Guide PoC : Authentification adaptative avec Citrix DaaS

Vue d’ensemble

Les clients Citrix Cloud peuvent utiliser Citrix Workspace pour fournir une authentification adaptative à Citrix DaaS. Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace. Ce guide POC vise à montrer comment l’authentification adaptative peut fournir l’accès à Citrix DaaS à un client ou à un tiers sans créer et gérer des comptes AD locaux et autoriser plusieurs IdP.

Architecture conceptuelle

Voici un aperçu du déploiement créé pour ce guide POC.

Architecture conceptuelle

  • Fournisseur principal avec des composants Citrix Cloud (y compris PKI et FAS) et deux domaines pour imiter les clients.
  • Comptes fantômes créés dans lab.local avec des adresses e-mail correspondant à celles du client pour une validation initiale (extraction de groupe).

  • Citrix DaaS est configuré pour le domaine Active Directory lab.local avec les informations suivantes :
    • Contrôleurs de domaine :
      • LAB-AD-01
      • LAB-AD-02
    • Cloud Connector :
      • LAB-CC-01
      • LAB-CC-02
    • Serveur de certificats Microsoft :
      • LAB-PKI-01
    • Serveurs Citrix FAS :
      • LAB-FAS-01
      • LAB-FAS-02
    • Agents de distribution virtuels (VDA) Citrix :
      • DAAS-MCS-S-02.lab.local
      • DAAS-MCS-S-03.lab.local
      • DAAS-MCS-S-04.lab.local -Ressources publiées : - Windows 10 MCS Desktop pour lab \ user1, lab \ shadow001 et lab \ shadow002.

Configuration du service d’authentification adaptative

Les étapes de haut niveau suivantes sont nécessaires à la configuration du service d’authentification adaptative.

  1. Provisionnez une authentification adaptative
  2. Configuration des stratégies d’authentification adaptative
  3. Activer l’authentification adaptative pour Workspace

Pré-requis

  • Réservez un nom de domaine complet pour votre instance Adaptive Authentication. Par exemple, aauth.arnaud.biz, en supposant que arnaud.biz est le domaine de votre entreprise. Ce nom de domaine complet est le nom de domaine complet du service d’authentification adaptative décrit dans ce document et est utilisé lors du provisionnement de l’instance. Mappez le nom de domaine complet avec l’adresse IP publique du serveur virtuel IdP. Cette adresse IP est obtenue après le provisionnement à l’étape Télécharger le certificat .
  • Procurez-vous un certificat pour aauth.arnaud.biz. Les certificats doivent contenir l’attribut SAN, sinon ils ne sont pas acceptés.
  • Choisissez votre type de connectivité pour la connectivité AD/RADIUS sur site. Les deux options suivantes sont disponibles. Utilisez le type de connectivité du connecteur si vous ne souhaitez pas que le centre de données soit joignable.
  • Citrix Cloud Connector : pour plus de détails, consultez Citrix Cloud Connector .
  • Azure VNet peering : pour plus de détails, consultez Configuration de la connectivité aux serveurs d’authentification locaux à l’aide du peering Azure VNet.
  • Configurez le serveur NTP (Network Time Protocol) pour éviter les décalages temporels. Pour plus de détails, consultez Comment synchroniser l’horloge système avec les serveurs du réseau.

Points à noter

  1. Citrix recommande de ne pas exécuter de configuration claire pour aucune instance d’authentification adaptative ni de modifier une configuration comportant le préfixe AA (par exemple, AAuthAutoConfig), y compris les certificats. Cela perturbe la gestion de l’authentification adaptative et affecte l’accès des utilisateurs. Le seul moyen de récupérer est le reprovisionnement.
  2. N’ajoutez pas SNIP ni aucune route supplémentaire sur l’instance Adaptive Authentication.
  3. La configuration nFactor requise pour le service Citrix Workspace ou Citrix Secure Private Access est la seule configuration que les clients doivent créer directement sur les instances. Actuellement, aucune vérification ni aucun avertissement dans Citrix ADC n’empêchent les administrateurs d’apporter ces modifications.
  4. Ne mettez pas à niveau les instances Adaptive Authentication vers des versions RTM aléatoires. Citrix Cloud gère toutes les mises à niveau.
  5. Seul un connecteur cloud basé sur Windows est pris en charge. L’appliance de connexion n’est pas prise en charge dans cette version.
  6. Si vous êtes déjà client de Citrix Cloud et que vous avez déjà configuré Azure AD (ou d’autres méthodes d’authentification) pour passer à l’authentification adaptative (par exemple, la vérification de la posture de l’appareil), vous devez configurer l’authentification adaptative comme méthode d’authentification et configurer les politiques d’authentification dans l’instance d’authentification adaptative. Pour plus de détails, consultez Connecter Citrix Cloud à Azure AD.
  7. Pour le déploiement du serveur RADIUS, ajoutez toutes les adresses IP privées du connecteur en tant que clients RADIUS sur le serveur RADIUS.
  8. Dans la version actuelle, l’agent ADM externe n’est pas autorisé. Citrix Analytics (CAS) n’est donc pas pris en charge.
  9. Le service NetScaler Application Delivery Management collecte la sauvegarde de votre instance Adaptive Authentication. Pour extraire la sauvegarde d’ADM, intégrez le service ADM. Pour plus de détails, voir Sauvegarde et restauration de la configuration. Citrix ne prend pas les sauvegardes explicitement à partir du service d’authentification adaptative. Les clients doivent effectuer la sauvegarde de leurs configurations à partir du service Application Delivery Management si nécessaire.

Comment configurer le service d’authentification adaptative

Les étapes suivantes supposent que vous utilisez Citrix DaaS avec Citrix Cloud Connectors et Active Directory sur site.

Accéder à l’interface utilisateur Adaptive Authentication

Vous pouvez accéder à l’interface utilisateur Adaptive Authentication par l’une des méthodes suivantes.

  1. Saisissez manuellement l’URL https://adaptive-authentication.cloud.com.
  2. Connectez-vous à l’aide de vos informations d’identification et sélectionnez un client.
  3. Une fois que vous vous êtes authentifié avec succès, vous êtes redirigé vers l’interface utilisateur d’authentification adaptative.

OU

  1. Accédez à Citrix Cloud > Gestion des identités et des accès.
  2. Dans l’onglet Authentification, cliquez sur le menu représentant des points de suspension dans Authentification adaptativeet sélectionnez Gérer. L’interface utilisateur Adaptive Authentication s’affiche.

Étape 1 : Provisionner l’authentification adaptative

Procédez comme suit :

  1. Dans l’interface utilisateur d’authentification adaptative, cliquez sur Provisionner

    Authentification adaptative

  2. Cliquez sur Suivant.

    Authentification adaptative

  3. Sélectionnez la connexion préférée pour l’authentification adaptative.

    • Citrix Cloud Connector : vous devez configurer un connecteur sur votre réseau local pour ce type de connexion. Citrix recommande de déployer au moins deux Citrix Cloud Connectors dans votre environnement pour configurer la connexion au Citrix Gateway hébergé sur Azure. Vous devez autoriser votre Citrix Cloud Connector à accéder au domaine/à l’URL réservé à l’instance d’authentification adaptative. Par exemple, autorisez https://aauth.xyz.com/*.

    Pour plus de détails sur Citrix Cloud Connector, consultez Citrix Cloud Connector.

    • Appartage réseau virtuel Azure : vous devez configurer la connectivité entre les serveurs à l’aide de l’appairage réseau virtuel d’Azure.
    • Assurez-vous de disposer d’un compte d’abonnement Azure pour configurer la connectivité.
    • Le réseau virtuel client qui fait l’objet du peered doit déjà disposer d’une passerelle VPN Azure. Pour plus de détails, consultez Azure VPN Gateway. Authentification adaptative

    Pour ajouter un Citrix Cloud Connector comme connexion préférée , procédez comme suit.

    • Sélectionnez l’option Citrix Cloud Connector , puis cochez la case Contrat utilisateur final .
    • Cliquez sur Provisionner.

      Authentification adaptative

Remarque :

Provisioning peut prendre jusqu’à 30 minutes.

  1. Configurez les informations d’identification pour accéder aux instances que vous avez activées pour l’authentification adaptative. Vous devez accéder à la console de gestion pour créer des politiques d’authentification, d’accès conditionnel, etc.
    • Entrez le nom d’utilisateur et le mot de passe dans l’écran d’accès à la console, puis cliquez sur Suivant. Authentification adaptative
  2. Ajoutez le nom de domaine complet du service Adaptive Authentication et chargez la paire de clés de certificat. Vous devez saisir le nom de domaine complet du service Adaptive Authentication de votre choix pour le serveur d’authentification accessible au public. Ce FQDN doit pouvoir être résolu publiquement.
    • dans l’écran Télécharger le certificat, entrez le FQDN réservé à l’authentification adaptative.
    • Sélectionnez le type de certificat.
    • Téléchargez le certificat et la clé.

    Authentification adaptative

Remarque :

Une entrée DNS doit être créée pour que la configuration s’applique.

![Adaptive Authentication](/en-us/tech-zone/learn/media/poc-guides_adaptive-authentication-citrix-daas_aa7.png)
  1. Téléchargez le certificat et la clé. L’instance d’authentification adaptative est connectée au service de gestion des identités et des accès. L’état de la méthode d’authentification adaptative s’affiche comme Connecté.
  2. Configurez les adresses IP pour accéder à la console de gestion de l’authentification adaptative.
    • Dans l’écran Adresses IP autorisées, entrez une adresse IP publique comme adresse IP de gestion pour chaque instance. Pour restreindre l’accès à l’adresse IP de gestion, vous pouvez ajouter plusieurs adresses IP autorisées à accéder à la console de gestion.
    • Pour ajouter plusieurs adresses IP, cliquez sur Ajouter, entrez l’adresse IP et cliquez sur OK. Cette étape doit être effectuée pour chaque adresse IP. Si vous ne cliquez pas sur le bouton Terminé, les adresses IP ne sont pas ajoutées à la base de données mais uniquement à l’interface utilisateur. Authentification adaptative
    • Si vous utilisez le type de connectivité par connecteur, spécifiez un ensemble d’emplacements de ressources (connecteurs) pour accéder aux serveurs AD ou RADIUS. Vous pouvez ignorer cette étape si vous utilisez le type de connectivité d’appairage VNet.
    • Les administrateurs peuvent choisir les connecteurs par lesquels les serveurs principaux AD et RADIUS doivent être accessibles. Pour activer cette fonctionnalité, vous pouvez configurer un mappage entre les sous-réseaux de leurs serveurs AD/RADIUS principaux de telle sorte que si le trafic d’authentification relève d’un sous-réseau spécifique, ce trafic soit dirigé vers l’emplacement de ressources spécifique. Toutefois, si un emplacement de ressources n’est pas mappé vers un sous-réseau, les administrateurs peuvent spécifier d’utiliser l’emplacement de ressources générique pour ces sous-réseaux.
    • Auparavant, le trafic d’authentification adaptative pour AD/RADIUS sur site était dirigé vers n’importe quel emplacement de ressources disponible à l’aide de la méthode circulaire. Cette configuration a causé des problèmes aux clients disposant de plusieurs emplacements de ressources.
  3. Dans l’interface utilisateur d’authentification adaptative, cliquez sur Gérer la connectivité, entrez les détails du sous-réseau, sélectionnez l’emplacement des ressources correspondant, cliquez sur Ajouter, puis sur Enregistrer les modifications.

    Authentification adaptative

Étape 2 : Configuration des stratégies d’authentification adaptative

Après le provisionnement, vous pouvez accéder directement à l’adresse IP de gestion de l’authentification adaptative. Vous accédez à la console de gestion de l’authentification adaptative à l’aide du nom de domaine complet ou de votre adresse IP principale.

Authentification adaptative

Pour accéder à l’authentification adaptative à l’aide de votre adresse principale, procédez comme suit :

  1. Copiez l’adresse IP principale depuis la section Configurer les stratégies d’authentification de l’interface graphique et accédez à l’adresse IP dans votre navigateur.
  2. Connectez-vous à l’aide des informations d’identification que vous avez saisies lors du provisionnement.

    Authentification adaptative

  3. Cliquez sur Continuer.

    Authentification adaptative

  4. Accédez à Configuration > Sécurité > AAA - Trafic d’applications > Serveurs virtuels.

    Authentification adaptative

  5. Ajoutez les stratégies d’authentification. Pour différents cas d’utilisation, voir Exemples de configurations d’authentification. La partie relative à la configuration de cet article est fournie ci-dessous dans la section suivante.

Étape 3 : activer l’authentification adaptative pour Workspace

Une fois le provisionnement terminé, vous pouvez activer l’authentification pour Workspace en cliquant sur Activer dans la section Activer l’authentification adaptative pour Workspace .

  1. Cliquez sur Activer pour activer l’authentification adaptative pour Workspace.

    Authentification adaptative

  2. Cochez la case et cliquez sur Confirmer.

    Authentification adaptative

Configurer l’extraction de groupes basée sur les entrées

Prenons l’exemple d’une organisation composée des trois départements (groupes) suivants : employé, partenaire et fournisseur. L’appliance Citrix ADC peut extraire le groupe de l’utilisateur en fonction de son adresse e-mail ou de son nom d’utilisateur AD dans le formulaire de connexion au premier facteur. En fonction du groupe auquel appartient un utilisateur, Citrix ADC présente une méthode d’authentification (LDAP, SAML, OAuth, etc.), comme indiqué dans le tableau suivant à titre d’exemple.

Nom du groupe Facteur
Employé Auth unique (nom d’utilisateur/mot de passe)
Partenaire SAML (redirections vers un autre IdP)
Fournisseur SAML (redirections vers un autre IdP)

Le schéma suivant montre une interaction de haut niveau entre un utilisateur et l’appliance Citrix ADC pour le cas d’utilisation mentionné précédemment.

Authentification adaptative

  1. L’utilisateur se connecte à Citrix Workspace et est redirigé vers un serveur d’authentification virtuel.
  2. Citrix ADC présente un formulaire de connexion pour saisir son adresse e-mail (ou son nom d’utilisateur). Authentification adaptative

  3. L’utilisateur saisit son adresse e-mail (ou son nom d’utilisateur).
  4. Citrix ADC présente un formulaire de connexion basé sur le groupe extrait à l’aide de l’identifiant e-mail (ou du nom d’utilisateur) fourni.

Configurer la saisie de l’identifiant e-mail (ou du nom d’utilisateur) à l’aide de l’interface de ligne de commande

Conditions préalables

  • Un serveur virtuel d’équilibrage de charge configuré avec l’authentification activée.
  • Serveur virtuel d’équilibrage de charge LDAP avec adresse IP : 10.0.0.1 créé :

    add server LAB-AD-01 192.168.2.1

    add server LAB-AD-02 192.168.2.2

    add serviceGroup LDAP_SG TCP -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport YES -cltTimeout 9000 -svrTimeout 9000 -CKA NO -TCPB NO -CMP NO

    add lb vserver LDAP_VS TCP 10.0.0.1 389 -persistenceType NONE -cltTimeout 9000

    bind lb vserver LDAP_VS LDAP_SG

    bind serviceGroup LDAP_SG LAB-AD-02 389

    bind serviceGroup LDAP_SG LAB-AD-01 389

Configurer le serveur virtuel d’authentification pour l’extraction de groupes par e-mail

Remarque :

Vous pouvez modifier le schéma **OnlyUsername.xml pour créer un schéma de connexion personnalisé (EmailOnlylSchema).

Créez une stratégie de schéma de connexion à l’aide du schéma de connexion par e-mail créé à l’étape précédente et liez-le au serveur d’authentification virtuel

add authentication loginSchema emailOnlyLSchema -authenticationSchema "/nsconfig/loginschema/LoginSchema/EmailOnlyLSchema.xml"

add authentication loginSchemaPolicy lschema_only_email_pol -rule true -action emailOnlyLSchema

bind authentication vserver auth_vs -policy lschema_only_email_pol -priority 100 -gotoPriorityExpression END

Création d’une stratégie d’authentification LDAP pour l’extraction de groupe

Remarque :

LDAPloginName est « mail » pour la connexion basée sur l’identifiant de messagerie, tandis que -LDAPloginName est « sAMAccountName » pour la connexion basée sur le nom d’utilisateur.

add authentication ldapAction aaa_local_grp_extraction -serverIP 10.0.0.1 -ldapBase "dc=lab,dc=local" -ldapBindDn svc_ldap@lab.local -ldapBindDnPassword ****** -ldapLoginName mail -groupAttrName memberOf -subAttributeName CN -secType TLS -authentication DISABLED

add authentication Policy aaa_local_grp_extraction_pol -rule true -action aaa_local_grp_extraction

Configuration des politiques basée sur les groupes extraite

Créez le facteur suivant pour les groupes d’employés, de partenaires et de fournisseurs à l’aide d’étiquettes de stratégie

add authentication loginSchema lschema_noschema -authenticationSchema noschema

add authentication policylabel plabel_noauth_Employee_Partner_Vendor -loginSchema lschema_noschema

add authentication Policy noauth_Employee_pol -rule "AAA.USER.IS_MEMBER_OF(\"Employee\")" -action NO_AUTHN

add authentication Policy noauth_Partner_pol -rule AAA.USER.IS_MEMBER_OF(\"Partner\")" -action NO_AUTHN

add authentication Policy noauth_Vendor_pol -rule "AAA.USER.IS_MEMBER_OF(\"Vendor\")" -action NO_AUTHN

Créer un seul facteur de stratégie d’authentification (LDAP est utilisé comme exemple pour cette configuration)

add authentication loginSchema lschema_singleauth_Employee -authenticationSchema "/nsconfig/loginschema/LoginSchema/ PrefilUserFromExpr.xml"

add authentication policylabel plabel_singleauth_Employee -loginSchema lschema_singleauth_Employee

add authentication ldapAction aaa_local_pwd_act -serverIP 192.168.2.1 -ldapBase "dc=lab,dc=local" -ldapBindDn svc_ldap@lab.local -ldapBindDnPassword ****** -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN -secType TLS -ssoNameAttribute userPrincipalName -passwdChange ENABLED -nestedGroupExtraction ON -maxNestingLevel 7 -groupNameIdentifier sAMAccountName -groupSearchAttribute memberOf -groupSearchSubAttribute CN -defaultAuthenticationGroup ldapDefaultAuthGroup -Attribute1 userPrincipalName -Attribute2 mail

add authentication Policy aaa_local_pwd_pol -rule true -action aaa_local_pwd_act

bind authentication policylabel plabel_singleauth_Employee -policyName aaa_local_pwd_pol -priority 100 -gotoPriorityExpression NEXT

Création d’une stratégie SAML pour la redirection vers Okta SAML IdP

add authentication policylabel plabel_saml_Partner -loginSchema lschema_noschema

add authentication samlAction "SAML OKTA" -samlIdPCertName Okta -samlSigningCertName MTRCConsulti-certkey -samlRedirectUrl "https://dev-52531691.okta.com/app/citrixnetscalergateway_saml/exk9a4qvlqFEP4bHI5d7/sso/saml" -samlUserField userprincipalname -samlIssuerName https://aauth.arnaud.biz

add authentication Policy SAML-OKTA -rule true -action "SAML OKTA"

bind authentication policylabel plabel_saml_Partner -policyName SAML-OKTA -priority 100 -gotoPriorityExpression NEXT

Créer une stratégie SAML pour la redirection vers Azure SAML IdP

add authentication policylabel plabel_saml_Vendor -loginSchema lschema_noschema

add authentication samlAction saml_sp_act -samlIdPCertName "Citrix ADC SAML" -samlRedirectUrl "https://login.microsoftonline.com/a5edf84a-78ce-4ceb-92d0-2c835a217494/saml2" -samlUserField userprincipalname -samlIssuerName " https://aauth.arnaud.biz"

add authentication Policy saml_sp_pol -rule true -action saml_sp_act

bind authentication policylabel plabel_saml_Vendor -policyName saml_sp_pol -priority 100 -gotoPriorityExpression NEXT

Lier les trois facteurs de stratégie à Plabel_Noauth_Employee_Partner_Vendor

bind authentication policylabel plabel_noauth_Employee_Partner_Vendor -policyName noauth_Employee_pol -priority 100 -gotoPriorityExpression NEXT -nextFactor plabel_singleauth_Employee

bind authentication policylabel plabel_noauth_Employee_Partner_Vendor -policyName noauth_Partner_pol -priority 110 -gotoPriorityExpression NEXT -nextFactor plabel_saml_Partner

bind authentication policylabel plabel_noauth_Employee_Partner_Vendor -policyName noauth_Vendor_pol -priority 120 -gotoPriorityExpression NEXT -nextFactor plabel_saml_Vendor

Liez l’étiquette de stratégie basée sur le groupe en tant que NextFactor pour la stratégie d’authentification par extraction de groupes

bind authentication vserver auth_vs -policy aaa_local_grp_extraction_pol -priority 100 -nextFactor plabel_noauth_Employee_Partner_Vendor -gotoPriorityExpression NEXT

Configurer la saisie de l’identifiant e-mail (ou du nom d’utilisateur) à l’aide du visualiseur nFactor

  1. Accédez àSécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flowet cliquez sur Ajouter.
  2. Cliquez sur + pour ajouter le flux nFactor.
  3. Ajoutez un facteur d’extraction de groupe avec la stratégie d’extraction de groupe LDAP à l’aide d’ EmailOnlyLoginSchema. Le nom que vous entrez est le nom du flux nFactor. Cliquez sur Créer.

    Authentification adaptative

  4. Cliquez sur Ajouter un schéma sur le bloc nFactor. Pour créer un schéma de connexion personnalisé (EmailOnlylSchema), vous pouvez modifier le schéma OnlyUsername.xml intégré.

    Authentification adaptative

  5. Cliquez sur Ajouter une stratégie.
  6. Sélectionnez Policy aaa_local_grp_extraction_pol et cliquez sur Ajouter.

    Authentification adaptative

  7. Cliquez sur le signe vert + sur le bloc EmailBasedGroupExtraction pour créer des blocs de décision pour les facteurs suivants.

    Authentification adaptative

  8. Sur l’écran Next Factor to Connect, sélectionnez Create decision block, entrez un nom pour le bloc de décision, puis cliquez sur Créer.

    Authentification adaptative

  9. Cliquez sur Ajouter une stratégie

    Authentification adaptative

  10. Sélectionnez Stratégie et cliquez sur Ajouter.

    Authentification adaptative

  11. Le diagramme suivant montre le flux nFactor après la création de tous les blocs de décision.

    Authentification adaptative

  12. Une fois que tous les blocs de décision sont créés, liez tous les blocs de décision basés sur des groupes aux facteurs d’authentification respectifs. Par exemple, un groupe d’employés peut avoir un facteur d’authentification par nom d’utilisateur et mot de passe.

    Authentification adaptative

  13. Choisissez le schéma de connexion dans le menu déroulant Schéma de connexion d’authentification et cliquez sur Ajouter.

    Authentification adaptative

  14. Choisissez la stratégie d’authentification, puis cliquez sur Ajouter.

    Authentification adaptative

  15. Une fois que tous les blocs de décision basés sur des groupes sont configurés avec des politiques d’authentification comme facteurs, le flux nFactor ressemble au diagramme suivant.

    Authentification adaptative

  16. Cliquez sur Lier au serveur d’authentification, puis sur Créer.

    Authentification adaptative

  17. Sélectionnez le serveur d’authentification virtuel et cliquez sur nFactor Flow.

    Authentification adaptative

  18. Choisissez le flux nFactor dans le champ Sélectionner le flux nFactor et cliquez sur Ajouter.

    Authentification adaptative

  19. Liez ce flux au serveur virtuel d’authentification, d’autorisation et d’audit.

    Authentification adaptative

Remarque :

Azure AD ne s’attend pas à ce que le champ Subject ID figure dans la demande SAML. Pour que Citrix ADC n’envoie pas le champ Subject ID, tapez la commande suivante sur l’interface de ligne de commande Citrix ADC. nsapimgr_wr.sh -ys call=”ns_saml_dont_send_subject » Cette commande s’applique uniquement aux flux de travail d’authentification nFactor.

Résumé

Ce guide vous explique comment utiliser l’authentification adaptative pour permettre à un client ou à un tiers d’accéder à Citrix DaaS sans créer et gérer des comptes AD locaux ni autoriser plusieurs IDP.