Accès refusé aux applications, par défaut
Pour activer l’accès aux applications basé sur le zéro confiance, l’accès aux applications est refusé par défaut. L’accès aux applications n’est activé que si une stratégie d’accès est associée à l’application.
-
Accès aux applications publiées :
-
Lorsqu’un utilisateur final accède à un FQDN associé à une application publiée, l’accès n’est autorisé que si une stratégie d’accès est configurée explicitement avec l’action Autoriserl’accès.
Remarque :
Si plusieurs applications correspondent au nom de domaine complet de l’application, les stratégies des applications correspondantes sont évaluées en fonction de la priorité de la stratégie.
-
Si une stratégie d’accès ne correspond pas à l’application publiée ou si une application n’est pas associée à une stratégie d’accès, l’accès à l’application est refusé par défaut.
Pour plus de détails sur les stratégies d’accès, voir Stratégies d’accès.
-
-
Accès à des applications internes ou inédites. L’accès aux applications internes ou non publiées est activé en fonction du type de routage défini lors de la configuration de l’application.
- Si le type de routage est défini comme Externe, le trafic circule directement vers Internet. L’accès est activé pour ces applications.
- Si le type de routage est défini comme interne ou externe via un connecteur, l’accès est refusé à ces applications.
- Si le type de routage n’est pas défini pour un nom de domaine complet non publié, l’application est considérée comme externe. L’accès à ces applications est basé sur les règles configurées pour les applications non autorisées, si elles sont activées. Pour plus de détails, voir Configurer les règles pour les sites Web non autorisés.
Le type de routage est défini dans l’interface utilisateur Secure Private Access. Cliquez sur Paramètres > Domaine de l’application. Pour plus de détails, consultez la section Tables de routage.
Configuration conflictuelle pouvant entraîner des problèmes d’accès aux applications
Si plusieurs applications sont configurées avec le même nom de domaine complet ou une variante du nom de domaine complet générique, vous pouvez rencontrer les problèmes suivants.
- Les sites Web cessent de se charger ou peuvent afficher une page blanche.
- La page « Accès bloqué » peut apparaître lorsque vous accédez à une URL.
- Il est possible que la page de connexion ne se charge pas.
Recommandations
Pour résoudre les problèmes précédents, nous recommandons ce qui suit :
-
Configurez tous les FQDN courants et leurs domaines associés dans une seule application.
Par exemple, si vous avez quelques applications qui utilisent Azure AD en tant qu’IdP et que vous devez configurer
login.microsoftonline.comet d’autres domaines connexes (*.msauth.net), créez une application commune unique aveclogin.microsoftonline.comcomme nom de domaine complet*.login.microsoftonline.comet*.msauth.netcomme domaines associés.Si l’application courante doit être masquée dans l’application Citrix Workspace, sélectionnez l’option Ne pas afficher l’icône de l’application aux utilisateurs lors de la configuration de l’application. Pour plus de détails, voir Configuration d’une application Web.
- Créez une stratégie d’accès pour l’application commune et autorisez l’accès à tous les utilisateurs. Pour plus de détails, voir Configuration d’une stratégie d’accès.
- Vérifiez les journaux de diagnostic pour confirmer si le FQDN correspond à l’application et si la stratégie est appliquée comme prévu.