Guide de déploiement : Citrix Secure Private Access sur site

Audience

Ce document est destiné aux architectes, aux concepteurs de réseaux, aux professionnels techniques, aux partenaires et aux consultants intéressés par la mise en œuvre de la solution Citrix Secure Private Access sur site. Elle est également conçue pour les administrateurs réseau, les administrateurs Citrix, les fournisseurs de services gérés ou toute personne souhaitant déployer cette solution.

Présentation de la solution

Citrix Secure Private Access sur site est une solution Zero Trust Network Access (ZTNA) gérée par le client qui fournit un accès sans VPN aux applications Web et SaaS internes avec le principe du moindre privilège, l’authentification unique (SSO), l’authentification multifactorielle et l’évaluation de la position des appareils, des contrôles de sécurité au niveau des applications et des fonctionnalités de protection des applications, ainsi qu’une expérience utilisateur fluide. La solution s’appuie sur l’application StoreFront sur site et Citrix Workspace pour offrir une expérience d’accès fluide et sécurisée permettant d’accéder aux applications Web et SaaS dans Citrix Enterprise Browser. Cette solution s’appuie également sur NetScaler Gateway pour appliquer les contrôles d’authentification et d’autorisation.

La solution Citrix Secure Private Access sur site améliore la sécurité globale et la conformité des entreprises en leur permettant de fournir facilement un accès Zero Trust aux applications Web internes et aux applications SaaS en utilisant le portail local StoreFront comme portail d’accès unifié aux applications Web et SaaS, ainsi qu’aux applications virtuelles et aux postes de travail en tant que partie intégrante de Citrix Workspace.

Citrix Secure Private Access combine des éléments de NetScaler Gateway et de StoreFront pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.

Fonctionnalité Service/Composant fournissant la fonctionnalité
Interface utilisateur cohérente pour accéder aux applications Application StoreFront sur site/Citrix Workspace
SSO vers SaaS et applications Web NetScaler Gateway
Authentification multifactorielle (MFA) et état de sécurité de l’appareil (également appelée analyse du point de terminaison) NetScaler Gateway
Contrôles de sécurité et contrôles de protection des applications pour les applications Web et SaaS Citrix Enterprise Browser
Stratégies d’autorisation NetScaler Gateway
Configuration et gestion Interface utilisateur Citrix Studio, interface utilisateur NetScaler, ADM
Visibilité, surveillance et résolution des problèmes NetScaler Gateway, ADM et Citrix Director

Cas d’utilisation

La solution Citrix Secure Private Access (SPA) sur site associée à Citrix Virtual Apps and Desktops (CVAD) On-Premises fournit une expérience utilisateur unifiée et sécurisée aux ressources virtualisées et aux applications basées sur un navigateur (applications Web et applications SaaS) avec une sécurité constante.

La solution SPA On-Premises est conçue pour répondre aux cas d’utilisation suivants à l’aide d’une solution gérée par le client.

Cas d’utilisation #1 : accès sécurisé pour les employés et les sous-traitants à des applications Web et SaaS internes à partir d’appareils gérés ou non gérés sans publier de navigateur ni utiliser de VPN.

Cas d’utilisation #2 : mettez en œuvre une approche Zero Trust complète grâce à des contrôles de sécurité du navigateur configurables par l’administrateur pour les applications Web et SaaS internes provenant d’appareils gérés ou non gérés, sans publier de navigateur ni utiliser de VPN.

Cas d’utilisation #3 : Accélérez l’accès des utilisateurs aux fusions et acquisitions (M & A) auprès de plusieurs fournisseurs d’identité, garantissez une sécurité constante et offrez un accès fluide aux utilisateurs finaux entre plusieurs groupes d’utilisateurs.

Exigences

Cet article fournit des instructions détaillées pour déployer Secure Private Access avec StoreFront et NetScaler Gateway. Le navigateur Citrix Enterprise (inclus dans l’application Citrix Workspace) est le logiciel client utilisé pour interagir en toute sécurité avec vos applications SaaS ou Web internes.
Le service GACS (Global App Config Service) est requis pour la gestion du navigateur Citrix Enterprise Browser.
Ce guide suppose que le lecteur possède une connaissance de base des offres Citrix et NetScaler suivantes et une expérience générale en matière d’administration de Windows :

  • Citrix Virtual Apps and Desktops
  • StoreFront
  • NetScaler Gateway
  • Global App Configuration Service

Versions :

  • Application Citrix Workspace
    • Windows — 2303 et versions ultérieures
    • macOS — 2304 et versions ultérieures
  • Citrix Virtual Apps and Desktops : versions LTSR et actuelles prises en charge
  • StoreFront : LTSR 2203 ou version non LTSR 2212 et versions ultérieures
  • NetScaler Gateway — 12.1 et versions ultérieures

Reportez-vous à la documentation suivante pour plus de détails, le cas échéant :

Vue d’ensemble technique

L’accès aux applications Web internes est possible depuis n’importe quel endroit, sur n’importe quel appareil et à tout moment via NetScaler Gateway avec le navigateur Citrix Enterprise (y compris dans l’application Citrix Workspace) installé. Il en va de même pour les applications SaaS, à la différence que l’accès peut être direct ou indirect via NetScaler Gateway.

Architecture conceptuelle

Le navigateur Citrix Enterprise et l’application Citrix Workspace communiquent avec NetScaler Gateway via une connexion cryptée TLS. NetScaler Gateway fournit un accès basé sur la confiance zéro en évaluant l’appareil de l’utilisateur, une authentification nFactor renforcée, l’autorisation des applications et l’authentification unique (SSO).
Citrix Enterprise Browser utilise le protocole Citrix Secure Browse pour autoriser l’accès aux noms de domaine internes (par exemple https://website.company.local) sans avoir besoin d’un nom DNS public.
Citrix Secure Private Access avec Citrix Enterprise Browser permet de configurer des contrôles de sécurité supplémentaires pour les applications Web, tels que le filigrane, le copier/coller, le montage/le téléchargement et les restrictions d’impression. Ces restrictions sont configurées dans un fichier appelé « policy.json ».

Processus de configuration

IMPORTANT

Un outil de configuration est disponible pour intégrer rapidement des applications et des politiques pour les applications, ainsi que pour configurer les paramètres de NetScaler Gateway et StoreFront.
Toutefois, prenez note des points suivants avant d’utiliser l’outil.

  • Lisez les sections Publier une application Web et Créer et publier le fichier de règles pour vous assurer de bien comprendre les exigences de configuration pour la configuration de la solution sur site.
  • Cet outil ne peut être utilisé qu’en complément des procédures existantes documentées dans cette rubrique et ne remplace pas la configuration qui doit être effectuée manuellement.

Pour plus de détails sur l’outil, voir Configurer des applications et des politiques à l’aide de l’outil de configuration Secure Private Access.

Étape 1 — Publier une application Web

La publication initiale d’une nouvelle application Web utilise une applet de commande Windows PowerShell installée avec Citrix Virtual Apps and Desktops. Dès que l’application Web est créée, les modifications ultérieures peuvent être effectuées à l’aide de la console Citrix Studio.

  • Ouvrez un Windows PowerShell sur une machine sur laquelle le SDK PowerShell est installé.
  • Exécutez la commande suivante pour charger les applets de commande Citrix :
    Add-PSSnapIn citrix*
  • Définissez les variables nécessaires pour l’application Web :
    avant d’exécuter les commandes, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
$deliveryGroupName = "<delivery-group-name>"
$appURL = "<URL-of-the-app>"
$appName = "<app-name>"
$appIconFilePath = "<app-Icon>"
$appDescription = "KEYWORDS:SPAENABLED"
<!--NeedCopy-->

Exemple

$deliveryGroupName = "CVAD-On-Prem"
$appURL = "https://finance.training.local"
$appName = "Finance-Portal"
$appIconFilePath = "C:\temp\Icon\finance.ico"
$appDescription = "KEYWORDS:SPAENABLED"
<!--NeedCopy-->
  • Exécutez les commandes suivantes pour publier la nouvelle application Web :
$deliveryGroupUid = (Get-BrokerDesktopGroup -Name $deliveryGroupName).Uid
New-BrokerApplication -ApplicationType PublishedContent -CommandLineExecutable $appURL -Name $appName -DesktopGroup $deliveryGroupUid -Description $appDescription
<!--NeedCopy-->
  • (Facultatif) Exécutez les commandes suivantes pour modifier l’icône de l’application Web :
$encodedIconData = [convert]::ToBase64String((Get-Content $appIconFilePath -Encoding byte))
New-BrokerIcon -EncodedIconData $encodedIconData
$UidEncode = Get-BrokerIcon | Select-Object Uid
$testUid = $UidEncode[-1].Uid
$IconUid = [int]$testUid
Set-BrokerApplication -name $appName -IconUid $IconUid
<!--NeedCopy-->
  • Exécutez la commande suivante pour vérifier l’application Web :
Get-BrokerApplication -ApplicationType PublishedContent | Format-Table @{Label="Type"; Expression={$\_.ApplicationType}},Name,@{Label="URL"; Expression={$\_.CommandLineExecutable}},@{Label="Delivery group"; Expression={(Get-BrokerDesktopGroup -Uid $_.AssociatedDesktopGroupUids[0]).Name}},Description
<!--NeedCopy-->

Exemple de sortie

Type Nom URL Groupe de mise à disposition Description
Contenu publié Portail des finances https://finance.training.local CVAD sur site MOTS CLÉS : SPA ACTIVÉ
Contenu publié Docteur https://doctor.training.local CVAD sur site MOTS CLÉS : SPA ACTIVÉ
  • Dans Citrix Studio, dans la section Applications, vous pouvez voir la nouvelle application Web.
    Toutes les modifications futures seront effectuées dans la console Citrix Studio.

Remarque

Pour plus d’informations sur la façon de publier du contenu, cliquez ici.
Pour plus d’informations sur la modification de l’icône par défaut, cliquez ici.

Étape 2 — Création et publication du fichier de stratégie

Le fichier de stratégie nommé policy.json définit le routage et les contrôles de sécurité de chaque application Web publiée.
Par exemple, les contrôles de sécurité d’une application Office 365 SaaS doivent-ils être activés et acheminés via votre centre de données, ou le trafic doit-il être direct ?

Remarque : Si vous connaissez la structure et les valeurs du fichier de règles, passez à l’ exemple de fichier policy.json complet.

Structure des fichiers de stratégie

Le fichier de stratégie est au format JSON et contient les sections suivantes :

  • stratégies
    La section des stratégies définit les contrôles de sécurité et le routage du trafic pour toutes les applications SaaS Web publiées. Pour les sites Web non publiés, une stratégie fourre-tout est définie.
    Remarque : Si l’application Web se compose de différents noms de domaine, vous devez tous les spécifier pour appliquer correctement les contrôles de sécurité.

Le tableau suivant répertorie les options de stratégie d’accès disponibles et leurs valeurs :

Nom de la clé Description de la stratégie Valeur
nom Nom de l’application SaaS/Web publiée Il est recommandé d’utiliser le même nom que celui saisi lors de la publication de l’application.
modèles Liste séparée par des virgules des noms de domaine associés à cette application. Vous pouvez également utiliser des caractères génériques. Ces noms de domaine sont utilisés pour appliquer des stratégies aux applications par Citrix Enterprise Browser. Exemples : “.office.com/”, “.office.net/”, “.microsoft.com/”, “.sharepoint.com/
filigrane_v1 Afficher le filigrane sur la page Web activé ou désactivé
presse-papiers v1 Restreindre le presse-papiers sur la page Web activé ou désactivé
impression_v1 Restreindre l’impression à partir de la page Web activé ou désactivé
télécharger_v1 Restreindre les téléchargements depuis la page Web activé ou désactivé
upload_v1 Restreindre les téléchargements vers la page Web activé ou désactivé
keylogging_v1 Activer ou désactiver l’anti-keylogging pour la page Web activé ou désactivé
capture d’écran_v1 Activer ou désactiver la fonction anti-capture d’écran pour la page Web activé ou désactivé
proxytraffic_v1 Détermine si le navigateur Citrix Enterprise canalise le trafic vers la page Web via NetScaler Gateway à l’aide du protocole de navigation sécurisé ou s’il permet un accès direct. SecureBrowse ou direct
navigateur_v1 Ce paramètre s’applique uniquement lorsque le navigateur Citrix Enterprise est configuré en tant que navigateur professionnel. Lorsque ce paramètre est défini sur EmbeddedBrowser, les liens relatifs aux domaines d’accès privé sécurisé configurés s’ouvrent dans le navigateur Citrix Enterprise SystemBrowser ou EmbeddedBrowser

Remarque

La valeur enabled représente ALLOW et disabled BLOCK.

*La protection contre l’enregistrement des frappes et la capture d’écran nécessitent l’installation de la fonctionnalité de protection des applications fournie avec l’application Citrix Workspsace.*

Modèle

"policies": [{
    "name": "<app name>",
    "patterns": ["<FQDN 1>/\*", "<FQDN 2>/\*"],
    "policy": {
      "watermark_v1": "disabled",
      "clipboard_v1": "disabled",
      "printing_v1": "disabled",
      "download_v1": "disabled",
      "upload_v1": "disabled",
      "keylogging_v1": "disabled",
      "screencapture_v1": "disabled",
      "proxytraffic_v1": "secureBrowse",
      "browser_v1": "embeddedBrowser"
    }
 }, {
    "patterns": ["\*/\*"],
    "policy": {
      "proxytraffic_v1": "direct",
    }
 }
]
<!--NeedCopy-->
  • système
    La section système définit l’adresse NetScaler Gateway vers laquelle le trafic est acheminé.

Modèle

"system": {
  "secureBrowseAddress": "https://<netscalergateway FQDN>"
}
<!--NeedCopy-->

Exemple complet de fichier policy.json

{
  "policies": [{
      "name": "Finance-Portal",
      "patterns": ["\*.finance.training.local/\*"],
      "policy": {
        "watermark_v1": "enabled",
        "clipboard_v1": "enabled",
        "printing_v1": "disabled",
        "download_v1": "disabled",
        "upload_v1": "disabled",
        "keylogging_v1": "disabled",
        "screencapture_v1": "disabled",
        "proxytraffic_v1": "secureBrowse",
        "browser_v1": "embeddedBrowser"
      }
   }, {
      "name": "Doctor",
      "patterns": ["\*.doctor.training.local/\*"],
      "policy": {
        "watermark_v1": "disabled",
        "clipboard_v1": "disabled",
        "printing_v1": "enabled",
        "download_v1": "enabled",
        "upload_v1": "enabled",
        "keylogging_v1": "disabled",
        "screencapture_v1": "disabled",
        "proxytraffic_v1": "secureBrowse",
        "browser_v1": "embeddedBrowser"
      }
   }, {
      "patterns": ["\*/\*"],
      "policy": {
        "proxytraffic_v1": "direct"
      }
    }
  ],
  "system": {
    "secureBrowseAddress": "https://citrix.training.com"
  }
}
<!--NeedCopy-->

Emplacement du fichier de stratégie

Le fichier policy.json doit être placé sur chaque serveur StoreFront à l’adresse
C:\inetpub\wwwroot\Citrix\<store-name>\Resources\SecureBrowser.

Remarque : Les structures de dossiers « Resources » et « SecureBrowser » doivent d’abord être créées.

Exemple

Dans cet exemple, nous utilisons le magasin StoreFront par défaut appelé « Store ».

mkdir C:\inetpub\wwwroot\Citrix\Store\Resources
mkdir C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser
<!--NeedCopy-->

Placez le fichier policy.json dans le répertoire « SecureBrowser ».

Vérifier le téléchargement du fichier de stratégie

  • Ouvrez un navigateur Web installé sur votre serveur StoreFront.
  • Accédez à l’adresse suivante https://<StoreFront server FQDN>/Citrix/<Store name>/Resources/SecureBrowser/policy.json et téléchargez le fichier de stratégie.
    Avant d’exécuter le téléchargement, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
    Exemple : https://xa02.training.local/Citrix/Store/Resources/SecureBrowser/policy.json
  • Le fichier devrait être téléchargé correctement.

Remarque

Suivez les étapes ci-dessous si une page d’erreur IIS 404.7 s’affiche, indiquant que le filtrage des demandes bloque le téléchargement.

  • Ouvrez le Gestionnaire des services Internet (IIS).
  • Accédez au dossier SecureBrowser créé précédemment.
  • Dans la section Feature View, double-cliquez sur Filtrage des demandes.
  • Dans le volet Actions, cliquez sur Autoriser l’extension du nom de fichier.
  • Entrez « .json » et cliquez sur OK.
  • Testez à nouveau le téléchargement.

Pour plus d’informations sur la configuration du filtrage des demandes, cliquez ici.

Magasin StoreFront web.config

Pour que les détails de la nouvelle stratégie soient disponibles pour l’application Citrix Workspace et le navigateur Citrix Enterprise, nous devons modifier le fichier web.config dans le répertoire StoreFront.
(Par exemple, C:\inetpub\wwwroot\Citrix\Store\web.config)

  • Créez une sauvegarde du fichier web.config actuel dans C:\inetpub\wwwroot\Citrix\<store-name>\
    Example : copy C:\inetpub\wwwroot\Citrix\Store\web.config C:\inetpub\wwwroot\Citrix\Store\web.config.orig
  • Ouvrez le bloc-notes, insérez le code suivant et enregistrez le fichier au, format ModifyWebConf.ps1 pour modifier correctement le fichier web.config.
function Editwebconf {
param (
[parameter(Mandatory = $true)][String]$Global:webconfigfile
  )

# Read in the contents of the file
$content = Get-Content $Global:webconfigfile

# Define the multi-line string you want to replace
$oldText = '<add name="endpointCapabilities" value="clientAssistantGetIcaFile" />'

# Define the new string you want to replace it with
$newText = '<add name="endpointCapabilities" value="clientAssistantGetIcaFile" />
            </data>
          </route>
          <route name="webSecurePolicy" order="22" url="Resources/SecureBrowser/policy.json">
            <defaults>
              <add param="controller" value="BrowserPolicy" />
              <add param="action" value="BrowserResources" />
            </defaults>
            <data>
              <add name="endpointId" value="WebSecurePolicy" />
              <add name="endpointCapabilities" value="webSecurePolicy" />
              <add name="CommonData" factory="Citrix.DeliveryServices.Configuration.ObjectCollectionFactory, Citrix.DeliveryServices.Configuration, Version=3.23.0.0, Culture=neutral, PublicKeyToken=e8b77d454fa2a856" path="citrix.deliveryservices/dazzleResources" property="commonData" />'

# Iterate through each line in the content and replace the old text with the new text
for ($i = 0; $i -lt $content.Count; $i++) {
    if ($content[$i] -match '<route name="webSecurePolicy" order="22" url="Resources/SecureBrowser/policy.json">') {
        Write-Host "web.config has already been modified"
        exit
    }
    if ($content[$i] -match $oldText) {
        $content[$i] = $content[$i] -replace $oldText, $newText
    }
}

# Write the modified content back to the file
Set-Content $Global:webconfigfile $content
Write-Host "$newText"
}

Editwebconf
<!--NeedCopy-->
  • Ouvrez un Windows PowerShell.
  • Basculez vers le répertoire de ModifyWebConf.ps1.
  • Exécutez la commande suivante .\ModifyWebConf.ps1.
  • Lorsque vous êtes invité à entrer Global:webconfigfile:, insérez le chemin complet, y compris le nom du fichier, dans votre fichier web.conf.
    Exemple : C:\inetpub\wwwroot\Citrix\Store\web.config

Sortie

PS C:\temp> .\ModifyWebConf.ps1

cmdlet Editwebconf at command pipeline position 1
Supply values for the following parameters:
Global:webconfigfile: C:\inetpub\wwwroot\Citrix\Store\web.config
<add name="endpointCapabilities" value="clientAssistantGetIcaFile" />
            </data>
          </route>
          <route name="webSecurePolicy" order="22" url="Resources/SecureBrowser/policy.json">
            <defaults>
              <add param="controller" value="BrowserPolicy" />
              <add param="action" value="BrowserResources" />
            </defaults>
            <data>
              <add name="endpointId" value="WebSecurePolicy" />
              <add name="endpointCapabilities" value="webSecurePolicy" />
              <add name="CommonData" factory="Citrix.DeliveryServices.Configuration.ObjectCollectionFactory, Citrix.DeliveryServices.Configuration, Version=3.23.0.0, Culture=neutral, PublicKeyToken=e8b77d454fa2a856" path="citrix.deliveryservices/dazzleResources" property="commonData" />
<!--NeedCopy-->

Étape 3 — Configuration de NetScaler Gateway sur site

La configuration de NetScaler Gateway comprend quatre étapes essentielles :

Remarque

L’accès sans client ne fonctionne que lorsque ICA Only est défini sur false sur le serveur virtuel NetScaler Gateway. (Paramètre par défaut pour les nouveaux déploiements)

Pour un accès sans client afin de fonctionner avec StoreFront, spécifiez une URL de rappel dans votre configuration StoreFront.

L’accès aux applications Web publiées n’est possible qu’à l’aide de l’application Citrix Workspace et du navigateur Citrix Enterprise.

Activer l’accès sans client

Un accès sans client est requis pour que Citrix Enterprise Browser se connecte aux applications Web.

Il existe deux options pour activer l’accès sans client :

Citrix recommande d’activer cette stratégie par session afin de mieux contrôler l’accès sans client.

Accès sans client dans le monde entier

L’accès sans client activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler

    1. Dans l’onglet Configuration, développez Citrix Gateway, puis cliquez sur Paramètres généraux.
    2. Sur la page Paramètres globaux, cliquez sur Modifier les paramètres globaux.
    3. Dans l’onglet Expérience client, sélectionnez Activé pour accéder sans client.
    4. Dans l’onglet Applications publiées, sélectionnez OFF pour ICA Proxy, puis cliquez sur OK.
  • CLI NetScaler

    1. Exécutez la commande suivante :
      set vpn parameter -clientlessVpnMode On -icaProxy OFF
Stratégie de session d’accès sans client

La configuration de la stratégie d’accès sans client par session permet de restreindre les paramètres pour les utilisateurs, les groupes ou les serveurs virtuels Gateway. La création d’une nouvelle stratégie/action de session avec les mêmes paramètres permet de passer facilement d’une configuration icaProxy à clientless access.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler

    1. Dans l’onglet Configuration, développez NetScaler Gateway, développez Stratégies, puis cliquez sur Session.
    2. Sur la page Session, passez à l’onglet Profils de session et ouvrez le profil de session pour l’application Citrix Workspace. (par exemple, AC_OS_192.168.0.100)
    3. Dans l’onglet Expérience client, à côté de Clientless Access, cliquez sur Override Global, puis sélectionnez Activé.
    4. Dans l’onglet Applications publiées, à côté de ICA Proxy, cliquez sur Override Global, sélectionnez OFF, puis cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
      set vpn sessionAction <session-profile-name> -clientlessVpnMode On -icaProxy OFF

Configuration du codage des adresses Web

L’activation de l’accès sans client vous permet de coder les adresses des applications Web internes ou de laisser l’adresse en texte clair. Il est recommandé de définir le codage de l’URL d’accès sans client sur Effacer.

Il existe deux options pour définir le codage des URL d’accès sans client :

Encodage des URL dans le monde

L’accès sans client activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez Citrix Gateway, puis cliquez sur Paramètres généraux.
    2. Sur la page Paramètres globaux, cliquez sur Modifier les paramètres globaux.
    3. Dans l’onglet Expérience client, sélectionnez Effacer pour le codage de l’URL d’accès sans client, puis cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante :
      set vpn parameter -clientlessModeUrlEncoding TRANSPARENT
Stratégie de session de codage des URL

La configuration du codage des URL d’accès sans client par session permet de restreindre le paramètre pour les utilisateurs, les groupes ou les serveurs virtuels Gateway.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez NetScaler Gateway, développez Stratégies, puis cliquez sur Session.
    2. Sur la page Session, passez à l’onglet Profils de session et ouvrez le profil de session pour l’application Citrix Workspace. (par exemple, AC_OS_192.168.0.100)
    3. Dans l’onglet Expérience client, à côté de Codage des URL d’accès sans client, cliquez sur Override Global, sélectionnez Effacer, puis cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
      set vpn sessionAction <session-profile-name> -clientlessModeUrlEncoding TRANSPARENT

Activer la Secure Browse

Le navigateur Citrix Enterprise utilise le mode navigation sécurisée pour accéder aux applications sans avoir besoin d’un ancien VPN.

Il existe deux options pour configurer le mode navigation sécurisée :

Secure Browse dans le monde entier

Secure Browse activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez Citrix Gateway, puis cliquez sur Paramètres généraux.
    2. Sur la page Paramètres globaux, cliquez sur Modifier les paramètres globaux.
    3. Dans l’onglet Sécurité, sélectionnez ACTIVÉ pour Secure Browse, puis cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante :
      set vpn parameter -secureBrowse ENABLED
Stratégie relative aux sessions de Secure Browse

La configuration de la stratégie Secure Browse par session permet de restreindre les paramètres pour les utilisateurs, les groupes ou les serveurs virtuels Gateway.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez NetScaler Gateway, développez Stratégies, puis cliquez sur Session.
    2. Sur la page Session, passez à l’onglet Profils de session et ouvrez le profil de session pour l’application Citrix Workspace. (par exemple, AC_OS_192.168.0.100)
    3. Dans l’onglet Sécurité, à côté de Secure Browse, cliquez sur Override Global, sélectionnez ACTIVÉ, puis cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
      set vpn sessionAction <session-profile-name> -secureBrowse ENABLED

Exclure les domaines de la réécriture en mode d’accès sans client

Après avoir activé le mode d’accès sans client, NetScaler effectuera des réécritures côté serveur pour les requêtes « /cvpn ». Exclure StoreFront server FQDN(s) ou StoreFront Load Balancer FQDN et citrix.com.

Cette configuration n’est disponible que dans les paramètres globaux de NetScaler Gateway.

Vous pouvez configurer l’exclusion à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez Citrix Gateway, puis cliquez sur Paramètres généraux.
    2. Sur la page Paramètres généraux, cliquez sur Configurer les domaines pour un accès sans client.
    3. Sélectionnez Exclure les domaines, insérez le StoreFront server FQDN(s) ou le StoreFront Load Balancer FQDN, puis cliquez sur le Plus.
    4. Répétez l’étape 3 pour citrix.com.
    5. Cliquez sur OK.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)

      bind policy patset ns_cvpn_default_bypass_domains <StoreFront-FQDN>
      bind policy patset ns_cvpn_default_bypass_domains citrix.com
      <!--NeedCopy-->
      

Étape 4 — Autoriser les utilisateurs à accéder aux applications Web publiées

La publication d’applications Web dans CVAD ne vous permet pas de contrôler l’accès des utilisateurs. Cela doit être fait sur NetScaler Gateway à l’aide de stratégies d’autorisation. Les stratégies d’autorisation sont liées à un utilisateur ou à un groupe.

Il est essentiel de savoir comment les stratégies sont appliquées :

  • Utilisateur
  • Groupe

Les stratégies utilisateur ont toujours une priorité plus élevée que les stratégies liées aux groupes. L’autorisation d’un site Web au niveau de l’utilisateur et le refus de ce site au niveau du groupe autoriseront l’accès, que la priorité de la stratégie au niveau du groupe soit supérieure ou non.

Les stratégies multiples liées au même utilisateur ou au même groupe sont différenciées par priorité. Il est essentiel de savoir que la priorité la plus élevée (nombre faible) correspond à la priorité la plus faible (nombre élevé). Assurez-vous que les stratégies autorisées ont une priorité plus élevée que les stratégies refusées.

Nous vous recommandons de créer un groupe par application Web publiée afin de contrôler les autorisations d’accès. (Approche Zero Trust)

Stratégies d’autorisation par défaut

Deux stratégies d’autorisation doivent être créées par défaut pour autoriser l’accès au serveur StoreFront et refuser l’accès à toutes les applications Web publiées :

  • Allow_StoreFront
  • Deny_ALL

Stratégies d’autorisation des applications Web

Maintenant que nous disposons des stratégies d’autorisation par défaut, l’étape suivante consiste à créer des stratégies d’autorisation pour chaque application Web publiée.

  • Allow_<app1>
  • Allow_<app2>

Création de stratégies d’autorisation

Vous pouvez configurer les stratégies d’autorisation à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez NetScaler Gateway, développez Stratégies, puis cliquez sur Autorisation.
    2. Sur la page Autorisation, cliquez sur Ajouter.
    3. Insérez le nomd’une stratégie d’autorisation, sélectionnez l’ action, sélectionnez Stratégie avancée et créez votre expression.
    4. Cliquez sur Create.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
      add authorization policy <policy-name> "HTTP.REQ.HOSTNAME.CONTAINS(\"<StoreFront-FQDN>\")" ALLOW

Exemple

Stratégies d’autorisation par défaut :

add authorization policy Allow_StoreFront "HTTP.REQ.HOSTNAME.CONTAINS("<StoreFront-FQDN>")" ALLOW
add authorization policy Deny_ALL true DENY
<!--NeedCopy-->

Stratégies d’autorisation des applications Web :

add authorization policy Allow_Finance "HTTP.REQ.HOSTNAME.CONTAINS("finance.training.local")" ALLOW
add authorization policy Allow_Doctor "HTTP.REQ.HOSTNAME.CONTAINS("doctor.training.local")" ALLOW
<!--NeedCopy-->

Stratégies d’autorisation contraignantes

Vous pouvez lier les stratégies d’autorisation à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

  • Interface graphique NetScaler
    1. Dans l’onglet Configuration, développez NetScaler Gateway, développez Administration des utilisateurset cliquez sur Groupes AAA ou Groupes AAA.
    2. Sur la page Groupes AAA ou Utilisateurs AAA, cliquez sur Ajouter.
    3. Insérez un nom d’utilisateur ou de groupe et cliquez sur OK.
    4. Dans Paramètres avancés, cliquez sur Stratégies d’autorisation.
    5. Sur la page Liaison de stratégies, sélectionnez une stratégie à lier, définissez la priorité, puis tapez «  Demande », puis cliquez sur Lier.
    6. Répétez l’étape 5 pour chaque stratégie à lier.
    7. Cliquez sur Terminé.
  • CLI NetScaler
    1. Exécutez la commande suivante : Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)

      add aaa group <group-name>
      bind aaa group <group-name> -policy <policy-name> -priority <priority> -gotoPriorityExpression END
      <!--NeedCopy-->
      

Exemple

Utilisateur : autorisez l’accès à une application Web publiée spécifique :

add aaa user testuser01
bind aaa user testuser01 -policy Allow_Doctor -priority 63000 -gotoPriorityExpression END
<!--NeedCopy-->

Groupe : autorisez l’accès à l’application Web publiée, StoreFront, et refusez toutes les autres demandes :

add aaa group Doctor
bind aaa group Doctor -policy Allow_Doctor -priority 10 -gotoPriorityExpression END
bind aaa group Doctor -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END
bind aaa group Doctor -policy Deny_ALL -priority 1000 -gotoPriorityExpression END
<!--NeedCopy-->
add aaa group Finance
bind aaa group Finance -policy Allow_Finance -priority 10 -gotoPriorityExpression END
bind aaa group Finance -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END
bind aaa group Finance -policy Deny_ALL -priority 1000 -gotoPriorityExpression END
<!--NeedCopy-->

Tester

  • Ouvrez et connectez-vous à l’application Citrix Workspace sur un client interne ou externe

application Workspace

Dépannage

Un message d’erreur s’affiche après une connexion réussie, reportez-vous à NetScaler - Aucune adresse IP d’intranet disponible.

  • Lancer l’application Web
    Remarque : L’utilisateur connecté peut accéder à l’application Doctor mais l’accès à Finance-Portal lui est refusé.

Doctor Doctor

Finance-Portal Finance-Portal

Dépannage

Affichage d’un code d’erreur dans le navigateur Citrix Enterprise :

Visibilité, surveillance et résolution des problèmes

ADM — Gateway Insight
Gateway Insight fournit une visibilité sur les défaillances rencontrées par tous les utilisateurs, quel que soit le mode d’accès, au moment de la connexion à NetScaler Gateway. Consultez la liste de tous les utilisateurs disponibles, du nombre d’utilisateurs actifs, du nombre de sessions actives, ainsi que des octets et des licences utilisés par tous les utilisateurs à un moment donné. Consultez les échecs liés à l’analyse des terminaux (EPA), à l’authentification, à l’authentification unique (SSO) et au lancement d’applications pour un utilisateur.

Pour plus d’informations, consultez la documentation ADM — Gateway Insight.

Le tableau de bord de dépannage deCitrix Director
fournit une surveillance historique et en temps réel de l’intégrité du site Citrix Virtual Apps or Desktops. Cela permet de voir les défaillances en temps réel, ce qui donne une meilleure idée de ce que vivent les utilisateurs finaux.

Pour plus d’informations, consultez la documentation Citrix Virtual Apps and Desktops — Director.

Résumé

Citrix Secure Private Access pour les applications locales permet un accès basé sur la confiance zéro aux applications SaaS et Web internes. Ce guide de déploiement décrit les étapes spécifiques nécessaires pour publier des applications Web et définir des contrôles de sécurité. Le résultat final est une solution intégrée dotée d’une véritable authentification unique permettant aux utilisateurs d’accéder aux applications SaaS et Web internes de la même manière qu’aux applications virtuelles.

Résolution des problèmes de déploiement

NetScaler - Aucune adresse IP d’intranet disponible

Après une connexion réussie à l’application Citrix Workspace, l’utilisateur ne voit pas les applications et le message suivant est écrit ns.log.
default SSLVPN Message 659106 0 : "Failed to process setclient for id <d8>, user <user> due to <failed to get IIP>"

Il s’agit d’un problème connu (CTX461242) qui peut être résolu en définissant Use Mapped IP sur NS et Use Intranet IP sur OFF dans votre profil de session pour l’application Citrix Workspace.

Interface graphique NetScaler : CTX461242

CLI NetScaler :
set vpn sessionAction AC_OS_192.168.0.100 -useMIP NS -useIIP OFF

CEB — PS1001

Ce code d’erreur indique que l’application Citrix Workspace ne peut pas récupérer le fichier « policy.json » depuis StoreFront.
Consultez les sections suivantes :

CEB — PS1003

Ce code d’erreur indique un problème avec le fichier « policy.json ».
Consultez la section Exemple complet de fichier policy.json.

Guide de déploiement : Citrix Secure Private Access sur site