Configurer les passerelles Citrix
Utilisez les passerelles Citrix pour fournir l’authentification et l’accès à distance à StoreFront et à vos Virtual Delivery Agents (VDA). Les passerelles Citrix fonctionnent sur des NetScaler ADC matériels ou logiciels. Le service Citrix Gateway est géré par Citrix et peut être utilisé pour le routage HDX, mais pas pour l’authentification ou l’accès à distance à StoreFront.
Pour plus d’informations sur la configuration de votre passerelle, consultez Intégrer NetScaler Gateway à StoreFront.
Vous devez configurer votre passerelle dans StoreFront avant que StoreFront n’autorise l’accès via cette passerelle.
Afficher les passerelles
Pour afficher les passerelles configurées dans StoreFront, sélectionnez le nœud Stores dans le volet gauche de la console de gestion Citrix StoreFront et dans le volet, cliquez sur Gérer les passerelles Citrix. Cela affiche la fenêtre Gérer les passerelles Citrix.

PowerShell
Pour obtenir une liste des passerelles et de leur configuration, appelez Get-STFRoamingGateway.
Ajouter une appliance Citrix Gateway
-
Dans la fenêtre Gérer les passerelles Citrix, cliquez sur Ajouter.
-
Dans l’onglet Paramètres généraux, saisissez les paramètres, puis appuyez sur Suivant.
-
Spécifiez un Nom d’affichage pour le déploiement Citrix Gateway qui aidera les utilisateurs à l’identifier.
Les utilisateurs voient le nom d’affichage que vous spécifiez dans l’application Citrix Workspace, alors incluez des informations pertinentes dans le nom pour aider les utilisateurs à décider s’ils doivent utiliser ce déploiement. Par exemple, vous pouvez inclure la localisation géographique dans les noms d’affichage de vos déploiements Citrix Gateway afin que les utilisateurs puissent facilement identifier le déploiement le plus pratique pour leur emplacement.
-
Définissez le Type de passerelle sur Appliance Citrix Gateway.
-
Saisissez l’URL de la passerelle.
Le nom de domaine complet (FQDN) de votre déploiement StoreFront doit être unique et différent du FQDN du serveur virtuel Citrix Gateway. L’utilisation du même FQDN pour StoreFront et le serveur virtuel Citrix Gateway n’est pas prise en charge. La passerelle ajoute l’URL à l’en-tête HTTP
X-Citrix-Via. StoreFront utilise cet en-tête pour déterminer quelle passerelle est utilisée.Via l’interface graphique, il est uniquement possible d’ajouter une seule URL de passerelle. Si une passerelle est accessible par plusieurs URL, vous devez ajouter la même passerelle deux fois avec une configuration identique, à l’exception de l’URL. Pour simplifier la configuration, vous pouvez configurer une URL secondaire utilisée pour accéder à la passerelle. Cette option n’est pas disponible via l’interface graphique, vous devez donc la configurer à l’aide de PowerShell. Vous devez fermer la console de gestion avant d’exécuter des commandes PowerShell. Par exemple, si vous avez plusieurs passerelles derrière un équilibreur de charge de serveur global (GSLB), il est généralement utile d’ajouter à la fois l’URL GSLB et une URL qui peut être utilisée pour accéder à chaque passerelle régionale spécifique, par exemple à des fins de test ou de dépannage. Une fois que vous avez créé la passerelle, vous pouvez ajouter une URL supplémentaire à l’aide de
Set-STFRoamingGateway, en utilisant le paramètre-GSLBurlpour l’URL secondaire. Bien que le paramètre soit appeléGSLBurl, il peut être utilisé pour toute situation où vous souhaitez ajouter une deuxième URL. Par exemple :Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->Remarque :
De manière contre-intuitive dans cet exemple, le paramètre
GSLBurlcontient l’URL régionale tandis que le paramètreGatewayUrlcontient l’URL GSLB. Dans la plupart des cas, les URL sont traitées de manière identique et si le magasin n’est accessible que via un navigateur Web, elles peuvent être configurées dans un sens ou dans l’autre. Cependant, lors de l’accès à StoreFront via l’application Citrix Workspace, celle-ci lit leGatewayUrlde StoreFront et l’utilise ensuite pour l’accès à distance, et il est préférable qu’il soit configuré pour toujours se connecter à l’URL GSLB.Si vous avez besoin de plus de deux URL, vous devrez configurer cela comme une passerelle distincte.
-
Sélectionnez l’utilisation ou le rôle :
Utilisation ou rôle Description Authentification et routage HDX Utilisez la passerelle à la fois pour fournir un accès à distance à StoreFront et pour accéder aux VDA. Authentification uniquement Sélectionnez cette option si la passerelle est utilisée uniquement pour l’accès à distance à StoreFront. Cette option empêche le fonctionnement du lanceur Citrix Workspace. Par conséquent, si vous devez utiliser des lancements hybrides, choisissez Authentification et routage HDX même si la passerelle ne sera utilisée que pour l’authentification. Routage HDX uniquement Sélectionnez cette option si la passerelle est utilisée uniquement pour fournir un accès HDX aux VDA, par exemple sur un site qui ne dispose pas d’une instance StoreFront.
Capture d’écran de l’onglet Paramètres généraux de l’écran Ajouter une appliance Gateway(/fr-fr/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-general-settings.png)
-
-
Remplissez les paramètres de l’onglet Secure Ticketing Authority.
L’autorité de billetterie sécurisée émet des tickets de session en réponse aux demandes de connexion. Ces tickets de session constituent la base de l’authentification et de l’autorisation pour la détection de l’application Citrix Workspace et l’accès aux VDA.
-
Saisissez une ou plusieurs URL de serveur Secure Ticket Authority.
- Si vous utilisez Citrix Virtual Apps and Desktops™, vous pouvez utiliser les contrôleurs de livraison comme serveurs STA.
- Si vous utilisez Citrix Desktop as a Service, vous pouvez utiliser vos connecteurs cloud comme serveurs STA. Ceux-ci transmettent les requêtes à l’autorité de billetterie Citrix Cloud™, ou, en mode LHC, génèrent leurs propres tickets. À l’avenir, cela changera afin qu’ils génèrent toujours leurs propres tickets pour une meilleure résilience.
- Il est recommandé d’utiliser au moins 2 serveurs STA pour la redondance.
- Lorsque vous utilisez des Cloud Connectors comme serveurs STA, il est recommandé d’inclure tous les connecteurs cloud dans au moins un emplacement de ressources. Premièrement, au sein d’un emplacement de ressources, Citrix Cloud garantit qu’un seul connecteur cloud est mis à niveau à la fois, de sorte qu’inclure tous les connecteurs garantit qu’il y a toujours au moins un connecteur qui n’est pas mis à niveau. Deuxièmement, si l’emplacement de ressources passe en mode LHC, seul le Cloud Connector désigné comme le « broker élu » peut émettre des tickets STA. Comme vous ne pouvez pas savoir à l’avance quel connecteur ce sera, incluez tous les Cloud Connectors dans l’emplacement de ressources.
- Assurez-vous que tous les serveurs STA répertoriés dans StoreFront sont également répertoriés comme serveurs STA dans le serveur virtuel Citrix Gateway. Si des serveurs sont manquants dans le Citrix Gateway, cela peut entraîner l’échec des lancements. Aujourd’hui, lorsque vous utilisez des Cloud Connectors comme STA, cela peut ne pas être apparent en utilisation normale, car tout connecteur peut être utilisé pour échanger des tickets auprès de l’autorité de billetterie Citrix Cloud. Cependant, en mode Local Host Cache, le connecteur génère ses propres tickets et à l’avenir, cela deviendra le comportement par défaut.
- Le Delivery Controller ou le Cloud Connector peut être configuré de manière à ce que StoreFront doive inclure une clé de sécurité. Il n’est pas possible d’ajouter des clés de sécurité à l’aide de l’interface graphique ; consultez l’étape ultérieure pour les ajouter à l’aide de PowerShell.
-
Sélectionnez Équilibrer la charge de plusieurs serveurs STA pour distribuer les requêtes entre les serveurs STA. Si cette option est désactivée, StoreFront essaiera les serveurs dans l’ordre dans lequel ils sont répertoriés.
-
Si StoreFront ne peut pas atteindre un serveur STA, il évite d’utiliser ce serveur pendant une période de temps. Par défaut, cette durée est de 1 heure, mais vous pouvez personnaliser cette valeur.
-
Si vous souhaitez que Citrix Virtual Apps and Desktops maintienne les sessions déconnectées ouvertes pendant que l’application Citrix Workspace tente de se reconnecter automatiquement, sélectionnez Activer la fiabilité de session.
-
Si vous avez configuré plusieurs STA, sélectionnez éventuellement Demander des tickets à deux STA, si disponible.
Lorsque l’option Demander des tickets à deux STA, si disponible est sélectionnée, StoreFront obtient des tickets de session de deux STA différents afin que les sessions utilisateur ne soient pas interrompues si un STA devient indisponible au cours de la session. Si, pour une raison quelconque, StoreFront ne peut pas contacter deux STA, il revient à l’utilisation d’un seul STA.
Capture d’écran de l’onglet Secure Ticket Authority de l’écran Ajouter une appliance de passerelle(/fr-fr/storefront/2507-ltsr/media/integrate-with-citrix-gateway-and-citrix-adc/gateway-sta.png)
Une fois que vous avez rempli tous les paramètres, appuyez sur Suivant
-
-
Remplissez les paramètres dans l’onglet Paramètres d’authentification.
-
Choisissez la Version de NetScaler®.
-
S’il existe plusieurs passerelles avec la même URL (généralement lors de l’utilisation d’un équilibreur de charge de serveur global) et que vous avez entré une URL de rappel, vous devez entrer le VIP de la passerelle. Cela permet à StoreFront de déterminer de quelle passerelle la requête provient et donc quel serveur contacter à l’aide de l’URL de rappel. Sinon, vous pouvez laisser ce champ vide.
-
Dans la liste Type d’ouverture de session, sélectionnez la méthode d’authentification que vous avez configurée sur l’appliance pour les utilisateurs de l’application Citrix Workspace.
Les informations que vous fournissez sur la configuration de votre appliance Citrix Gateway sont ajoutées au fichier de provisioning du magasin. Cela permet à l’application Citrix Workspace d’envoyer la demande de connexion appropriée lors du premier contact avec l’appliance.
- Pour l’authentification LDAP, sélectionnez Domaine.
- Pour l’authentification OTP native, sélectionnez Jeton de sécurité.
- Pour l’authentification LDAP plus OTP, sélectionnez Domaine et jeton de sécurité.
- Pour l’OTP par message texte, sélectionnez Authentification SMS.
- Pour l’authentification par certificat, sélectionnez Carte à puce.
- Pour l’authentification SAML, sélectionnez Domaine.
- Pour l’authentification OIDC, sélectionnez Domaine.
Si vous configurez l’authentification par carte à puce avec une méthode d’authentification secondaire vers laquelle les utilisateurs peuvent se rabattre en cas de problème avec leurs cartes à puce, sélectionnez la méthode d’authentification secondaire dans la liste de secours de la carte à puce.
- Facultativement, entrez l’URL accessible en interne de la passerelle dans la zone URL de rappel. Cela permet à StoreFront de contacter le service d’authentification Citrix Gateway pour vérifier que les requêtes reçues de Citrix Gateway proviennent de cette appliance. C’est requis pour l’accès intelligent (smart access) et pour les scénarios d’authentification sans mot de passe tels que la carte à puce (Smart Card) ou SAML ; sinon, vous pouvez le laisser vide. Si vous avez plusieurs Citrix Gateways avec la même URL, alors cette URL doit être celle du serveur de passerelle spécifique.

Une fois que vous avez renseigné tous les paramètres, appuyez sur Suivant
-
-
Cliquez sur Créer pour appliquer la configuration.

-
Une fois le déploiement appliqué, cliquez sur Terminer.
-
Si vous avez configuré des clés de sécurité (recommandé), vous devez alors fermer la console de gestion et les configurer à l’aide de PowerShell. Par exemple :
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
Pour permettre aux utilisateurs d’accéder à vos magasins via la passerelle, configurez l’accès utilisateur à distance.
-
Par défaut, StoreFront utilise la passerelle qui a authentifié l’utilisateur pour le routage HDX vers ses ressources. Vous pouvez éventuellement configurer StoreFront pour qu’il utilise la passerelle lors de l’accès à des ressources particulières à l’aide du routage HDX optimal.
PowerShell
Pour ajouter une passerelle à l’aide de PowerShell, exécutez l’applet de commande New-STFRoamingGateway.
Ajouter le service Citrix Gateway
Si vous avez activé le service Citrix Gateway pour StoreFront dans Citrix Cloud, vous devez alors le configurer comme une passerelle au sein de StoreFront.
-
Dans la fenêtre Gérer les passerelles Citrix, cliquez sur Ajouter.
-
Dans l’onglet Paramètres généraux, saisissez les paramètres puis appuyez sur Suivant.
-
Spécifiez un Nom d’affichage pour le déploiement Citrix Gateway qui aidera les utilisateurs à l’identifier.
Les utilisateurs voient le nom d’affichage que vous spécifiez dans l’application Citrix Workspace, incluez donc des informations pertinentes dans le nom pour aider les utilisateurs à décider s’ils doivent utiliser ce déploiement. Par exemple, vous pouvez inclure la localisation géographique dans les noms d’affichage de vos déploiements Citrix Gateway afin que les utilisateurs puissent facilement identifier le déploiement le plus pratique pour leur emplacement.
-
Définissez le Type de passerelle sur Citrix Gateway Service. Cela a pour effet de définir l’Utilisation ou rôle sur Routage HDX™ uniquement et désactive l’URL Citrix Gateway.
-
Saisissez éventuellement une URL du service Citrix Gateway. Si l’URL est laissée vide, elle utilise l’URL commerciale par défaut
https://global.g.nssvc.netqui choisit le point de présence optimal pour l’emplacement de l’utilisateur. Si vous souhaitez utiliser une région de passerelle spécifique, par exemple pour une région particulière, vous pouvez saisir son URL ici. Pour une liste des URL de service de passerelle disponibles, consultez la documentation du service Citrix Gateway. -
Si vous avez saisi une URL du service Citrix Gateway, vous devez également saisir l’URL du service Citrix Gateway (mode connecteur STA) correspondante. Ceci spécifie l’URL du service de passerelle à utiliser lorsque le connecteur cloud ne peut pas atteindre Citrix Cloud et émet donc ses propres tickets STA. Si l’URL est laissée vide, elle utilise l’URL par défaut
https://global-s.g.nssvc.net.

-
-
Remplissez les paramètres sous l’onglet Cloud Connectors.
Les connecteurs cloud permettent à StoreFront d’atteindre Citrix Cloud pour rechercher la configuration de la passerelle et d’atteindre l’autorité de billetterie cloud pour demander des tickets de session.
-
Saisissez au moins une URL de serveur Cloud Connector.
StoreFront appelle ces connecteurs cloud pour récupérer les tickets STA que l’application Citrix Workspace peut utiliser pour authentifier les requêtes via le . En fonctionnement normal, les Cloud Connectors transmettent les requêtes à l’autorité de billetterie Citrix Cloud, ou, en mode LHC, génèrent leurs propres tickets. À l’avenir, cela changera afin qu’ils génèrent toujours leurs propres tickets pour une meilleure résilience.
- Il est recommandé d’inclure plusieurs connecteurs cloud dans le même emplacement de ressource, car un seul Cloud Connector est mis à niveau à la fois dans chaque emplacement de ressource, garantissant qu’au moins un Cloud Connector est toujours disponible. Pour une redondance accrue, ajoutez des Cloud Connectors dans plusieurs emplacements de ressources.
- Au lieu de lister chaque Cloud Connector individuellement dans un emplacement de ressource, vous pouvez ajouter un équilibreur de charge qui distribue les requêtes entre les Cloud Connectors de cet emplacement. Cependant, dans la configuration VServer du , vous devez lister chaque connecteur individuellement.
- Citrix DaaS peut être configuré de manière à ce que StoreFront doive inclure une clé de sécurité. Il n’est pas possible d’ajouter des clés de sécurité à l’aide de l’interface graphique ; consultez l’étape ultérieure pour les ajouter à l’aide de PowerShell.
-
Sélectionnez Équilibrer la charge de plusieurs serveurs pour distribuer les requêtes entre les serveurs. Si cette option est désactivée, StoreFront essaiera les serveurs dans l’ordre dans lequel ils sont listés.
-
Si StoreFront ne peut pas atteindre un serveur, il évite d’utiliser ce serveur pendant un certain temps. Par défaut, cette durée est de 1 heure, mais vous pouvez personnaliser cette valeur.
-
Sélectionnez éventuellement Activer la fiabilité de session.
-
Sélectionnez éventuellement Demander des tickets à deux connecteurs cloud, si disponibles.

Une fois que vous avez rempli les paramètres, sélectionnez Suivant.
-
-
Sélectionnez Créer pour appliquer la configuration.

-
Une fois le déploiement appliqué, sélectionnez Terminer.
-
Si vous avez configuré des clés de sécurité (recommandé), vous devez fermer la console de gestion et les configurer à l’aide de PowerShell. Par exemple :
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
Par défaut, StoreFront utilise la même passerelle pour accéder aux ressources que celle utilisée pour l’authentification, par conséquent le service Citrix Gateway n’est jamais utilisé. Vous devez utiliser le routage HDX optimal pour configurer quand StoreFront doit utiliser le service Citrix Gateway.
PowerShell
Pour ajouter une passerelle à l’aide de PowerShell, exécutez l’applet de commande New-STFRoamingGateway, en définissant -IsCloudGateway $true.
Modifier Citrix Gateway
-
Dans la fenêtre Gérer les passerelles Citrix, cliquez sur la passerelle que vous souhaitez modifier et appuyez sur Modifier.
Pour une description des paramètres, consultez Ajouter une appliance Citrix Gateway
-
Appuyez sur Enregistrer pour sauvegarder vos modifications.
PowerShell
Pour modifier la configuration de la passerelle à l’aide de PowerShell, exécutez l’applet de commande Set-STFRoamingGateway.
Supprimer Citrix Gateway
-
Dans la fenêtre Gérer les passerelles Citrix, cliquez sur la passerelle que vous souhaitez modifier et appuyez sur Supprimer.
-
Dans la fenêtre de confirmation, appuyez sur Oui.
PowerShell
Pour supprimer la passerelle à l’aide de PowerShell, exécutez l’applet de commande Remove-STFRoamingGateway.