Sécuriser

Pour sécuriser les communications entre votre batterie de serveurs et l’application Citrix Workspace pour iOS, vous pouvez intégrer vos connexions à la batterie de serveurs grâce à un large choix de technologies de sécurité, y compris Citrix Gateway.

Remarque :

Citrix recommande d’utiliser Citrix Gateway pour sécuriser les communications entre les serveurs StoreFront et les appareils des utilisateurs.

  • Un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy ou serveur proxy HTTPS). Vous pouvez utiliser les serveurs proxy pour limiter l’accès à l’intérieur et à l’extérieur de votre réseau, et pour gérer les connexions entre l’application Citrix Workspace pour iOS et les serveurs. L’application Citrix Workspace pour iOS prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.
  • Secure Web Gateway. Vous pouvez utiliser Secure Web Gateway avec l’Interface Web pour fournir un point d’accès Internet unique, sécurisé et crypté aux serveurs des réseaux d’entreprise internes.
  • Solutions de relais SSL avec protocoles TLS.
  • Un pare-feu. Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez l’application Citrix Workspace pour iOS avec un pare-feu de réseau qui mappe l’adresse IP interne du serveur sur une adresse Internet externe (c’est-à-dire, la traduction d’adresse de réseau, ou NAT), configurez l’adresse externe.

Citrix Gateway

Pour permettre aux utilisateurs distants de se connecter à votre déploiement Citrix Endpoint Management via Citrix Gateway, vous pouvez configurer les certificats de manière à fonctionner avec StoreFront. La méthode que vous allez choisir pour autoriser l’accès dépend de l’édition de Citrix Endpoint Management dans votre déploiement.

Si vous déployez Citrix Endpoint Management dans votre réseau, autorisez les connexions des utilisateurs internes ou distants à StoreFront via Citrix Gateway en intégrant Citrix Gateway et StoreFront. Cette fonctionnalité permet aux utilisateurs de se connecter à StoreFront pour accéder aux applications publiées XenApp et aux bureaux virtuels XenDesktop. Les utilisateurs se connectent via l’application Citrix Workspace pour iOS.

Secure Web Gateway

Cette rubrique s’applique uniquement aux déploiements faisant appel à l’Interface Web.

Vous pouvez utiliser Secure Web Gateway en mode Normal ou en mode Relais afin de fournir un canal sécurisé de communication entre l’application Citrix Workspace pour iOS et le serveur. Il n’est pas nécessaire de configurer l’application Citrix Workspace pour iOS si vous utilisez Secure Web Gateway en mode Normal et si les utilisateurs se connectent via l’Interface Web.

L’application Citrix Workspace pour iOS utilise les paramètres configurés à distance sur le serveur Interface Web pour se connecter aux serveurs exécutant Secure Web Gateway.

Si le proxy Secure Web Gateway est installé sur un serveur dans le réseau sécurisé, vous pouvez l’utiliser en mode Relais. Si vous utilisez le mode Relais, le serveur Secure Web Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer l’application Citrix Workspace pour iOS pour qu’elle utilise :

  • le nom de domaine complet du serveur Secure Web Gateway ;
  • le numéro de port du serveur Secure Web Gateway. Veuillez noter que le mode Relais n’est pas pris en charge par Secure Web Gateway, version 2.0.

Le nom de domaine complet (FQDN) doit contenir, dans l’ordre, les trois composants suivants :

  • Nom d’hôte
  • Domaine intermédiaire
  • Domaine de tête

Par exemple : mon_ordinateur.exemple.com est un nom de domaine complet car il liste dans l’ordre un nom d’hôte (mon_ordinateur), un domaine intermédiaire (exemple) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (exemple.com) est généralement appelée nom de domaine.

Serveur proxy

Les serveurs proxy permettent de limiter l’accès vers et depuis votre réseau, et de gérer les connexions entre l’application Citrix Workspace pour iOS et les serveurs. L’application Citrix Workspace pour iOS prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.

Lorsqu’elle communique avec le serveur Citrix Virtual Apps and Desktops, l’application Citrix Workspace pour iOS utilise les paramètres de serveur proxy configurés à distance sur le serveur Interface Web.

Lors la communication avec le serveur Web, l’application Citrix Workspace pour iOS utilise les paramètres de serveur proxy configurés pour le navigateur Web par défaut sur la machine utilisateur. Vous devez configurer les paramètres du serveur proxy pour le navigateur Web par défaut sur la machine utilisateur.

Pare-feu

Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez un pare-feu dans votre déploiement, l’application Citrix Workspace pour iOS doit pouvoir communiquer via le pare-feu avec le serveur Web et le serveur Citrix. Le pare-feu doit permettre le trafic HTTP (généralement via le port http 80 ou 443 si un serveur Web sécurisé est utilisé) pour les communications entre la machine utilisateur et le serveur Web. Pour les communications avec le serveur Citrix, le pare-feu doit autoriser le trafic ICA entrant sur les ports 1494 et 2598.

Si le pare-feu est configuré pour la traduction des adresses réseau, vous pouvez vous servir de l’Interface Web pour définir les mappages depuis les adresses internes vers les adresses externes et les ports. Par exemple, si votre serveur Citrix Virtual Apps and Desktops n’est pas configuré avec une adresse secondaire, vous pouvez configurer l’Interface Web pour qu’elle fournisse une adresse secondaire à l’application Citrix Workspace pour iOS. L’application Citrix Workspace pour iOS se connecte ensuite au serveur à l’aide de l’adresse externe et du numéro de port.

TLS

L’application Citrix Workspace pour iOS prend en charge TLS 1.0, 1.1 et 1.2 avec les suites de chiffrement suivantes pour les connexions TLS à XenApp/XenDesktop :

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Remarque :

L’application Citrix Workspace pour iOS exécutée sur iOS 9 et versions ultérieures ne prend pas en charge les suites de chiffrement TLS suivantes :

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

TLS (Transport Layer Security) est la dernière version normalisée du protocole TSL. Le groupe de travail Internet Engineering Taskforce (IETF) l’a rebaptisé TLS lorsqu’il est devenu responsable du développement de TLS sous la forme d’une norme ouverte.

TLS garantit la sécurité des communications de données grâce à l’authentification des serveurs, au cryptage du flux de données et aux contrôles d’intégrité des messages. Certaines organisations, notamment des organisations gouvernementales américaines, requièrent l’utilisation du protocole TLS pour la sécurisation de leurs communications de données. Ces organisations peuvent également exiger l’utilisation d’une cryptographie éprouvée, telle que FIPS 140. La norme FIPS 140 est une norme de cryptographie.

L’application Citrix Workspace pour iOS prend en charge les clés RSA de longueur 1024, 2048 et 3072. Les certificats racine avec des clés RSA de longueur de 4 096 bits sont aussi pris en charge.

Remarque :

L’application Citrix Workspace pour iOS utilise le cryptage de plate-forme (iOS) pour les connexions entre l’application Citrix Workspace pour iOS et StoreFront.

Configurer et activer TLS

Deux étapes principales permettent de configurer TLS :

  1. Configurez le Relais SSL sur votre serveur Citrix Virtual Apps and Desktops et sur votre serveur Interface Web, procurez-vous le certificat serveur approprié et installez-le.
  2. Installez le certificat racine équivalent sur la machine utilisateur.

Installer des certificats racine sur des machines utilisateur

Pour utiliser TLS afin de sécuriser les communications entre une application Citrix Workspace pour iOS sur laquelle TLS est activé et Citrix Virtual Apps and Desktops, vous avez besoin d’un certificat racine sur la machine utilisateur afin de vérifier la signature de l’autorité de certification sur le certificat de serveur.

iOS est fourni avec environ 100 certificats racine déjà installés, mais vous pouvez utiliser un autre certificat. Il vous suffit de vous le procurer à partir d’une autorité de certification et de l’installer sur chaque machine.

En fonction des procédures de sécurité de votre entreprise, vous pouvez soit installer le certificat racine sur chaque machine utilisateur, soit demander aux utilisateurs de l’installer eux-mêmes. Le choix le plus sûr et le plus facile consiste à ajouter des certificats racine au trousseau iOS.

Pour ajouter un certificat racine au trousseau

  1. Envoyez un e-mail à votre propre adresse avec le fichier de certificat.
  2. Ouvrez le fichier de certificat sur l’appareil. Cela démarre automatiquement l’application Trousseau d’accès.
  3. Suivez les invites pour ajouter le certificat.
  4. À compter d’iOS 10, vérifiez que le certificat est approuvé en accédant à Réglages iOS > Informations > Réglages des certificats. Sous Réglages des certificats, consultez la section « ACTIVER LA CONFIANCE TOTALE POUR LES CERTIFICATS RACINE. » Assurez-vous que votre certificat a été sélectionné pour une confiance totale.

Le certificat racine est installé et peut être utilisé par des clients TLS et par toute autre application utilisant TLS.

Site XenApp Services

Pour configurer le site XenApp Services :

Important :

  • Citrix Secure Gateway 3.x est pris en charge par l’application Citrix Workspace pour iOS à l’aide de sites XenApp Services.
  • Citrix Secure Gateway 3.x est pris en charge par l’application Citrix Workspace pour iOS à l’aide de sites Citrix Virtual Apps Web.
  • Seule l’authentification à un facteur est prise en charge sur les sites XenApp Services. L’authentification à un facteur et l’authentification à deux facteurs sont toutes les deux prises en charge sur les sites Citrix Virtual Apps Web.
  • Vous devez utiliser l’Interface Web 5.4, qui est prise en charge par tous les navigateurs intégrés.

Avant de commencer la configuration, installez et configurez Citrix Gateway de sorte qu’il fonctionne avec l’Interface Web. Vous pouvez modifier ces instructions afin de les adapter à votre environnement spécifique.

Si vous utilisez une connexion Citrix Secure Gateway, ne configurez pas les paramètres Citrix Gateway sur l’application Citrix Workspace pour iOS.

L’application Citrix Workspace pour iOS utilise un site XenApp Services pour obtenir des informations sur les applications auxquelles un utilisateur est autorisé à accéder et les présenter à l’application Citrix Workspace pour iOS exécutée sur l’appareil. Ce processus est similaire à la manière dont vous utilisez l’Interface Web pour les connexions Citrix Virtual Apps SSL traditionnelles pour lesquelles un Citrix Gateway peut être configuré. Cette capacité de configuration est intégrée aux sites XenApp Services exécutés sur l’Interface Web 5.x.

Configurez le site XenApp Services pour prendre en charge des connexions provenant d’une connexion Citrix Secure Gateway :

  1. Dans le site XenApp Services, sélectionnez Gérer l’accès client sécurisé > Modifier les paramètres d’accès au client sécurisé.
  2. Dans Méthode d’accès, choisissez Passerelle directe.
  3. Entrez le nom de domaine complet de l’appliance Secure Web Gateway.
  4. Entrez les informations de Secure Ticket Authority (STA).

Remarque :

pour Citrix Secure Gateway, Citrix recommande d’utiliser le chemin d’accès par défaut Citrix pour ce site (//NomServeurXenApp/Citrix/PNAgent). Le chemin d’accès par défaut permet à vos utilisateurs de spécifier le nom de domaine complet de la passerelle Secure Web Gateway à laquelle ils se connectent plutôt que le chemin d’accès complet au fichier config.xml qui réside sur le site XenApp Services (tel que //NomServeurXenApp/Cheminpersonnalisé/config.xml).

Pour configurer Citrix Secure Gateway

  1. Sur Citrix Secure Gateway, utilisez l’assistant de configuration de Citrix Secure Gateway pour configurer Citrix Secure Gateway de manière à fonctionner avec le serveur du réseau sécurisé qui héberge le site XenApp Services. Après avoir sélectionné l’option Indirect, entrez le chemin d’accès du nom de domaine complet de votre serveur Secure Web Gateway et complétez les étapes suivantes de l’assistant.
  2. Testez une connexion à partir d’une machine utilisateur pour vous assurer que Secure Web Gateway est correctement configuré en termes de réseau et d’allocation de certificat.

Pour configurer l’appareil mobile

  1. Lors de l’ajout d’un compte Citrix Secure Gateway, entrez le nom de domaine complet correspondant de votre serveur Citrix Secure Gateway dans le champ Adresse :
    • Si vous avez créé le site XenApp Services à l’aide du chemin par défaut (/Citrix/PNAgent), entrez le FQDN de Secure Web Gateway : FQDNdeSecureGateway.nomd’entreprise.com.
    • Si vous avez personnalisé le chemin d’accès au site XenApp Services, entrez le chemin d’accès complet au fichier config.xml, tel que : FQDNdeSecureGateway.nomd’entreprise.com/CheminPersonnalisé/config.xml.
  2. Si vous configurez manuellement le compte, désactivez l’option Citrix Gateway Nouveau compte.