Gérer l’accès distant aux magasins via Citrix Gateway
Utilisez la tâche Paramètres d’accès distant pour configurer l’accès aux magasins via Citrix Gateway pour les utilisateurs se connectant depuis des réseaux publics. L’accès distant via Citrix Gateway ne peut pas être appliqué à des magasins non authentifiés.
Important :
Dans les déploiements faisant appel à de multiples serveurs, n’utilisez qu’un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n’est exécutée sur aucun des serveurs dans le déploiement. Une fois les modifications terminées, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
-
Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
-
Sélectionnez le nœud Magasin dans le panneau droit de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres d’accès distant.
-
Dans la boîte de dialogue Configurer les paramètres d’accès distant, spécifiez si les utilisateurs se connectant depuis des réseaux publics (et la manière dont ils se connectent) peuvent accéder au magasin via Citrix Gateway.
- Pour ne pas mettre le magasin à la disposition des utilisateurs sur des réseaux publics, ne sélectionnez pas Activer l’accès à distance. Seuls les utilisateurs locaux du réseau interne pourront accéder au magasin.
- Pour activer l’accès à distance, cochez la case Activer l’accès à distance.
- Pour mettre à disposition les ressources disponibles dans le magasin via Citrix Gateway, sélectionnez Aucun tunnel VPN. Les utilisateurs ouvrent une session à l’aide d’ICAProxy ou d’un VPN sans client (CVPN) à Citrix Gateway et n’ont pas besoin d’utiliser Citrix Gateway Plug-in pour établir un VPN complet.
- Pour mettre le magasin et les autres ressources du réseau interne à disposition via un tunnel de réseau privé virtuel SSL (VPN), sélectionnez Tunnel VPN complet. Les utilisateurs requièrent Citrix Gateway Plug-in pour établir le tunnel VPN.
Lorsque vous activez l’accès à distance au magasin, la méthode d’authentification Authentification pass-through via Citrix Gateway est automatiquement activée. Les utilisateurs s’authentifient sur Citrix Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins.
-
Si vous avez activé l’accès à distance, sélectionnez dans la liste Appliances Citrix Gateway les déploiements par le biais desquels les utilisateurs accèdent au magasin. Les déploiements que vous avez configurés précédemment pour ce magasin et d’autres magasins sont disponibles pour sélection dans la liste. Si vous souhaitez ajouter un déploiement supplémentaire à la liste, cliquez sur Ajouter. Sinon, passez à l’étape 14.
-
Sur la page Paramètres généraux, spécifiez un nom d’affichage pour l’appliance Citrix Gateway qui permettra aux utilisateurs de l’identifier.
Les utilisateurs verront alors s’afficher le nom que vous avez saisi dans l’application Citrix Workspace. Par conséquent, il est important d’inclure des informations utiles dans le nom pour aider les utilisateurs à se décider ou non à utiliser cette passerelle. Par exemple, vous pouvez indiquer l’emplacement géographique dans les noms affichés de vos déploiements Citrix Gateway pour permettre aux utilisateurs d’identifier facilement la passerelle la plus pratique ou la plus proche en fonction de leur situation.
-
Pour URL de Citrix Gateway, tapez la combinaison URL:port du serveur virtuel Citrix Gateway pour votre déploiement. Si aucun port n’est spécifié, alors le port par défaut
https://de 443 est utilisé. Il n’est pas nécessaire de spécifier le port 443 dans l’URL. - Sélectionnez l’utilisation de Citrix Gateway dans les options disponibles.
- Authentification et routage HDX : Citrix Gateway sera utilisé pour l’authentification, ainsi que pour le routage des sessions HDX.
- Authentification uniquement : Citrix Gateway sera utilisé pour l’authentification mais pas pour le routage des sessions HDX.
- Routage HDX uniquement : Citrix Gateway sera utilisé pour le routage des sessions HDX mais pas pour l’authentification.
-
Pour tous les déploiements sur lesquels vous mettez les ressources fournies par Citrix Virtual Apps and Desktops ou XenApp 6.5 à disposition dans le magasin, sur la page Secure Ticket Authority (STA), répertoriez les adresses URL STA des serveurs qui exécutent la STA. Saisissez les adresses URL de plusieurs STA pour activer la tolérance aux pannes en dressant la liste des serveurs par ordre de priorité pour définir la séquence de basculement.
La STA est hébergée sur les serveurs Citrix Virtual Apps and Desktops ou XenApp 6.5, et émet des tickets de session en réponse aux demandes de connexion. Ces tickets de session constituent la base de l’authentification et de l’autorisation d’accès aux ressources Citrix Virtual Apps and Desktops ou XenApp 6.5. Utilisez l’URL STA correcte (telle que
HTTPS://ouHTTP://) en fonction de la configuration de vos Delivery Controller. L’URL STA doit également être identique à celle configurée dans Citrix Gateway sur votre serveur virtuel. -
Choisissez d’équilibrer la charge de la Secure Ticket Authority. Vous pouvez également spécifier l’intervalle de temps après lequel les STA qui ne répondent pas sont ignorées.
-
Pour vous assurer que Citrix Virtual Apps and Desktops ou XenApp 6.5 maintiennent les sessions déconnectées ouvertes pendant que l’application Citrix Workspace tente de se reconnecter automatiquement, sélectionnez Activer la fiabilité de session.
-
Si vous configurez plusieurs STA et si vous voulez vous assurer que la fiabilité de session est toujours disponible, sélectionnez Demander des tickets de deux STA, si possible. StoreFront obtient des tickets de deux STA différentes et les sessions utilisateur ne sont pas interrompues si l’une des STA devient indisponible au cours de la session. Si pour une raison quelconque, StoreFront ne parvient pas à contacter deux STA, il en utilise une seule.
-
Dans la page Paramètres d’authentification, tapez l’Adresse IP de vServer de l’appliance Citrix Gateway.
Utilisez l’adresse IP privée du serveur virtuel Citrix Gateway plutôt que l’adresse IP publique qui est routée vers l’adresse IP privée. Les passerelles sont généralement identifiées par StoreFront via leurs URL. Si vous utilisez l’équilibrage de charge globale du serveur (GSLB), vous devez ajouter le VIP à chaque passerelle. Cela permet à StoreFront d’identifier plusieurs passerelles qui utilisent toutes la même URL (nom de domaine GSLB) comme des passerelles distinctes. Par exemple, trois passerelles peuvent être configurées pour le magasin avec la même URL telle que
https://gslb.domain.commais elles auraient chacune des VIP uniques configurées telles que 10.0.0.1, 10.0.0.2 et 10.0.0.3. -
Si vous ajoutez une appliance exécutant Citrix Gateway, sélectionnez dans la liste Type d’ouverture de session la méthode d’authentification que vous avez configurée sur l’appliance pour les utilisateurs de l’application Citrix Workspace.
- Si les utilisateurs sont tenus de saisir leurs informations d’identification de domaine Microsoft Active Directory, sélectionnez Domaine.
- Si les utilisateurs doivent saisir un tokencode obtenu à parmi d’un jeton de sécurité, sélectionnez Jeton de sécurité.
- Si les utilisateurs sont tenus de saisir leurs identifiants de domaine et un tokencode obtenu à partir d’un jeton de sécurité, sélectionnez Domaine et jeton de sécurité.
- Si les utilisateurs sont tenus de saisir un mot de passe ponctuel envoyé par SMS, sélectionnez Authentification SMS.
- Si les utilisateurs sont tenus de présenter une carte à puce et d’entrer un code PIN, sélectionnez Carte à puce.
Si vous configurez l’authentification avec carte à puce avec une méthode d’authentification secondaire sur laquelle les utilisateurs peuvent se rabattre s’ils rencontrent des problèmes avec leur carte à puce, sélectionnez la méthode d’authentification secondaire dans la liste Carte à puce de remplacement.
-
Si vous configurez StoreFront pour Citrix Gateway et que vous souhaitez utiliser Smart Access, vous devez taper une URL de rappel. StoreFront ajoute automatiquement la partie standard de l’URL. Entrez l’adresse URL de l’appliance accessible en interne. StoreFront contacte le service d’authentification Citrix Gateway pour vérifier que les requêtes reçues de Citrix Gateway proviennent de cette appliance.
Lorsque vous utilisez GSLB, nous vous recommandons de configurer des URL de rappel uniques pour chacune de vos passerelles GSLB. StoreFront doit être capable de faire correspondre chacune des URL de rappel uniques avec les VIP privés configurés pour chacun des serveurs virtuels de passerelle GSLB. Par exemple,
emeagateway.domain.com,usgateway.domain.cometapacgateway.domain.comdevraient correspondre à la passerelle VIP correcte. -
Cliquez sur Créer pour ajouter votre appliance Citrix Gateway à la liste dans la boîte de dialogue Paramètres d’accès à distance.
Les informations sur la configuration de vos appliances Citrix Gateway sont enregistrées dans le fichier de provisioning .cr du magasin. Ceci permet à l’application Citrix Workspace d’envoyer une demande de connexion appropriée lorsque vous contactez les appliances pour la première fois.
-
Répétez les étapes 4 à 13, si nécessaire, pour ajouter d’autres appliances Citrix Gateway à la liste des appliances Citrix Gateway. Si vous activez l’accès au travers de plusieurs appliances en sélectionnant plus d’une entrée dans la liste, spécifiez l’appliance par défaut à utiliser pour accéder au magasin.
- Cliquez sur OK pour enregistrer la configuration et fermer la boîte de dialogue Configurer l’accès distant.