Guide PoC : Configuration de Google Cloud Identity et de Microsoft Active Directory dans Citrix DaaS

Vue d’ensemble

Google Cloud Identity est une solution d’identité en tant que service (IDaaS) qui gère les utilisateurs et les groupes de manière centralisée. Google Cloud Identity peut être configuré pour fédérer les identités entre Google et d’autres fournisseurs d’identité, tels qu’Active Directory et Azure Active Directory. L’utilisation du fournisseur Google Cloud Identity dans Citrix DaaS nécessite de planifier le déploiement pour garantir sa réussite.

Ce guide POC se concentre sur l’utilisation de Google Cloud Identity et de Microsoft Active Directory.

Microsoft Active Directory

Il n’existe aucun moyen de synchroniser les utilisateurs entre Google Cloud et Microsoft Active Directory. La synchronisation s’effectue entre Microsoft Active Directory et Google Cloud.

Configurer Citrix DaaS

Dans cette première étape, configurez Citrix DaaS en créant un emplacement de ressources, en déployant Citrix Cloud Connectors et en créant un catalogue de machines et un groupe de mise à disposition. Enfin, validez le déploiement à l’aide de l’authentification LDAP afin que tout fonctionne comme prévu.

  1. Déployez deux nouvelles machines virtuelles Windows Server 2022 jointes à un domaine.
  2. Configurez l’emplacement des ressources dans Citrix DaaS.
  3. Créez un emplacement de ressources local.

    Configuration de DaaS

  4. Sur vos machines virtuelles Windows Server 2022, créez, téléchargez et installez Citrix Cloud Connector.

    Configuration de DaaS

  5. Configurez la connexion d’hébergement.

    Configuration de DaaS

  6. Créez un catalogue de machines nommé « Windows 10 MCS Google IdP » avec 2 VDA.

    Configuration de DaaS

  7. Créez un groupe de mise à disposition nommé « Windows 10 MCS Google IdP ».
  8. Publiez pour ordinateur de bureau « Windows 10 MCS Google IdP ».

    Configuration de DaaS

  9. Modifiez l’URL de l’espace de travail.

    Configuration de DaaS

  10. Validez l’accès à l’aide de LDAP.

    Configurer DaaS Configurer DaaS Configurer DaaS

Connectez Google en tant que fournisseur d’identité à Citrix Cloud

Nous partons du principe que vous utilisez déjà Google Cloud IdP et que vous avez créé des utilisateurs dans Google Cloud.

Créer un compte de service

Pour effectuer cette tâche, vous devez disposer d’un compte développeur Google Cloud Platform.

  1. Connectez-vous à Google Cloud Console.
  2. Dans la barre latérale du tableau de bord, sélectionnez IAM et Admin, puis choisissez Comptes de service.

    Configurer DaaS Configurer DaaS Configurer DaaS

  3. Sélectionnez Créer un compte de service.

    Configuration de DaaS

  4. Sous Détails du compte de service, saisissez le nom du compte de service et l’ID du compte de service.

    Configuration de DaaS

  5. Sélectionnez Terminé.

Créer une clé de compte de service

  1. Sur la page Comptes de service, sélectionnez le compte de service que vous avez créé.
  2. Sélectionnez l’onglet Clés, puis sélectionnez Ajouter une clé > Créer une nouvelle clé.

    Configuration de DaaS

  3. Laissez l’option de type de clé JSON par défaut sélectionnée.
  4. Sélectionnez Créer. Conservez la clé dans un emplacement sécurisé auquel vous pourrez accéder ultérieurement. Vous entrez la clé privée dans la console Citrix Cloud lorsque vous connectez Google en tant que fournisseur d’identité.

    Configuration de DaaS

Configurer la délégation au niveau du domaine

  1. Activez Admin SDK API :
  2. Sélectionnez API et services > API et services activés dans le menu Google Cloud Platform.

    Configuration de DaaS

  3. Sélectionnez Activer les API et les services en haut de la console. La page d’accueil de la bibliothèque d’API apparaît.

    Configuration de DaaS

  4. Recherchez Admin SDK API et sélectionnez-la dans la liste des résultats.

    Configuration de DaaS

  5. Sélectionnez Activer.

    Configuration de DaaS

  6. Créez un client API pour le compte de service :
  7. Sélectionnez IAM & Admin > Comptes de service dans le menu Google Cloud Platform, puis sélectionnez le compte de service que vous avez créé précédemment.

    Configuration de DaaS

  8. Dans l’onglet Détails du compte de service, développez Paramètres avancés.

    Configuration de DaaS

  9. Sous Délégation à l’échelle du domaine, copiez l’ID client et sélectionnez Afficher la console d’administration Google Workspace.

    Configuration de DaaS

  10. Le cas échéant, sélectionnez le compte d’administrateur Google Workspace que vous souhaitez utiliser. La console d’administration Google s’affiche.
  11. Dans la barre latérale Google Admin, sélectionnez Sécurité > Contrôle de l’accès et des données > Commandes des API.

    Configuration de DaaS

  12. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.

    Configuration de DaaS

  13. Sélectionnez Ajouter.

    Configuration de DaaS

  14. Dans ID client, collez l’ID client du compte de service que vous avez copié à l’étape C.

    Configuration de DaaS

  15. Dans les Habilitations OAuth, entrez les habilitations suivantes sur une seule ligne délimitée par des virgules :

https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly

  1. Sélectionnez Autoriser.

Ajouter un compte utilisateur d’API en lecture seule

Créez un compte utilisateur Google Workspace avec accès à l’API en lecture seule pour Citrix Cloud dans cette tâche. Ce compte n’est utilisé à aucune autre fin et ne dispose d’aucun autre privilège.

  1. Dans le menu Administration de Google, sélectionnez Annuaire > Utilisateurs.

    Configuration de DaaS

  2. Sélectionnez Ajouter un utilisateur et saisissez les informations utilisateur appropriées.

Configuration du DaaS

  1. Sélectionnez Ajouter un utilisateur pour enregistrer les informations du compte.

    Configuration de DaaS

  2. Créez un rôle personnalisé pour le compte d’utilisateur en lecture seule :
  3. Dans le menu Administration de Google, sélectionnez Compte > Rôles d’administrateur.

    Configuration de DaaS

  4. Sélectionnez Créer un rôle.

    Configuration de DaaS

  5. Entrez un nom pour le nouveau rôle. Exemple : API-Readonly

    Configuration de DaaS

  6. Sélectionnez Continue.
  7. Sous Droits de l’API Admin, sélectionnez les droits suivants :
    • Utilisateurs > Lire
    • Groupes > Lire
    • Gestion des domaines

    Configuration de DaaS

  8. Sélectionnez Continuer, puis Créer un rôle.

    Configuration de DaaS

  9. Attribuez le rôle personnalisé au compte utilisateur en lecture seule que vous avez créé précédemment :
  10. Sur la page des détails du rôle personnalisé, dans le volet Admins, sélectionnez Attribuer des utilisateurs.

    Configuration de DaaS

  11. Commencez à taper le nom du compte d’utilisateur en lecture seule et sélectionnez-le dans la liste des utilisateurs.

Configuration de DaaS

  1. Sélectionnez Attribuer un rôle.

    Configuration de DaaS

  2. Pour vérifier l’attribution du rôle, revenez à la page Utilisateurs (Répertoire > Utilisateurs) et sélectionnez le compte utilisateur en lecture seule.
  3. L’attribution de rôle personnalisé s’affiche sous Rôles et droits d’administrateur.

Connecter Google à Citrix Cloud

L’étape suivante consiste à configurer Citrix DaaS pour utiliser Google Cloud en tant que fournisseur d’identité. La première étape consiste à configurer Google Cloud Identity à l’échelle mondiale.

  1. Connectez-vous à Citrix Cloud.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.

    Configuration de DaaS

  3. Localisez Google et sélectionnez Connecter dans le menu des points de suspension.

    Configuration de DaaS

  4. Sélectionnez Importer un fichier, puis sélectionnez le fichier JSON que vous avez enregistré lorsque vous avez créé la clé pour le compte de service. Cette action importe votre clé privée et l’adresse e-mail du compte de service Google Cloud que vous avez créé.

    Configuration de DaaS

  5. Dans Utilisateur représenté, entrez le nom du compte utilisateur de l’API en lecture seule.
  6. Sélectionnez Next. Citrix Cloud vérifie les détails de votre compte Google et teste la connexion.

    Configuration de DaaS

  7. Passez en revue les domaines associés répertoriés. S’ils sont corrects, sélectionnez Confirmer pour enregistrer votre configuration.

Activer Google pour l’authentification de l’espace de travail

Maintenant que Google Cloud Identity est configuré, modifiez la configuration de l’espace de travail pour l’utiliser.

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.

    Configuration de DaaS

  2. Sélectionnez Google. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés, puis cliquez sur Enregistrer.

    Configuration de DaaS

Configurer la synchronisation de Google Cloud Directory

Nous devons configurer Google Cloud Directory Sync pour synchroniser les utilisateurs de Microsoft Active Directory vers Google Cloud.

  1. Téléchargez l’outil depuis Google Cloud Directory Sync.
  2. Installez l’outil GCDS.
  3. Ouvrez l’outil et configurez-le.

    Configuration de DaaS

  4. Dans la configuration du domaine Google :
  5. Indiquez un nom de domaine Google et cliquez sur Autoriser maintenant. Une page Web s’ouvre et vous demande de vous authentifier avec votre compte administrateur et d’accepter les modifications.

    Configuration de DaaS

  6. Dans la configuration LDAP :
  7. Sélectionnez le type de connexion, indiquez le nom d’hôte, définissez le port et fournissez les informations d’identification. Cliquez sur Tester la connexion pour valider.

    Configuration de DaaS

  8. Dans les paramètres généraux :
  9. Faites vérifier les comptes d’utilisateurs, les groupes et les schémas personnalisés .

    Configuration de DaaS

  10. Dans les comptes d’utilisateurs :
  11. Dans l’onglet Attributs utilisateur  : cliquez sur Utiliser les paramètres par défaut, puis sélectionnez Ne pas suspendre ni supprimer les utilisateurs du domaine Google introuvables dans LDAP.

    Configuration de DaaS

  12. Dans les comptes d’utilisateurs :
  13. Dans l’onglet Attributs utilisateur supplémentaires  : cliquez sur Utiliser les valeurs par défaut.

    Configuration de DaaS

  14. Dans les comptes d’utilisateurs :
  15. Dans l’onglet Règles de recherche  : cliquez sur Utiliser les valeurs par défaut.

    Configuration de DaaS

  16. En groupes :
  17. Dans l’onglet Règles de recherche  : cliquez sur Utiliser les valeurs par défaut.
  18. Dans Schémas personnalisés, cliquez sur Ajouter un schéma.

    Configuration de DaaS

  19. Sélectionnez Utiliser les règles définies dans « Comptes utilisateurs » et indiquez le nom du schéma citrix-schema.

    Configuration de DaaS

  20. Cliquez sur Ajouter un champ et créez ce qui suit

    Configuration de DaaS

  21. Cliquez sur OK.

    Configuration de DaaS

  22. Cliquez sur Synchroniser, puis sur Synchroniser et appliquer les modifications.

Remarque :

Enregistrez votre configuration en cliquant sur le menu Fichier > Enregistrer sous. Cela crée un fichier XML. Lorsque vous fermez l’outil GCDS, la configuration n’est pas enregistrée par défaut. Sélectionnez le menu Fichier > Ouvrir les fichiers récents > youfile.xml lors de la prochaine ouverture pour récupérer votre configuration enregistrée.

Configurer la synchronisation des mots de passe Google

Nous configurons maintenant Password Sync pour synchroniser les mots de passe entre Microsoft Active Directory et Google Cloud. Cet outil doit être installé sur tous vos contrôleurs de domaine Microsoft Active Directory.

  1. Télécharger Google Password Sync
  2. Installez Google Password Sync.
  3. Ouvrez Google Password Sync.

    Configuration de DaaS

  4. Cliquez sur Next.

    Configuration de DaaS

  5. Indiquez l’adresse e-mail de l’administrateur et sélectionnez Charger les informations d’identification. Lorsque vous y êtes invité, sélectionnez le fichier JSON. Cliquez sur Next.

    Configuration de DaaS

  6. Cliquez sur Next.

    Configuration de DaaS

  7. Cliquez sur Finish.

Remarque :

Une fois que Password Sync est installé et configuré, il envoie des mots de passe mis à jour à votre compte Google chaque fois qu’un utilisateur Active Directory modifie son mot de passe dans AD. Pour forcer la synchronisation de vos mots de passe Active Directory avec Google, redémarrez le service Password Sync depuis la console Services : Configurer le DaaS Un script peut également être créé pour le redémarrer avec la ligne suivante : net stop "password Sync" && net start "password sync"

Synchroniser l’utilisateur dans Google

Configurez maintenant Google Cloud Directory Sync. Configuration du DaaS

  1. Cliquez sur Synchroniser et appliquer les modifications.

    Configuration de DaaS

  2. Cliquez sur Continuer.

    Configuration de DaaS

  3. Cliquez sur Fermer.

Modifier les paramètres utilisateur

Lorsqu’il est créé par défaut, un nouvel utilisateur d’un compte Google dispose d’un paramètre lui permettant de modifier le mot de passe lors de la première connexion. Si vous ne le modifiez pas, les mots de passe AD et Google seront différents après la connexion initiale. Pour éviter cela, veuillez suivre les étapes ci-dessous.

  1. Dans la console d’administration, sélectionnez l’utilisateur créé.

    Configuration de DaaS

  2. Assurez-vous que le schéma Citrix est présent et que les informations sont renseignées (pour garantir l’accès aux ressources publiées).

    Configuration de DaaS

  3. Sous Sécurité, modifiez le champ Exiger la modification du mot de passe.

    Configuration de DaaS

  4. Passez de ON à OFF et enregistrez.

    Configuration de DaaS

Validation

  1. Connectez-vous à l’URL de l’espace de travail. Vous êtes redirigé vers Google Authentication. Indiquez votre adresse e-mail et cliquez sur Suivant.

    Configuration de DaaS

  2. Entrez votre mot de passe et cliquez sur Suivant.

    Configuration de DaaS

  3. Cliquez sur Je comprends.

    Configuration de DaaS

  4. Les ressources publiées apparaissent. Cliquez sur votre bureau.

    Configuration de DaaS

  5. Lancement de bureau avec SSO.

    Configuration de DaaS

Connecter Google à Citrix Cloud

Configurez maintenant Citrix DaaS pour utiliser Google Cloud en tant que fournisseur d’identité. La première étape consiste à configurer Google Cloud Identity à l’échelle mondiale.

  1. Connectez-vous à Citrix Cloud.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.

    Configuration de DaaS

  3. Localisez Google et sélectionnez Connecter dans le menu des points de suspension.

    Configuration de DaaS

  4. Sélectionnez Importer un fichier, puis sélectionnez le fichier JSON que vous avez enregistré lors de la création de la clé du compte de service. Cette action importe votre clé privée et l’adresse e-mail du compte de service Google Cloud que vous avez créé.

    Configuration de DaaS

  5. Dans Utilisateur représenté, entrez le nom du compte utilisateur de l’API en lecture seule.
  6. Sélectionnez Next. Citrix Cloud vérifie les détails de votre compte Google et teste la connexion.

    Configuration de DaaS

  7. Passez en revue les domaines associés répertoriés. S’ils sont corrects, sélectionnez Confirmer pour enregistrer votre configuration.

Activer Google pour l’authentification de l’espace de travail

Maintenant que Google Cloud Identity est configuré, nous pouvons modifier la configuration de l’espace de travail pour l’utiliser.

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.

    Configuration de DaaS

  2. Sélectionnez Google. Sélectionnez Je comprends l’impact sur l’expérience des abonnés*, puis cliquez sur **Enregistrer.

    Configuration de DaaS

Créer un catalogue de machines

Il n’y a pas de Microsoft Active Directory dans ce cas d’utilisation, les VDA ne sont donc pas joints à un domaine. Plus de détails peuvent être trouvés ici

Validation

  1. Connectez-vous à l’URL de l’espace de travail. Vous êtes redirigé vers Google Authentication. Indiquez votre adresse e-mail et cliquez sur Suivant.

    Configuration de DaaS

  2. Entrez votre mot de passe et cliquez sur Suivant.

    Configuration de DaaS

  3. Cliquez sur Je comprends.

    Configuration de DaaS

  4. Les ressources publiées apparaissent. Cliquez sur Desktop.

    Configuration de DaaS

  5. Lancement de bureau avec SSO.

    Configuration de DaaS

Guide PoC : Configuration de Google Cloud Identity et de Microsoft Active Directory dans Citrix DaaS