Citrix Secure Private Access

Smart Access grâce à l’authentification adaptative

Les clients Citrix Cloud peuvent fournir Smart Access (accès adaptatif) à Citrix DaaS à l’aide de l’authentification adaptative en tant que fournisseur d’identité auprès de Citrix Workspace.

La fonctionnalité Smart Access permet au service d’authentification adaptative de faire apparaître toutes les informations de stratégie concernant l’utilisateur à Citrix Workspace ou Citrix DaaS. Le service d’authentification adaptative peut fournir la position de l’appareil (EPA), l’emplacement du réseau (à l’intérieur ou à l’extérieur du réseau de l’entreprise, la géolocalisation), des attributs utilisateur tels que des groupes d’utilisateurs, l’heure du jour ou une combinaison de ces paramètres dans le cadre des informations de stratégie. L’administrateur Citrix DaaS peut ensuite utiliser ces informations de stratégie pour configurer l’accès contextuel à Citrix DaaS. Citrix DaaS peut être énuméré ou non en fonction de paramètres antérieurs (stratégie d’accès). Certaines actions de l’utilisateur peuvent également être contrôlées, comme l’accès au presse-papiers, la redirection de l’imprimante, le lecteur client ou le mappage USB.

Exemples de cas d’utilisation :

  1. L’administrateur peut configurer le groupe d’applications à afficher ou à accéder uniquement à partir d’emplacements réseau spécifiques, tels que le réseau d’entreprise.
  2. L’administrateur peut configurer le groupe d’applications à afficher ou à utiliser uniquement à partir des appareils gérés par l’entreprise. Par exemple, les analyses EPA peuvent vérifier si l’appareil est géré par l’entreprise ou s’il s’agit d’un appareil BYOD. Sur la base des résultats de l’analyse EPA, les applications pertinentes peuvent être énumérées pour l’utilisateur.

Conditions préalables

  • L’authentification adaptative en tant que fournisseur d’identité doit être configurée pour Citrix Workspace. Pour plus de détails, voir Service d’authentification adaptative.

    Passerelle en tant que fournisseur d'identité

  • Le service d’authentification adaptative avec Citrix DaaS est opérationnel.

Comprendre le flux d’événements pour Smart Access

  1. L’utilisateur se connecte à Citrix Workspace.
  2. L’utilisateur est redirigé vers le service d’authentification adaptative configuré en tant que fournisseur d’identité.
  3. Le service d’authentification adaptative effectue un contrôle EPA en même temps que d’autres contrôles.
  4. Le service d’authentification adaptative configuré en tant que fournisseur d’identité effectue l’authentification.
  5. Le service Adaptive Authentication envoie les balises au service Citrix Graph. L’utilisateur est redirigé vers la page d’accueil de Citrix Workspace.
  6. Citrix Workspace récupère les informations de stratégie pour cette session utilisateur, fait correspondre le filtre et évalue les applications ou les bureaux qui doivent être énumérés.
  7. Configurez la stratégie d’accès sur Citrix DaaS pour restreindre l’accès ICA pour les utilisateurs.

Scénario de configuration - Énumération des applications basée sur les analyses de l’état de sécurité de l’appareil

Étape 1 - Configurez les stratégies Smart Access sur l’instance Citrix Adaptive Authentication :

Dans l’exemple de configuration suivant, un ensemble d’applications différent est énuméré en fonction de l’ouverture de session domain-joined ou non-domain joined.

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Profils.

  2. Dans l’onglet Profils, cliquez sur Ajouter pour créer un profil nommé Domainjoined-SmartAccessProfile avec la balise DomainJoined. De même, créez une autre stratégie nommée, NonDomainJoined-SmartAccessProfile avec la balise NonDomainJoined.

    Profils d'accès intelligents

  3. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Stratégies.

  4. Sur la page Configurer la stratégie Smart Access d’authentification, cliquez sur Ajouter pour créer une stratégie nommée Domainjoined-SmartAccessPol.

  5. Sur la page Configurer la stratégie Smart Access d’authentification, sous Action, sélectionnez le profil DomainJoined-SmartAccessProfile créé précédemment et cliquez sur Ajouter.

    Configuration de la stratégie d'accès intelligent

  6. Dans Expression, tapez AAA.USER.GROUPS.CONTAINS (« DomainJoinedGroup ») et cliquez sur OK.

  7. De même, créez une autre stratégie nommée NonDomainJoined-SmartAccessPol (sous Action, sélectionnez créé précédemment NonDomainJoined-SmartAccessProfile).

    Profils d'accès intelligents

  8. Liez la stratégie d’accès intelligent au serveur virtuel d’authentification et d’autorisation.

Étape 2 - Configuration de Citrix DaaS :

  1. Cliquez sur Gérer sur la vignette Citrix DaaS.

  2. Accédez à Groupes de mise à disposition et cliquez sur Modifier le groupe de miseà

  3. Cliquez avec le bouton droit sur le groupe de mise à disposition et sélectionnez Modifier pour configurer le moment où les applications de ce groupe de mise à disposition doivent être énumérées et autorisées à se lancer.
  4. Cliquez sur Stratégie d’accès et ajoutez les balises requises. Farm doit toujours être défini sur Workspace et le filtre doit comporter l’une des balises que vous avez créées, en fonction de la configuration précédente.
  5. Répétez les étapes précédentes pour ajouter d’autres balises. Lorsque plusieurs balises sont utilisées, si au moins l’une des balises est présente, le groupe de mise à disposition est disponible pour le client.

    !Smart-access-edit-delivery-group

Remarque :

  • Assurez-vous que les balises sont en majuscules.
  • Si un administrateur supprime la configuration d’une balise spécifique sur le service d’authentification adaptative, la balise doit également être supprimée du studio Web et des groupes de mise à disposition. L’administrateur ne doit pas réutiliser les noms de balises supprimés. Les administrateurs doivent toujours utiliser de nouveaux noms de balises.

Une fois la configuration réussie, l’ouverture de session jointe au domaine énumère les applications suivantes.

Groupe rejoint le domaine Smart-Access

Une fois la configuration réussie, l’ouverture de session non liée au domaine énumère les applications suivantes.

!Smart-access-non-domain-joined-group

Étape 3 - Ajoutez une stratégie d’accès pour les balises d’accès intelligentes :

  1. Sous Gérer, accédez à Stratégieset créez une stratégie.
  2. Sélectionnez le contrôle de stratégie ICA approprié.
  3. Dans Assign Policy To, sélectionnez « access control ».

Stratégie d'assignation intelligente d'accès

  1. Attribuez la balise d’accès intelligente (en majuscules) dans la condition d’accès.

!Smart-access-assign-to-access-control

Résolution des problèmes

- Que faire si aucun tag n’est poussé :

  • Vérifiez si au moins une stratégie est évaluée comme étant vraie. Pour plus d’informations, consultez la section https://support.citrix.com/article/CTX138840.
  • Vérifiez la connectivité de Citrix ADC à cas.citrix.com.

Changements supplémentaires pour la configuration haute disponibilité :

Il peut arriver que la synchronisation des fichiers soit retardée dans une configuration haute disponibilité. Par conséquent, les clés créées lors de l’enregistrement de Citrix ADM ne sont pas lues à temps.

Nous recherchons les trois fichiers suivants sur le secondaire.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Pour résoudre le problème de synchronisation de fichiers, effectuez les étapes suivantes pour réexécuter la commande « set cloud » sur le secondaire.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
Smart Access grâce à l’authentification adaptative