Guide PoC : Accès sécurisé aux applications SaaS avec Okta et Citrix Secure Private Access

Vue d’ensemble

Les utilisateurs utilisant de plus en plus d’applications SaaS, les entreprises doivent être en mesure d’unifier toutes les applications sanctionnées et de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification. Les entreprises doivent être en mesure de sécuriser ces applications même si elles existent au-delà des limites du datacenter. Citrix Workspace fournit aux entreprises un accès sécurisé aux applications SaaS.

Dans ce scénario, un utilisateur s’authentifie auprès de Citrix Workspace en utilisant Active Directory ou Okta comme annuaire d’utilisateurs principal. Okta fournit également des services d’authentification unique pour un ensemble défini d’applications SaaS.

Active Directory et Okta SSO

Active Directory et Okta SSO

Si le service Citrix Secure Private Access est attribué à l’abonnement Citrix, des stratégies de sécurité renforcées, telles que l’application de filigranes basés sur l’écran, la restriction des actions d’impression et de téléchargement, des restrictions de capture d’écran, l’obscurcissement du clavier et la protection des utilisateurs contre les liens non fiables, sont appliquées en plus des applications SaaS basées sur Okta.

L’animation suivante montre un utilisateur accédant à une application SaaS avec Okta fournissant l’authentification unique et sécurisée avec Citrix Secure Private Access.

Démo Okta SSO

Cette démonstration montre un flux SSO initié par ID dans lequel l’utilisateur lance l’application à partir de Citrix Workspace. Ce guide de PoC prend également en charge un flux SSO initié par SP où l’utilisateur tente d’accéder à l’application SaaS directement à partir de son navigateur préféré.

Hypothèses :

  • Okta est déjà configuré pour fournir l’authentification SSO à Office 365 et à d’autres applications SaaS
  • Les utilisateurs peuvent se connecter au portail Okta et lancer Office 365 et d’autres applications SaaS
  • Citrix Workspaces est déjà configuré avec Active Directory ou Okta comme répertoire d’identité principal de l’utilisateur.

Ce guide de validation de concept montre comment :

  1. Configuration de Citrix Workspace
  2. Intégrer un annuaire d’utilisateurs principal
  3. Intégrer l’authentification unique pour les applications SaaS
  4. Définir des stratégies de filtrage du site
  5. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

  1. Configuration de l’URL de l’espace de travail
  2. Activation des services appropriés

Définir l’URL d’espace de travail

  1. Connectez-vous à Citrix Cloud et connectez-vous en tant que compte administrateur
  2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
  3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

URL de l'espace de travail

Activer les services

Dans l’onglet Intégration des services , activez les services suivants pour prendre en charge le cas d’utilisation de l’accès sécurisé aux applications SaaS

  1. Secure Private Access
  2. Isolation du navigateur distant

Services Workspace

Vérifier

Citrix Workspace prend quelques instants pour mettre à jour les services et les paramètres d’URL. À partir d’un navigateur, vérifiez que l’URL personnalisée de l’espace de travail est active. Toutefois, l’ouverture de session n’est pas disponible tant qu’un répertoire utilisateur principal n’est pas défini et configuré.

Intégrer un annuaire d’utilisateurs principaux

Avant que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateurs principal doit être configuré. L’annuaire des utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique pour les identités secondaires.

Une organisation peut utiliser l’un des répertoires d’utilisateurs principaux suivants

  • Active Directory (AD) : pour activer l’authentification Active Directory, un Cloud Connector doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide d’installation du connecteur Cloud .
  • Active Directory (AD) avec mot de passe à usage unique basé sur le temps : l’authentification basée sur Active Directory peut également inclure une authentification multifactorielle avec un mot de passe à usage unique basé sur le temps (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
  • Azure Active Directory (AAD) : les utilisateurs peuvent s’authentifier auprès de Citrix Workspace à l’aide d’une identité Azure Active Directory. Ce guide fournit des informations détaillées sur la configuration de cette option.
  • Citrix Gateway: les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des informations détaillées sur l’intégration.
  • Google : les organisations peuvent utiliser Google comme annuaire des utilisateurs principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.
  • Okta : Les organisations peuvent utiliser Okta comme répertoire utilisateur principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.

Ajouter Okta en tant que fournisseur d’authentification unique

Pour intégrer avec succès les applications Okta avec Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

  • Identifier l’URL de connexion SAML
  • Identifier l’URI de l’émetteur IdP
  • Configuration du fournisseur d’identité SAML
  • Configuration d’une application SaaS
  • Autoriser l’application SaaS
  • Configuration du routage IdP

Identifier l’URL de connexion SAML

  • Connectez-vous à Okta en tant qu’administrateur
  • Sélectionner les applications
  • Sélectionnez l’application à ajouter dans Citrix Workspace. Dans cet exemple, Microsoft Office 365 est utilisé.
  • Sous Général, faites défiler vers le bas jusqu’à ce que le lien d’intégration de l’application approprié soit localisé. Ceci est utilisé comme URL de connexion SAML pour Citrix Workspace.

URL de connexion SAML

Identifier l’URI de l’émetteur IdP

  • Connectez-vous à Citrix Cloud en tant qu’administrateur
  • Dans la section Gestion des identités et des accès, sélectionnez Accès aux API
  • Capturez le paramètre d’ID client. Ceci est utilisé pour créer l’URI de l’émetteur IdP au format : https://citrix.com/<customerID>

URI de l'émetteur IdP

Configuration du fournisseur d’identité SAML

Okta doit utiliser Citrix Workspace en tant que fournisseur d’identité SAML, ce qui fait Okta devenir un fournisseur de services dans la configuration SAML.

  • Connectez-vous à Okta en tant qu’administrateur
  • Sélectionnez Sécurité -> Fournisseurs d’identité
  • Sélectionnez Ajouter un fournisseur d’identité -> Ajouter une IdP SAML 2.0

Configuration de l'IdP SAML 01

  • Fournir un nom
  • Pour le nom d’utilisateur IdP, utilisez l’expression suivante : IDPUser.Username (distinction majuscules/minuscules)
  • Le match contre doit être Okta Nom d’utilisateur ou e-mail
  • Si aucune correspondance n’est trouvée, sélectionnez Rediriger vers la page de connexion Okta
  • Pour l’URI de l’émetteur IdP, utilisez l’URL https://citrix.com/<customerID>. CustomerID provient de la section URI de l’émetteur IdP

Configuration de l'IdP SAML 02

  • Laissez cette partie du processus ouverte jusqu’à ce que nous puissions obtenir l’URL d’authentification unique et le certificat SSL de Citrix Cloud.

Configurer une application SaaS

  • Dans Citrix Cloud, sélectionnez Gérer dans la vignette Secure Private Access.

Configurer le fichier SAP de l'application SaaS

  • Dans le menu Accès privé sécurisé, sélectionnez Applications
  • Dans la section Application, sélectionnez Ajouter une application
  • Dans l’Assistant Choisir un modèle, sélectionnez Ignorer
  • Étant donné qu’il s’agit d’une application SaaS, sélectionnez En dehors de mon réseau d’entreprise
  • Dans la fenêtre Détails de l’application, entrez un nom d’application
  • Pour l’URL, utilisez le lien d’intégration de l’application de la section Identity SAML Login URL
  • Les politiques de sécurité renforcées utilisent le champ des domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL saisie ajoutée à l’étape précédente. Ce domaine associé spécifique est associé au lien de l’application Okta. Les stratégies de sécurité améliorées nécessitent des domaines associés pour l’application réelle, ce qui est souvent *.<companyID>.SaaSApp.com (par exemple *.citrix.slack.com)

Configuration de l'application SaaS 02

  • Sélectionner Suivant
  • Dans la fenêtre Single Sign On, sélectionnez Télécharger pour capturer le certificat PEM.
  • Cliquez sur le bouton Copier pour capturer l’URL de connexion

Configurer l'application SaaS 03

  • Retournez à la configuration Okta. La boîte de dialogue Ajouter un fournisseur d’identité doit toujours être visible
  • Pour l’URL de Single Sign-On IdP, utilisez l’URL de connexion Citrix copiée à partir de l’étape précédente. Elle devrait ressembler à https://app.netscalergateway.net/ngs/<customerid>/saml/login?APPID=<appid>
  • Dans le certificat de signature IdP, recherchez le certificat PEM téléchargé

Configurer l'application SaaS 04

  • Une fois l’Assistant terminé, copiez l’ URL du Service Consumer d’Assertion et l’ URI d’audience.

Configurer l'application SaaS 05

  • Retournez à la configuration Citrix.
  • Dans la fenêtre Single Sign On, pour l’ URL d’assertion, utilisez l’élément URL du service client d’assertion obtenu auprès de la section Fournisseur d’identité SAML
  • Pour l’ audience, utilisez l’élément URI d’audience obtenu à partir de la section Fournisseur d’identité SAML.
  • Le format d’ID de nom et l’ID de nom peuvent rester comme e-mail. Okta utilise l’adresse e-mail pour s’associer à un utilisateur Okta.

Configurer l'application SaaS 06

  • Sélectionner Suivant
  • Dans la fenêtre App Connectivity, sélectionnez Next
  • Sélectionner Terminer

Autoriser l’application SaaS

  • Dans le menu Accès privé sécurisé, sélectionnez Politiques d’accès
  • Dans la section Stratégies d’accès, sélectionnez Créer une stratégie

Autoriser l'application SaaS 01

  • Entrez le nom de la stratégie et une brève description de la stratégie.
  • Dans le champ déroulant Applications, recherchez et sélectionnez l’application SaaS

Remarque

Vous pouvez créer plusieurs règles d’accès et configurer différentes conditions d’accès pour différents utilisateurs ou groupes d’utilisateurs au sein d’une même stratégie. Ces règles peuvent être appliquées séparément aux applications HTTP/HTTPS et TCP/UDP, le tout dans le cadre d’une stratégie unique. Pour plus d’informations sur les règles d’accès multiples, voir Configuration d’une stratégie d’accès avec plusieurs règles

  • Cliquez sur Créer une règle pour créer des règles pour la stratégie.

Autoriser l'application SaaS 02

  • Entrez le nom de la règle et une brève description de la règle, puis cliquez sur Suivant.

Autoriser l'application SaaS 03

  • Ajoutez les utilisateurs/groupes appropriés autorisés à lancer l’application, puis cliquez sur Suivant.

Remarque

Cliquez sur + pour ajouter plusieurs conditions en fonction du contexte.

Autoriser l'application SaaS 04

  • Spécifiez si l’application HTTP/HTTPS est accessible avec ou sans restrictions.
    Aucune restriction n’est configurée sur la capture d’écran précédente. Si une sécurité renforcée est nécessaire, remplacez « Autoriser l’accès » par « Autoriser l’accès avec restrictions ».
  • Spécifiez l’action des applications TCP/UDP.
    La capture d’écran ci-dessus interdit l’accès aux applications TCP/UDP.
  • Cliquez sur Suivant.

Autoriser l'application SaaS 05

  • La page Résumé affiche les détails des règles de stratégie.
    Vérifiez les détails et cliquez sur Terminer .

Autoriser l'application SaaS 06

  • Dans la boîte de dialogue Créer une stratégie, vérifiez que l’ option Activer la stratégie lors de l’enregistrement est cochée, puis cliquez sur Enregistrer.

Configuration du routage IdP

Jusqu’à présent, la configuration prend en charge un processus de lancement initié par l’IDP, où l’utilisateur lance l’application à partir de Citrix Workspace. Pour activer un processus initié par le SP, dans lequel l’utilisateur lance l’application avec une URL directe, Okta a besoin de définir une règle de routage IdP.

  • Dans la console d’administration Okta, sélectionnez Sécurité - Identity Providers
  • Sélectionnez des règles de routage
  • Sélectionnez Ajouter une règle de routage
  • Fournissez un nom de règle
  • Pour l’ option Utiliser ce fournisseur d’identité, sélectionnez le fournisseur d’identité Citrix créé précédemment

Règle de routage du fournisseur d'identité Okta

  • Sélectionnez Activer

*Remarque : Pendant la configuration, l’administrateur Okta peut ne pas pouvoir se connecter à la console d’administration Okta car la configuration SAML entrante est incomplète. Dans ce cas, l’administrateur peut contourner la règle de routage IdP en accédant à l’environnement Okta à l’adresse suivante https://companyname.okta.com/login/default:*

Valider

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS configurée
  • Observez brièvement le processus de connexion Okta
  • Le lancement de l’application SaaS

Validation initiée par SP

  • Lancer un navigateur
  • Accédez à l’URL définie par l’entreprise pour l’application SaaS
  • Le navigateur redirige vers Okta puis vers Citrix Workspace pour l’authentification
  • Une fois que l’utilisateur s’authentifie auprès de l’annuaire principal des utilisateurs, l’application SaaS démarre avec Okta fournissant une authentification unique

Définir les sites Web non autorisés

Les sites Web non autorisés sont les applications qui ne sont pas configurées dans la configuration Secure Private Access mais qui sont accessibles depuis le navigateur Citrix Enterprise. Vous pouvez configurer des règles pour ces sites Web non autorisés. Par exemple, un lien au sein d’une application SaaS peut pointer vers un site Web malveillant. Grâce à ces règles, un administrateur peut utiliser l’URL d’un site Web spécifique ou une catégorie de site Web et autoriser l’accès, bloquer l’accès ou rediriger la demande vers une instance de navigateur hébergée et sécurisée, ce qui contribue à prévenir les attaques basées sur le navigateur.

  • À partir de Citrix Cloud, gérez dans la vignette Accès privé sécurisé

Citrix Secure Private Access 1

  • Si ce guide a été suivi, les étapes de configuration de l’authentification de l’utilisateur final et de configuration de l’accès des utilisateurs finaux aux applications SaaS, Web et virtuelles sont terminées.
  • Dans le menu Accès privé sécurisé, sélectionnez Paramètres
  • Dans la section Paramètres, sélectionnez Sites Web non autorisés
  • Sélectionner Modifier
  • Activez l’option Filtrer les listes de sites Web

Citrix Secure Private Access 2

  • Cliquez sur Ajouter dans la section correspondante pour bloquer les sites Web, autoriser les sites Web ou rediriger l’utilisateur vers un navigateur sécurisé (isolation à distance du navigateur)
  • Par exemple, pour bloquer les sites Web dans la section des catégories bloquées, cliquez sur Ajouter
  • Entrez un site Web auquel les utilisateurs ne peuvent pas accéder et cliquez sur Ajouter
  • Cliquez sur Enregistrer pour que les modifications soient prises en compte

Valider la configuration

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS configurée. Si la sécurité renforcée est désactivée, l’application se lance dans le navigateur local. Dans le cas contraire, le navigateur d’entreprise est utilisé
  • L’utilisateur se connecte automatiquement à l’application
  • Les stratégies de sécurité améliorées appropriées sont appliquées
  • Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les catégories bloquées, autorisées et redirigées
  • Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les URL bloquées, autorisées et redirigées
  • Le lancement de l’application SaaS

Validation initiée par SP

  • Lancer un navigateur
  • Accédez à l’URL définie par l’entreprise pour l’application SaaS
  • Le navigateur dirige le navigateur vers Citrix Workspace pour l’authentification
  • Une fois que l’utilisateur s’est authentifié auprès du répertoire principal des utilisateurs, l’application SaaS démarre dans le navigateur local si la sécurité renforcée est désactivée. Si la sécurité renforcée est activée, une instance Secure Browser lance l’application SaaS

Dépannage

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des échecs en raison de stratégies de sécurité renforcées (filigrane, impression ou accès au presse-papiers). Généralement, cela se produit parce que l’application SaaS utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application SaaS, il y avait une entrée pour les domaines associés.

Configuration de l'application SaaS 02

Les stratégies de sécurité améliorées sont appliquées à ces domaines connexes. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application SaaS à l’aide d’un navigateur local et effectuer les opérations suivantes :

  • Accédez à la section de l’application où les stratégies échouent
  • Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
  • Sélectionnez Plus d’outils.
  • Sélectionner les outilsde développement
  • Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Pour activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés doivent être ajoutés comme *.domain.com

Dépannage de sécurité amélioré 01