Guide de déploiement : architecture FAS multidomaine - Dossiers médicaux électroniques externes

Les dossiers médicaux électroniques (DSE) sont essentiels pour que les professionnels de santé puissent fournir des soins intensifs aux patients. Près de 9 cliniciens sur 10 utilisent un dossier médical électronique en 2021. En raison des efforts nécessaires pour héberger et déployer les dossiers médicaux médicaux, de nombreuses entreprises du secteur de la santé utilisent des solutions hébergées par des tiers. Epic rapporte que 97 clients utilisent le cloud privé d’Epic.

Parallèlement à ces déploiements externes, de nombreuses entreprises du secteur de la santé optent pour l’authentification basée sur le protocole SAML afin d’améliorer la sécurité, car elle offre une plus grande flexibilité et des politiques d’authentification plus précises. Le SAML représente un défi pour les déploiements utilisant des environnements Citrix internes et hébergés par des tiers : comment activer un SSO cohérent pour les VDA sans authentification LDAP ? Ce défi peut être résolu en implémentant le Citrix Federated Authentication Service (FAS) avec le fournisseur externe via des approbations bidirectionnelles Active Directory (AD). La confiance peut être une confiance forestière bidirectionnelle ou une approbation externe bidirectionnelle entre les domaines spécifiques.

Notre documentation précédente couvre la configuration lorsque les utilisateurs et les objets informatiques se trouvent dans deux domaines distincts. Ce guide de déploiement couvre la configuration lorsque l’infrastructure Citrix est divisée en deux domaines, ce qui est courant pour les dossiers médicaux électroniques hébergés par des tiers. Un futur guide de déploiement est prévu pour les configurations de domaine alternatives.

Active Directory Trusts Refresh

La plupart des utilisateurs finaux ont besoin d’accéder à plusieurs domaines pour les ressources partagées, et les approbations permettent aux utilisateurs d’accéder à ces domaines. Lorsqu’il existe une confiance entre les domaines, les processus d’authentification de chaque domaine font confiance à l’authentification provenant de l’autre domaine. Les approbations peuvent être des approbations à sens unique, c’est-à-dire fournir aux utilisateurs du domaine approuvé un accès aux ressources d’un domaine de confiance. Les approbations peuvent également être bidirectionnelles, en fournissant un accès depuis chaque domaine aux ressources de l’autre.

Il y a aussi l’étendue de la confiance à prendre en compte. Les trusts ont deux options : l’authentification à l’échelle de la forêt ou l’authentification sélective. L’authentification à l’échelle de la forêt permet aux utilisateurs du domaine de confiance de s’authentifier auprès de toutes les ressources du domaine approuvé. L’authentification sélective n’autorise pas automatiquement les utilisateurs à accéder aux ressources du domaine approuvé. Les administrateurs doivent accorder un accès individuel aux ressources spécifiques qu’ils souhaitent que les utilisateurs finaux utilisent. Les trusts à l’échelle de la forêt sont préférables lorsque les deux forêts appartiennent à la même organisation. Les approbations d’authentification sélectives sont préférables si les forêts appartiennent à différentes organisations. Les organisations peuvent également avoir les deux types de champs d’application dans des directions distinctes (sortie sélective et entrée complète ou l’inverse).

Pour configurer FAS avec des VDA hébergés par des tiers, une confiance bidirectionnelle est requise. La forêt hébergée tierce doit faire confiance à la forêt client pour qu’un compte client puisse se connecter à un VDA dans cette forêt hébergée.

La forêt cliente doit également faire confiance à la forêt hébergée, car les VDA hébergés doivent communiquer avec les serveurs FAS et les autorités de certification du client. Pour des raisons de sécurité, étant donné que dans ce cas une organisation tierce héberge les VDA, Citrix recommande de configurer l’authentification sélective plutôt que l’authentification à l’échelle de la forêt.

Architecture conceptuelle

Schéma d'architecture

Résumé de la configuration de haut niveau

Pour qu’une organisation puisse activer l’authentification SAML FAS sur des ressources externes, une confiance bidirectionnelle doit être activée pour les raisons évoquées dans la section précédente. Les utilisateurs du client doivent être en mesure de s’authentifier auprès des ressources Citrix du domaine hébergé. Cela inclut à la fois les Delivery Controller ou Cloud Connector et les objets informatiques VDA. Pour s’authentifier auprès du FAS, les VDA hébergés doivent être en mesure de s’authentifier auprès du serveur FAS et du contrôleur de domaine du client.

En outre, pour permettre aux VDA hébergés de s’authentifier auprès de l’autorité de certification du client, tous les certificats racines/intermédiaires provenant du domaine du client doivent être ajoutés au VDA. Les certificats doivent être ajoutés aux magasins NTAuth et Trusted Root Certificate Authorities sur les VDA. Le VDA hébergé atteint le domaine du client et a donc besoin de la chaîne de certificats client.

Du côté du FAS, le GPO FAS doit être configuré dans les deux domaines pour pointer les VDA hébergés et StoreFront client vers le serveur FAS. Si les utilisateurs s’authentifient directement sur StoreFront, les magasins StoreFront concernés doivent être configurés pour gérer l’authentification SAML. Si un NetScaler est utilisé, cette étape n’a pas besoin de se produire. NetScaler gère l’authentification SAML et transmet l’ utilisateur à StoreFront.

De plus, par défaut, la règle par défaut du FAS inclut uniquement les VDA du domaine client. La règle doit être mise à jour pour inclure les VDA hébergés.

Considérations relatives à Citrix Cloud

Cet article détaille les configurations requises lorsque les environnements client et d’hébergement sont entièrement sur site. Le tableau répertorie les modifications de configuration requises lors de la mise en œuvre de la solution avec les différentes solutions Citrix Cloud.

Client \ Hébergement CVAD DaaS
CVAD+ StoreFront Couvert dans cet article. Aucune modification de configuration n’est nécessaire. Tout ce qui fait référence aux Delivery Controller hébergés doit être appliqué aux Cloud Connectors hébergés.
DaaS + StoreFront Aucune modification de configuration n’est nécessaire. Tout ce qui fait référence aux Delivery Controller hébergés doit être appliqué aux Cloud Connectors hébergés. Aucune modification de configuration n’est nécessaire. Tout ce qui fait référence aux Delivery Controller hébergés doit être appliqué aux Cloud Connectors hébergés.
DaaS + Espace de travail Nécessite [de mapper le site CVAD d’hébergement local dans l’interface utilisateur de Workspace].(/en-us/citrix-workspace/optimize-cvad/add-on-premises-site.html) Il n’est actuellement pas possible de mapper plusieurs locataires DaaS dans l’interface utilisateur de Workspace. Cette fonctionnalité est en version préliminaire publique. Contactez le spécialiste de la technologie de votre compte si vous souhaitez activer cette fonctionnalité.

Conditions préalables

Ce guide de déploiement part du principe que les utilisateurs finaux accèdent déjà à des VDA hébergés en externe. Les seules modifications de configuration nécessaires sont d’activer l’authentification SAML avec FAS. Dans ce scénario, il existe déjà une relation de confiance unidirectionnelle entre le client et le domaine d’hébergement pour permettre aux utilisateurs de s’authentifier. Les utilisateurs du client ont été configurés pour s’authentifier auprès des Delivery Controller et des VDA hébergés. Le paramètre du site CVAD de -TrustRequestsSentToTheXmlServicePort est défini sur true. Si vous utilisez le DaaS, les instructions pour configurer ce paramètre se trouvent ici.

#run these commands on the Delivery Controller
#add Citrix snap-in
asnp Citrix*
#see brokersite information
get-brokersite
#set XML trust requests to true
set-brokersite -TrustRequestsSentToTheXmlServicePort $true
<!--NeedCopy-->

Si l’environnement n’est actuellement pas configuré pour les VDA hébergés en externe, il n’est pas nécessaire de configurer une approbation unidirectionnelle. Une confiance bidirectionnelle peut être déployée dès le départ. Les conditions préalables supplémentaires doivent être configurées pour un accès réussi aux ressources.

Étapes de déploiement

Configuration d’AD Trust

  1. Mettez à jour la confiance unidirectionnelle existante en une confiance bidirectionnelle, via l’ [interface graphique (GUI](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc780479(v=ws.10)) ou PowerShell).

Groupes locaux de domaines et authentification sélective

Remarque :

Si vous utilisez l’authentification à l’échelle de la forêt (au lieu de l’authentification sélective recommandée), vous pouvez ignorer ces étapes car il n’est pas nécessaire de définir explicitement les autorisations.

  1. Citrix recommande de créer un groupe Active Directory local pour les VDA hébergés dans le domaine du client. Ces groupes facilitent l’application des autorisations d’authentification. Dans cet exemple, le groupe local du domaine s’appelle « Hosted-AllowedAuth ». Tous les VDA du domaine hébergé doivent être ajoutés à ce groupe. Dans cet exemple, un groupe de sécurité de tous les VDA est utilisé.

    Photo 01

  2. Si une confiance unidirectionnelle est déjà en place, les utilisateurs du client doivent déjà disposer d’un groupe local de domaine autorisé à s’authentifier auprès du Delivery Controller et des VDA hébergés. Si cette configuration n’a pas été utilisée auparavant, créez un groupe local de domaine avec les utilisateurs Citrix du client dans le domaine hébergé.

    Photo 02

  3. Dans le domaine client, les VDA hébergés ont besoin d’autorisations pour s’authentifier auprès des serveurs FAS et des contrôleurs de domaine.

    Remarque :

    Si vous n’avez jamais effectué de déploiement externe auparavant, vous devez autoriser les utilisateurs clients à s’authentifier auprès des Delivery Controller et des VDA hébergés. Le même processus illustré s’applique également à ces autorisations.

  4. Dans « Utilisateurs et ordinateurs Active Directory », accédez à l’unité d’organisation qui contient les serveurs FAS. Cliquez avec le bouton droit sur le serveur et sélectionnez « Propriétés ».

    Photo 03

  5. Cliquez sur l’onglet « Sécurité » pour afficher les autorisations. Remarque : si vous ne voyez pas l’onglet « Sécurité », vous devez activer les « Fonctionnalités avancées », qui se trouvent dans le menu « Affichage ».

    Photo 04

    Photo 05

  6. Cliquez sur le bouton « Avancé » et sélectionnez « Ajouter ».

    Photo 06

  7. Pour le principal, sélectionnez le groupe Hosted-AllowedAuth créé précédemment. Cette autorisation doit s’appliquer aux « objets Descendant Computer ». Accordez les autorisations « Autorisé à s’authentifier ». Les autorisations de « lecture » sont ajoutées automatiquement. Cliquez sur « OK ».

    Photo 07

  8. Répétez les étapes 5 à 8 pour l’unité d’organisation des contrôleurs de domaine.

Certificats VDA

  1. Distribuez les certificats racine et intermédiaires du client aux images dorées du VDA hébergées via GPO. Les VDA hébergés nécessitent l’installation de la chaîne complète de certificats clients.
  2. Vérifiez que les certificats racines/intermédiaires apparaissent dans le dossier Trusted Root Certification Authority > Certificates du VDA.

    Photo 08

  3. Ce guide explique comment ajouter des certificats au conteneur NTAuth AD. Cette méthode redirige l’autorité de certification racine du client vers tous les ordinateurs que NTAuth stocke dans le domaine. Si vous souhaitez uniquement installer les certificats sur les VDA, passez à l’étape 6. Dans l’environnement hébergé, accédez à l’autorité de certification hébergée et ouvrez une console MMC > Ajouter/Supprimer un composant logiciel enfichableEnterprise PKI.

    Photo 09

  4. Cliquez avec le bouton droit sur « Enterprise PKI » et sélectionnez « Gérer les conteneurs AD… ».

    Photo 10

  5. Accédez à l’onglet « NTAuthContainers », cliquez sur « Ajouter » pour ajouter le certificat racine du client à partir d’un emplacement sur la machine locale.

    Photo 11

  6. Dans PowerShell, sur l’image dorée du VDA, utilisez la commande. certutil -viewstore -enterprise NTAuth Vérifiez que les certificats clients ont été installés dans le magasin NTAuth.

    Photo 12

    Remarque :

    les commandes PowerShell peuvent être utilisées pour ajouter le certificat au magasin NTAuth localement sur l’image du VDA.

    #add certificate:
    certutil -addstore- enterprise NTAuth “C:\filepath\certname.cer”
    #delete certificate:
    certutil -viewdelstore -enterprise NTAuth
    #view NTAuth Store:
    certutil -viewstore -enterprise NTAuth
    <!--NeedCopy-->
    

Configuration FAS

Cette configuration nécessite de légères modifications par rapport à la configuration FAS normale.

  1. Lors de la création de la règle FAS par défaut, sous Autorisations pour les VDA, incluez le groupe Hosted-AllowedAuth pour permettre aux VDA hébergés d’utiliser également FAS.

    Photo 13

  2. Installez les modèles FAS .admx et .adml sur le client et les contrôleurs de domaine hébergés.
  3. Sur le domaine client, implémentez le paramètre de politique du service d’authentification fédérée dans Modèles d’administration > Composants Citrix > UO d’authentification. Cette politique doit pointer vers le serveur FAS et être appliquée au dossier contenant les serveurs StoreFront.

    Remarque :

    Si vous préférez utiliser des clés de registre pour implémenter ce paramètre, la clé de registre est présente HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses. Le nom de la clé est Address1 et la valeur est le nom de domaine complet du serveur FAS. Si vous utilisez plusieurs serveurs FAS, vous pouvez ajouter d’autres clés sous le nom Address2, Address3, etc.

    Photo 14

  4. Sur le domaine hébergé, implémentez le paramètre de politique du service d’authentification fédérée dans Modèles d’administration > Composants Citrix > UO d’authentification. Cette politique doit pointer vers le serveur FAS et être appliquée au dossier contenant les VDA.

    Photo 15

  5. Envisagez de mettre en œuvre les recommandations de renforcement du FAS pour améliorer la sécurité du FAS.
  6. Vérifiez que le lancement de l’application fonctionne et que les utilisateurs peuvent accéder à leurs ressources par authentification unique.

Consultez ce blog pour résoudre les problèmes liés au FAS.

Références

Documentation du produit FAS

Blog multi-domaines FAS

Blog FAS sur la résolution des problèmes

L’authentification FAS échoue avec le message d’erreur « Le nom d’utilisateur ou le mot de passe est incorrect »

Blog sur l’automatisation du FAS

Concepts d’authentification Windows

Guide de déploiement : architecture FAS multidomaine - Dossiers médicaux électroniques externes