Citrix Secure Private Access

Workflow guidé par l’administrateur pour faciliter l’intégration et la configuration

Une nouvelle expérience d’administration simplifiée avec un processus étape par étape pour configurer l’accès réseau Zero Trust aux applications SaaS, aux applications Web internes et aux applications TCP est disponible dans le service Secure Private Access. Elle inclut la configuration de l’authentification adaptative, des applications telles que l’abonnement utilisateur, des stratégies d’accès adaptatives et d’autres fonctionnalités au sein d’une console d’administration unique

Cet assistant aide les administrateurs à obtenir une configuration sans erreur, que ce soit lors de l’intégration ou lors d’une utilisation récurrente. Un nouveau tableau de bord est également disponible avec une visibilité complète sur les mesures d’utilisation globales et d’autres informations clés.

Les étapes de haut niveau sont les suivantes :

  1. Choisissez la méthode d’authentification permettant aux abonnés de se connecter à Citrix Workspace.
  2. Ajoutez des applications pour vos utilisateurs.
  3. Attribue des autorisations pour l’accès aux applications en créant les stratégies d’accès requises.
  4. Vérifiez la configuration de l’application.

Accédez à l’assistant de workflow guidé par l’administrateur Secure Private Access

Procédez comme suit pour accéder à l’assistant.

  1. Dans la vignette du service Secure Private Access, cliquez sur Gérer.
  2. Dans la page Aperçu, cliquez sur Continuer.

Vue d'ensemble du flux de travail guidé

Étape 1 : Configuration de l’identité et de l’authentification

Sélectionnez la méthode d’authentification permettant aux abonnés de se connecter à Citrix Workspace. Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace. Le service Adaptive Authentication est un Citrix ADC hébergé par Citrix, géré par Citrix et hébergé dans le Cloud qui fournit toutes les fonctionnalités d’authentification avancées, telles que les suivantes.

  • Authentification multifacteur
  • Analyses de l’état de sécurité de l’appareil
  • Authentification conditionnelle
  • Accès adaptatif à Citrix Virtual Apps and Desktops

  • Pour configurer l’authentification adaptative, sélectionnez Configurer et utiliser Adaptive Auth (Technical Preview), puis terminez la configuration. Pour plus de détails sur l’authentification adaptative, voir Service d’authentification adaptative. Après avoir configuré l’authentification adaptative, vous pouvez cliquer sur Gérer pour modifier la configuration, si nécessaire.

Authentification adaptative

  • Si vous avez initialement sélectionné une méthode d’authentification différente et que vous souhaitez passer à l’authentification adaptative, cliquez sur Sélectionner et configurer, puis terminez la configuration.

Authentification adaptative

Pour modifier la méthode d’authentification existante ou la méthode d’authentification existante, cliquez sur Authentification de l’espacede travail.

Étape 2 : Ajouter et gérer des applications

Après avoir sélectionné la méthode d’authentification, configurez les applications. Pour les nouveaux utilisateurs, la page d’accueil Applications n’affiche aucune application. Ajoutez une application en cliquant sur Ajouter une application. Vous pouvez ajouter des applications SaaS, des applications Web et des applications TCP/UDP depuis cette page. Pour ajouter une application, cliquez sur Ajouter une application.

Une fois que vous avez ajouté une application, vous pouvez la voir répertoriée ici.

Ajouter une application

Suivez les étapes indiquées dans la figure suivante pour ajouter une application.

Steps

Étape 3 : Configuration d’une stratégie d’accès avec plusieurs règles

Vous pouvez créer plusieurs règles d’accès et configurer différentes conditions d’accès pour différents utilisateurs ou groupes d’utilisateurs au sein d’une même stratégie. Ces règles peuvent être appliquées séparément aux applications HTTP/HTTPS et TCP/UDP, le tout dans le cadre d’une stratégie unique.

Les stratégies d’accès au sein de Secure Private Access vous permettent d’activer ou de désactiver l’accès aux applications en fonction du contexte de l’utilisateur ou de son appareil. En outre, vous pouvez activer l’accès restreint aux applications en ajoutant les restrictions de sécurité suivantes :

  • Restreindre l’accès au presse-papiers
  • Restreindre l’impression
  • Restreindre les téléchargements
  • Restreindre les chargements
  • Afficher le filigrane
  • Restreindre la capture de frappes
  • Limiter la capture d’écran

Pour plus d’informations sur ces restrictions, consultez la section Options de restrictions d’accès disponibles.

  1. Dans le volet de navigation, cliquez sur Stratégies d’accès, puis sur Créer une stratégie.

    Ajouter une stratégie

    Pour les nouveaux utilisateurs, la page d’accueil Stratégies d’accès n’affiche aucune stratégie. Une fois que vous avez créé une stratégie, vous pouvez la voir répertoriée ici.

  2. Entrez le nom et la description de la stratégie.
  3. Dans Applications, sélectionnez l’application ou l’ensemble d’applications auxquelles cette stratégie doit être appliquée.
  4. Cliquez sur Créer une règle pour créer des règles pour la stratégie.

    Créer une règle

  5. Entrez le nom de la règle et une brève description de la règle, puis cliquez sur Suivant.

    Détails de la règle

  6. Sélectionnez les conditions des utilisateurs. La condition Utilisateurs est une condition obligatoire à remplir pour permettre aux utilisateurs d’accéder aux applications. Sélectionnez l’une des options suivantes :

    • Correspond à l’un des  : seuls les utilisateurs ou groupes correspondant à l’un des noms répertoriés dans le champ et appartenant au domaine sélectionné sont autorisés à accéder.
    • Ne correspond à aucun  : tous les utilisateurs ou groupes, à l’exception de ceux répertoriés dans le champ et appartenant au domaine sélectionné, sont autorisés à y accéder.

    Créer des conditions de règle

  7. (Facultatif) Cliquez sur + pour ajouter plusieurs conditions en fonction du contexte.

    Lorsque vous ajoutez des conditions en fonction d’un contexte, une opération AND est appliquée aux conditions dans lesquelles la stratégie est évaluée uniquement si les utilisateurs et les conditions contextuelles facultatives sont remplies. Vous pouvez appliquer les conditions suivantes en fonction du contexte.

    • Ordinateur de bureau ou appareil mobile  : sélectionnez l’appareil pour lequel vous souhaitez activer l’accès aux applications.
    • Géolocalisation  : sélectionnez la condition et l’emplacement géographique à partir desquels les utilisateurs accèdent aux applications.
      • Correspond à l’un des critères suivants : seuls les utilisateurs ou groupes d’utilisateurs accédant aux applications depuis l’une des zones géographiques répertoriées sont autorisés à accéder aux applications.
      • Ne correspond à aucun : tous les utilisateurs ou groupes d’utilisateurs autres que ceux des zones géographiques répertoriées sont autorisés à accéder.
    • Emplacement réseau  : sélectionnez la condition et le réseau via lesquels les utilisateurs accèdent aux applications.
      • Correspond à l’un des critères suivants : seuls les utilisateurs ou groupes d’utilisateurs accédant aux applications depuis l’un des emplacements réseau répertoriés sont autorisés à accéder aux applications.
      • Ne correspond à aucun : tous les utilisateurs ou groupes d’utilisateurs autres que ceux des emplacements réseau répertoriés sont autorisés à accéder.
    • Contrôle de la posture de l’appareil  : sélectionnez les conditions que la machine utilisateur doit respecter pour accéder à l’application.
    • Score de risque de l’utilisateur  : sélectionnez les catégories de score de risque en fonction desquelles les utilisateurs doivent avoir accès à l’application.
    • URLde l’espace de travail : les administrateurs peuvent spécifier des filtres en fonction du nom de domaine complet correspondant à l’espace de travail. Cette option est actuellement en cours de prévisualisation.
      • Correspond à l’une desoptions suivantes : autorise l’accès uniquement lorsque la connexion utilisateur entrante correspond à l’une des URL de l’espace de travail configurées.
      • Correspond à tous : autorise l’ accès uniquement lorsque la connexion utilisateur entrante correspond à toutes les URL de l’espace de travail configurées.
  8. Cliquez sur Suivant.
  9. Sélectionnez les actions qui doivent être appliquées en fonction de l’évaluation des conditions.

    • Pour les applications HTTP/HTTPS, vous pouvez sélectionner les options suivantes :
      • Autoriser l’accès
      • Autoriser l’accès avec restrictions
      • Refuser l’accès

      Remarque :

      Si vous sélectionnez Autoriser l’accès avec restrictions, vous devez sélectionner les restrictions que vous souhaitez appliquer aux applications. Pour plus de détails sur les restrictions, consultez la section Options de restrictions d’accès disponibles . Vous pouvez également spécifier si vous souhaitez que l’application s’ouvre dans un navigateur distant ou dans Citrix Secure Browser.

    • Pour l’accès TCP/UDP, vous pouvez sélectionner les options suivantes :
      • Autoriser l’accès
      • Refuser l’accès

    Créer une action de règle

  10. Cliquez sur Suivant. La page Résumé affiche les détails de la stratégie.
  11. Vous pouvez vérifier les détails et cliquer sur Terminer.

    Récapitulatif à règles multiples

Points à retenir après la création d’une stratégie

  • La stratégie que vous avez créée apparaît dans la section Règles de stratégie et est activée par défaut. Vous pouvez désactiver les règles, si nécessaire. Assurez-vous toutefois qu’au moins une règle est activée pour que la stratégie soit active.

  • Un ordre de priorité est attribué à la stratégie par défaut. La priorité dont la valeur est la plus faible a la préférence la plus élevée. La règle ayant le numéro de priorité le plus faible est évaluée en premier. Si la règle (n) ne correspond pas aux conditions définies, la règle suivante (n+1) est évaluée et ainsi de suite.

    Ordre de priorité à règles multiples

Exemple d’évaluation de règles avec ordre de priorité :

Supposons que vous avez créé deux règles, la Règle 1 et la Règle 2. La règle 1 est attribuée à l’utilisateur A et la règle 2 à l’utilisateur B, puis les deux règles sont évaluées. Supposons que les règles Règle 1 et Règle 2 sont attribuées à l’utilisateur A. Dans ce cas, la Règle 1 a la priorité la plus élevée. Si la condition de la Règle 1 est remplie, la Règle 1 est appliquée et la Règle 2 est ignorée. Sinon, si la condition de la Règle 1 n’est pas remplie, la Règle 2 est appliquée à l’utilisateur A.

Remarque :

Si aucune des règles n’est évaluée, l’application n’est pas répertoriée pour les utilisateurs.

Options de restrictions d’accès disponibles

Lorsque vous sélectionnez l’action Autoriser l’accès avec restrictions, vous devez sélectionner au moins l’une des restrictions de sécurité. Ces restrictions de sécurité sont prédéfinies dans le système. Les administrateurs ne peuvent pas modifier ou ajouter d’autres combinaisons. Les restrictions de sécurité suivantes peuvent être activées pour l’application.

Restrictions d'accès

  • Restreindre l’accès au presse-papiers :désactive les opérations de couper/copier/coller entre l’application et le presse-papiers du système.
  • Restreindre l’impression :désactive la possibilité d’imprimer depuis le navigateur Citrix Enterprise.
  • Restreindre les téléchargements :désactive la possibilité pour l’utilisateur de télécharger depuis l’application.
  • Restreindre les téléchargements :désactive la possibilité pour l’utilisateur de télécharger dans l’application.
  • Afficher le filigrane :affiche un filigrane sur l’écran de l’utilisateur affichant le nom d’utilisateur et l’adresse IP de la machine de l’utilisateur.
  • Restreindre l’enregistrement des clés :protège contre les enregistreurs de touches. Lorsqu’un utilisateur tente de se connecter à l’application à l’aide du nom d’utilisateur et du mot de passe, toutes les clés sont chiffrées sur les enregistreurs de frappe. De plus, toutes les activités que l’utilisateur effectue sur l’application sont protégées contre l’enregistrement des clés. Par exemple, si les stratégies de protection des applications sont activées pour Office 365 et que l’utilisateur modifie un document Word Office 365, toutes les touches sont chiffrées dans les enregistreurs de touches.
  • Restreindre la capture d’écran :désactive la possibilité de capturer les écrans à l’aide de l’un des programmes ou applications de capture d’écran. Si un utilisateur tente de capturer l’écran, un écran vide est capturé.

  • Ouvrir dans un navigateur distant :ouvre l’application dans le Citrix Remote Browser.

    • Si vous sélectionnez Ouvrir dans un navigateur distant et si les catalogues du navigateur distant ne sont pas disponibles pour Secure Private Access, le message suivant apparaît :

      Aucun catalogue d’isolation à distance publié n’est disponible pour héberger cette application. Accédez à la console Remote Browser Isolation pour publier le catalogue.

    • De plus, lorsque vous essayez de lancer une application Web ou SaaS, le lancement de l’application échoue si les catalogues RBI sont manquants et le message suivant s’affiche :

      Aucun catalogue n’a été créé pour traiter cette demande. Veuillez contacter votre administrateur.

    Pour plus d’informations sur l’isolation à distance du navigateur Citrix, consultez la section Isolation du navigateur à distance.

Étape 4 : Révision du résumé de chaque configuration

Sur la page Review, vous pouvez afficher la configuration complète de l’application, puis cliquer sur Fermer.

SPA-configuration-summary

La figure suivante affiche la page une fois que vous avez terminé la configuration en 4 étapes.

Configuration du SPA terminée

Important :

  • Après avoir terminé la configuration à l’aide de l’assistant, vous pouvez modifier la configuration d’une section en accédant directement à cette section. Vous n’êtes pas obligé de suivre la séquence.
  • Si vous supprimez toutes les applications configurées ou les stratégies, vous devez les ajouter à nouveau. Dans ce cas, l’écran suivant apparaît si vous avez supprimé toutes les stratégies.

Stratégies supprimées