Guide PoC : Configuration de postes de travail non joints à un domaine dans Citrix DaaS avec Google IdP

Vue d’ensemble

Google Cloud Identity est une solution d’identité en tant que service (IDaaS) qui gère les utilisateurs et les groupes de manière centralisée. Google Cloud Identity peut être configuré pour fédérer les identités entre Google et d’autres fournisseurs d’identité, tels qu’Active Directory et Azure Active Directory. Toutefois, de nombreuses entreprises doivent prendre en charge des solutions qui ne sont pas liées à un domaine (qui ne sont pas gérées via Active Directory), et grâce à la prise en charge de Citrix DaaS pour l’authentification Google Cloud Identity, cela est réalisable.

Le guide suivant fournit les exigences et des instructions détaillées pour créer et configurer des machines virtuelles Windows et Linux non jointes à un domaine, un catalogue de machines et un groupe de mise à disposition à l’aide de Citrix DaaS.

Exigences et prérequis

  • Un abonnement Citrix DaaS en cours.
  • Windows 10/11 à session unique et machines virtuelles Linux prises en charge.
  • Citrix VDA 2203 ou version ultérieure.
  • Rendezvous v2 doit être activé.
  • Cloud Connectors : requis uniquement si vous prévoyez de provisionner des machines sur des hyperviseurs locaux.
  • Compte de développeur Google Cloud Platform.

Remarque

La continuité du service n’est pas prise en charge pour les VDA non joints à un domaine.

Connectez Google en tant que fournisseur d’identité à Citrix Cloud

Nous partons du principe que vous utilisez déjà Google Cloud et que vous y avez créé des utilisateurs.

Créer un compte de service

Pour effectuer cette tâche, vous devez disposer d’un compte développeur Google Cloud Platform.

  1. Connectez-vous à Google Cloud Console.
  2. Dans la barre latérale du tableau de bord, sélectionnez IAM et Admin, puis choisissez Comptes de service.

    Configurer DaaS Configurer DaaS Configurer DaaS

  3. Sélectionnez Créer un compte de service.

    Configuration de DaaS

  4. Sous Détails du compte de service, saisissez le nom du compte de service et l’ID du compte de service.

    Configuration de DaaS

  5. Sélectionnez Terminé.

Créer une clé de compte de service

  1. Sur la page Comptes de service, sélectionnez le compte de service que vous avez créé.
  2. Sélectionnez l’onglet Clés, puis sélectionnez Ajouter une clé > Créer une nouvelle clé.

    Configuration de DaaS

  3. Laissez l’option de type de clé JSON par défaut sélectionnée.
  4. Sélectionnez Créer. Conservez la clé dans un emplacement sécurisé auquel vous pourrez accéder ultérieurement. Vous entrez la clé privée dans la console Citrix Cloud lorsque vous connectez Google en tant que fournisseur d’identité.

    Configuration de DaaS

Configurer la délégation au niveau du domaine

  1. Activez Admin SDK API :
  2. Sélectionnez API et services > API et services activés dans le menu Google Cloud Platform.

    Configuration de DaaS

  3. Sélectionnez Activer les API et les services en haut de la console. La page d’accueil de la bibliothèque d’API apparaît.

    Configuration de DaaS

  4. Recherchez Admin SDK API et sélectionnez-la dans la liste des résultats.

    Configuration de DaaS

  5. Sélectionnez Activer.

    Configuration de DaaS

  6. Créez un client API pour le compte de service :
  7. Sélectionnez IAM & Admin > Comptes de service dans le menu Google Cloud Platform, puis sélectionnez le compte de service que vous avez créé précédemment.

    Configuration de DaaS

  8. Dans l’onglet Détails du compte de service, développez Paramètres avancés.

    Configuration de DaaS

  9. Sous Délégation à l’échelle du domaine, copiez l’ID client et sélectionnez Afficher la console d’administration Google Workspace.

    Configuration de DaaS

  10. Le cas échéant, sélectionnez le compte d’administrateur Google Workspace que vous souhaitez utiliser. La console d’administration Google s’affiche.
  11. Sélectionnez Sécurité > Accès et contrôle des données > Contrôles des API dans la barre latérale de Google Admin.

    Configuration de DaaS

  12. Sous Délégation au niveau du domaine, cliquez sur Gérer la délégation au niveau du domaine.

    Configuration de DaaS

  13. Sélectionnez Ajouter.

    Configuration de DaaS

  14. Dans ID client, collez l’ID client du compte de service que vous avez copié à l’étape C.

    Configuration de DaaS

  15. Dans les étendues OAuth, entrez les étenduessuivantes sur une seule ligne délimitée par des virgules : https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly
  16. Sélectionnez Autoriser.

Ajouter un compte utilisateur d’API en lecture seule

Cette tâche vous permet de créer un compte utilisateur Google Workspace avec accès à l’API en lecture seule pour Citrix Cloud. Ce compte n’est utilisé à aucune autre fin et ne dispose d’aucun autre privilège.

  1. Dans le menu Administration de Google, sélectionnez Annuaire > Utilisateurs.

    Configuration de DaaS

  2. Sélectionnez Ajouter un utilisateur et saisissez les informations utilisateur appropriées.

    Configuration de DaaS

  3. Sélectionnez Ajouter un utilisateur pour enregistrer les informations du compte.

    Configuration de DaaS

  4. Créez un rôle personnalisé pour le compte d’utilisateur en lecture seule :
  5. Dans le menu Administration de Google, sélectionnez Compte > Rôles d’administrateur.

    Configuration de DaaS

  6. Sélectionnez Créer un rôle.

    Configuration de DaaS

  7. Entrez un nom pour le nouveau rôle. Exemple : API-Readonly

    Configuration de DaaS

  8. Sélectionnez Continue.
  9. Sous Droits de l’API Admin, sélectionnez les droits suivants :
    • Utilisateurs > Lire
    • Groupes > Lire
    • Gestion des domaines

    Configuration de DaaS

  10. Sélectionnez Continuer, puis Créer un rôle.

    Configuration de DaaS

  11. Attribuez le rôle personnalisé au compte utilisateur en lecture seule que vous avez créé précédemment :
  12. Sur la page des détails du rôle personnalisé, dans le volet Admins, sélectionnez Attribuer des utilisateurs.

    Configuration de DaaS

  13. Commencez à taper le nom du compte d’utilisateur en lecture seule et sélectionnez-le dans la liste des utilisateurs.

    Configuration de DaaS

  14. Sélectionnez Attribuer un rôle.

    Configuration de DaaS

  15. Revenez à la page Utilisateurs (Annuaire > Utilisateurs) pour vérifier l’attribution du rôle et sélectionnez le compte utilisateur en lecture seule. L’attribution de rôle personnalisé s’affiche sous Rôles et droits d’administrateur.

Connecter Google à Citrix Cloud

L’étape suivante consiste à configurer Citrix DaaS pour utiliser Google Cloud en tant que fournisseur d’identité. La première étape consiste à configurer Google Cloud Identity à l’échelle mondiale.

  1. Connectez-vous à Citrix Cloud.
  2. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.

    Configuration de DaaS

  3. Localisez Google et sélectionnez Connecter dans le menu des points de suspension.

    Configuration de DaaS

  4. Sélectionnez Importer un fichier, puis sélectionnez le fichier JSON que vous avez enregistré lorsque vous avez créé la clé pour le compte de service. Cette action importe votre clé privée et l’adresse e-mail du compte de service Google Cloud que vous avez créé.

    Configuration de DaaS

  5. Dans Utilisateur représenté, entrez le nom du compte utilisateur de l’API en lecture seule.
  6. Sélectionnez Next. Citrix Cloud vérifie les détails de votre compte Google et teste la connexion.

    Configuration de DaaS

  7. Passez en revue les domaines associés répertoriés. S’ils sont corrects, sélectionnez Confirmer pour enregistrer votre configuration.

Activer Google pour l’authentification de l’espace de travail

Maintenant que Google Cloud Identity est configuré, modifiez la configuration de l’espace de travail pour l’utiliser.

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.

    Configuration de DaaS

  2. Sélectionnez Google. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés, puis cliquez sur Enregistrer.

    Configuration de DaaS

Création d’une machine virtuelle Windows

Créez la machine virtuelle Windows sur n’importe quel hyperviseur ou hyperscaler pris en charge par Citrix DaaS. Dans ce cas, Google Cloud est utilisé. Une fois votre machine virtuelle créée, procédez comme suit :

  1. RDP dans votre machine virtuelle
  2. Téléchargez la version la plus récente et correcte du type de système d’exploitation de Citrix Virtual Delivery Agent

  3. Exécutez le VDA de configuration du VDA

  4. Sélectionnez Créer une image MCS principale, puis cliquez sur Suivant. VDA

  5. Cliquez sur Next. VDA

  6. Sélectionnez les composants supplémentaires requis par votre déploiement, puis cliquez sur Suivant. VDA

  7. Sélectionnez Laisser les services de création de machines le faire automatiquement, puis cliquez sur Suivant. VDA

  8. Cliquez sur Next. VDA

  9. Sélectionnez Automatiquement, puis cliquez sur Suivant. VDA

  10. Consultez la page de résumé, puis cliquez sur Installer. VDA

  11. Lorsque l’installation est terminée, cliquez sur Terminer et laissez l’ordinateur redémarrer. VDA

  12. Une fois la machine redémarrée, modifiez la valeur de registre suivante : HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ VirtualDesktopAgent VDA

Création d’une machine virtuelle Linux

Au cours de cette étape, le VDA de la machine virtuelle Linux est installé. La machine virtuelle peut être créée sur n’importe quel hyperviseur ou hyperscaler pris en charge par Citrix DaaS. Dans ce cas, Google Cloud est utilisé. Au cours de ce processus, le Citrix VDA sera également installé. Reportez-vous à l’article de blog Citrix suivant pour obtenir de l’aide au cours de ce processus.

Composants requis

  • Un poste de travail Linux compatible est installé.
  • Microsoft .NET Runtime 6.0 installé
  • Un Linux VDA compatible peut être installé.
  1. Installation du Linux VDA via SSH VDA VDA

  2. Des erreurs d’installation sont attendues. Une fois l’installation terminée, exécutez la commande suivante : sudo apt --fix-broken install

  3. Créez l’image de base MCS à l’aide de la commande suivante : sudo /opt/Citrix/VDA/sbin/deploymcs.sh

  4. Arrêtez la machine virtuelle et créez un instantané. Utilisez l’instantané lorsque vous créez le catalogue de machines Linux.

Créer des catalogues de machines

  1. Cliquez sur Catalogues de machines, puis sur Créer un catalogue de machines. VDA

  2. Sélectionnez le type de machine, puis cliquez sur Suivant. VDA

  3. Sélectionnez les options de gestion des machines, puis cliquez sur Suivant. VDA

  4. Sélectionnez le type d’expérience de bureau et si le bureau est dédié, cliquez sur Suivant. VDA

  5. Sélectionnez l’ image principale, le niveau fonctionnel du VDA, puis cliquez sur Suivant. VDA

  6. Sélectionnez le type de stockage, puis cliquez sur Suivant. VDA

  7. Choisissez le nombre de machines virtuelles à créer, sélectionnez des zones, puis cliquez sur Suivant. VDA

  8. Choisissez le type d’identiténon joint à un domaine, donnez un nom aux bureaux, puis cliquez sur Suivant. VDA

  9. Sur la page récapitulative, donnez un nom au catalogue de machines, puis cliquez sur Terminer. VDA

  10. Le catalogue de machines est en cours de création. Une fois terminé, passez à la création du groupe de mise à disposition. VDA

  11. Répétez les étapes pour créer le catalogue de machines Linux.

Créer des groupes de mise à disposition

  1. Sélectionnez Groupes de miseà disposition, puis cliquez sur Créer un groupe de miseà disposition. VDA

  2. Sélectionnez les postes de travail et le nombre de machines à ajouter, puis cliquez sur Suivant. VDA

  3. Choisissez votre type d’attribution utilisateur, puis cliquez sur Suivant. VDA

  4. Sélectionnez votre type de licence, puis cliquez sur Suivant. VDA

  5. Vérifiez le résumé, donnez le groupe de mise à disposition et affichez un nom, puis cliquez sur Terminer. VDA

  6. Répétez les étapes pour créer le groupe de mise à disposition Linux.

Créer une stratégie Citrix pour Rendezvous

  1. Cliquez sur Gérer pour ouvrir le studio Web Citrix DaaS. VDA

  2. Cliquez sur Policies VDA

  3. Cliquez sur Create Policy VDA

  4. Trouvez les paramètres du protocole Rendezvous et cliquez sur Sélectionner. VDA

  5. Sélectionnez Autorisé, puis cliquez sur Enregistrer. VDA

  6. Cliquez sur Next VDA

  7. Choisissez la méthode d’attribution des stratégies par groupe de mise à disposition. VDA

  8. Sélectionnez le groupe de mise à disposition dans la liste déroulante, assurez-vous que l’option Activer est sélectionnée, puis cliquez sur Enregistrer. VDA

  9. Cliquez sur Next. VDA

  10. Sélectionnez Activer la stratégie, nommez la stratégie, puis cliquez sur Terminer. VDA
  11. La stratégie du protocole de rendez-vous est désormais activée. VDA

Attribuer des bureaux

  1. Sur la page d’accueil de Citrix Cloud, cliquez sur Afficher la bibliothèque. VDA

  2. Cliquez sur les points de suspension correspondant au poste de travail GCP non joint à un domaine et sélectionnez Gérer les abonnés VDA.

  3. Commencez à saisir le nom de l’utilisateur, puis sélectionnez-le. VDA

  4. Une fois que l’utilisateur est inscrit, fermez l’écran. VDA

  5. Répétez la procédure pour le poste de travail Linux non joint à un domaine . VDA

Lancez des ordinateurs de bureau

  1. Connectez-vous à l’URL de votre espace de travail, où vous serez redirigé vers Google Authentication. Indiquez votre adresse e-mail et votre mot de passe, puis cliquez sur Suivant. VDA

  2. Sélectionnez le bureau à lancer. VDA