Architecture de référence : intégration de Citrix Workspace avec nFactor et plusieurs IdP pour les CSP

Introduction

L’objectif de ce document est de guider les fournisseurs de services Citrix (CSP) mettant en œuvre Citrix Virtual Apps and Desktops Service (CVADS) avec Citrix Workspace et plusieurs fournisseurs d’identité (IdP). La prise en charge de plusieurs IdP avec Citrix Workspace est réalisée via l’utilisation de l’authentification Citrix ADC nFactor.

CSP-Image-001

Ce document n’a pas pour but de fournir des instructions étape par étape sur la façon de déployer le Citrix Virtual Apps and Desktops Service pour les CSP. Cela suppose la compréhension de l’ architecture de référence Virtual Apps and Desktops pour les CSP, qui fournit des considérations approfondies sur la conception et le déploiement d’un environnement CVADS pour les CSP.

D’autre part, cela suppose de comprendre Citrix ADC, l’authentification unique (SSO) et le service d’authentification fédérée Citrix. Pour plus d’informations sur ces technologies, rendez-vous sur docs.citrix.com.

Ce document commence par passer en revue les éléments les plus courants que vous devez comprendre pour déployer confortablement l’authentification Citrix ADC nFactor. Ensuite, il passe en revue le flux d’authentification pour les composants qui constituent cette solution.

Enfin, il décrit les étapes requises pour déployer l’authentification Citrix ADC nFactor avec plusieurs IdP et comment l’intégrer à Citrix Workspace.

Vue d’ensemble

Citrix Virtual Apps and Desktops Service

Citrix Virtual Apps and Desktops Service fournit un accès sécurisé aux bureaux et applications gérés de manière centralisée à partir de n’importe quel appareil ou réseau. Grâce à l’intégration entre le Federated Authentication Service (FAS) et Citrix Cloud, les fournisseurs de services de communication peuvent fournir l’authentification unique aux charges de travail des applications et des postes de travail virtuels tout en prenant en charge les IdP SAML externes.

CVADS prend en charge les charges de travail hébergées sur plusieurs emplacements de ressources, y compris les hyperviseurs traditionnels et les plateformes de cloud public telles que Microsoft Azure, GCP et AWS. Les charges de travail hébergées dans ces emplacements de ressources peuvent être basées sur Windows ou Linux, prenant en charge les déploiements multi-utilisateurs et mono-utilisateur.

Les utilisateurs peuvent accéder à leurs ressources virtuelles via des clients Windows, Mac et Linux, des téléphones iOS et Android, etc. Citrix Gateway Service est généralement chargé de gérer les connexions externes. Il offre une haute disponibilité avec de multiples points de présence dans le monde entier. Les connexions internes peuvent utiliser la nouvelle fonctionnalité de connexion directe à la charge de travail.

Les CSP peuvent suivre l’ architecture de référence Virtual Apps and Desktops pour les fournisseurs de services de communication pour obtenir des conseils sur la conception d’une solution DaaS hébergée optimisée par CVADS.

Authentification nFactor Citrix ADC

Citrix ADC nFactor fournit les actions et les stratégies nécessaires pour offrir une expérience d’authentification évolutive et flexible aux clients finaux. Ce cas d’utilisation est pertinent pour les fournisseurs de services de communication qui fournissent des postes de travail et des applications à plusieurs clients, en leur permettant d’apporter leur propre IDP SAML.

L’authentification nFactor utilise un moteur de stratégie robuste et permet aux fournisseurs de services de communication de concevoir des flux d’authentification complexes. nFactor utilise des expressions de stratégie comme mécanisme pour déterminer le flux d’authentification pour les utilisateurs. Cette fonctionnalité est basée sur différents détails tels que l’utilisateur ou les attributs de connexion.

Pour cette architecture, les stratégies IDP OAUTH sont configurées pour permettre à Citrix ADC de gérer l’authentification pour Citrix Workspace. En outre, les stratégies SAML (et potentiellement LDAP) sont configurées pour se connecter à plusieurs IdP.

Expérience Citrix Workspace

Workspace Experience est l’évolution basée sur le cloud de StoreFront. Grâce à Workspace Experience, les CSP peuvent fournir des applications et des postes virtuels, l’authentification unique aux applications Web SaaS et sur site, des intégrations et des actions de micro-apps, une collaboration de contenu, des fonctionnalités de gestion des points de terminaison et des analyses. Cette fonctionnalité avancée permet aux CSP de proposer une expérience intégrée, à partir d’une interface unique, axée sur l’expérience des employés et une productivité accrue.

Actuellement, Citrix Workspace ne prend pas en charge l’intégration avec plusieurs IdP. Cependant, de nombreux fournisseurs de services de communication doivent fournir une prise en charge de plusieurs IDP tout en conservant les fonctionnalités avancées fournies par Citrix Workspace.

Authentification OAUTH

Citrix ADC peut être configuré en tant que fournisseur d’identité (IDP) OAUTH à l’aide du protocole Open ID Connect (OIDC). OAUTH n’est généralement pas considéré comme un protocole d’authentification, mais plutôt comme un cadre d’autorisation. OIDC ajoute une partie d’authentification utilisateur au flux OAUTH 2.0 typique. Dans cette architecture, Citrix Workspace agit en tant que fournisseur de services (SP) OAUTH faisant confiance à Citrix ADC (OAUTH IDP).

Pour cette configuration, Citrix Workspace exige que les comptes instantanés Active Directory transmettent un ensemble de « revendications » pour que le processus d’authentification réussisse. Citrix Cloud utilise ces propriétés pour établir le contexte utilisateur lorsque les abonnés se connectent. Si ces propriétés ne sont pas renseignées, les abonnés ne peuvent pas se connecter à leur espace de travail. La liste des réclamations est examinée dans une section ultérieure de ce document.

Authentification SAML

Dans le contexte de cette architecture, Citrix ADC devient le fournisseur de services (SP) et la solution d’authentification de chaque client agit en tant que fournisseur d’identité (IDP). Le fournisseur de services ou le fournisseur d’identité peut lancer le processus d’authentification SAML. Cette architecture utilise l’authentification unique SAML initiée par SP.

Le flux de communication SAML n’implique pas une communication directe entre le SP et l’IDP. Le navigateur Web gère toutes les communications et aucun port de pare-feu n’a besoin d’être ouvert entre le SP et le fournisseur d’identité. Seul le navigateur Web doit être en mesure de communiquer à la fois avec le fournisseur de services et le fournisseur d’identité.

Concepts et terminologie

Citrix ADC nFactor utilise un ensemble d’entités qui permettent de configurer les différents facteurs requis par un déploiement spécifique. Les concepts suivants jettent les bases pour comprendre les flux de stratégies utilisés par Citrix nFactor.

  • Serveur d’authentification (action) : le serveur d’authentification (action) définit la configuration spécifique pour un fournisseur d’identité donné, qu’il s’agisse d’un Active Directory sur site, d’Azure AD, d’Okta, d’ADFS, etc. Il inclut les détails requis pour que l’appliance Citrix ADC puisse communiquer avec le fournisseur d’identité et authentifier les utilisateurs.
  • Stratégie d’authentification : les stratégies d’authentification permettent aux utilisateurs de s’authentifier auprès de l’appliance. Les stratégies utilisent des expressions sous lesquelles elles sont appliquées. Les expressions sont utilisées pour permettre à l’ADC de rediriger les utilisateurs vers le fournisseur d’identité approprié en fonction de leur UPN. Une stratégie d’authentification doit être liée à un serveur d’authentification (action).
    • L’expression la plus couramment utilisée dans ces scénarios est AAA.USER.NAME.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (« @ ») .EQ (« domain.com »). Cette expression évalue le suffixe UPN de l’utilisateur après le signe « @ » et s’il correspond à une stratégie, applique le serveur SAML configuré (action) pour l’authentification.
  • Schéma de connexion : Le schéma de connexion est une représentation logique du formulaire d’ouverture de session écrit en XML, en d’autres termes, il représente l’interface utilisateur. Il s’agit d’une entité qui définit ce que voit l’utilisateur et spécifie comment extraire les données de l’utilisateur. Différents schémas (ou aucun schéma) peuvent être utilisés pour les différents facteurs d’authentification. Citrix ADC fournit plusieurs modèles de schéma prêts à l’emploi pour les cas d’utilisation courants, qui peuvent être personnalisés pour d’autres cas d’utilisation.
  • Étiquette de stratégie : les étiquettes de stratégie spécifient les stratégies d’authentification pour un facteur particulier. Chaque étiquette de stratégie correspond à un seul facteur d’authentification. Il s’agit essentiellement d’un ensemble de stratégies qui peuvent être liées entre elles en tant qu’entité unique. Le résultat des stratégies dans une étiquette de stratégie suit des conditions logiques « OU ». Si l’authentification spécifiée par la première stratégie réussit, les autres stratégies qui la suivent sont ignorées. Les étiquettes de stratégie définissent leur vue par le biais d’un schéma de connexion.
  • Stratégie « No-Auth » : il s’agit d’une stratégie spéciale qui renvoie toujours « success » comme résultat d’authentification. Leur objectif principal est de permettre une flexibilité lors de la prise de décisions logiques via le flux d’authentification des utilisateurs.
  • Facteur suivant : Il détermine ce qui est fait après une étape donnée si le flux d’authentification est réussi. Il peut s’agir d’une stratégie supplémentaire ou définir que le flux d’authentification doit s’arrêter.
  • AAA vServer : le serveur virtuel d’authentification traite les stratégies d’authentification associées et fournit un accès à l’environnement. Pour cette architecture, le vServer AAA remplace le vServer Gateway le plus courant et il s’agit d’un vServer entièrement adressable. Le vServer Gateway n’est requis que si vous utilisez Citrix ADC pour le trafic HDX, auquel cas le vServer AAA est configuré comme non adressable. L’intégration de Gateway vServer dépasse le cadre de ce document.
  • Profil d’authentification (facultatif) : Le profil d’authentification permet de lier le vServer AAA, et donc toutes ses stratégies, à un vServer de passerelle. Ce profil n’est requis que si vous gérez le trafic HDX via l’appliance Citrix ADC.

Architecture

Les CSP sont en constante croissance et ajoutent de nouveaux clients à leurs offres DaaS basées sur CVADS. Cette croissance introduit l’obligation de permettre aux clients finaux d’apporter leurs propres solutions d’identité et de les intégrer à Citrix Workspace, afin d’utiliser des charges de travail basées sur CVADS.

Citrix Workspace fournit également des fonctionnalités avancées qui permettent aux CSP d’intégrer davantage de services tels que l’authentification unique aux applications Web SaaS et sur site, les intégrations et les actions de micro-apps et la collaboration de contenu. Il fournit également une intégration avec plusieurs IdP tels qu’Azure AD, Okta et SAML 2.0. Toutefois, plusieurs IdP provenant d’un même Citrix Workspace ne sont actuellement pas pris en charge.

Citrix Gateway Service gère la fonctionnalité de proxy HDX lors du lancement de ressources d’applications et de bureaux virtuels à partir de Citrix Workspace. Cette fonctionnalité peut sembler inutile car Citrix ADC est nécessaire pour fournir la prise en charge de plusieurs IDP. Cependant, le déchargement du proxy HDX simplifie considérablement la bande passante réseau et les exigences de disponibilité du côté du CSP.

Cette architecture de référence se concentre sur les décisions de conception et les considérations relatives à l’intégration de plusieurs IdP, en particulier basés sur SAML, avec Citrix Workspace et CVADS. Cette intégration est réalisée en configurant Citrix Workspace pour déléguer l’authentification des utilisateurs à Citrix ADC, qui à son tour transmet les utilisateurs à leurs IdP respectifs.

Considérations et exigences

Au moment de la rédaction de ce document, les détails suivants doivent être pris en compte avant de décider d’intégrer plusieurs IDP à un déploiement CVADS géré par le CSP.

  1. Une licence Citrix ADC Advanced ou Premium est requise pour la fonctionnalité AAA nFactor.
  2. Citrix ADC 12.1 version 54.13 ou ultérieure, ou 13.0 version 41.20 ou ultérieure sont requis.
  3. La fonctionnalité mutualisée CVADS n’est pas compatible avec ce déploiement en raison de limitations liées au FAS et à la fédération inversée.
  4. Les différents IdP SAML ont des étapes de configuration différentes. Ces étapes ne sont pas abordées dans ce document.
  5. Active Directory doit être configuré avec les suffixes UPN alternatifs et les comptes miroirs pour chaque client spécifique.
  6. Les propriétés AD suivantes doivent être configurées sur les comptes instantanés AD à utiliser en tant que revendications :
    • Adresse e-mail
    • Nom d’affichage
    • Nom commun
    • Nom du compte SAM
    • UPN
    • OID
    • SID
  7. Les services de certificats Active Directory doivent être configurés et disponibles avant de configurer FAS.
  8. Bien que Citrix FAS soit intégré à Citrix Workspace, il ne s’agit pas d’un service cloud. FAS est déployé dans l’emplacement des ressources.
  9. Les étapes de configuration initiale de l’ADC, y compris les adresses IP, les certificats et les détails du réseau, ne sont pas traitées dans ce document.
  10. Les noms d’utilisateur dupliqués sur différents suffixes UPN ne peuvent pas être utilisés. Même si le suffixe UPN est différent, le nom de connexion antérieur à Windows 2000 est le même pour tous les suffixes.

Expérience utilisateur

Le schéma suivant montre le flux d’authentification du point de vue de l’expérience utilisateur. Pour l’utilisateur final, l’expérience est assez similaire à celle d’une implémentation traditionnelle sans plusieurs IdP. Il est toutefois important d’informer les utilisateurs finaux sur la nécessité d’utiliser leur nom UPN lors de la connexion, par opposition au nom de compte SAM plus courant.

CSP-Image-002

  1. Les utilisateurs finaux de différents clients accèdent à Citrix Workspace depuis n’importe quel appareil ou réseau.
  2. Citrix Workspace redirige automatiquement les utilisateurs vers le vServer AAA Citrix ADC.
  3. Citrix ADC AAA vServer présente à l’utilisateur une invite Username. Les utilisateurs doivent saisir leur UPN.
  4. La demande d’authentification de l’utilisateur est transmise au fournisseur d’identité SAML approprié en fonction du suffixe UPN de l’utilisateur.
  5. Une fois que les utilisateurs se sont authentifiés via leur fournisseur d’identité, ils sont redirigés vers Citrix Workspace.
  6. Lorsqu’un utilisateur tente de lancer une application virtuelle ou un bureau virtuel, le service CVAD gère le processus de courtage.
  7. Citrix Gateway Service établit le proxy HDX vers les ressources virtuelles.
  8. Les comptes instantanés Active Directory sont utilisés pour demander un certificat de carte à puce afin de fournir une authentification unique à l’utilisateur.
  9. La règle FAS est appliquée et la demande de connexion de l’utilisateur est satisfaite via SSO.

Flux d’authentification

Le schéma suivant montre le flux d’authentification pour les différents protocoles de cette architecture. Citrix Workspace agit en tant que SP OAUTH, Citrix ADC agit à la fois en tant que fournisseur d’identité OAUTH et fournisseur de services SAML, et le fournisseur d’identité client est l’IDP SAML.

CSP-Image-003

  1. L’utilisateur final accède à Citrix Workspace (SP) via un navigateur Web ou l’application Citrix Workspace.
  2. Lorsqu’il atteint Citrix Workspace (OAUTH SP), l’utilisateur est redirigé vers Citrix ADC AAA vServer (OAUTH IDP).
  3. L’utilisateur saisit l’UPN à l’invite de connexion du vServer AAA (SAML SP) et est redirigé vers le service d’authentification (SAML IDP).
  4. L’IDP SAML authentifie l’utilisateur et génère une assertion SAML (formulaire XHTML).
  5. L’assertion SAML est renvoyée à l’application Citrix Workspace.
  6. L’application Citrix Workspace redirige l’assertion SAML vers le vServer AAA Citrix ADC.
  7. Citrix ADC AAA vServer renvoie le contexte de sécurité à l’agent utilisateur.
  8. L’application Citrix Workspace demande les ressources au vServer Citrix ADC AAA.
  9. Citrix ADC AAA vServer authentifie l’utilisateur et les demandes sont envoyées à Citrix Workspace.
  10. Les ressources sont accessibles par l’application Citrix Workspace.
REMARQUE :
Dans le flux SAML, le navigateur Web ou l’application Workspace est appelé « agent utilisateur », qui fait partie de l’en-tête de requête HTTP.

Flux de stratégies

Le diagramme suivant représente le flux de règles nFactor pour cette architecture. La compréhension du flux de règles nFactor est essentielle au succès de l’architecture d’authentification conçue. Dans ce diagramme, une stratégie LDAP est utilisée. Bien que l’utilisation d’une stratégie LDAP soit facultative, il est courant de fournir un accès aux administrateurs.

CSP-Image-004

  1. L’utilisateur accède à Citrix Workspace via un navigateur Web ou l’application Citrix Workspace. La demande d’authentification est transmise au vServer Citrix AAA. Il existe une stratégie IDP OAUTH configurée sur Citrix ADC avec l’expression « TRUE », ce qui signifie que cette stratégie est appliquée à TOUTES les demandes.
  2. La demande d’authentification atteint une stratégie « NO_AUTHN » et est présentée avec le schéma de connexion « Nom d’utilisateur uniquement ». La stratégie NO_AUTHN agit comme un espace réservé. Les stratégies NO_AUTHN renvoient toujours « success » comme résultat d’authentification.
  3. Lorsque l’utilisateur saisit son nom d’utilisateur au format UPN, le suffixe UPN détermine la stratégie d’authentification qui est évaluée. Dans cette architecture, domain1.com est transféré vers un serveur LDAP, domain2.com est redirigé vers un tenant Azure AD et domain3.com est redirigé vers un autre tenant Azure AD. Toutes ces fonctionnalités sont basées sur les expressions utilisées par chaque stratégie. Notez également que ces stratégies d’authentification sont liées à un schéma de connexion « Aucun schéma ». Ce détail signifie que rien n’est affiché sur le navigateur Web de l’utilisateur.
  4. Si l’utilisateur saisit un nom d’utilisateur sous domain1.com, il est redirigé vers une stratégie LDAP (une stratégie LDAP traditionnelle). Cette stratégie donne la valeur « TRUE », ce qui signifie qu’elle affecte tous les utilisateurs qu’elle évalue. Dans ce cas, le schéma de connexion est « Mot de passe uniquement », ce qui signifie que les utilisateurs saisissent uniquement leur mot de passe AD à cette étape. Leur nom d’utilisateur est capturé dans le facteur précédent.
  5. D’un autre côté, si l’utilisateur saisit un nom d’utilisateur sous domain2.com ou domain3.com, il est redirigé vers son tenant Azure AD respectif pour la connexion. Dans ce cas, Azure gère toutes les authentifications, qui se situent en dehors du domaine du moteur Citrix ADC nFactor. Lorsque l’utilisateur est authentifié, il est redirigé vers le vServer AAA Citrix ADC.
  6. Une fois que la demande d’authentification est redirigée vers Citrix Gateway, elle passe par un autre facteur d’authentification, qui est lié à une stratégie LDAP. Toutefois, cette stratégie n’effectue pas d’authentification. L’objectif de cette stratégie est d’extraire les revendications requises pour authentifier à nouveau l’utilisateur auprès de Citrix Workspace. Toutes les stratégies SAML sont redirigées vers cette stratégie LDAP unique. Aucun schéma de connexion n’est présenté aux utilisateurs et n’ont pas besoin de saisir d’informations à ce stade, ce processus se déroule automatiquement.
  7. Les revendications des utilisateurs sont stockées sur Citrix ADC et transmises à Citrix Workspace. Ces revendications sont requises pour que Citrix Workspace accepte l’authentification de Citrix ADC.
  8. L’utilisateur est redirigé vers Citrix Workspace et peut désormais accéder à ses ressources.
REMARQUE :
La stratégie « non-authentification » LDAP n’est utilisée qu’après qu’un utilisateur est authentifié par un autre facteur. Le résultat de l’authentification est toujours évalué comme « Succès ».

Considérations relatives à

La capacité de faire évoluer cette solution de manière agile au fur et à mesure que de nouveaux clients sont intégrés est importante pour les CSP. Cette architecture permet de suivre des étapes sans interruption lors de l’intégration de nouveaux clients. Les principales étapes pour intégrer un nouveau client à cette solution sont les suivantes.

  1. Configurer le fournisseur d’identité du client final : cela peut relever ou non de la responsabilité du CSP. La plupart des IdP SAML fournissent une documentation complète pour configurer ces types de solutions.
  2. Ajouter le suffixe UPN du client : Cela se fait via la console MMC Active Directory Domains and Trusts. Les suffixes UPN doivent être uniques. En outre, bien que les UPN soient différents pour chaque client dans l’environnement AD partagé, tous les comptes fictifs ont le même nom de suffixe NetBIOS.
  3. Ajouter des comptes fictifs : La création manuelle de comptes fictifs peut devenir une tâche fastidieuse et l’écriture de scripts est recommandée pour automatiser ce processus. Les utilisateurs finaux n’ont pas besoin de connaître le mot de passe de ces comptes.
  4. Configurer l’action et la stratégie SAML : une nouvelle action et stratégie SAML doit être configurée pour chaque nouveau client intégré à cette solution. L’action contient tous les détails du fournisseur d’identité SAML et la stratégie contient l’expression utilisée pour évaluer la stratégie.
  5. Liez la stratégie SAML : La nouvelle stratégie d’authentification SAML doit être ajoutée à l’étiquette de stratégie SAML qui regroupe toutes les stratégies d’authentification pour les différents clients. Étant donné que toutes ces stratégies s’excluent mutuellement, l’ajout de nouvelles stratégies à l’étiquette de stratégie n’entraîne aucune perturbation pour vos clients actuels.
REMARQUE :
Les noms d’utilisateur dupliqués sur différents suffixes UPN ne peuvent pas être utilisés. Même si le suffixe UPN est différent, le nom de connexion antérieur à Windows 2000 serait le même pour les utilisateurs en double.

Implémentation

Ce document décrit les étapes requises pour intégrer Citrix Workspace à un vServer AAA Citrix ADC et à plusieurs IdP SAML. La configuration de Cloud Connector, la création de catalogues de machines/de groupes de mise à disposition et la mise en œuvre FAS dépassent le cadre de ce document.

La configuration des composants mentionnés précédemment peut être réalisée en suivant les pratiques d’installation standard. Aucune étape de configuration personnalisée n’est requise pour les intégrer à cette architecture. Consultez la section Ressources de configuration supplémentaires de ce document pour connaître les étapes de configuration.

Stratégies d’authentification

Action d’authentification LDAP (facultatif)

1- Connectez-vous à l’appliance Citrix ADC et accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > LDAP et cliquez sur Ajouter.

2- Sur la page Créer un serveur LDAP d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité du serveur d’authentification LDAP
  • Nom du serveur/IP du serveur : le nom du serveur est recommandé
  • Type de sécurité : PLAINTEXT ou SSL en fonction des exigences de sécurité. (SSL recommandé)
  • Port : 389 ou 636 selon le type de sécurité.
  • Type de serveur : AD
  • Authentification : vérifiée
  • Nom unique de base : DN basé sur AD pour les recherches d’utilisateurs
  • DN de liaison de l’administrateur : UPN du compte de service AD
  • Mot de passe administrateur : mot de passe du compte de
  • Confirmer le mot de passe administrateur : mot de passe du compte
  • Attribut du nom de connexion au serveur : UserPrincipalName
  • Attribut groupe : MemberOf
  • Nom du sous-attribut : cn
  • Attribut de nom SSO : cn
  • Courrier électronique : mail

CSP-Image-005

3- Cliquez sur OK.

REMARQUE :
Cette étape est facultative, mais fortement recommandée à des fins d’assistance. Créez cette action pour permettre aux administrateurs de l’environnement de se connecter à l’environnement avec des informations d’identification AD.

Action Attributs utilisateur LDAP

1- Sur la page Actions LDAP, cliquez sur Ajouter pour créer une deuxième action LDAP. Utilisez les mêmes informations que la précédente, mais cette fois, décochez la case Authentification .

CSP-Image-006

2- Cliquez sur OK.

REMARQUE :
Cette étape n’est PAS facultative. Cette action est utilisée pour extraire les revendications de l’utilisateur de ses comptes fictifs dans AD après qu’il a été authentifié via son IDP SAML. Ces revendications sont nécessaires pour que la redirection vers Citrix Workspace aboutisse.

Actions SAML

1- Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > SAML et cliquez sur Ajouter.

2- Sur la page Créer un serveur SAML d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité du serveur d’authentification SAML
  • URL de redirection : URL de redirection fournie par l’IDP
  • URL de déconnexion unique : URL de déconnexion fournie par l’IDP
  • Liaison SAML : POST/REDIRECT/ARTIFACT
  • Liaison de déconnexion : POST/REDIRECT
  • Nom du certificat IDP : cliquez sur Ajouter et importez le certificat téléchargé depuis votre fournisseur d’identité SAML
  • Nom du certificat de signature : Certificat SSL Citrix ADC AAA vServer
  • Nom du problème : Identique à l’URL du vServer AAA
  • Rejeter l’assertion non signée : Activé
  • algorithme de signature : RSA-SHA256
  • Méthode Digest : SHA256

CSP-Image-007

3- Cliquez sur OK.

REMARQUE :
Répétez ces étapes pour créer une action SAML distincte pour chaque IDP SAML à utiliser.
Les champs nécessaires à remplir sur cette page varient en fonction de l’IDP SAML. Consultez la documentation spécifique du fournisseur d’identité SAML pour plus d’informations.

Schémas de connexion

Profils de schéma de connexion

1- Accédez à Sécurité > AAA — Trafic des applications > Schéma de connexion > Profils et cliquez sur Ajouter.

2- Sur la page Créer un schéma de connexion d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de profil de schéma de
  • Schéma d’authentification : noschema

CSP-Image-008

3- Cliquez sur Créer.

REMARQUE :
Répétez ces étapes pour créer les 2 profils de schéma restants avec les fichiers OnlyUsername.xml et OnlyPassword.xml .

Stratégies de schéma de connexion

1- Accédez à Sécurité > AAA — Trafic des applications > Schéma de connexion > Stratégies et cliquez sur Ajouter.

2- Sur la page Créer une stratégie de schéma de connexion d’authentification, entrez les informations suivantes.

  • Nom : nom d’entité de stratégie de schéma de connexion
  • Profil : profil NoSchema créé précédemment
  • Règle : VRAI

CSP-Image-009

3- Cliquez sur Créer.

REMARQUE :
Répétez ces étapes pour créer les deux stratégies de schéma restantes en les liant aux profils de schéma « Nom d’utilisateur uniquement » et « Mot de passe uniquement » .

Stratégies d’authentification

Stratégie de base « sans autorisation »

1- Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Stratégie et cliquez sur Ajouter.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification
  • Type d’authentification : NO_AUTHN
  • Expression : HTTP.REQ.URL.CONTAINS (« /nf/auth/doAuthentication.do »)

CSP-Image-010

3- Cliquez sur OK.

Stratégie LDAP « sans authentification » (facultatif)

1- Sur la page Stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification
  • Type d’authentification : NO_AUTHN
  • Expression : AAA.USER.NOM_LOGIN.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (« @ ») .EQ (« domain1.com »)

Image-011

3- Cliquez sur OK.

REMARQUE :
Cette étape est facultative, mais fortement recommandée à des fins d’assistance. Créez cette stratégie pour permettre aux administrateurs de l’environnement de se connecter à l’environnement avec des informations d’identification AD.
Remplacez « domain1.com » dans l’expression par le nom du suffixe UPN du domaine AD interne.
Le type d’authentification NO_AUTHN est utilisé comme espace réservé pour rediriger les utilisateurs vers le facteur d’authentification suivant, à savoir leur mot de passe AD, géré via une autre stratégie LDAP.

Stratégie d’authentification LDAP (facultatif)

1- Sur la page Stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification
  • Type d’authentification : LDAP
  • Action : Action d’authentification LDAP précédemment créée
  • Expression : VRAI

CSP-Image-012

3- Cliquez sur OK.

REMARQUE :
Cette étape est facultative, mais fortement recommandée à des fins d’assistance. Créez cette stratégie pour permettre aux administrateurs de l’environnement de se connecter à l’environnement avec des informations d’identification AD.
L’expression TRUE dans cette stratégie signifie que cette stratégie est évaluée par rapport à chaque utilisateur redirigé vers ce facteur d’authentification.
Cette stratégie est attachée au schéma de connexion par mot de passe uniquement créé précédemment.

Stratégie d’attributs utilisateur LDAP

1- Sur la page Stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification
  • Type d’authentification : LDAP
  • Action : action Attributs utilisateur LDAP précédemment créée
  • Expression : VRAI

CSP-Image-013

3- Cliquez sur OK.

REMARQUE :
Cette étape n’est PAS facultative. Cette stratégie est utilisée pour extraire les demandes de l’utilisateur de ses comptes fictifs dans AD après qu’il a été authentifié via son IDP SAML. Ces revendications sont nécessaires pour que la redirection vers Citrix Workspace aboutisse.
L’expression TRUE dans cette stratégie signifie que cette stratégie est évaluée par rapport à chaque utilisateur redirigé vers ce facteur d’authentification.
Cette stratégie est associée à un schéma de connexion NO_SCHEMA .

Stratégies d’authentification SAML

1- Sur la page Stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification
  • Type d’authentification : SAML
  • Action : Action d’authentification SAML précédemment créée
  • Expression : AAA.USER.NOM_LOGIN.SET_TEXT_MODE (IGNORECASE) .AFTER_STR (« @ ») .EQ (« domain2.com »)

CSP-Image-014

3- Cliquez sur OK.

REMARQUE :
Remplacez « domain2.com » dans l’expression par le nom de domaine du client.
Créez une stratégie d’authentification SAML pour chaque action d’authentification SAML précédemment créée et associez-la au nom de domaine approprié dans l’expression.

Étiquettes de stratégie d’authentification

Étiquette de stratégie d’authentification LDAP

1- Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Étiquette de stratégie et cliquez sur Ajouter.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité étiquette de stratégie d’authentification
  • Schéma de connexion : profil de schéma de connexion « Mot de passe uniquement »
  • Type de fonction : AAATM_REQ
  • Cliquez sur Continuer

CSP-Image-015

3- Liez les stratégies d’authentification avec les détails suivants.

  • Stratégie 1
    • Sélectionner une stratégie : Stratégie d’authentification LDAP
    • Priorité : 100
    • Expression Goto : FIN
    • Sélectionnez le facteur suivant : N/A

CSP-Image-016

4- Cliquez sur Terminé.

Étiquette de stratégie d’attributs utilisateur LDAP

1- Sur la page Étiquettes des stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité étiquette de stratégie d’authentification
  • Login Schema : profil de schéma de connexion « NO_SCHEMA »
  • Type de fonction : AAATM_REQ
  • Cliquez sur Continuer

CSP-Image-017

3- Liez les stratégies d’authentification avec les détails suivants.

  • Stratégie 1
    • Sélectionner une stratégie : Stratégie d’attributs utilisateur LDAP
    • Priorité : 100
    • Expression Goto : FIN
    • Sélectionnez le facteur suivant : N/A

CSP-Image-018

4- Cliquez sur Terminé.

Étiquette de stratégie principale

1- Sur la page Étiquettes des stratégies d’authentification, cliquez sur Ajouter pour créer une autre stratégie.

2- Sur la page Créer une stratégie d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité étiquette de stratégie d’authentification
  • Login Schema : profil de schéma de connexion « NO_SCHEMA »
  • Type de fonction : AAATM_REQ
  • Cliquez sur Continuer

CSP-Image-019

3- Liez les stratégies d’authentification avec les détails suivants.

  • Stratégie 1
    • Sélectionner une stratégie : stratégie LDAP « sans authentification »
    • Priorité : 100
    • Goto Expression : SUIVANT
    • Sélectionnez le facteur suivant : étiquette de stratégie d’authentification LDAP
  • Stratégie 2
    • Sélectionnez une stratégie : Stratégie d’authentification SAML
    • Priorité : 110
    • Goto Expression : SUIVANT
    • Sélectionnez le facteur suivant : étiquette de stratégie d’attributs utilisateur LDAP

CSP-Image-020

4- Cliquez sur Terminé.

REMARQUE :
Lors de l’intégration de nouveaux clients/IdP, vous devez ajouter leurs stratégies d’authentification SAML respectives à cette étiquette de stratégie.

Serveur vServer AAA

1- Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels et cliquez sur Ajouter.

2- Sur la page Authentification Virtual Server, entrez les informations suivantes.

  • Nom : nom de l’entité du serveur virtuel d’authentification
  • Type d’adresse IP : Adresse IP
  • Adresse IP : adresse IP attribuée au vServer
  • Port : 443
  • Cliquez sur OK.

CSP-Image-021

3- Dans le volet Certificat, cliquez sur Aucun certificat de serveur et liez un certificat SSL au vServer. Cliquez ensuite sur Continuer.

4- Dans le volet Stratégies d’authentification avancées, cliquez sur Aucune stratégie d’authentification et entrez les informations suivantes.

  • Sélectionner une stratégie : Stratégie de base « sans autorisation »
  • Priorité : 100
  • Goto Expression : SUIVANT
  • Sélectionnez le facteur suivant : étiquette de stratégie principale

CSP-Image-022

5- Cliquez sur Continuer.

6- Dans le volet Paramètres avancés, cliquez sur Schémas de connexion.

7- Dans le volet Schémas de connexion, cliquez sur Aucun schéma de connexion et entrez les informations suivantes.

  • Stratégie de sélection : stratégie de schéma « Nom d’utilisateur uniquement »
  • Priorité : 100
  • Expression Goto : FIN

CSP-Image-023

8- Cliquez sur Bind.

9- De retour sur la page AAA vServer, cliquez sur Terminé.

REMARQUE :
À ce stade, l’URL du vServer AAA est accessible au public et les authentifications LDAP et SAML fonctionnent toutes deux.

Liaison de certificat globale

1- Connectez-vous à Citrix ADC via SSH et authentifiez-vous avec les informations d’identification de l’administrateur.

2- Exécutez la commande suivante : bind vpn global -CertKeyName certname.

3- Enregistrez la configuration en cours d’exécution.

REMARQUE :
Cette commande est utilisée par ADC pour signer le jeton envoyé à Citrix Workspace dans le cadre du processus d’authentification.
L’indicateur -CertKeyName fait référence au même certificat SSL que celui utilisé sur le vServer AAA.

Intégration à Citrix Workspace

Fournisseur d’identité Citrix Gateway

1- Dans un navigateur Web, accédez à Citrix Cloud et connectez-vous à l’aide de vos informations d’identification Citrix.

2- Une fois authentifié, accédez à Gestion des identités et des accès > Authentification > Citrix Gateway et cliquez sur Connecter.

CSP-Image-024

3- Dans l’écran contextuel de configuration, entrez votre nom de domaine complet AAA vServer accessible au public et cliquez sur Detect. Une fois détecté, cliquez sur Continuer.

CSP-Image-025

4- Dans l’écran Créer une connexion, copiez l’ ID client, le secret et l’URL de redirection.

CSP-Image-026

REMARQUE :
NE fermez PAS cette page, vous devez revenir pour terminer la configuration.

Profil IDP OAUTH

1- De retour sur Citrix ADC, accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP OAUTH > Profils et cliquez sur Ajouter.

2- Sur la page Créer un profil IDP OAUTH d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité du profil d’authentification OAUTH IDP
  • ID client : collez la valeur depuis Citrix Cloud
  • Client Secret : Coller la valeur depuis Citrix Cloud
  • URL de redirection : collez la valeur depuis Citrix Cloud
  • Nom de l’émetteur : URL de base du vServer ADC AAA
  • Public : Identique à l’ID client
  • Envoyer le mot de passe : vérifié

CSP-Image-027

3- Cliquez sur Créer.

Stratégie IDP OAUTH

1- Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > IDP OAUTH > Stratégies et cliquez sur Ajouter.

2- Sur la page Créer une stratégie d’identité OAUTH d’authentification, entrez les informations suivantes.

  • Nom : nom de l’entité de stratégie d’authentification OAUTH IDP
  • Action : profil d’authentification OAUTH IDP
  • Expression : VRAI

CSP-Image-028

3- Cliquez sur Créer.

Liaison de stratégie IDP OAUTH

1- Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels et cliquez sur le vServer AAAcréé précédemment.

2- Dans le volet Stratégies d’authentification avancées, cliquez sur Aucune stratégie IDP OAuth et liez la stratégie IDP OAUTH.

CSP-Image-029

3- De retour sur la page AAA vServer, cliquez sur Terminé.

Authentification de

1- De retour sur Citrix Cloud, sur la page de configuration, cliquez sur Tester et terminer.

2- Accédez à Configuration de l’espace de travail > Authentification et cliquez sur Citrix Gateway.

3- Dans la fenêtre contextuelle de configuration, cochez la case « Je comprends l’impact sur l’expérience de l’abonné » et cliquez sur Enregistrer.

CSP-Image-030

REMARQUE :
À ce stade, la navigation vers l’URL de Citrix Workspace (customer.cloud.com) redirige les utilisateurs vers le vServer ADC AAA. Une fois que les utilisateurs se connectent avec leur fournisseur d’identité respectif, ils sont redirigés vers Citrix Workspace.
L’authentification unique aux ressources d’applications et de bureaux virtuels peut être réalisée en intégrant Citrix Workspace à Citrix FAS.

Autres ressources de configuration

Architecture de référence : intégration de Citrix Workspace avec nFactor et plusieurs IdP pour les CSP