Configuration

Configurer votre environnement

Citrix Receiver pour iOS prend en charge la configuration de l’Interface Web pour votre déploiement XenApp. Il existe deux types de sites Interface Web : les sites XenApp Services (anciennement Program Neighborhood Services) et les sites XenApp et XenDesktop. Les sites Interface Web permettent aux machines clientes de se connecter à la batterie de serveurs. Plusieurs solutions permettent d’assurer l’authentification entre Citrix Receiver et un site Interface Web, notamment Citrix Access Gateway et Citrix Secure Gateway.

Vous pouvez également configurer StoreFront de manière à fournir des services d’authentification et de mise à disposition de ressources pour Citrix Receiver, ce qui vous permet de créer de façon centralisée des magasins d’entreprise destinés à délivrer des bureaux, applications ainsi que d’autres ressources aux utilisateurs.

Pour plus d’informations sur la configuration des connexions, y compris des vidéos, des blogs et un forum d’assistance, référez-vous à http://community.citrix.com.

Avant d’autoriser vos utilisateurs à accéder aux applications hébergées sur votre déploiement XenApp ou XenDesktop, configurez les composants suivants dans votre déploiement comme indiqué ci-dessous.

  • Lors de la publication d’applications sur vos batteries ou sites, envisagez les options suivantes pour améliorer l’expérience des utilisateurs qui accèdent aux applications par le biais des magasins StoreFront.

    • Veillez à inclure des descriptions claires des applications publiées, car ces descriptions sont consultées par les utilisateurs dans Citrix Receiver.
    • Vous pouvez augmenter la visibilité des applications publiées auprès des utilisateurs d’appareils mobiles en répertoriant les applications dans la liste Sélection de Citrix Receiver. Pour renseigner cette liste sur Citrix Receiver, modifiez les propriétés des applications publiées sur vos serveurs et ajoutez la chaîne KEYWORDS:Featured au champ Description de l’application.
    • Pour que le mode Ajuster à l’écran puisse adapter l’application à la taille de l’écran des appareils mobiles, modifiez les propriétés des applications publiées sur vos serveurs et ajoutez la chaîne KEYWORDS:mobile au champ Description de l’application. Ce mot-clé active également la fonctionnalité de défilement automatique pour l’application.
    • Pour abonner automatiquement tous les utilisateurs d’un magasin à une application, ajoutez la chaîne KEYWORDS:Auto à la description que vous fournissez lors de la publication de l’application dans XenApp. Lorsque les utilisateurs ouvrent une session dans le magasin, l’application est automatiquement provisionnée sans qu’ils aient à y souscrire manuellement.
  • Si l’Interface Web de votre déploiement XenApp ou XenDesktop ne dispose ni d’un site Web, ni d’un site XenApp et XenDesktop, créez-en un. Le nom du site et sa méthode de création dépendent de la version de l’Interface Web que vous avez installée.

Configurer StoreFront

Important :

  • Lors de l’utilisation de StoreFront, Citrix Receiver prend en charge Citrix Access Gateway Enterprise Edition à partir de la version 9.3, et NetScaler Gateway jusqu’à la version 12.
  • Citrix Receiver pour iOS prend uniquement en charge les sites XenApp Services sur l’Interface Web.
  • Citrix Receiver pour iOS prend en charge le lancement de sessions à partir de Receiver pour Web, à condition que le navigateur Web fonctionne avec Receiver pour Web. Si le lancement échoue, configurez votre compte directement via Citrix Receiver pour iOS. Les utilisateurs doivent ouvrir le fichier ICA manuellement à l’aide de la fonction Ouvrir dans du navigateur. Pour prendre connaissance des limitations de ce déploiement, consultez la documentation StoreFront.

Les magasins que vous créez dans StoreFront se composent de services destinés à fournir une infrastructure d’authentification et de mise à disposition de ressources pour Citrix Receiver. Créez des magasins qui énumèrent et regroupent les bureaux et applications des sites XenDesktop et des batteries XenApp, tout en mettant ces ressources à la disposition des utilisateurs.

  1. Installez et configurez StoreFront. Pour de plus amples informations, consultez la rubrique StoreFront dans la section Technologies > StoreFront de la documentation Produit. Pour les administrateurs soucieux d’exercer un contrôle plus rigoureux, Citrix fournit un modèle que vous pouvez utiliser pour créer un site de téléchargement pour Citrix Receiver pour iOS.
  2. Configurez des magasins pour StoreFront comme vous le feriez pour toute autre application XenApp ou XenDesktop. Aucune configuration spéciale n’est nécessaire pour les appareils mobiles. Pour plus de détails, consultez la section Options d’accès utilisateur dans la section StoreFront de la documentation Produit. Pour les appareils mobiles, utilisez l’une de ces méthodes :
    • Fichier de provisioning. Vous pouvez fournir aux utilisateurs des fichiers de provisioning (.cr) contenant les informations nécessaires pour se connecter aux magasins. Après l’installation, les utilisateurs ouvrent le fichier sur leur appareil configurer automatiquement Citrix Receiver. Par défaut, les sites Receiver pour Web offrent aux utilisateurs un fichier de provisioning destiné au magasin pour lequel le site est configuré. Alternativement, vous pouvez utiliser la console de gestion Citrix StoreFront pour générer des fichiers de provisioning pour des magasins uniques ou multiples que vous distribuez manuellement à vos utilisateurs.
    • Configuration manuelle. Vous pouvez informer directement les utilisateurs des adresses URL d’Access Gateway ou de magasin nécessaire à l’accès à leurs bureaux ou applications. Pour les connexions via Access Gateway, les utilisateurs doivent également connaître l’édition du produit et la méthode d’authentification requise. Après installation, les utilisateurs entrent ces détails dans Citrix Receiver, qui tente de vérifier la connexion et, si réussi, invite les utilisateurs à ouvrir une session.
    • Configuration automatique. Appuyez sur Ajouter un compte sur l’écran de bienvenue et entrez l’URL du serveur StoreFront dans le champ d’adresse. Le compte est configuré lorsqu’il est ajouté.

Pour configurer Access Gateway et NetScaler Gateway

Si certains de vos utilisateurs se connectent en dehors du réseau interne (par exemple, les utilisateurs qui se connectent via Internet ou à partir d’emplacements distants), configurez l’authentification via NetScaler Gateway ou Access Gateway.

  • Lors de l’utilisation de StoreFront, Citrix Receiver prend en charge Citrix Access Gateway Enterprise Edition à partir de la version 9.3, et NetScaler Gateway jusqu’à la version 12.
  • Pour de plus amples informations, consultez la rubrique correspondant à votre version d’Access Gateway ou de NetScaler Gateway dans la documentation Produit.

Pour configurer Citrix Receiver pour accéder aux applications

  1. Si vous voulez configurer Receiver de manière à accéder directement aux applications lors de la création d’un compte, dans le champ Adresse, entrez l’adresse URL de votre magasin, telle que storefront.organization.com.
  2. Sélectionnez l’option Utiliser carte à puce si vous utilisez une carte à puce pour l’authentification.
  3. Pour une configuration manuelle (accessible en appuyant sur Options > Installation manuelle), continuez en renseignant les champs restants et sélectionnez la méthode d’authentification à Access Gateway (ou NetScaler Gateway), telle que l’activation du jeton de sécurité, le choix du type d’authentification et l’enregistrement des paramètres.

Remarque :

Les ouvertures de session sur le magasin sont valides pour environ une heure. Une fois cette période écoulée, les utilisateurs doivent de nouveau ouvrir une session pour actualiser ou lancer d’autres applications.

Configurer l’authentification du certificat client

Important :

  • Lors de l’utilisation de StoreFront, Receiver prend en charge Citrix Access Gateway Enterprise Edition à partir de la version 9.3, et NetScaler Gateway jusqu’à la version 11.
  • L’authentification du certificat client est prise en charge par Receiver pour iOS à partir de la version 5.5.
  • Seules les éditions 9.x et 10.x (et les versions ultérieures) d’Access Gateway Enterprise prennent en charge l’authentification du certificat client.
  • Les types d’authentification double doivent être CERT et LDAP.
  • Citrix Receiver prend également en charge l’authentification facultative du certificat client.
  • Seuls les certificats P12 sont pris en charge.

Les utilisateurs qui ouvrent une session sur un serveur virtuel Access Gateway (ou NetScaler Gateway) peuvent également être authentifiés en fonction des attributs du certificat client qui est présenté au serveur virtuel. L’authentification du certificat client peut également être utilisée avec un autre type d’authentification, à savoir LDAP, afin de fournir une authentification double.

Pour authentifier les utilisateurs en fonction des attributs du certificat du côté client, l’authentification du client doit être activée sur le serveur virtuel et le certificat client doit être demandé. Vous devez lier un certificat racine au serveur virtuel sur Access Gateway.

Lorsque les utilisateurs ouvrent une session sur le serveur virtuel Access Gateway, après l’authentification, les informations sur le nom d’utilisateur et le domaine sont extraites à partir du champ spécifié du certificat. Ces informations doivent figurer dans le champ SubjectAltName:OtherName:MicrosoftUniversalPrincipalName du certificat. Elles sont au format « nomutilisateur@domaine ». Si le nom d’utilisateur et le domaine sont extraits avec succès, et que l’utilisateur fournit les autres informations requises (par exemple un mot de passe), l’utilisateur est authentifié. Si l’utilisateur ne fournit pas un certificat et des informations d’identification valides, ou si l’extraction du nom d’utilisateur/domaine échoue, l’authentification échoue.

Vous pouvez authentifier les utilisateurs en fonction du certificat client en définissant le type d’authentification par défaut de manière à utiliser le certificat client. Vous pouvez également créer une action de certificat dont la tâche est de définir les opérations à réaliser durant l’authentification basée sur un certificat client SSL.

Pour configurer le site XenApp Services

Si vous n’avez pas encore créé de site XenApp Services, créez-en un pour les appareils mobiles dans la console XenApp ou la console Interface Web (en fonction de la version de XenApp que vous avez installée).

Citrix Receiver pour appareils mobiles utilise un site XenApp Services (anciennement appelé site Agent Program Neighborhood) pour obtenir des informations sur les applications auxquelles un utilisateur est autorisé à accéder et les présenter au logiciel Receiver exécuté sur l’appareil. Ce processus est similaire à la manière dont vous utilisez l’Interface Web pour les connexions XenApp SSL traditionnelles pour lesquelles une passerelle Access Gateway peut être configurée.

Configurez le site XenApp Services pour Receiver pour appareils mobiles afin de prendre en charge les connexions en provenance d’Access Gateway.

  1. Dans le site XenApp Services, sélectionnez Gérer l’accès client sécurisé > Modifier les paramètres d’accès au client sécurisé.
  2. Dans Méthode d’accès, choisissez Passerelle directe.
  3. Entrez le nom de domaine complet du boîtier Access Gateway.
  4. Entrez les informations de Secure Ticket Authority (STA).

Pour configurer le boîtier Access Gateway

Pour l’authentification du certificat client, configurez Access Gateway avec l’authentification à deux facteurs à l’aide de deux stratégies d’authentification : Cert et LDAP. Pour de plus amples informations, reportez-vous à la version d’Access Gateway édition Enterprise (9. uniquement) ou Access Gateway 10 dans la documentation produit et accédez à la rubrique : Configuration de l’authentification du certificat client.

  1. Créez une stratégie de session sur Access Gateway de manière à autoriser les connexions XenApp entrantes provenant du Receiver, et spécifiez l’emplacement du site XenApp Services que vous venez de créer.
    • Créez une stratégie de session pour identifier Receiver pour appareils mobiles comme étant à l’origine de la connexion. Lors de la création de la stratégie de session, configurez l’expression suivante et sélectionnez Match All Expressions en tant qu’opérateur de l’expression :

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver

    • Dans la configuration de profil associé pour la stratégie de session, sur l’onglet Security, définissez Default Authorization sur Allow.

      Sur l’onglet Published Applications, s’il ne s’agit pas d’un paramètre global (vous avez coché la case Override Global), assurez-vous que la valeur ON est attribuée au champ ICA Proxy.

      Dans le champ Web Interface Address, entrez l’adresse URL, y compris le fichier config.xml pour le site XenApp Services que les utilisateurs de l’appareil utilisent, telle que //XenAppServerName/Citrix/PNAgent/config.xml ou /XenAppServerName/CustomPath/config.xml.

    • Associez la stratégie de session à un serveur virtuel.

    • Créez des stratégies d’authentification pour Cert et LDAP.

    • Associez les stratégies d’authentification au serveur virtuel.

    • Configurez le serveur virtuel afin de demander des certificats clients dans la négociation TLS (sur l’onglet Certificate, ouvrez SSL Parameters, et pour Client Authentication, définissez Client Certificate sur Mandatory. Important : si le certificat de serveur utilisé sur Access Gateway fait partie d’une chaîne de certificats (avec un certificat intermédiaire), assurez-vous que les certificats intermédiaires sont également installés sur Access Gateway. Pour de plus amples informations sur l’installation de certificats, consultez la documentation Access Gateway.

Pour configurer l’appareil mobile pour Citrix Receiver

Si l’authentification du certificat client est activée sur Access Gateway, les utilisateurs sont authentifiés en fonction de certains attributs du certificat client. Une fois l’authentification terminée, le nom d’utilisateur et le domaine sont extraits du certificat et les stratégies spécifiées pour cet utilisateur sont appliquées.

  1. À partir de Citrix Receiver, ouvrez Compte, et dans le champ Serveur, entrez le nom de domaine complet de votre serveur Access Gateway, tel que ServeurCertificatClientGateway.organisation.com. Receiver détecte automatiquement que le certificat client est requis.
  2. Deux choix se présentent à l’utilisateur : il peut soit installer un nouveau certificat, soit en sélectionner un dans la liste des certificats déjà installés. Pour l’authentification du certificat client iOS, le certificat doit uniquement être téléchargé et installé par l’application Receiver.
  3. Après avoir sélectionné un certificat valide, les champs nom d’utilisateur et domaine de l’écran d’ouverture de session sont renseignés avec le nom d’utilisateur provenant du certificat, et l’utilisateur entre les informations restantes, y compris le mot de passe.
  4. Si l’authentification du certificat client est définie sur Facultative, les utilisateurs peuvent ignorer la sélection du certificat en appuyant sur Précédent dans la page des certificats. Dans ce cas, Receiver établit la connexion et affiche l’écran d’ouverture de session.
  5. Ceci fait, les utilisateurs peuvent lancer des applications sans avoir à fournir de nouveau le certificat. Receiver stocke le certificat du compte et l’utilise automatiquement lors des ouvertures de session suivantes.

Configurer Secure Gateway

Pour configurer le site XenApp Services

Important :

  • Secure Gateway 3.x est pris en charge par Receiver pour iOS à l’aide de sites XenApp Services.
  • Secure Gateway 3.x est pris en charge par Citrix Receiver pour iOS à l’aide de sites Web XenApp.
  • Seule l’authentification à un facteur est prise en charge sur les sites XenApp Services. L’authentification à un facteur et l’authentification à deux facteurs sont toutes les deux prises en charge sur les sites XenApp Web.
  • Vous devez utiliser l’Interface Web 5.4, qui est prise en charge par tous les navigateurs intégrés.

Avant de commencer la configuration, installez et configurez Secure Gateway de sorte qu’elle fonctionne avec l’Interface Web. Vous pouvez modifier ces instructions afin de les adapter à votre environnement spécifique.

Si vous utilisez une connexion Secure Gateway, ne configurez pas les paramètres Citrix Access Gateway sur le Receiver.

Receiver pour appareils mobiles utilise un site XenApp Services (anciennement appelé site Agent Program Neighborhood) pour obtenir des informations sur les applications auxquelles un utilisateur est autorisé à accéder et les présenter au logiciel Receiver exécuté sur l’appareil. Ce processus est similaire à la manière dont vous utilisez l’Interface Web pour les connexions XenApp SSL traditionnelles pour lesquelles une passerelle Access Gateway peut être configurée. Cette capacité de configuration est intégrée aux sites XenApp Services exécutés sur l’Interface Web 5. x.

Configurez le site XenApp Services pour prendre en charge des connexions provenant d’une connexion Secure Gateway :

  1. Dans le site XenApp Services, sélectionnez Gérer l’accès client sécurisé > Modifier les paramètres d’accès au client sécurisé.
  2. Dans Méthode d’accès, choisissez Passerelle directe.
  3. Entrez le nom de domaine complet du boîtier Secure Gateway.
  4. Entrez les informations de Secure Ticket Authority (STA).

Remarque :

pour Secure Gateway, Citrix recommande d’utiliser le chemin d’accès par défaut Citrix pour ce site (//NomServeurXenApp/Citrix/PNAgent). Le chemin d’accès par défaut permet à vos utilisateurs de spécifier le nom de domaine complet de la passerelle Secure Gateway à laquelle ils se connectent plutôt que le chemin d’accès complet au fichier config.xml qui réside sur le site XenApp Services (tel que //NomServeurXenApp/Cheminpersonnalisé/config.xml).

Pour configurer Secure Gateway

  1. Sur Secure Gateway, utilisez l’assistant de configuration de Secure Gateway pour configurer Secure Gateway de manière à fonctionner avec le serveur du réseau sécurisé qui héberge le site XenApp Services. Après avoir sélectionné l’option Indirect, entrez le chemin d’accès du nom de domaine complet de votre serveur Secure Gateway et complétez les étapes suivantes de l’assistant.
  2. Testez une connexion à partir d’une machine utilisateur pour vous assurer que Secure Gateway est correctement configuré en termes de réseau et d’allocation de certificat.

Pour configurer l’appareil mobile pour l’application Receiver

  1. Lors de l’ajout d’un compte Secure Gateway, entrez le nom de domaine complet correspondant de votre serveur Secure Gateway dans le champ Adresse :
    • Si vous avez créé le site XenApp Services à l’aide du chemin par défaut (/Citrix/PNAgent), entrez le FQDN de Secure Gateway : FQDNdeSecureGateway.nomd’entreprise.com.
    • Si vous avez personnalisé le chemin d’accès au site XenApp Services, entrez le chemin d’accès complet au fichier config.xml, tel que : FQDNdeSecureGateway.nomd’entreprise.com/CheminPersonnalisé/config.xml.
  2. Si vous configurez manuellement le compte, désactivez l’option Access Gateway Nouveau compte.

Configurer l’Interface Web

Pour configurer le site Interface Web

Les utilisateurs d’iPhone et d’iPad peuvent lancer des applications via votre site Interface Web et le navigateur Safari intégré à leur appareil mobile. Configurez le site Interface Web comme vous le feriez pour toute autre application XenApp. Si aucun site XenApp Services n’est configuré pour l’appareil mobile, Citrix Receiver utilise automatiquement votre site Interface Web. Aucune configuration spéciale n’est nécessaire pour les appareils mobiles.

L’Interface Web 5.x est prise en charge par le navigateur Safari intégré.

Pour lancer des applications sur l’appareil iOS

Sur l’appareil mobile, les utilisateurs peuvent se connecter au site Interface Web à l’aide de leur nom de connexion et mot de passe.

Configurer des appareils mobiles automatiquement

Dans StoreFront, utilisez les tâches Exporter le fichier de provisioning multi-magasins et Exporter le fichier de provisioning pour générer des fichiers contenant les détails de connexion des magasins, y compris les déploiements NetScaler Gateway et les balises configurées pour les magasins. Mettez ces fichiers à la disposition des utilisateurs pour leur permettre de configurer Citrix Receiver automatiquement avec les détails relatifs aux magasins. Les utilisateurs peuvent également obtenir les fichiers de provisioning Citrix Receiver à partir de sites Receiver pour Web.

Important : dans les déploiements comprenant de multiples serveurs, n’utilisez qu’un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n’est exécutée sur aucun des serveurs dans le déploiement. Ceci terminé, propagez les modifications que vous avez apportées au groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.

  1. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront.
  2. Pour générer un fichier de provisioning contenant les détails relatifs à plusieurs magasins, dans le panneau Actions, cliquez sur Exporter le fichier de provisioning multi-magasins, puis sélectionnez les magasins que vous souhaitez inclure dans ce fichier.
  3. Cliquez sur Exporter et enregistrez le fichier de provisioning avec une extension .cr sur un emplacement approprié de votre réseau.

Configurer des comptes manuellement

En général, lorsque Receiver se connecte à une passerelle Access Gateway, Receiver tente de localiser un site XenApp Services ou XenApp Web après l’authentification. Si aucun site n’est détecté, Receiver affiche une erreur. Pour éviter ce problème, vous pouvez configurer un compte manuellement pour faire en sorte que Receiver se connecte à Access Gateway.

  1. Touchez l’icône Comptes dans le coin supérieur droit et dans l’écran Comptes, touchez le signe Plus (+). L’écran Nouveau compte s’affiche.
  2. Dans le coin inférieur gauche, touchez l’icône à gauche de Options et touchez Installation manuelle. Des champs supplémentaires s’affichent sur l’écran.
  3. Dans le champ Adresse, entrez l’adresse URL sécurisée du site ou de la passerelle Access Gateway, en fonction de celui ou celle à laquelle vous voulez vous connecter (par exemple, agee.masociété.com).
  4. Sélectionnez l’une des options de connexion suivantes. Les champs restants sur l’écran changent, en fonction de votre sélection.
    • Interface Web : permet à Receiver d’afficher un site XenApp Web similaire à un navigateur Web. Également appelé Affichage Web.
    • XenApp Services : permet à Receiver de localiser un site XenApp Services spécifique pour lequel l’authentification via Access Gateway n’est pas configurée. Dans les options supplémentaires qui s’affichent à l’écran, saisissez les informations d’identification d’ouverture de session au site.
      • <FQDN StoreFront> : s’il existe plusieurs magasins, une liste s’affiche et l’utilisateur peut choisir le magasin à ajouter.
      • <FQDN StoreFront>/citrix/<Nom magasin> : cela ajoute le magasin StoreFront <Nom magasin>.
      • <FQDN StoreFront>/citrix/PnAgent/config.xml : cela ajoute le magasin PNAgent d’ancienne génération par défaut.
      • <FQDN StoreFront>/citrix/<Nom magasin>/PnAgent/config.xml : cela ajoute le magasin PNAgent d’ancienne génération associé au <Nom magasin>.
    • Access Gateway : permet à Receiver de se connecter à un site XenApp Services via une passerelle Access Gateway spécifique. Dans les options supplémentaires qui s’affichent à l’écran, sélectionnez l’édition de serveur et ses informations d’identification d’ouverture de session, y compris si un jeton de sécurité est requis pour l’authentification.
  5. Pour le certificat de sécurité, utilisez le paramètre dans le champ Ignorer les avertissements de certificat pour spécifier si vous voulez vous connecter au serveur même s’il dispose d’un certificat non valide, auto-signé ou expiré. Le paramètre par défaut est Désactivé. Important : si vous activez cette option, vous devez vous assurer que vous vous connectez au serveur correct. Citrix recommande fortement que tous les serveurs possèdent un certificat valide afin de protéger les machines utilisateur des attaques de sécurité en ligne. Un serveur sécurisé utilise un certificat SSL délivré depuis une autorité de certification. Citrix ne prend pas en charge les certificats auto-signés et ne recommande pas d’ignorer le certificat de sécurité.
  6. Touchez Enregistrer.
  7. Entrez votre nom d’utilisateur et mot de passe (ou jeton, si vous avez sélectionné l’authentification à deux facteurs) et touchez Ouvrir session. L’écran Citrix Receiver s’affiche, dans lequel vous pouvez accéder à vos bureaux et ajouter et ouvrir vos applications.