Citrix Secure Hub

Citrix Secure Hub est une rampe de lancement pour l’expérience Citrix Endpoint Management (anciennement XenMobile). Les utilisateurs inscrivent leurs appareils dans Secure Hub pour accéder au magasin. Depuis le magasin, ils peuvent ajouter des applications de productivité mobiles développées par Citrix ainsi que des applications tierces.

Pour connaître la configuration système requise pour Secure Hub et pour d’autres applications de productivité mobiles, consultez la section Configuration système requise.

Administration de Secure Hub

Vous pouvez effectuer la plupart des tâches d’administration liées à Secure Hub lors de la configuration initiale de Endpoint Management. Pour mettre Secure Hub à la disposition des utilisateurs, pour iOS et Android, chargez Secure Hub sur l’App Store iOS et sur le Google Play Store.

Secure Hub actualise la plupart des stratégies MDX stockées dans Endpoint Management pour les applications installées lorsque la session Citrix Gateway d’un utilisateur se renouvelle après l’authentification auprès de Citrix Gateway.

Important :

Les modifications apportées à ces stratégies requièrent qu’un utilisateur supprime et réinstalle l’application pour appliquer la stratégie mise à jour : Groupe de sécurité, Activer le cryptage et Serveur Exchange Secure Mail.

Code PIN Citrix

Vous pouvez configurer l’application Secure Hub pour utiliser le code PIN Citrix, une fonctionnalité de sécurité activée dans la console Endpoint Management dans Paramètres > Propriétés du client. Le paramètre nécessite que les utilisateurs d’appareils mobiles inscrits se connectent à Secure Hub et activent les applications MDX encapsulées à l’aide d’un numéro d’identification personnel (PIN).

Cette fonctionnalité de code PIN Citrix simplifie l’expérience d’authentification utilisateur lors de la connexion à des applications encapsulées sécurisées. Les utilisateurs n’ont pas besoin d’entrer d’autres informations d’identification de manière répétée telles que leur nom d’utilisateur et mot de passe Active Directory.

Les utilisateurs qui se connectent à Secure Hub pour la première fois doivent entrer leur nom d’utilisateur et mot de passe Active Directory. Lors de la connexion, Secure Hub enregistre les informations d’identification Active Directory ou un certificat client sur la machine utilisateur et invite l’utilisateur à entrer un code PIN. Lorsque les utilisateurs se connectent de nouveau, ils entrent le code PIN pour accéder à leurs applications Citrix et au magasin en toute sécurité. Ils n’utilisent pas à nouveau le code PIN tant que le prochain délai d’inactivité ne se termine pas pour la session utilisateur active. Les propriétés client associées vous permettent de crypter des secrets à l’aide du code PIN, de spécifier le type de code secret pour le code PIN et de spécifier les exigences en matière de force et longueur du code PIN. Pour plus de détails, consultez Propriétés du client.

Lorsque l’authentification par empreinte digitale (Touch ID) est activée, les utilisateurs peuvent se connecter à l’aide d’une empreinte digitale lorsque l’authentification hors connexion est requise en raison de l’inactivité de l’application. Les utilisateurs doivent toujours entrer un code PIN lorsqu’ils se connectent pour la première fois à Secure Hub, qu’ils redémarrent l’appareil et après l’expiration du délai d’inactivité. Pour plus d’informations sur l’activation de l’authentification par empreinte digitale, consultez la section Authentification par empreinte digitale ou Touch ID.

Certificate pinning

Secure Hub pour iOS et Android prend en charge le certificate pinning ou SSL pinning. Cette fonctionnalité garantit que le certificat signé par votre entreprise est utilisé lorsque les clients Citrix communiquent avec Endpoint Management. Le Certificate pinning empêche les connexions provenant de clients vers Endpoint Management lorsque l’installation d’un certificat racine sur l’appareil compromet la session SSL. Lorsque Secure Hub détecte que des modifications ont été apportées à la clé publique du serveur, Secure Hub refuse la connexion.

À partir d’Android N, le système d’exploitation n’autorise plus les autorités de certification (CA) ajoutées par l’utilisateur. Citrix recommande d’utiliser une autorité de certification racine publique à la place d’une autorité de certification ajoutée par un utilisateur.

Les utilisateurs qui effectuent une mise à niveau vers Android N peuvent rencontrer des problèmes s’ils utilisent des autorités de certification privées ou auto-signées. Les connexions sur les appareils Android N s’interrompent dans les cas suivants :

  • Autorités de certification privées/auto-signées et l’option Autorité de certification de confiance requise pour l’option Endpoint Management dans le service de découverte automatique XenMobile est activée. Pour plus de détails, consultez Détection automatique Endpoint Management.
  • Autorités de certification privées/auto-signées et le service de découverte automatique (ADS) Endpoint Management n’est pas accessible. En raison de problèmes de sécurité, lorsque le service ADS n’est pas accessible, l’option Autorité de certificat de confiance est activée même si elle a été désactivée initialement.

Avant d’inscrire des périphériques ou de mettre à niveau Secure Hub, envisagez d’activer le certificate pinning. L’option est désactivée par défaut et gérée par le service ADS. Lorsque vous activez le certificate pinning, les utilisateurs ne peuvent pas s’inscrire auprès de Endpoint Management avec un certificat auto-signé. Si les utilisateurs tentent de s’inscrire auprès avec un certificat auto-signé, ils sont avertis que le certificat n’est pas approuvé. L’inscription échoue si les utilisateurs n’acceptent pas le certificat.

Pour utiliser le certificate pinning, demandez à Citrix de charger les certificats sur le serveur ADS Citrix. Ouvrez un ticket de support technique à l’aide du portail d’assistance Citrix. Fournissez ensuite les informations suivantes :

  • Le domaine contenant les comptes avec les utilisateurs s’inscrivent.
  • Le nom de domaine complet (FQDN) de Endpoint Management.
  • Le nom de l’instance Endpoint Management. Par défaut, le nom de l’instance est zdm et est sensible à la casse.
  • Le type d’ID utilisateur, qui peut être UPN ou E-mail. Le paramètre par défaut est UPN.
  • Le port utilisé pour l’inscription iOS si vous avez modifié le numéro de port par défaut 8443.
  • Le port sur lequel le serveur Endpoint Management accepte les connexions si vous avez modifié le numéro de port par défaut 443.
  • L’adresse URL complète de votre boîtier Citrix Gateway.
  • Si vous le souhaitez, une adresse e-mail pour votre administrateur Endpoint Management.
  • Les certificats au format .pem que vous voulez ajouter au domaine.

Authentification par certificat + mot de passe à usage unique

Vous pouvez configurer Citrix ADC afin que Secure Hub s’authentifie à l’aide d’un certificat et d’un jeton de sécurité qui est utilisé en tant que mot de passe à usage unique. Cette configuration fournit une option de sécurité renforcée qui ne laisse aucune trace Active Directory sur les appareils.

Pour permettre à Secure Hub d’utiliser ce type d’authentification, ajoutez une action de réécriture ainsi qu’une stratégie de réécriture dans Citrix ADC qui insère un en-tête de réponse personnalisé au format X-Citrix-AM-GatewayAuthType: CertAndRSA pour indiquer le type d’ouverture de session Citrix Gateway.

D’ordinaire, Secure Hub utilise le type d’ouverture de session Citrix Gateway configuré dans la console Endpoint Management. Toutefois, Secure Hub n’a pas accès à ces informations tant qu’il n’a pas ouvert de session pour la première fois. L’en-tête personnalisé est requis pour permettre à Secure Hub d’utiliser cette méthode d’ouverture de session.

Remarque :

Si différents types d’ouverture de session sont définis dans Endpoint Management et Citrix ADC, la configuration de Citrix ADC a priorité. Pour plus de détails, consultez Citrix Gateway et Endpoint Management.

  1. Dans Citrix ADC, accédez à Configuration > AppExpert > Rewrite > Actions.

  2. Cliquez sur Ajouter.

    L’écran Create Rewrite Action s’affiche.

  3. Remplissez chaque champ, comme illustré dans la figure suivante et cliquez sur Create.

    Image de l'écran Create Rewrite Action

    Le résultat suivant s’affiche sur l’écran principal Rewrite Actions.

    Image du résultat de l'écran Rewrite Action

  4. Liez l’action de réécriture au serveur virtuel en tant que stratégie de réécriture. Accédez à Configuration > NetScaler Gateway > Virtual Servers et sélectionnez votre serveur virtuel.

    Image de l'écran Virtual Servers

  5. Cliquez sur Edit.

  6. Sur l’écran Virtual Servers configuration, faites défiler jusqu’à Policies.

  7. Cliquez sur + pour ajouter une stratégie.

    Image de l'option d'ajout de stratégie

  8. Dans le champ Choose Policy, choisissez Rewrite.

  9. Dans le champ Choose Type, choisissez Response.

    Image de l'option Response

  10. Cliquez sur Continuer.

    La section Policy Binding va se développer.

    Image de la section Policy Binding

  11. Cliquez sur Select Policy.

    Un écran répertoriant les stratégies disponibles s’affiche.

    Image des stratégies disponibles

  12. Cliquez sur la ligne de la stratégie que vous avez créé, puis cliquez sur Sélectionner. L’écran Policy Binding s’affiche de nouveau, avec la stratégie sélectionnée renseignée.

    Image de la stratégie sélectionnée

  13. Cliquez sur Bind.

    Si la liaison réussie, l’écran de configuration principal s’affiche avec la stratégie de réécriture.

    Image de liaison réussie

  14. Pour afficher les détails de la stratégie, cliquez sur Rewrite Policy.

    Image des détails de Rewrite Policy

Exigence en matière de port pour la connectivité ADS pour les appareils Android

La configuration de ce port permet de s’assurer que les appareils Android qui se connectent à partir de Secure Hub peuvent accéder au service de détection automatique de Endpoint Management depuis le réseau d’entreprise. L’accès au service ADS est important lors du téléchargement de mises à jour de sécurité mises à disposition via ADS. Les connexions ADS peuvent ne pas être compatibles avec votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.

Important :

Secure Hub pour Android et iOS nécessitent que vous autorisiez les appareils Android à accéder au service ADS (service de découverte automatique). Pour de plus amples informations, consultez la section Configuration requise pour les ports dans la documentation Endpoint Management. Cette communication se fait sur le port 443. Il est très probable que votre environnement soit conçu pour autoriser cet accès. Nous déconseillons aux clients qui ne peuvent pas garantir cette communication de mettre à niveau vers Secure Hub 10.2. Si vous avez des questions, contactez l’assistance Citrix.

Conditions préalables

  • Collecter les certificats de Endpoint Management et de Citrix ADC. Les certificats doivent être au format PEM et doivent être des certificats de clé publique et non de clé privée.
  • Contacter l’assistance Citrix et demander l’activation du certificate pinning. Lors de cette opération, vous êtes invité à fournir vos certificats.

Les nouvelles améliorations apportées au certificat pinning nécessitent que les appareils se connectent à ADS avant l’inscription de l’appareil. Cela garantit que Secure Hub dispose des dernières informations de sécurité pour l’environnement dans lequel l’appareil s’inscrit. Si les appareils ne peuvent pas contacter ADS, Secure Hub n’autorise pas l’inscription de l’appareil. Par conséquent, il est primordial d’autoriser l’accès à ADS dans le réseau interne pour permettre aux appareils de s’inscrire.

Pour autoriser l’accès à ADS pour Secure Hub pour Android, ouvrez le port 443 pour les adresses IP et les noms de domaine complets suivants :

Nom de domaine complet Adresse IP Port Utilisation adresse IP et port
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - Communication ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - Communication ADS
ads.xm.cloud.com : veuillez noter que Secure Hub version 10.6.15 et versions ultérieures utilise ads.xm.cloud.com. 34.194.83.188 443 Secure Hub - Communication ADS
ads.xm.cloud.com : veuillez noter que Secure Hub version 10.6.15 et versions ultérieures utilise ads.xm.cloud.com. 34.193.202.23 443 Secure Hub - Communication ADS

Si le certificate pinning est activé :

  • Secure Hub épingle votre certificat d’entreprise lors de l’inscription de l’appareil.
  • Lors d’une mise à niveau, Secure Hub supprime tout certificate pinning en cours et épingle le certificat de serveur sur la première connexion des utilisateurs inscrits.

    Remarque

    Si vous activez le certificate pinning après une mise à niveau, les utilisateurs doivent se réinscrire.

  • Le renouvellement du certificat ne nécessite pas de réinscription, si la clé publique du certificat soit inchangée.

Le certificate pinning prend en charge les certificats feuille, mais pas les certificats intermédiaires ou les certificats d’émetteur. Le certificate pinning s’applique aux serveurs Citrix, tels que Endpoint Management et Citrix Gateway, et non aux serveurs tiers.

Utilisation de Secure Hub

Les utilisateurs commencent par le téléchargement de Secure Hub sur leurs appareils depuis les magasins d’applications Apple ou Android.

Lorsque Secure Hub s’ouvre, les utilisateurs entrent les informations d’identification fournies par leurs sociétés pour inscrire leurs périphériques dans Secure Hub. Pour de plus amples informations sur l’inscription d’appareil, consultez la section Utilisateurs, comptes, rôles et inscription.

Sur Secure Hub pour Android, lors de l’installation et de l’inscription initiales, le message suivant s’affiche : Autoriser Secure Hub à accéder aux photos, médias et fichiers sur votre périphérique ?

Ce message provient du système d’exploitation Android et non de Citrix. Lorsque vous appuyez sur Autoriser, Citrix et les administrateurs qui gèrent Secure Hub n’ont jamais accès à vos données personnelles. Toutefois, si vous menez une session de support à distance avec votre administrateur, l’administrateur peut voir vos fichiers personnels dans la session.

Une fois inscrits, les utilisateurs verront les applications et bureaux que vous avez mis à disposition dans leur onglet Mes applications. Les utilisateurs peuvent ajouter davantage d’applications à partir du magasin. Sur les téléphones, le lien du magasin est disponible sous l’icône d’hamburger Paramètres dans le coin supérieur gauche :

Image du lien du magasin

Sur les tablettes, le magasin est un onglet séparé.

Image du magasin sur tablettes

Lorsque les utilisateurs d’iPhone exécutant iOS 9 ou une version ultérieure installent des applications de productivité mobiles à partir du magasin d’applications Endpoint Management, ils voient un message. Ce message indique que le développeur d’entreprise, Citrix, n’est pas approuvé sur cet iPhone. Le message indique également que l’application ne sera pas disponible tant que le développeur ne sera pas approuvé. Lorsque ce message s’affiche, Secure Hub invite les utilisateurs à afficher des instructions qui les guident dans le processus d’approbation des applications d’entreprise Citrix pour leur iPhone.

Inscription automatique dans Secure Mail

Pour les déploiements MAM exclusif, vous pouvez configurer Endpoint Management de manière à ce que les utilisateurs d’appareils Android ou iOS qui s’inscrivent dans Secure Hub avec des informations d’identification de messagerie soient automatiquement inscrits dans Secure Mail. Les utilisateurs n’ont pas à entrer d’informations supplémentaires ou à effectuer des étapes supplémentaires pour s’inscrire dans Secure Mail.

À la première utilisation de Secure Mail, Secure Mail obtient l’adresse e-mail de l’utilisateur, le domaine et l’ID utilisateur depuis Secure Hub. Secure Mail utilise l’adresse e-mail pour la détection automatique. Le serveur Exchange est identifié par le domaine et l’ID utilisateur, ce qui permet à Secure Mail d’authentifier l’utilisateur automatiquement. L’utilisateur est invité à entrer un mot de passe si la stratégie est définie pour ne pas contourner le mot de passe, mais l’utilisateur n’est pas invité à entrer des informations supplémentaires.

Pour activer cette fonctionnalité, créez trois propriétés :

  • La propriété de serveur MAM_MACRO_SUPPORT. Pour obtenir des instructions, veuillez consulter la section Propriétés du serveur.
  • Les propriétés clientes ENABLE_CREDENTIAL_STORE et SEND_LDAP_ATTRIBUTES. Pour obtenir des instructions, veuillez consulter la section Propriétés du client.

Magasin personnalisé

Si vous souhaitez personnaliser votre magasin, accédez à Paramètres > Personnalisation du client pour modifier le nom, ajouter un logo, et indiquer la façon dont les applications s’affichent.

Image de l'image de marque du client

Vous pouvez modifier la description des applications dans la console Endpoint Management. Cliquez sur Configurer, puis sur Applications. Sélectionnez l’application dans le tableau et cliquez sur Modifier. Sélectionnez les plates-formes de l’application dont vous modifiez la description et entrez le texte dans la case Description.

Image de la boîte de description

Dans le magasin, les utilisateurs peuvent rechercher uniquement les applications et bureaux que vous avez configurés et sécurisés dans Endpoint Management. Pour ajouter l’application, les utilisateurs appuient sur Détails et sur Ajouter.

Options d’aide configurées

Secure Hub offre également aux utilisateurs plusieurs façons d’obtenir de l’aide. Sur les tablettes, il suffit de taper sur le point d’interrogation dans le coin supérieur droit pour afficher les options d’aide. Sur les téléphones, les utilisateurs appuient sur l’icône du menu hamburger dans le coin supérieur gauche et sur Aide.

Image de l'écran d'aide

Votre service informatique affiche le numéro de téléphone et l’adresse e-mail du service d’assistance de votre entreprise, auxquels les utilisateurs peuvent accéder directement depuis l’application. Vous entrez les numéros de téléphone et les adresses e-mail dans la console Endpoint Management. Cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche. Cliquez sur Plus, puis cliquez sur Support client. L’écran dans lequel vous entrez les informations s’affiche.

Image de l'écran Support client

L’option Signaler un problème affiche une liste des applications. Les utilisateurs sélectionnent l’application qui présente un problème. Secure Hub génère automatiquement les journaux et ouvre un message dans Secure Mail avec les journaux attachés en tant que fichier zip. Les utilisateurs ajoutent un objet et une description du problème. Ils peuvent également joindre une copie d’écran.

L’option Envoyer des commentaires à Citrix ouvre un message dans Secure Mail dans lequel l’adresse de l’assistance Citrix est déjà renseignée. L’utilisateur peut entrer des suggestions visant à améliorer Secure Mail dans le corps du message. Si Secure Mail n’est pas installé sur l’appareil, le programme de messagerie natif s’ouvre.

Les utilisateurs peuvent également appuyer sur Assistance Citrix, ce qui ouvre le Centre de connaissances de Citrix. De là, ils peuvent consulter les articles de support pour tous les produits Citrix.

Dans Préférences, les utilisateurs peuvent trouver des informations sur leurs comptes et leurs appareils.

Stratégies d’emplacement

Secure Hub offre également des stratégies de géolocalisation et de suivi géographique, par exemple, si vous voulez vous assurer qu’un appareil appartenant à l’entreprise ne sort pas d’un certain périmètre géographique. Pour plus de détails, consultez Stratégie d’emplacement.

Collecte et analyse des échecs

Secure Hub collecte automatiquement et analyse les informations d’échec de façon à ce que vous puissiez découvrir la cause de l’échec. Cette fonction est prise en charge par le logiciel Crashlytics.

Pour connaître les fonctionnalités disponibles pour iOS et Android, consultez la matrice Fonctionnalités par plate-forme pour Citrix Secure Hub.