Preuve de concept : Accès sécurisé aux applications Web internes avec Citrix Secure Workspace Access

Aperçu

Avec le travail à distance, les utilisateurs ont besoin d’accéder à des applications Web internes. Fournir une meilleure expérience signifie éviter un modèle de déploiement VPN, ce qui entraîne souvent les défis suivants :

• Risque VPN 1 : sont difficiles à installer et à configurer
• Risque VPN 2 : Exiger que les utilisateurs installent le logiciel VPN sur les terminaux, qui peuvent utiliser un système d’exploitation non pris en charge
• Risque VPN 3 : nécessite la configuration de stratégies complexes pour empêcher un périphérique de point de terminaison non fiable d’avoir un accès illimité au réseau, aux ressources et aux données de l’entreprise.
• Risque VPN 4 : Difficile de synchroniser les stratégies de sécurité entre l’infrastructure VPN et l’infrastructure locale.

Pour améliorer l’expérience utilisateur globale, les organisations doivent être en mesure d’unifier toutes les applications sanctionnées, de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification.

Les entreprises doivent être en mesure de fournir et de sécuriser des applications SaaS, Web, Windows, Linux et postes de travail, même si certaines de ces ressources existent au-delà des limites du centre de données et sont en mesure d’accéder à des ressources en dehors du centre de données. Citrix Workspace fournit aux entreprises un accès sécurisé et sans vpn aux ressources autorisées par l’utilisateur.

Dans ce scénario de validation de concept, un utilisateur s’authentifie auprès de Citrix Workspace à l’aide d’Active Directory, Azure Active Directory, Okta, Google ou Citrix Gateway comme annuaire d’utilisateurs principal. Citrix Workspace fournit des services d’authentification unique pour un ensemble défini d’applications Web d’entreprise.

Si le service Citrix Secure Workspace Access est affecté à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, la restriction des actions d’impression et de téléchargement, les restrictions d’accaparement d’écran, l’obfuscation du clavier et la protection des utilisateurs contre les liens non fiables sont appliquées. sur les applications web.

L’animation montre un utilisateur accédant à une application Web avec l’authentification SSO fournie par Citrix et sécurisé avec le service Citrix Secure Workspace Access.

Cette démonstration montre un flux dans lequel l’utilisateur lance l’application à partir de Citrix Workspace, qui utilise la connexion sans vpn au centre de données. Étant donné que l’utilisateur accède à une application Web interne à partir d’un périphérique externe, la demande d’accès doit provenir de Citrix Workspace.

Ce guide de validation de concept montre comment :

1. Configuration de Citrix Workspace
2. Intégrer un annuaire d’utilisateurs principal
3. Incorporer l’authentification unique pour Outlook Web Access, qui se trouve dans le centre de données
4. Définir des stratégies de filtrage du site
5. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

1. Configuration de l’URL de l’espace de travail
2. Activation des services appropriés

Définir l’URL d’espace de travail

1. Connectez-vous à Citrix cloud et connectez-vous en tant que compte administrateur
2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

Activer les services

Dans l’onglet Intégration de services, activez les services suivants pour prendre en charge le cas d’utilisation de l’accès sécurisé aux applications Web

1. Passerelle
2. Secure Browser

![Services d’espace de]travail(/en-us/tech-zone/learn/media/poc-guides_access-control-web-citrix-sso_workspace-config-002.png)

Vérifier

Citrix Workspace prend quelques instants pour mettre à jour les services et les paramètres d’URL. Dans un navigateur, vérifiez que l’URL de l’espace de travail personnalisée est active. Toutefois, l’ouverture de session n’est pas disponible tant qu’un répertoire utilisateur principal n’est pas défini et configuré.

Intégrer un annuaire d’utilisateurs principaux

Pour que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateur principal doit être configuré. L’annuaire d’utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique aux identités secondaires.

Une organisation peut utiliser l’un des répertoires d’utilisateurs principaux suivants

• Active Directory: pour activer l’authentification Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide Installation de Cloud Connector.
• Active Directory avec mot de passe unique basé sur le temps : l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe unique basé sur le temps (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
• Azure Active Directory : les utilisateurs peuvent s’authentifier auprès de Citrix Workspace avec une identité Azure Active Directory. Ce guide fournit des détails sur la configuration de cette option.
• Citrix Gateway : les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des détails sur l’intégration.
• Okta : les organisations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.

Configurer l’authentification unique

Pour intégrer avec succès des applications Web avec Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

• Déployer le connecteur
• Configurer l’application Web
• Autoriser l’application Web

Déployer le connecteur

• Dans Citrix cloud, sélectionnez Emplacements des ressources dans la barre de menus.

• Dans l’emplacement de ressource associé au site contenant l’application Web, sélectionnez Connecteurs de passerelle
• Sélectionnez Ajouter un connecteur de passerelle
• Téléchargez l’image associée à l’hyperviseur approprié. Laissez cette fenêtre de navigateur ouverte
• Une fois téléchargé, importez l’image dans l’hyperviseur
• Lorsque l’image démarre, elle fournit l’URL à utiliser pour accéder à la console

• Connectez-vous au Connector et modifiez le mot de passe administrateur et définissez l’adresse IP réseau
• Pour fournir une authentification unique pour certaines applications sur site (SharePoint par exemple), configurez un compte pour exécuter la délégation contrainte Kerberos
• Retournez à la fenêtre du navigateur qui a téléchargé l’image Connector. Sélectionnez Obtenir le code d’activation

• Ajoutez le code d’activation à l’écran de configuration Local Gateway Connector. S’il est fait correctement, le connecteur de passerelle affiche une connexion établie avec le Citrix Gateway Service.

Configurer l’application Web

• Dans Citrix cloud, sélectionnez Gérer dans la vignette Gateway.

• Sélectionnez Ajouter une application Web/SaaS
• Dans l’Assistant Choisir un modèle, sélectionnez Ignorer

• Dans la fenêtre Détails de l’application, sélectionnez Dans mon réseau d’entreprise
• Indiquez un nom pour l’application
• Entrez l’URL de l’application Web
• Ajouter des domaines connexes supplémentaires si nécessaire pour l’application Web
• Ajouter une icône spécifique à l’application si nécessaire

Remarque : Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL de l’étape précédente. Les stratégies de sécurité améliorées nécessitent des domaines associés pour l’application. Si l’application utilise plusieurs noms de domaine, chacun doit être ajouté dans le champ domaines associés, qui est souvent *.<companyID>.company.com (à titre d’exemple *.mail.citrix.com)

• Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement
• Sélectionner Suivant

• Sélectionnez l’emplacement de ressource approprié hébergeant l’application Web. Si un connecteur de passerelle n’a pas été installé et configuré précédemment, il doit être fait maintenant.
• Sélectionner Suivant

• Dans la fenêtre Single Sign-On, sélectionnez l’option SSO appropriée pour l’application Web. Cela nécessite souvent l’aide du propriétaire de l’application Web. Pour OWA, sélectionnez Formulaire
• Entrez les informations appropriées pour le formulaire d’ouverture de session de l’application Web. Ceci est spécifique à l’application

• Sélectionnez Enregistrer
• Sélectionner Terminer

Autoriser l’application Web

• Dans Citrix cloud, sélectionnez Bibliothèque dans le menu

• Recherchez l’application Web et sélectionnez Gérer les abonnés
• Ajouter les utilisateurs/groupes appropriés qui sont autorisés à lancer l’application

Valider

Validation initiée par l’IdP

• Connectez-vous à Citrix Workspace en tant qu’utilisateur
• Sélectionnez l’application Web configurée
• Le lancement de l’application Web

Validation initiée par SP

• L’accès aux applications Web internes doit être initié à partir de Citrix Workspace

Définir des stratégies de filtrage du site

Le service Citrix Secure Workspace Access fournit le filtrage des sites Web au sein des applications SaaS et Web afin de protéger l’utilisateur contre les attaques par hameçonnage. La section suivante montre comment configurer des stratégies de filtrage de site Web.

• À partir du cloud Citrix, Gérer dans la vignette Secure Workspace Access

• Si ce guide a été suivi, les étapes Configurer l’authentification de l’utilisateur final et Configurer l’accès des utilisateurs finaux aux applications SaaS, Web et virtuelles sont terminées. Sélectionnez Configurer l’accès au contenu
• Sélectionner Modifier
• Activer l’option Filtrer les catégories du site
• Dans la zone Catégories bloquées, sélectionnez Ajouter
• Sélectionnez les catégories pour empêcher les utilisateurs d’accéder

• Lorsque toutes les catégories applicables sont sélectionnées, sélectionnez Ajouter

• Faites de même pour les catégories autorisées
• Faites de même pour les catégories redirigées. Ces catégories redirigent vers une instance Secure Browser
• Si nécessaire, les administrateurs peuvent filtrer les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même processus que celui utilisé pour définir des catégories. Les URL des sites Web ont priorité sur les catégories.

Valider la configuration

Validation initiée par l’IdP

• Connectez-vous à Citrix Workspace en tant qu’utilisateur
• Sélectionnez l’application Web configurée. L’application se lance dans le navigateur intégré.
• L’utilisateur se connecte automatiquement à l’application
• Les stratégies de sécurité améliorées appropriées sont appliquées
• Si elle est configurée, sélectionnez une URL dans l’application Web qui se trouve dans les catégories bloquées, autorisées et redirigées
• Si elle est configurée, sélectionnez une URL dans l’application Web qui se trouve dans les URL bloquées, autorisées et redirigées

Validation initiée par SP

• L’accès aux applications Web internes doit être initié à partir de Citrix Workspace

Exemples de configuration d’applications Web

OWA

La configuration SSO pour Outlook Web Access est la suivante :

SharePoint

Un déploiement local pour SharePoint peut prendre en charge différents types d’authentification (Kerberos, Forms et SAML). La configuration SSO d’un site SharePoint interne utilisant Kerberos est la suivante :

Résolution des problèmes

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au presse-papiers) échouent. Généralement, cela se produit parce que l’application Web utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application Web, il y avait une entrée pour les domaines associés.

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application Web à l’aide d’un navigateur local et effectuer les opérations suivantes :

• Accédez à la section de l’application où les stratégies échouent
• Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
• Sélectionnez Plus d’outils.
• Sélectionner les outilsde développement
• Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Afin d’activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme *.domain.com