Configurer un domaine personnalisé
Vous pouvez autoriser les utilisateurs à accéder à leur magasin à l’aide d’un domaine personnalisé au lieu de ou en plus du domaine cloud.com. Vous devez être propriétaire du domaine et chaque domaine ne peut être utilisé que pour accéder à un seul magasin.
Chaque URL cloud.com peut avoir une URL personnalisée liée.
Conditions préalables
-
Vous pouvez choisir un domaine nouvellement enregistré ou un domaine que vous possédez déjà. Le domaine doit être au format de sous-domaine (votre.entreprise.com). Citrix ne prend pas en charge l’utilisation d’un simple domaine racine (entreprise.com).
-
Il est recommandé d’utiliser un domaine dédié comme domaine personnalisé pour l’accès à Citrix Workspace. Cela vous permet de modifier facilement le domaine, si nécessaire.
- Les domaines personnalisés ne peuvent pas contenir de marques commerciales Citrix. Pour la liste complète, consultez les directives relatives aux marques commerciales de Cloud Software Group.
- Le domaine que vous choisissez doit être configuré dans le DNS public. Tous les noms et valeurs d’enregistrements CNAME inclus dans la configuration de votre domaine doivent être résolubles par Citrix. Les configurations DNS privées ne sont pas prises en charge.
Configuration de votre domaine personnalisé
Une fois qu’un domaine personnalisé est défini, vous ne pouvez pas modifier l’URL ou le type de certificat. Vous ne pouvez que le supprimer. Assurez-vous que le domaine que vous choisissez n’est pas déjà configuré dans le DNS. Supprimez tous les enregistrements CNAME existants avant de tenter de configurer votre domaine personnalisé.
Remarque :
Lors de l’ajout de l’URL personnalisée et de la configuration de SAML, Citrix Cloud™ nécessite 24 heures pour l’approvisionnement.
Ajout d’un domaine personnalisé
-
Connectez-vous à Citrix Cloud.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Accès.
-
Sous l’onglet Accès, dans le tableau Magasins, sélectionnez Ajouter un domaine personnalisé pour l’URL cloud pour laquelle vous souhaitez ajouter une URL personnalisée (la première URL personnalisée que vous créez doit être associée à votre URL cloud principale).

-
Lisez les informations qui apparaissent sur la page Vue d’ensemble, puis sélectionnez Suivant.
-
Saisissez le domaine de votre choix sur la page Fournir une URL. Confirmez que vous êtes propriétaire du domaine spécifié en sélectionnant Confirmer que vous ou votre entreprise êtes propriétaire de l’URL fournie, et choisissez votre préférence de gestion des certificats TLS. Il est recommandé de sélectionner géré, car les renouvellements de certificats sont pris en charge pour vous. Pour plus d’informations, consultez Fournir un certificat renouvelé. Cliquez sur Suivant.
Si des avertissements apparaissent sur cette page, corrigez le problème mis en évidence pour continuer.
Si vous avez choisi de fournir votre propre certificat, une étape supplémentaire doit être effectuée dans les instructions.
Le provisionnement du domaine que vous avez choisi prend un certain temps. Vous pouvez attendre avec la page ouverte ou la fermer pendant que le provisionnement est en cours.

-
Si vous avez la page Fournir une URL ouverte pendant que le provisionnement se termine, la page Configurer votre DNS s’ouvre automatiquement. Si vous avez fermé la page, sélectionnez le bouton Continuer pour votre domaine personnalisé depuis l’onglet Accès.

-
Effectuez cette étape dans le portail de gestion fourni par votre registraire DNS. Ajoutez un enregistrement CNAME pour votre domaine personnalisé choisi qui pointe vers l’Azure Traffic Manager qui vous est attribué.
Copiez l’adresse du gestionnaire de trafic depuis la page Configurer votre DNS. L’adresse dans l’exemple est la suivante :
wsp-cd-eastus2-production-traffic-manager-profile-1-123456.trafficmanager.net
Si vous avez des enregistrements CAA (Certificate Authority Authorization) configurés dans votre DNS, ajoutez-en un qui autorise Let’s Encrypt à générer des certificats pour votre domaine. Let’s Encrypt est l’autorité de certification (CA) que Citrix utilise pour générer un certificat pour votre domaine personnalisé. La valeur de l’enregistrement CAA doit être la suivante : 0 issue “letsencrypt.org”

-
Une fois que vous avez configuré l’enregistrement CNAME auprès de votre fournisseur DNS, sélectionnez Détecter l’enregistrement CNAME pour vérifier que votre configuration DNS est correcte. Si l’enregistrement CNAME a été configuré correctement, une coche verte apparaît à côté de la section Configuration CNAME.
Si des avertissements apparaissent sur cette page, corrigez le problème mis en évidence pour continuer.
Si vous avez des enregistrements CAA configurés auprès de votre fournisseur DNS, une section distincte Configuration CAA apparaît. Sélectionnez Détecter l’enregistrement CAA pour vérifier que votre configuration DNS est correcte. Si la configuration de votre enregistrement CAA est correcte, une coche verte apparaît à côté de la section Configuration CAA.
Lorsque votre configuration DNS est vérifiée, cliquez sur Suivant.

-
Cette étape est facultative. Si vous avez choisi d’ajouter votre propre certificat, complétez les informations requises sur la page Ajouter votre propre certificat.
Remarque :
Les certificats protégés par mot de passe ne sont pas pris en charge.
Si des avertissements apparaissent sur cette page, corrigez le problème mis en évidence pour continuer. Assurez-vous que le certificat remplit les conditions suivantes.
- Il doit être encodé en PEM.
- Il doit rester valide pendant au moins les 30 prochains jours.
- Il doit être utilisé exclusivement pour l’URL Workspace personnalisée. Les certificats génériques ne sont pas acceptables.
- Le nom commun du certificat doit correspondre au domaine personnalisé.
- Les SAN du certificat doivent être pour le domaine personnalisé. Les SAN supplémentaires ne sont pas autorisés.
- La durée de validité du certificat ne doit pas dépasser 10 ans.

Remarque :
Il est recommandé d’utiliser un certificat utilisant une fonction de hachage cryptographique sécurisée (SHA-256 ou supérieur). Vous êtes responsable du renouvellement du certificat. Si votre certificat a expiré ou est sur le point d’expirer, consultez la section Fournir un certificat renouvelé.
-
Lisez les informations qui apparaissent sur la page Provisionner votre domaine et prenez connaissance des instructions données. Lorsque vous êtes prêt à continuer, sélectionnez Accepter et continuer.
Cette dernière étape de provisionnement peut prendre un certain temps. Vous pouvez attendre que l’opération se termine en laissant la page ouverte, ou vous pouvez fermer la page.

Suppression d’un domaine personnalisé
La suppression d’un domaine personnalisé de votre client supprime la possibilité d’accéder à Citrix Workspace à l’aide d’un domaine personnalisé. Après avoir supprimé le domaine personnalisé, vous ne pouvez accéder à Citrix Workspace qu’en utilisant l’adresse cloud.com.
Lorsque vous supprimez un domaine personnalisé, assurez-vous que l’enregistrement CNAME est supprimé de votre fournisseur DNS.
Pour supprimer un domaine personnalisé,
-
Connectez-vous à Citrix Cloud.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Accès.
-
Développez le menu contextuel (…) du domaine personnalisé sous l’onglet Accès, et sélectionnez Supprimer le domaine personnalisé.

-
Lisez les informations qui apparaissent sur la page Supprimer le domaine personnalisé et prenez connaissance des instructions données. Lorsque vous êtes prêt à continuer, sélectionnez Supprimer.
La suppression d’un domaine personnalisé prend un certain temps. Vous pouvez attendre que l’opération se termine en laissant la page ouverte, ou vous pouvez fermer la page.
Si vous avez intégré plusieurs domaines personnalisés, vous ne pouvez pas supprimer le domaine personnalisé associé à l’URL cloud par défaut tant que tous les autres domaines personnalisés n’ont pas été supprimés.

Fournir un certificat renouvelé
-
Connectez-vous à Citrix Cloud.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Accès.
-
Lorsque votre certificat est sur le point d’expirer dans 30 jours ou moins, votre domaine personnalisé affiche un avertissement.

-
Cliquez sur l’avertissement pour ouvrir l’assistant de mise à jour du certificat.

-
Saisissez les informations requises sur la page Mettre à jour le certificat, puis Enregistrer.
Si des avertissements apparaissent sur cette page, corrigez le problème mis en évidence pour continuer.
Le certificat doit répondre aux mêmes exigences que lors de la création du domaine personnalisé. Pour plus d’informations, consultez Ajout d’un domaine personnalisé.
Configuration de votre fournisseur d’identité
Configuration d’Okta
Effectuez les étapes suivantes si vous utilisez Okta comme fournisseur d’identité pour l’accès à Citrix Workspace.
-
Connectez-vous au portail administrateur de votre instance Okta. Cette instance contient l’application utilisée par Citrix Cloud.
-
Développez Applications, puis sélectionnez Applications dans le menu.

- Ouvrez l’application liée à Citrix Cloud.
-
Sélectionnez Modifier dans la section Paramètres généraux.

-
Dans la section CONNEXION des Paramètres généraux, ajoutez une valeur pour URI de redirection de connexion. Ajoutez la nouvelle valeur sans remplacer les valeurs existantes. La nouvelle valeur doit être au format suivant :
<https://your.company.com/core/login-okta> -
Dans la même section, ajoutez une autre valeur pour URI de redirection de déconnexion. Ajoutez la nouvelle valeur sans remplacer les valeurs existantes. La nouvelle valeur doit être au format suivant :
<https://your.company.com>
- Cliquez sur Enregistrer pour stocker la nouvelle configuration.
Remarque :
Pour configurer SAML avec votre domaine personnalisé, suivez la procédure mentionnée dans Configuration SAML.
Configuration des stratégies et profils OAuth
Important
La politique et le profil OAuth existants qui lient Citrix Cloud et Citrix Gateway ou votre paire HA d’authentification adaptative doivent être mis à jour uniquement si les informations d’identification OAuth sont perdues. La modification de cette politique risque de rompre le lien entre Citrix Cloud et les espaces de travail et d’affecter votre capacité à vous connecter aux espaces de travail.
Configuration de Citrix Gateway
L’administrateur Citrix Cloud a accès au secret client non chiffré. Ces informations d’identification sont fournies par Citrix Cloud pendant le processus de liaison de Citrix Gateway dans Gestion des identités et des accès > Authentification. Le profil et la politique OAuth sont créés par l’administrateur Citrix. Ils sont créés manuellement sur Citrix Gateway pendant le processus de connexion.
Vous avez besoin de l’ID client et du secret client non chiffré qui ont été fournis pendant le processus de connexion de Citrix Gateway. Ces informations d’identification sont fournies par Citrix Cloud et ont été enregistrées en toute sécurité. Le secret non chiffré est nécessaire pour utiliser l’interface Citrix ADC ou l’interface de ligne de commande (CLI) afin de créer une politique et un profil OAuth.
Voici un exemple de l’interface utilisateur lorsque l’ID client et le secret sont fournis à l’administrateur Citrix.
Remarque :
L’administrateur ne peut pas obtenir une copie du secret non chiffré après la connexion de Citrix Gateway. Il doit enregistrer les informations d’identification pendant le processus de connexion.

Utilisation de Citrix Cloud
Effectuez les étapes suivantes pour ajouter un autre profil et une autre politique OAuth à l’aide de l’interface Citrix Gateway :
-
Dans le menu, sélectionnez Sécurité > AAA - Trafic d’application > OAuth IDP. Sélectionnez la politique OAuth existante et cliquez sur Ajouter.

-
Lorsque vous y êtes invité, modifiez le nom de la nouvelle politique OAuth pour qu’il soit différent de la politique existante sélectionnée à l’étape précédente. Citrix suggère d’ajouter une URL personnalisée à son nom.

- Sur l’interface graphique de Citrix Gateway, créez votre profil OAuth existant
-
Dans le même menu de l’interface graphique, cliquez sur Ajouter.
Ajouter une stratégie(/fr-fr/citrix-workspace/media/using-citrix-cloud-3.png)
-
Dans l’interface graphique de Citrix Gateway, liez la nouvelle stratégie OAuth à votre serveur virtuel d’authentification, d’autorisation et d’audit existant.
-
Accédez à Sécurité > Serveurs virtuels > Modifier.
Créer une stratégie(/fr-fr/citrix-workspace/media/using-citrix-cloud-4.png)
Utilisation de l’interface de ligne de commande (CLI)
Important
Si vous n’avez pas de copie des informations d’identification OAuth enregistrées en toute sécurité, vous devez déconnecter et reconnecter votre Citrix Gateway. Mettez à jour votre profil OAuth existant avec les nouvelles informations d’identification OAuth fournies par Citrix Cloud Identity and Access Management. Cette procédure n’est pas recommandée et ne doit être utilisée que si les anciennes informations d’identification sont irrécupérables.
-
Utilisez un outil SSH tel que PuTTY pour vous connecter à votre instance Citrix Gateway.
-
Créez l’OAuthProfile et l’OAuthPolicy. Ajoutez l’authentification OAuthIDPProfile.
"CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
Liez l’OAuthPolicy au serveur virtuel d’authentification, d’autorisation et d’audit approprié avec une priorité inférieure à celle de la stratégie existante. Cette instance suppose que la stratégie existante a une priorité de 10, donc 20 est utilisé pour la nouvelle stratégie. Liez le serveur virtuel d’authentification.
"CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20
Configuration de l’authentification adaptative
Important
Le secret chiffré et les paramètres de chiffrement du profil OAuth sont différents sur les passerelles HA principales et secondaires de l’Authentification adaptative. Assurez-vous d’obtenir le secret chiffré de la passerelle HA principale et d’exécuter également ces commandes sur la passerelle HA principale.
L’administrateur Citrix Cloud n’a pas accès au secret client non chiffré. La stratégie et le profil OAuth sont créés par le service d’authentification adaptative Citrix pendant la phase de provisionnement. Il est nécessaire d’utiliser le secret chiffré et les commandes CLI obtenus du fichier ns.conf pour créer des profils OAuth. Cela ne peut pas être effectué à l’aide de l’interface utilisateur de Citrix ADC. Liez la nouvelle OAuthPolicy d’URL personnalisée à votre serveur virtuel d’authentification, d’autorisation et d’audit existant en utilisant un numéro de priorité plus élevé que la stratégie existante qui est liée à votre serveur virtuel d’authentification, d’autorisation et d’audit existant. Les numéros de priorité inférieurs sont évalués en premier. Définissez la stratégie existante sur la priorité 10 et la nouvelle stratégie sur la priorité 20 pour vous assurer qu’elles sont évaluées dans le bon ordre.
-
Connectez-vous à votre nœud principal d’Authentification adaptative à l’aide d’un outil SSH tel que PuTTY.
show ha node
-
Localisez la ligne dans la configuration en cours d’exécution de la passerelle HA principale contenant votre profil OAuth existant.
sh runn | grep oauth -
Copiez la sortie de la CLI de Citrix ADC, y compris tous les paramètres de chiffrement.

-
Modifiez la ligne que vous avez copiée à l’étape précédente. Utilisez-la pour construire une nouvelle commande CLI qui vous permet de créer un profil OAuth à l’aide de la version chiffrée de l’ID client. Tous les paramètres de chiffrement doivent être inclus.
- Mettez à jour le nom du profil OAuth en CustomDomain-OAuthProfile
- Mettez à jour le -redirectURL vers https://hostname.domain.com/core/login-cip
L’exemple suivant couvre les deux mises à jour.
add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ONadd authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile" -
Lie l’OAuthPolicy au serveur virtuel d’authentification, d’autorisation et d’audit correct avec une priorité inférieure à celle de la politique existante. Le nom du serveur virtuel d’authentification, d’autorisation et d’audit pour tous les déploiements d’Adaptive Authentication est auth_vs. Cette instance suppose que la politique existante a une priorité de 10, donc 20 est utilisé pour la nouvelle politique.
bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20
Limitations connues
Voici quelques limitations connues de la solution de domaine personnalisé :
- Le premier domaine personnalisé que vous créez doit être lié à l’URL cloud par défaut. Des domaines personnalisés peuvent ensuite être ajoutés à d’autres URL cloud ajoutées via la fonctionnalité multi-URL après qu’un domaine personnalisé a été créé pour l’URL cloud par défaut.
- Si vous avez intégré plusieurs domaines personnalisés, vous ne pouvez pas supprimer le domaine personnalisé associé à l’URL cloud par défaut tant que tous les autres domaines personnalisés n’ont pas été supprimés.
- Cette fonctionnalité n’est pas prise en charge sur Citrix Workspace app pour Windows versions 2305 et 2307. Mettez à jour vers la dernière version prise en charge.
- La connexion à l’aide d’un domaine personnalisé avec l’authentification Google n’est pas prise en charge.