ShareConnect

Avec ShareConnect, les utilisateurs peuvent se connecter à leurs ordinateurs en toute sécurité au travers d’iPads, de tablettes et de téléphones Android pour accéder à leurs fichiers et applications. Les utilisateurs peuvent effectuer les opérations suivantes :

  • Travailler sur des fichiers qui résident sur leur ordinateur et sur des lecteurs réseau connectés
  • Exécuter des applications à partir de la machine cible dans ShareConnect.
  • Avoir accès aux applications mobiles, sans qu’il soit nécessaire d’encapsuler d’autres applications de productivité mobiles.
  • Exécuter ShareConnect sur Citrix Virtual Desktops pour bénéficier d’un accès optimisé.

Vous pouvez télécharger la version MDX de ShareConnect à partir de la page des téléchargements de Endpoint Management.

Pour de plus amples informations sur la façon d’installer et utiliser ShareConnect, consultez le centre de connaissances Citrix.

Aperçu de l’architecture

Les composants ShareConnect incluent le broker ShareConnect Citrix et les serveurs de communication ShareConnect, comme illustré dans la figure suivante. Le broker ShareConnect est une base de données et un serveur d’application qui mappent les utilisateurs sur les ordinateurs et leur indique si leur ordinateur hôte est en ligne ou déconnecté. Les serveurs de communication ShareConnect sont utilisés pour échanger des données entre les ordinateurs hôtes et les ordinateurs clients. Ces données peuvent transiter via un tunnel micro VPN sécurisé entre les ordinateurs hôtes et les ordinateurs clients ; cela dépend des paramètres Endpoint Management.

Architecture de WorxDesktop

En outre, Citrix Files peut fournir l’authentification via SSO aux utilisateurs avec un fournisseur d’identité SAML (IdP), tel que Endpoint Management ou Active Directory Federation Services (ADFS). L’accès aux ressources en dehors du réseau est fourni via NetScaler Gateway dans un déploiement Endpoint Management.

Fonctionnement des connexions dans ShareConnect

ShareConnect établit des connexions directes ou indirectes :

  • Connexions directes. ShareConnect établit une connexion directe entre l’ordinateur client et l’ordinateur hôte s’ils se trouvent sur le même réseau local ou réseau Wi-Fi. Dans ce scénario, les données transitent directement entre l’ordinateur client ou l’appareil mobile utilisé pour accéder à un ordinateur hôte. Les données ne circulent pas au travers des serveurs de communication ShareConnect, ce qui entraîne des performances optimales. Pour les connexions directes, Endpoint Management utilise NetScaler Gateway pour sécuriser l’accès aux ressources en dehors du réseau local.
  • Connexions indirectes. ShareConnect établit une connexion indirecte entre l’ordinateur client et l’ordinateur hôte s’ils ne sont pas directement accessibles. Dans ce scénario, les données circulent via les serveurs de communication ShareConnect.

La figure suivante illustre les connexions utilisées lorsque des utilisateurs accèdent à un ordinateur hôte à partir d’un ordinateur ou d’un appareil mobile exécutant ShareConnect à l’aide de connexions directes. Les étapes de connexion sont décrites après la figure.

Image du diagramme de connexion

① Dans ce scénario, Endpoint Management est configuré pour agir en tant que fournisseur d’identité SAML pour Citrix Files, afin de fournir l’authentification unique (SSO) à partir de Worx Home. ShareConnect demande un jeton SAML auprès de Worx Home, qui à son tour transmet la demande à Endpoint Management via NetScaler Gateway. Endpoint Management envoie ensuite le jeton SAML à ShareConnect.

② ShareConnect envoie le jeton SAML à Citrix Files à des fins de validation et pour échanger le jeton SAML avec un jeton OAuth.

③ ShareConnect envoie le jeton OAuth au broker ShareConnect, qui envoie un jeton de session à ShareConnect.

④ ShareConnect obtient une liste des ordinateurs hôtes depuis le broker ShareConnect et demande la saisie des informations d’identification de l’ordinateur hôte. ShareConnect établit ensuite une connexion directe au serveur de communication ShareConnect. Une fois que l’ordinateur hôte a validé les informations d’identification, ShareConnect obtient une liste des fichiers et applications depuis l’ordinateur hôte. Dès qu’un utilisateur ouvre un fichier ou une application, une connexion directe est établie entre ShareConnect et l’ordinateur hôte.

⑤ L’agent ShareConnect sur l’ordinateur hôte envoie des messages d’état au serveur d’interrogation ShareConnect pour indiquer s’il est connecté ou déconnecté.

⑥ Le serveur d’interrogation ShareConnect envoie des demandes de répartition de la charge depuis l’agent ShareConnect vers le broker ShareConnect et envoie des mises à jour de l’état au broker ShareConnect.

Sécurité ShareConnect

ShareConnect utilise un cryptage AES 128 bits de façon à crypter de bout en bout toutes les données envoyées entre le client ShareConnect et un ordinateur hôte exécutant l’agent ShareConnect. La clé de cryptage est unique à chaque connexion. Même les périphériques les plus sophistiqués ne peuvent pas intercepter les données requises pour décoder le cryptage.

Vous configurez généralement ShareConnect de manière à ce que les données soient acheminées directement entre le client ShareConnect et un ordinateur hôte. Les données ne transitent pas via les serveurs de communication ShareConnect sauf si vous configurez la stratégie Accès réseau afin de permettre un accès illimité. Pour plus d’informations sur les stratégies, voir Ajouter ShareConnect à Endpoint Management dans cet article.

Pour les connexions directes et indirectes, les métadonnées cryptées, telles que les adresses IP et les ports requis pour établir des connexions, sont envoyées aux serveurs ShareConnect.

Par ailleurs, l’encapsulation MDX de ShareConnect permet de crypter les données via le MDX Vault qui crypte les applications MDX encapsulées et les données stockées associées sur les appareils iOS (antérieurs à iOS 9) et Android à l’aide des modules cryptographiques certifiés FIPS fournis par OpenSSL.

Vous trouverez des informations sur les paramètres de sécurité et les commandes d’administration dans l’article technique dont le lien est fourni ci-dessous.

Article technique sur la sécurité ShareConnect

Guide de l’administrateur ShareConnect

Exigences requises par ShareConnect en matière de port

Vous devez ouvrir les ports suivants pour autoriser les communications ShareConnect. Les exigences en matière de port diffèrent selon le type de connexion, c-à-d des connexions directes (si les ordinateurs sont sur le même réseau LAN ou Wi-Fi) ou indirectes (si les ordinateurs hôtes et les ordinateurs clients ne peuvent pas communiquer directement entre eux).

Pour les connexions directes

Port TCP 80 - Utilisé pour les connexions sortantes depuis NetScaler Gateway vers app.shareconnect.com.

Source - NetScaler Gateway

Destination - app.shareconnect.com

Port TCP 80, 443, 8200 - Au moins un de ces ports est requis pour les connexions sortantes depuis NetScaler Gateway vers le serveur de communication ShareConnect.

Source - NetScaler Gateway

Destination - Serveurs de communication ShareConnect

Port TCP 80, 443, 8200 - Utilisé pour les connexions sortantes depuis les ordinateurs hôtes ShareConnect vers les serveurs Citrix.

Source - Ordinateurs hôtes ShareConnect

Destination - poll.shareconnect.com, Serveurs de communication ShareConnect

Port TCP 443 - Utilisé pour les connexions sortantes depuis NetScaler Gateway vers les sites requis.

Source - NetScaler Gateway

Destination - crashlytics.com, secure.sharefile.com, ShareFile_sub-domain.sharefile.com

Port TCP 53000 - 53010 - Utilisé pour les connexions sortantes depuis NetScaler Gateway vers les ordinateurs hôtes ShareConnect.

Source - NetScaler Gateway

Destination - Ordinateurs hôtes ShareConnect basés sur réseau local

Port TCP 53000 - 53010 - Utilisé pour les connexions entrantes depuis NetScaler Gateway vers les ordinateurs hôtes ShareConnect.

Source - NetScaler Gateway

Destination - Ordinateurs hôtes ShareConnect basés sur réseau local

Pour les connexions indirectes

Port TCP 80 - Utilisé pour les connexions sortantes depuis l’agent ShareConnect vers app.shareconnect.com.

Source - Agent ShareConnect

Destination - app.shareconnect.com

Port TCP 80, 443, 8200 - Au moins un de ces ports est requis pour les connexions sortantes depuis l’agent ShareConnect vers le serveur de communication ShareConnect.

Source - Agent ShareConnect

Destination - Serveurs de communication ShareConnect

Port TCP 80, 443, 8200 - Utilisé pour les connexions sortantes depuis les ordinateurs hôtes ShareConnect vers les serveurs Citrix.

Source - Ordinateurs hôtes ShareConnect

Destination - poll.shareconnect.com, Serveurs de communication ShareConnect

Port TCP 443 - Utilisé pour les connexions sortantes depuis l’agent ShareConnect vers les sites requis.

Source - Agent ShareConnect

Destination - crashlytics.com, secure.sharefile.com, ShareFile_sub-domain.sharefile.com

Intégration et mise à disposition de ShareConnect

Pour intégrer et délivrer ShareConnect avec Endpoint Management, suivez ces étapes :

  1. Vous pouvez également activer l’authentification unique (SSO) à partir de Worx Home. Pour ce faire, vous configurez les informations de compte Citrix Files dans Endpoint Management afin d’activer Endpoint Management en tant que fournisseur d’identité SAML pour Citrix.

    La configuration des informations du compte Citrix Files dans Endpoint Management ne doit être effectuée qu’une seule fois pour tous les clients d’applications de productivité mobiles, clients Citrix Files Worx et clients Citrix Files non-MDX.

  2. Téléchargez et encapsulez ShareConnect. Pour de plus amples informations, consultez la section À propos du MDX Toolkit.

  3. Ajoutez ShareConnect à Endpoint Management et configurez les stratégies MDX.

  4. Installez l’agent ShareConnect sur des ordinateurs hôtes. L’agent ShareConnect est un pack MSI, vous pouvez donc utiliser vos méthodes de déploiement de logiciels existantes pour distribuer et installer l’agent. Les utilisateurs doivent ensuite enregistrer l’ordinateur hôte en se connectant à l’agent à l’aide de leurs informations d’identification Citrix Files dans l’heure qui suit l’installation.

    Les utilisateurs peuvent également installer l’agent ShareConnect sur l’ordinateur auquel ils se connecteront avec ShareConnect. Pour de plus amples informations, consultez la section « Pour installer l’agent ShareConnect sur un ordinateur » dans cet article.

Ajouter ShareConnect à Endpoint Management

Ajoutez ShareConnect à Endpoint Management à l’aide des mêmes étapes que pour d’autres applications MDX. Pour de plus amples informations, consultez la section Ajouter une application MDX. Lors de l’ajout de ShareConnect, configurez les stratégies MDX comme indiqué dans le tableau suivant.

Stratégie Valeur Résultats
Accès réseau Tunnélisé vers le réseau interne ou Non restreint L’option Tunnélisé vers le réseau interne utilise un tunnel VPN par application vers le réseau interne pour tous les accès réseau. Cette configuration établit une configuration directe entre ShareConnect et un ordinateur hôte. L’option Non restreint utilise les serveurs de communication Citrix pour router les données cryptées entre un ordinateur hôte et l’agent ShareConnect. Veillez à tester votre installation avec un accès illimité pour vous assurer que tout fonctionne correctement, même si vous prévoyez d’utiliser l’option Tunnélisé vers le réseau interne pour l’accès réseau.
Mode VPN préféré Navigation sécurisée Définit le mode de connexion initiale de manière appropriée pour les connexions qui nécessitent une authentification unique (SSO).
Activer le chiffrement Activé Crypte les données stockées sur la tablette.
Couper et copier Non restreint Active les opérations couper/copier pour ShareConnect.
Coller Non restreint Active les opérations de collage pour ShareConnect.
Échange de documents (Ouvrir dans) Non restreint Autorise les utilisateurs à ouvrir un fichier sur l’ordinateur connecté ou un lecteur réseau connecté depuis ShareConnect.
Enregistrer le mot de passe Désactivé Exige que les utilisateurs entrent le nom d’utilisateur et le mot de passe de leur ordinateur chaque fois qu’ils se connectent à ShareConnect.

Pour installer l’agent ShareConnect sur un ordinateur

Les étapes suivantes décrivent comment un utilisateur installe l’agent ShareConnect sur chaque ordinateur physique ou virtuel auquel il souhaite se connecter à partir d’un appareil mobile pris en charge.

Avant d’effectuer ces étapes, l’utilisateur doit d’abord installer Worx Home et suivre les instructions pour autoriser l’installation d’applications de productivité mobiles sur l’appareil mobile pris en charge.

  1. Connectez-vous à Worx Home sur la tablette.

  2. Ouvrez ShareConnect.

  3. Tapotez le lien de téléchargement de l’e-mail.

    Citrix envoie un e-mail à no-reply@shareconnect.com.

  4. À partir de l’ordinateur hôte auquel vous voulez accéder à partir de ShareConnect, ouvrez l’e-mail.

  5. Dans l’e-mail, cliquez sur Set up this computer.

  6. Double-cliquez sur ShareConnect_Installer.exe pour commencer l’installation.

    L’agent ShareConnect s’installe sur votre ordinateur hôte. Durant l’installation, ShareConnect invite les utilisateurs à saisir une adresse e-mail (si l’authentification unique à Citrix Files est configurée) ou les informations d’identification Citrix Files (si l’authentification unique à Citrix Files n’est pas configurée).

  7. Suivez les instructions fournies dans les assistants ShareConnect et de mise en route.

L’agent ShareConnect enregistre ensuite l’ordinateur hôte, qui peut se connecter à partir d’un client ShareConnect à condition que l’ordinateur hôte soit sous tension et qu’il puisse contacter poll.shareconnect.com sur au moins un port publié (80, 443 ou 8200).

Fonctionnalités ShareConnect

  • Ajouter des ordinateurs hôtes. Les utilisateurs peuvent ajouter des ordinateurs hôtes distants et s’y connecter depuis des appareils mobiles pris en charge à l’aide de ShareConnect.

  • Accéder aux fichiers. Les utilisateurs peuvent afficher une liste des fichiers récents et rechercher des fichiers sur leur ordinateur hôte et des lecteurs connectés.

  • Modifier les fichiers. Depuis des tablettes, les utilisateurs peuvent accéder à des applications de bureau sur leurs ordinateurs hôtes pour modifier les fichiers. Les utilisateurs peuvent travailler avec les applications en plein écran.

  • Partage d’écran. Au lieu de visualiser un seul fichier ou une seule application, les utilisateurs peuvent utiliser la fonctionnalité de partage d’écran pour afficher le bureau de leur ordinateur hôte.

  • Intégration de Citrix Files. Les utilisateurs peuvent déplacer ou partager des fichiers entre l’ordinateur hôte et Citrix Files.

  • Clavier et souris. ShareConnect prend en charge l’utilisation simultanée d’un clavier Bluetooth et du prototype de souris Citrix XI.

  • Ports restreints. ShareConnect utilise les ports 53000 à 53010 uniquement.

  • Mots de passe obligatoires pour chaque connexion. Pour une sécurité accrue, vous pouvez configurer cette option pour demander aux utilisateurs d’entrer leur mot de passe d’ordinateur chaque fois qu’ils ouvrent une session sur ShareConnect. Lorsque la stratégie Enregistrer le mot de passe est désactivée, comme illustré dans la figure suivante, les utilisateurs sont obligés d’entrer leurs informations d’identification à chaque connexion.

    Enregistrer le mot de passe

  • Ajouter ou supprimer des applications. Les utilisateurs peuvent ajouter ou supprimer des applications à partir de la barre d’applications dans ShareConnect en basculant le commutateur en regard de chaque application pour la sélectionner ou la désélectionner.

    Ajouter et supprimer des applications

  • Mettre en cache un aperçu des fichiers. ShareConnect met en cache les fichiers qui ont déjà été accédés de façon à ce que les fichiers n’aient pas à être téléchargés à nouveau si les utilisateurs affichent l’aperçu d’autres fichiers, puis reviennent à une version antérieure de ceux-ci. Cette fonctionnalité améliore le temps de chargement lorsque les utilisateurs accèdent à des fichiers ultérieurement.

Résolution des problèmes ShareConnect

Problèmes d’installation de l’agent ShareConnect

Problème Description et résolution
Si un utilisateur télécharge l’agent ShareConnect et attend une heure ou plus avant de commencer l’installation, il doit entrer son nom et son mot de passe de compte Citrix Files pour enregistrer l’agent ShareConnect. Le programme d’installation de l’agent ShareConnect contient un jeton qui expire une heure après le téléchargement. Si un utilisateur ne lance pas l’installation avant que le jeton n’expire, il doit se connecter à son compte Citrix Files à deux reprises, la première fois pour enregistrer l’agent ShareConnect et la deuxième fois pour se connecter à l’agent après la fin de l’installation. Si les utilisateurs téléchargent et installent l’agent ShareConnect dans l’heure qui suit, ils ne doivent se connecter qu’une seule fois.
Durant l’enregistrement de l’agent ShareConnect, l’agent ne se connecte pas et un message d’erreur du style « Vérifiez votre connexion et réessayez. » s’affiche. Vérifiez que le port vers poll.shareconnect.com n’est pas bloqué. Pour de plus amples informations, consultez la section Configuration requise plus haut dans cet article.

Profils de connexion ShareConnect

Important :

Citrix recommande de tester ShareConnect en définissant la stratégie Accès réseau sur Non restreint pour exclure les problèmes liés aux ports et aux paramètres réseau. L’accès illimité oblige ShareConnect à se connecter via le serveur de communication ShareConnect, ce qui vous permet généralement de tester la connexion si l’appareil mobile ShareConnect et l’ordinateur hôte disposent d’un accès Internet.

Problème Description et résolution
ShareConnect démarre, mais ne se connecte pas à l’ordinateur hôte et n’invite pas les utilisateurs à entrer leurs informations d’identification. Vérifiez que votre installation répond aux conditions requises par les ports détaillées plus haut dans cet article sous Configuration requise.
Les utilisateurs ne peuvent pas se connecter à ShareConnect à l’aide de leurs informations d’identification au compte Citrix Files. L’authentification unique à Citrix Files nécessite que votre compte ShareFile soit configuré avec un fournisseur d’identité SAML. Pour plus d’informations sur l’utilisation de Endpoint Management en tant que fournisseur d’identité SAML, voir Citrix Files pour Endpoint Management. Pour de plus amples informations sur la configuration d’autres fournisseurs d’identité, consultez cet article du centre de connaissances. Si l’authentification unique n’est pas configurée pour votre compte, ShareConnect pour iOS invite les utilisateurs à entrer leur nom d’utilisateur et mot de passe Citrix Files.
Une fois que les utilisateurs se sont connectés à ShareConnect, ShareConnect ne peut pas se connecter à l’ordinateur hôte. Lorsque ShareConnect est configuré pour des connexions directes (en d’autres termes, la stratégie Accès réseau est définie sur Tunnélisé vers le réseau interne), des échecs de connexion peuvent se produire si des restrictions sont imposées dans les paramètres réseau, par exemple dans le cas où des pare-feu ou des serveurs proxy sont configurés.