voir les étapes de résolution
      La redirection Secure Browser Service n’est pas autorisée pour les applications TCP/UDP 0x1800DD Voir les étapes de résolution
      Aucune entrée de domaine de routage pour un nom de domaine complet donné 0x1800DE Voir les étapes de résolution
      Accès refusé en raison de la configuration de la stratégie 0x1800DF, 0x1800E3 Voir les étapes de résolution
      IPv6 non pris en charge 0x1800EB Voir les étapes de résolution
      Accès refusé en raison d’une adresse IP non valide 0x1800EC, 0x1800ED Voir les étapes de résolution

Solutions de contournement recommandées

Une ou plusieurs applications non répertoriées dans le tableau de bord de l’utilisateur

En raison des paramètres de stratégie contextuels, les applications peuvent ne pas être visibles pour certains utilisateurs ou appareils. Des paramètres tels que les facteurs de confiance (posture de l’appareil ou score de risque) peuvent affecter l’accessibilité des applications.

  1. Copiez l’ID de transaction de la colonne reasons pour le code d’erreur 0x18005C dans le fichier csv Diagnostic Logs.
  2. Modifiez le filtre de prod colonne dans le fichier csv pour afficher les événements du composant appelé SWA.PSE ou SWA.PSE.EVENTS. Ce filtre affiche uniquement les journaux relatifs à l’évaluation des stratégies.
  3. Recherchez la charge utile de la stratégie évaluée dans la colonne reason. Cette charge utile montre la stratégie évaluée pour le contexte de l’utilisateur pour toutes les applications auxquelles l’utilisateur est abonné.
  4. Si l’évaluation de la stratégie indique que l’application a été refusée pour l’utilisateur, les raisons possibles peuvent être les suivantes :
    • Conditions de correspondance incorrectes dans la stratégie - vérifiez la configuration de la stratégie d’application dans Citrix Cloud
    • Règles de correspondance incorrectes dans la stratégie - vérifiez la configuration de la stratégie d’application dans Citrix Cloud
    • Règle par défaut de correspondance incorrecte dans la stratégie - il s’agit d’un cas de substitution. Ajustez les conditions en conséquence.

L’utilisateur n’est pas abonné à l’application

L’utilisateur a peut-être cliqué sur le lien de l’application pour laquelle il n’est peut-être pas abonné.

Assurez-vous que l’utilisateur dispose d’un abonnement aux applications.

  1. Accédez à l’application dans le portail de gestion.
  2. Modifiez l’application et accédez à l’onglet Abonnement .
  3. Assurez-vous que l’utilisateur ciblé possède une entrée dans la liste d’abonnement.

Lenteur des performances des applications backend

Dans certains cas, le réseau du client est floconneux en raison des connecteurs situés dans un emplacement de ressources qui peuvent être en panne ou du serveur principal lui-même qui ne répond pas.

  1. Assurez-vous que l’appliance de connecteur est positionnée géographiquement à proximité du serveur principal pour éliminer les latences du réseau.
  2. Vérifiez si le pare-feu du serveur principal ne bloque pas l’appliance du connecteur.
  3. Vérifiez si le client se connecte au point de vente cloud le plus proche.

    Par exemple, nslookup nssvc.dnsdiag.net sur le client, le nom canonique dans la réponse indique le serveur géo-spécifique tel que aws-us-w.g.nssvc.net.

Longueur du FQDN de l’application dépassée

Les noms de domaine complets des applications ne doivent pas dépasser 512 caractères. Vérifiez le FQDN de l’application sur la page de configuration de l’application. Assurez-vous que la longueur ne dépasse pas 512 octets.

  1. Accédez à l’onglet Applications de la console de gestion.
  2. Recherchez l’application dont le nom de domaine complet dépasse 512 caractères.
  3. Modifiez l’application et corrigez la longueur du FQDN de l’application.

Longueur des détails de l’application dépassée

Vérifiez que les stratégies ne bloquent pas l’accès à l’application.

  1. Accédez à Stratégies d’accès.
  2. Recherchez les stratégies auxquelles l’application est habilitée.
  3. Passez en revue les règles et conditions de la stratégie pour l’utilisateur final.

L’accès à l’application a été refusé

Cela est lié à la stratégie contextuelle, dans laquelle les stratégies refusent l’application pour un utilisateur donné.

Vérifiez que les stratégies ne bloquent pas l’accès à l’application.

  1. Accédez à Stratégies d’accès.
  2. Recherchez les stratégies auxquelles l’application est habilitée.
  3. Passez en revue les règles et conditions de la stratégie pour l’utilisateur final.

Échec de l’établissement de la connexion entre Citrix Cloud et les connecteurs sur site

Le routage des applications échoue en raison de la non-disponibilité des connexions TCP avec des connecteurs sur site.

Réviser les événements du composant contrôleur

  1. Recherchez le code transaction ID d’erreur 0x1800EF dans le fichier csv des journaux de diagnostic.
  2. Filtrez tous les événements correspondant à l’ID de transaction dans le fichier CSV.
  3. Filtrez également la prod colonne du fichier csv qui correspond SWA.GOCTRL.

    Si vous voyez des événements avec le message connectType multiconnect::success ? alors;

    • Cela indique que la demande d’établissement du tunnel a été relayée au contrôleur avec succès.
    • Vérifiez si Resource Location le message du journal est correct. S’il est incorrect, corrigez l’emplacement des ressources dans la section de configuration de l’application sur le portail de gestion Citrix.
    • Vérifiez si VDA Ip and Port le message du journal est correct. L’adresse IP et le port du VDA indiquent l’adresse IP et le port de l’application principale. S’il est incorrect, corrigez le nom de domaine complet ou l’adresse IP de l’application dans la section de configuration de l’application sur le portail de gestion Citrix.
    • Passez en revue les événements du Connector si vous ne trouvez aucun problème mentionné précédemment.

    Si vous voyez des événements avec le message connectType connect::failure ou multiconnect::success, alors ;

    • Vérifiez si le correctif recommandé pour ce message de journal indique - Check if connector is still connected to same pop. Cela indique que le connecteur à l’emplacement des ressources est peut-être tombé en panne. Passez en revue les événements du connecteur.
    • Contactez le support client Citrix si les messages mentionnés précédemment ne s’affichent pas.

    Si des événements s’affichent avec connectType ce message IntraAll::failure, contactez le support client Citrix.

Examiner les événements du composant de connecteur

  1. Recherchez le code transaction ID d’erreur 0x1800EF dans le fichier CSV des journaux de diagnostic.
  2. Filtrez tous les événements correspondant à l’ID de transaction dans le fichier CSV.
  3. Filtrez également la colonne prod correspondante dans le fichier CSV SWA.ConnectorAppliance.WebApps.
  4. Si vous voyez des événements avec status comme failure, alors ;
    • Consultez le reason message pour chacun de ces événements de défaillance.
    • UnableToRegister indique que le connecteur n’a pas réussi à s’enregistrer auprès de Citrix Cloud. Contactez l’assistance Citrix.
    • IsProxyRequiredCheckError ou ProxyDialFailed ou ProxyConnectionFailed ou ProxyAuthenticationFailure ou ProxiesUnReachable indique que le connecteur n’a pas été en mesure de résoudre l’URL principale via la configuration du proxy. Vérifiez l’exactitude de la configuration du proxy.
    • Pour un débogage plus approfondi, consultez la section Événements SSOdu

Erreurs d’authentification unique

Pour l’authentification unique, différents attributs SSO de la configuration de l’application sont extraits et appliqués lors du lancement de l’application. Si cet utilisateur ne possède pas les attributs ou si les attributs sont incorrects, l’authentification unique peut échouer. Assurez-vous que la configuration est correcte.

  1. Accédez à Stratégies d’accès.
  2. Recherchez les stratégies auxquelles l’application est habilitée.
  3. Passez en revue les règles et conditions de la stratégie pour l’utilisateur final.

Les méthodes SSO telles que Form SSO, Kerberos et NTLM sont exécutées par le connecteur sur site. Consultez les journaux de diagnostic suivants du connecteur.

Examiner les événements SSO du composant du connecteur

  1. Filtrez le component name dans le fichier csv correspondant SWA.ConnectorAppliance.WebApps.
  2. Est-ce que vous voyez des événements dont le statut est « échec » ?
    • Consultez le message pour chacun de ces événements de défaillance.
    • IsProxyRequiredCheckError ou ProxyDialFailed ou ProxyConnectionFailed ou ProxyAuthenticationFailure ou ProxiesUnReachable indique que le connecteur n’a pas été en mesure de résoudre l’URL principale via la configuration du proxy. Vérifiez l’exactitude de la configuration du proxy.
    • FailedToReadRequest ou RequestReceivedForNonSecureBrowse ou UnableToRetrieveUserCredentials ou CCSPolicyIsNotLoaded ou FailedToLoadBaseClientProcessConnectionFailure ou WebAppUnSupportedAuthType indique une défaillance du tunnel. Contactez l’assistance Citrix.
    • UnableToConnectTargetServer indique que le serveur principal est inaccessible depuis le connecteur. Vérifiez à nouveau la configuration du backend.
    • IncorrectFormAppConfiguration ou NoLoginFormFound ou FailedToConstructForLoginActionURL ou FailedToLoginViaFormBasedAuth indique un échec de l’authentification basée sur le formulaire. Consultez la section Configuration SSO du formulaire dans Configuration de l’application sur le portail de gestion Citrix.
    • NTLMAuthNotFound indique un échec de l’authentification basée sur NTLM. Consultez la section Configuration de l’authentification unique NTLM dans la configuration de l’application sur le portail de gestion Citrix.
    • Pour un débogage plus approfondi, consultez la section Événements Connector.

Serveur d’authentification en panne

Secure Private Access permet aux administrateurs de configurer un service d’authentification tiers tel que Active Directory traditionnel, AAD, Okta ou SAML. Les pannes de ces services d’authentification peuvent être à l’origine de ce problème.

Vérifiez si les serveurs tiers sont opérationnels et accessibles.

Échec SSO SAML

Les utilisateurs sont confrontés à un échec d’authentification lors du lancement de l’application lorsqu’elle est lancée par l’IdP ou peuvent voir des liens inaccessibles lorsqu’elle est initiée par le SP Vérifiez la configuration de l’application SAML côté service Secure Private Access et la configuration du fournisseur de services également.

Configuration de Secure Private Access :

  1. Accédez à l’onglet Applications .
  2. Recherchez l’application SAML qui pose problème.
  3. Modifiez l’application et accédez à l’onglet Single Sign On .
  4. Vérifiez les champs suivants.
    • URL d’assertion
    • État du relais
    • Public
    • Format d’ID de nom, ID de nom et attributs supplémentaires

Configuration du fournisseur de services :

  1. Connectez-vous au fournisseur de services.
  2. Accédez aux paramètres SAML.
  3. Vérifiez le certificat du fournisseur d’identité, l’audience et l’URL de connexion du fournisseur d’identité.

Si la configuration semble correcte, contactez l’assistance Citrix.

FQDN d’application non valide

L’administrateur du client a peut-être fourni un nom de domaine complet non valide ou un nom de domaine complet où la résolution DNS échoue sur le serveur principal.

Dans ce cas, l’utilisateur final voit une erreur sur la page Web. Vérifiez les paramètres de l’application.

Validation des applications SaaS

Vérifiez si l’application est accessible depuis le réseau.

Validation des applications Web

  1. Accédez à l’onglet Applications .
  2. Modifiez l’application qui pose problème.
  3. Accédez à la page Détails de l’application .
  4. Vérifiez l’URL. L’URL doit être accessible sur l’intranet ou sur Internet.

Secure Browser Service - Erreurs de recherche/connexion DNS

Expérience de navigation interrompue via Secure Browser Service. Vérifiez le serveur principal auquel l’utilisateur final essaie de se connecter.

  1. Allez sur le serveur principal et vérifiez s’il est opérationnel et s’il est en mesure de recevoir les demandes.
  2. Vérifiez les paramètres du proxy s’il arrête la connexion au serveur principal.

CWA Web - Erreurs de recherche/connexion DNS pour les applications Web

Expérience de navigation brisée des applications Web exécutées au sein du réseau d’entreprise.

  1. Filtrez les journaux de diagnostic pour trouver les noms de domaine complets qui ne peuvent pas être résolus.
  2. Vérifiez l’accessibilité du serveur principal depuis l’intérieur du réseau de l’entreprise.
  3. Vérifiez les paramètres du proxy pour voir si le connecteur ne peut pas atteindre le serveur principal.

CWA Web - Erreurs de recherche/connexion DNS pour les applications SaaS

Expérience de navigation brisée des applications SaaS exécutées sur le cloud public.

  1. Filtrez les journaux de diagnostic pour trouver les noms de domaine complets qui ne peuvent pas être résolus.
  2. Vérifiez l’accessibilité du serveur principal.

Accès direct : configuration erronée en tant qu’application Web

Comme le trafic des applications Web est toujours acheminé via le connecteur, la configuration de l’accès direct sur celles-ci entraîne une erreur d’accès à l’application.

Vérifiez la configuration conflictuelle entre la table du domaine de routage et la configuration de l’application.

  1. Accédez à l’application dans le portail de gestion.
  2. Modifiez l’application et vérifiez si l’accès direct est activé.
  3. Vérifiez le nom de domaine complet de l’application dans la table du domaine de routage s’il a été marqué comme interne.

Accès direct désactivé pour les clients autres que Citrix Workspace

La configuration de l’application désactive l’accès direct au trafic provenant des clients basés sur un navigateur.

Assurez-vous que l’utilisateur dispose d’un abonnement aux applications.

  1. Accédez à l’application dans le portail de gestion.
  2. Modifiez l’application et vérifiez la configuration de l’accès sans agent.

Stratégies de sécurité améliorées - Mauvaise configuration de Secure Browser Service

Comportement incorrect vu par rapport à ce qui était prévu par les règles de stratégie. Vérifiez les stratégies d’accès contextuelles.

  1. Accédez à l’onglet Stratégies .
  2. Vérifiez les stratégies associées à l’application.
  3. Vérifiez les règles de ces stratégies.

Stratégies de sécurité améliorées - mauvaise configuration des stratégies

Comportement incorrect vu par rapport à ce qui était prévu par les règles de stratégie. Vérifiez les paramètres de sécurité améliorés.

  1. Accédez à l’application.
  2. Cliquez sur l’onglet Stratégies d’accès .
  3. Vérifiez les paramètres dans la section Restrictions de sécurité disponibles : .

Applications TCP/UDP - La configuration dépasse la longueur maximale autorisée

L’application Citrix Secure Access ne parvient pas à établir un tunnel complet vers Citrix Cloud.

  1. Vérifiez la configuration du domaine de routage pour les applications TCP/UDP.
  2. Assurez-vous que le nombre maximum d’entrées se situe bien en deçà de la limite de 16 000.

Applications TCP/UDP - Demandes clients mal formées

Soit le tunnel VPN n’est pas établi, soit certains noms de domaine complets peuvent ne pas être tunnelés.

  1. Assurez-vous que les requêtes ne sont pas fabriquées ou reconstruites par des mandataires au milieu.
  2. Attaques présumées de l’homme du milieu.

Applications TCP/UDP - Mauvaise configuration de la stratégie de sécurité améliorée

Les contrôles de sécurité améliorés ne peuvent être appliqués qu’aux applications Web et non aux applications TCP/UDP. Vérifiez la configuration de l’application dans l’interface graphique du service Secure Private Access.

Applications TCP/UDP - Mauvaise configuration de la redirection du service Secure Browser

Les redirections Secure Browser Service ne peuvent être appliquées qu’aux applications Web et non aux applications TCP/UDP. Vérifiez la configuration de l’application dans l’interface graphique du service Secure Private Access.

Applications TCP/UDP - Aucune entrée de domaine de routage pour un nom de domaine complet donné

Assurez-vous que tous les noms de domaine complets internes qui doivent être tunnelés par le client Citrix Secure Access doivent avoir une entrée correspondante dans la table des domaines de routage.

Applications TCP/UDP - IPV6 non pris en charge

Passez en revue les entrées du domaine de routage. Assurez-vous qu’il n’y a pas d’entrée IPV6 dans le tableau.

Applications TCP/UDP - Adresses IP non valides

Passez en revue les entrées du domaine de routage. Assurez-vous que les adresses IP sont valides et pointent vers le bon back-end.

Résoudre les problèmes liés aux applications

Dans cet article