Preuve de concept : Accès sécurisé aux applications SaaS avec Microsoft Azure SSO et Citrix Secure Workspace Access

Aperçu

Comme les utilisateurs accèdent au contenu confidentiel dans les applications SaaS, les organisations doivent être en mesure de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification. Les entreprises doivent être en mesure de sécuriser les applications SaaS même si elles existent au-delà des limites du datacenter. Citrix Workspace fournit aux entreprises des contrôles de sécurité améliorés pour les applications SaaS.

Dans ce scénario, un utilisateur s’authentifie auprès de Citrix Workspace à l’aide d’Active Directory comme annuaire d’utilisateurs principal et lance une application SaaS gérée par Azure.

Active Directory et Okta SSO

Si le service Citrix Secure Workspace Access est affecté à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, la restriction des actions d’impression et de téléchargement, les restrictions d’accaparement d’écran, l’obfuscation du clavier et la protection des utilisateurs contre les liens non fiables sont appliquées. en plus des applications SaaS.

L’animation suivante montre un utilisateur accédant à une application SaaS avec l’authentification SSO fournie par Azure et sécurisé avec Citrix Secure Workspace Access.

Démo Azure SSO

Cette démonstration montre un flux SSO initié par ID dans lequel l’utilisateur lance l’application à partir de Citrix Workspace. Ce guide de PoC prend également en charge un flux SSO initié par SP où l’utilisateur tente d’accéder à l’application SaaS directement à partir de son navigateur préféré.

Hypothèses :

  • Azure est déjà configuré pour fournir l’authentification SSO à une application SaaS
  • Les utilisateurs peuvent se connecter au portail d’applications Azure et lancer l’application SaaS

Ce guide de validation de concept montre comment :

  1. Configuration de Citrix Workspace
  2. Intégrer un annuaire d’utilisateurs principal
  3. Intégrer l’authentification unique pour les applications SaaS
  4. Définir des stratégies de filtrage du site
  5. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

  1. Configuration de l’URL de l’espace de travail
  2. Activation des services appropriés

Définir l’URL d’espace de travail

  1. Connectez-vous à Citrix Cloud et connectez-vous en tant que compte administrateur
  2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
  3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

URL de l'espace de travail

Activer les services

Dans l’onglet Intégration de services, activez les services suivants pour prendre en charge l’accès sécurisé aux applications SaaS

  1. Passerelle
  2. Secure Browser

![Services d’espace de]travail(/en-us/tech-zone/learn/media/poc-guides_access-control-azuresso-saas_workspace-config-002.png)

Vérifier

Citrix Workspace prend quelques instants pour mettre à jour les services et les paramètres d’URL. Dans un navigateur, vérifiez que l’URL de l’espace de travail personnalisée est active. Toutefois, l’ouverture de session n’est pas disponible tant qu’un répertoire utilisateur principal n’est pas défini et configuré.

Intégrer un annuaire d’utilisateurs principaux

Pour que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateur principal doit être configuré. L’annuaire d’utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique aux identités secondaires.

Une organisation peut utiliser l’un des répertoires d’utilisateurs principaux suivants

  • Active Directory: pour activer l’authentification Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide Installation de Cloud Connector.
  • Active Directory avec mot de passe unique basé sur le temps : l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe unique basé sur le temps (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
  • Azure Active Directory : les utilisateurs peuvent s’authentifier auprès de Citrix Workspace avec une identité Azure Active Directory. Ce guide fournit des détails sur la configuration de cette option.
  • Citrix Gateway : les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des détails sur l’intégration.
  • Okta : les organisations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.

Créer une application SaaS

Pour créer correctement le SaaS avec Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

  • Configurer l’application SaaS
  • Autoriser l’application SaaS

Configurer l’application SaaS

Avec l’application SaaS configurée dans Azure, l’application SaaS peut être configurée dans Citrix Workspace.

  • Dans Azure, sélectionnez Azure Active Directory
  • Sélectionner les applications d’entreprise

Configuration de l'application SaaS 01

  • Dans la liste, sélectionnez l’application SaaS, qui affiche la vue d’ensemble de l’application
  • Sélectionner Propriétés

Configuration de l'application SaaS 02

  • Copiez l’ URL d’accès utilisateur et mémoriser pour une utilisation ultérieure
  • Dans Citrix Cloud, sélectionnez Gérer dans la vignette Gateway.

Configuration de l'application SaaS 03

  • Sélectionnez Ajouter une application Web/SaaS
  • Dans l’Assistant Choisir un modèle, recherchez le modèle approprié. Dans cet exemple, sélectionnez Humanité

Configuration de l'application SaaS 04

  • Sélectionner Suivant
  • Dans l’écran Détails de l’application, remplacez l’ URL par l’ URL d’accès utilisateur copiée à partir d’Azure.
  • À la fin de l’ URL, ajoutez ce qui suit : &whr=federated_domain en remplaçant federated_domain par le domaine associé à l’identité de l’utilisateur (informations après la connexion @ dans l’e-mail de l’utilisateur). L’entrée de domaine fédéré informe Azure de rediriger vers la configuration de domaine fédéré correcte. Les informations de domaine fédéré sont configurées dans Azure dans une section à venir.

Configuration de l'application SaaS 05

  • Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL par défaut. Ajoutez un domaine supplémentaire pour l’URL réelle de l’application SaaS en plus de celui créé automatiquement.
  • Sélectionner Suivant
  • Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement

Configuration de l'application SaaS 06

  • Dans la fenêtre Single Sign-On, définissez l’URL d’assertion sur https://login.microsoftonline.com/login.srf
  • Définir l’ audience pour qu’elle soit urn:Federation:MicrosoftOnline
  • Définissez le format d’ID de nom = Persistant et ID de nom = GUID Active Directory
  • Cochez la case Lancer l’application à l’aide de l’URL spécifiée (SP Initié). Une fois authentifié, l’utilisateur est automatiquement redirigé vers l’application SaaS au lieu d’Azure App Portal.
  • Sous Attributs avancés, ajoutez Nom d’attribut = IDPemail, Format d’attribut = Non spécifiéet Valeur d’attribut = Email
  • *Remarque : seulement nécessaire pour la première application.* Sélectionnez Télécharger pour capturer le certificat CRT.
  • *Remarque : seulement nécessaire pour la première application.* À côté de l’ URL de connexion, sélectionnez le bouton Copier pour capturer l’URL de connexion. Cette URL est utilisée plus tard.
  • *Remarque : uniquement nécessaire pour la première application.* Sélectionnez le lien de métadonnées SAML

Configuration de l'application SaaS 07

  • Dans le fichier de métadonnées SAML, recherchez EntityID. Copiez l’URL entière et stockez pour une utilisation ultérieure. Une fois capturé, le fichier de métadonnées SAML peut être fermé.

Configuration de l'application SaaS 08

  • Sélectionnez Enregistrer
  • Sélectionnez Terminer pour terminer la configuration de l’application SaaS.

Autoriser l’application SaaS

  • Dans Citrix Cloud, sélectionnez Bibliothèque dans le menu

Autoriser SaaS App 01

  • Trouvez l’application SaaS et sélectionnez Gérer les abonnés
  • Ajouter les utilisateurs/groupes appropriés qui sont autorisés à lancer l’application

Autoriser SaaS App 02

Fédérer l’authentification Azure vers Citrix Workspace

Pour bien fédérer l’application SaaS avec Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

  • Vérifier le domaine d’authentification
  • Configurer la fédération de domaine

Vérifier le domaine d’authentification

Pour fédérer l’authentification vers Citrix Workspace, Azure doit vérifier le nom de domaine complet. Dans le portail Azure, procédez comme suit :

  • Accès à Azure Active Directory
  • Sélectionnez Noms de domaine personnalisés dans la fenêtre de navigation
  • Sélectionnez Ajouter un domaine personnalisé
  • Entrez le nom de domaine complet

Vérification du domaine 01

  • Sélectionnez Ajouter un domaine
  • Azure fournit des enregistrements à incorporer dans votre bureau d’enregistrement de noms de domaine. Une fois terminé, sélectionnez Vérifier.

Vérification du domaine 02

  • Une fois terminé, le domaine inclut une marque vérifiée

Vérification du domaine 03

Configurer la fédération de domaine

La configuration finale consiste à faire en charge Azure d’utiliser Citrix Workspace en tant qu’autorité fédérée pour le domaine vérifié. La configuration de la fédération doit être effectuée avec PowerShell.

  • Lancer PowerShell
  • Ajoutez les modules appropriés avec les commandes suivantes
Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->
  • Connectez-vous à Microsoft Online via PowerShell et authentifiez
Connect-MSOLService
<!--NeedCopy-->
  • Vérifiez que le domaine est actuellement défini sur Managed dans Azure en exécutant la commande PowerShell suivante
Get-MsolDomain
<!--NeedCopy-->

Fédération de domaine 01

  • Utilisez le code suivant dans un script PowerShell pour rendre ce domaine fédéré en modifiant les variables à aligner avec votre environnement
 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $IssuerUri = "https://citrix.com/fdafdjk4" # The entityID taken from the Citrix Worksapce SAML Metadata file
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $uri = "https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be" # The Login URL from the Citrix Workspace SaaS app configuration
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt") # Path to the downloaded certificate file from Citrix Workspace
 $certData = [system.convert]::tobase64string($cert.rawdata)

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP
<!--NeedCopy-->
  • Vérifiez que le domaine est actuellement défini sur Federated dans Azure en exécutant la commande PowerShell suivante
Get-MsolDomain
<!--NeedCopy-->

Fédération de domaine 02

  • Vérifiez les paramètres de fédération dans Azure en exécutant la commande PowerShell suivante
Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

Fédération de domaine 03

***Remarque : Si les paramètres de fédération doivent être supprimés, exécutez la commande PowerShell suivante*

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed
<!--NeedCopy-->

Valider

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS
  • Observez l’URL pour la voir brièvement rediriger via Azure
  • Le portail SaaS lance avec succès

Validation initiée par SP

  • Lancer un navigateur
  • Accédez à l’URL définie par l’entreprise pour l’application SaaS
  • Le navigateur redirige vers Okta puis vers Citrix Workspace pour l’authentification
  • Une fois que l’utilisateur s’authentifie auprès de l’annuaire principal des utilisateurs, l’application SaaS démarre avec Okta fournissant une authentification unique

Définir des stratégies de filtrage du site

Le service Citrix Secure Workspace Access fournit le filtrage des sites Web au sein des applications SaaS et Web afin de protéger l’utilisateur contre les attaques par hameçonnage. La section suivante montre comment configurer des stratégies de filtrage de site Web.

  • À partir de Citrix Cloud, Gérer dans la vignette Secure Workspace Access

Citrix Secure Workspace Access 1

  • Si ce guide a été suivi, les étapes Configurer l’authentification de l’utilisateur final et Configurer l’accès des utilisateurs finaux aux applications SaaS, Web et virtuelles sont terminées. Sélectionnez Configurer l’accès au contenu
  • Sélectionner Modifier
  • Activer l’option Filtrer les catégories du site
  • Dans la zone Catégories bloquées, sélectionnez Ajouter
  • Sélectionnez les catégories pour empêcher les utilisateurs d’accéder

Citrix Secure Workspace Access 2

  • Lorsque toutes les catégories applicables sont sélectionnées, sélectionnez Ajouter

Citrix Secure Workspace Access 3

  • Faites de même pour les catégories autorisées
  • Faites de même pour les catégories redirigées. Ces catégories redirigent vers une instance Secure Browser
  • Si nécessaire, les administrateurs peuvent filtrer les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même processus que celui utilisé pour définir des catégories. Les URL des sites Web ont priorité sur les catégories.

Valider la configuration

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS. Si la sécurité renforcée est désactivée, l’application démarre dans le navigateur local, sinon le navigateur intégré est utilisé
  • L’utilisateur se connecte automatiquement à l’application
  • Les stratégies de sécurité améliorées appropriées sont appliquées
  • Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les catégories bloquées, autorisées et redirigées
  • Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les URL bloquées, autorisées et redirigées
  • Le lancement de l’application SaaS

Validation initiée par SP

  • Lancer un navigateur
  • Accédez au site Web de l’application SaaS et connectez-vous. S’il existe une option pour effectuer l’SSO, sélectionnez l’option.
  • Le navigateur redirige le navigateur vers Citrix Workspace pour l’authentification
  • Entrez le nom d’utilisateur.
  • Une fois que l’utilisateur s’est authentifié auprès du répertoire principal des utilisateurs, l’application SaaS démarre dans le navigateur local si la sécurité renforcée est désactivée. Si la sécurité renforcée est activée, une instance Secure Browser lance l’application SaaS.

Rester connecté

Dans la configuration par défaut, Azure Active Directory affiche une boîte de dialogue pendant le processus d’ouverture de session permettant aux utilisateurs de rester connectés.

Connexion persistante 01

Il s’agit d’un paramètre Azure qui peut être facilement modifié en procédant comme suit :

  • Dans Azure, sélectionnez Azure Active Directory
  • Sélectionner la marque de l’entreprise
  • Sélectionnez les paramètres régionaux activés
  • Dans le volet Modifier la marque de l’entreprise, sélectionnez Non dans l’ option Afficher pour rester connecté

Connexion persistante 01

  • Sélectionnez Enregistrer

Résolution des problèmes

Compte d’utilisateur n’existe pas dans l’annuaire

Lors de la tentative de lancement de l’application SaaS, l’utilisateur peut recevoir l’erreur suivante : Le compte d’utilisateur « nom de compte » n’existe pas dans le répertoire « GUID ».

Compte d'utilisateur Dépannage 01

Voici des suggestions sur la façon de résoudre ce problème :

  • Vérifiez que l’utilisateur est autorisé à utiliser l’application SaaS dans Azure Active Directory
  • Vérifiez que l’adresse e-mail identifiée dans l’erreur correspond entre l’annuaire des utilisateurs principaux, Azure Active Directory et l’application SaaS.

Federation, objet Domaine

Lors de la validation, un utilisateur peut recevoir l’erreur suivante :

Federation Realm Dépannage 01

Cela est souvent dû au fait que le domaine n’est pas vérifié ou correctement fédéré. Passez en revue les sections suivantes du guide de PDC :

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au presse-papiers) échouent. Généralement, cela se produit parce que l’application SaaS utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application SaaS, il y avait une entrée pour les domaines associés.

Configuration de l'application SaaS 02

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application SaaS à l’aide d’un navigateur local et effectuer les opérations suivantes :

  • Accédez à la section de l’application où les stratégies échouent
  • Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
  • Sélectionnez Plus d’outils.
  • Sélectionner les outilsde développement
  • Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Pour activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme *.domain.com

Sécurité améliorée Dépannage 01