Guide PoC - Guide de configuration de l’architecture Citrix Zero Trust

Vue d’ensemble

Alors que les entreprises migrent vers une architecture Zero Trust mature, il est essentiel de comprendre les concepts de base et de savoir comment configurer un environnement pour satisfaire aux principes d’une architecture Zero Trust. Cet article décrit un scénario Zero Trust complet et explique comment configurer l’authentification adaptative Citrix, l’accès adaptatif et les stratégies DaaS Citrix pour créer l’architecture suivante.

Cas d’utilisation

Le schéma suivant montre l’architecture de l’authentification adaptative, de l’accès adaptatif et des configurations des stratégies DaaS.

Architecture Citrix Zero Trust

Dans ce scénario, il existe deux groupes d’utilisateurs : les employés et les sous-traitants. Les employés et les sous-traitants accèdent à la même URL de l’espace de travail dans cet exemple.

Employés

En parcourant le flux nFactor de gauche à droite, les utilisateurs employés sélectionnent « Employé » dans la liste déroulante de l’organisation, ce qui les dirige vers l’un des trois résultats suivants :

  1. Vert : accès à l’application réservée aux employés et à un VDI avec des contrôles de sécurité souples.
  2. Orange : accès à l’application réservée aux employés avec des contrôles de sécurité stricts sans accès à un VDI.
  3. Rouge : accès refusé.

Tous les employés sont soumis à une analyse des points de terminaison des certificats d’appareils (EPA) et à une authentification via Azure Active Directory (Azure AD) SAML.

  1. Si un employé échoue à l’analyse EPA du certificat de l’appareil, il est invité à effectuer une deuxième analyse EPA pour vérifier la présence d’un logiciel antivirus (AV) sur l’appareil.
  2. Si l’appareil de l’employé contient le certificat d’appareil spécifié ou si un logiciel antivirus est en cours d’exécution, il est invité à s’authentifier à l’aide de ses informations d’identification Azure AD.
  3. Si l’employé ne parvient pas à faire fonctionner le certificat de l’appareil ou l’antivirus, l’accès lui est refusé.

Sous-traitants

Lorsque les utilisateurs du sous-traitant sélectionnent « Contractant » dans la liste déroulante de l’organisation, deux résultats peuvent se produire :

  1. Violet : accès à une application réservée aux sous-traitants et à un VDI avec des contrôles de sécurité stricts appliqués aux deux.
  2. Rouge : accès refusé.

Tous les sous-traitants sont soumis à une analyse des points de terminaison des certificats d’appareils (EPA) et à une authentification via l’Active Directory (AD) sur site. Si un fournisseur ne parvient pas à scanner le certificat de l’appareil par l’EPA, l’accès lui est refusé.

Conditions préalables

Les prérequis suivants étaient remplis avant les configurations d’authentification adaptative :

  • Accès à un client Citrix Cloud avec Citrix DaaS et Secure Private Access Advanced activés et Cloud Connector installé dans votre emplacement de ressources.
  • Provisionnez l’authentification adaptative en suivant l’ étape 1 du guide Provision Adaptive Authentication.
  • Bureau publié dans Citrix DaaS avec un catalogue de machines et un groupe de mise à disposition.
  • La stratégie d’accès est modifiée ultérieurement pour un accès adaptatif (voir Étape 1 : Provision de l’authentification adaptative).
  • Applications externes publiées (en dehors de mon réseau d’entreprise) réservées aux employés et aux sous-traitants via Secure Private Access.
  • Microsoft Azure AD Sync avec le client Azure existant et Active Directory.
  • Configurez l’inscription automatique des certificats d’appareil via GPO sur un contrôleur de domaine.
  • Téléchargez et installez le plug-in EPA à partir de l’URL de l’espace de travail dans Citrix Cloud > Configuration de l’espace de travail.

Configurations

Les sections suivantes détaillent la configuration du scénario précédent. Le guide de configuration comprend les sections suivantes :

  • Configuration de l’authentification adaptative
  • Configuration d’accès adaptative
  • Configuration des stratégies DaaS

Configuration de l’authentification adaptative

Les configurations suivantes sont effectuées sur l’instance d’authentification adaptative. Pour accéder à l’authentification adaptative :

  1. Connectez-vous à Citrix Cloud et sélectionnez le clientapproprié.

    Connexion à Citrix Cloud

    Connexion à Citrix Cloud

  2. Sur la page d’accueil principale de la console d’administration, sélectionnez le menu en haut à gauche et accédez à Mes services > Accès privé sécurisé.

    Connexion à Citrix Cloud

  3. Passez la souris sur les icônes du menu situé dans la partie supérieure, sélectionnez Gestion des identités et des accès, puis cliquez sur Gérer.

    Connexion à Citrix Cloud

  4. Copiez l’ adresse IP principale, collez-la et accédez au navigateur Web, puis authentifiez-vous.

    Connexion à Citrix Cloud

LDAP

Pour le deuxième scénario d’utilisation, des stratégies LDAP sont nécessaires. Créez d’abord la stratégie LDAP standard pour le flux de sous-traitants, puis une stratégie LDAP NO_AUTH qui viendra après la stratégie Azure SAML pour le flux d’employés.

  1. Commencez sur la page principale de configuration de l’authentification adaptative, tapez LDAP dans la barre de recherche en haut à gauche, puis sélectionnez Sécurité > AAA - Trafic d’applications > Stratégies > Authentification > Stratégies avancées > ActionsLDAP.

    LDAP

  2. Pour le LDAP standard, cliquez sur Ajouter, donnez-lui un nom et entrez les détails de votre serveur LDAP comme indiqué, puis cliquez sur OK.

    LDAP

    LDAP

  3. Pour le LDAP NO_AUTH, cliquez sur Ajouter, donnez-lui un nom, entrez les détails de votre serveur LDAP comme indiqué, puis cliquez sur OK.

    LDAP

  4. Les actions LDAP terminées ressemblent à ce qui suit.

    LDAP

SAML

Pour le scénario d’utilisation, une stratégie d’authentification SAML unique doit être créée pour le flux d’employés. Dans ce guide de configuration, Azure AD est utilisé comme IdP SAML. Dans cette section, l’application Azure Enterprise est configurée en premier, puis l’action d’authentification SAML est configurée dans le cadre de l’authentification adaptative.

Application Azure pour entreprises

  1. Dans le portail Azure, sélectionnez Azure Active Directory, Applications d’entreprise, puis Nouvelle application.

    SAML

  2. Dans la barre de recherche, entrezCitrix, sélectionnez leconnecteur SAML NetScaler ADC pour Azure AD, donnez-lui un nom, puis cliquez sur Créer.

    SAML

  3. Une fois créé, sélectionnez Single Sign On dans le menu de gauche et cliquez sur Modifier pour la configuration SAML de base.

    SAML

  4. Entrez les informations suivantes pour la configuration SAML de base :
    • ID d’entité : FQDN de mon instance d’authentification adaptative
    • URL de réponse : FQDN de mon instance d’authentification adaptative ajouté avec « /cgi/samlauth »
    • URL de connexion : nom de domaine complet de mon instance d’authentification adaptative ajouté avec « /cgi/samlauth »

    SAML

  5. Enfin, téléchargez le certificat (Base64) depuis le volet 3 et copiez l’URL de connexion depuis le volet 4.

    SAML

Configuration SAML d’authentification adaptative

  1. Commencez sur la page principale de configuration de l’authentification adaptative, tapez SAML dans la barre de recherche en haut à gauche, sélectionnez Security > AAA - Application Traffic > Stratégies > Authentification > Stratégies avancées > ActionsSAML.

    SAML

  2. Cliquez sur Ajouter et renseignez les détails de l’action SAML comme indiqué, puis cliquez sur OK :

    • Nom
    • URL de redirection (URL de connexion copiée depuis la configuration de l’application d’entreprise Azure AD)
    • URL de déconnexion unique (URL de connexion copiée depuis la configuration de l’application d’entreprise Azure AD)
    • Nom du certificat IdP (certificat Base64 provenant de l’application d’entreprise Azure-AD)
    • Nom du certificat de signature (certificat d’authentification adaptatif qui a été chargé sur le service lors du processus de provisionnement)
    • Nom de l’émetteur (FQDN de l’instance d’authentification adaptative, spécifié lors du processus de provisionnement)
    • Rejeter l’assertion non signée (Désactivé)

    SAML

    SAML

L’action SAML terminée ressemble à celle qui suit.

SAML

EPA

Pour le scénario d’utilisation, trois stratégies de l’EPA doivent être mises en œuvre :

  1. Vérification du certificat de l’appareil des employés.
  2. Contrôle antivirus des employés.
  3. Vérification du certificat de l’appareil du sous-traitant.

Certificat d’appareil pour employés

  1. Commencez sur la page principale de configuration de l’authentification adaptative, tapez EPA dans la barre de recherche en haut à gauche, puis sélectionnez Security > AAA - Application Traffic > Stratégies > Authentification > Stratégies avancées > Actions > EPA.

    EPA

  2. Cliquez sur Ajouter, donnez un nom à l’action EPA et entrez les détails :
    • Groupe par défaut : placez le nom des utilisateurs du groupe AAA s’ils réussissent la vérification (veillez à utiliser toutes les majuscules)

    Remarque :

    Ce groupe est utilisé ultérieurement pour correspondre à la balise Smart Access.

    • Expression : cliquez sur EPA Editor en haut à droite de la zone de texte « Expression », sélectionnez les listes déroulantes appropriées comme indiqué, puis cliquez sur OK.

    EPA

  3. L’action terminée ressemble à la suivante :

    EPA

Antivirus pour employés

  1. Sur la page principale de l’action EPA, cliquez sur Ajouter, donnez un nom à l’action EPA et entrez les détails :
    • Groupe par défaut : inscrivez le nom du groupe AAA dans lequel les utilisateurs réussissent la vérification (veillez à utiliser toutes les majuscules).

      Remarque :

      Ce groupe est utilisé ultérieurement pour correspondre à la balise Smart Access.

    • Expression : cliquez sur EPA Editor en haut à droite de la zone de texte « Expression », sélectionnez les listes déroulantes appropriées comme indiqué, puis cliquez sur OK.

    EPA

  2. L’action terminée ressemble à la suivante.

    EPA

Certificat d’appareil du fournisseur

  1. Sur la page principale de l’action EPA, cliquez sur Ajouter, donnez un nom à l’action EPA et entrez les détails :
    • Groupe par défaut : inscrivez le nom du groupe AAA dans lequel les utilisateurs réussissent la vérification (veillez à utiliser toutes les majuscules).

      Remarque :

      Ce groupe est utilisé ultérieurement pour correspondre à la balise Smart Access.

    • Expression : cliquez sur EPA Editor en haut à droite de la zone de texte « Expression », sélectionnez les listes déroulantes appropriées comme indiqué, puis cliquez sur OK.

    EPA

  2. L’action terminée ressemble à la suivante.

    EPA

Les actions de l’EPA terminées ressemblent aux suivantes :

EPA

Smart Access

Pour le scénario d’utilisation, trois stratégies Smart Access doivent être mises en œuvre :

  1. Employé avec certificat d’appareil
  2. Employé sans certificat d’appareil, mais un appareil sur lequel un logiciel antivirus approprié est installé
  3. Certificat d’appareil du fournisseur.

Certificat d’appareil pour employés

  1. Commencez sur la page principale de configuration de l’authentification adaptative, tapez smart dans la barre de recherche en haut à gauche et sélectionnez Security > AAA - Application Traffic > Stratégies > Authentification > Stratégies avancées > Smart Access.

    Smart Access

  2. Cliquez sur Ajouter, donnez-lui un nom et entrez les détails comme suit.
    • Action : sélectionnez Ajouter, entrez un nom de tag

      Remarque :

      Il s’agit de la balise qui est transmise à Citrix Cloud Workspace pour être utilisée ultérieurement avec des stratégies d’accès adaptatives pour le SPA et des stratégies pour le DaaS.

    • Cliquez sur OK.

    Smart Access

    • Expression : Pour vérifier si l’utilisateur fait partie du groupe AAA qui a réussi le contrôle EPA du Employee Device Certificate, entrez l’expression suivante AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_employee_device_certificate_epa_action>”.
  3. La stratégie Smart Access finale ressemble à la suivante :

    Smart Access

Antivirus pour les employés

  1. Sur la page principale de la stratégie Smart Access, cliquez sur Ajouter. Donnez-lui un nom et entrez les détails comme suit.
    • Action : sélectionnez Ajouter, entrez un nom de tag.

    Remarque :

    Il s’agit de la balise qui est transmise à Citrix Cloud Workspace pour être utilisée ultérieurement avec des stratégies d’accès adaptatives pour le SPA et des stratégies pour le DaaS.

    • Cliquez sur OK.

    Smart Access

    • Expression : Pour vérifier si l’utilisateur fait partie du groupe AAA qui a réussi le contrôle EPA du Employee Device Certificate, entrez l’expression suivante "AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_employee_anti-virus_epa_action>”)
  2. La stratégie Smart Access finale ressemble à la suivante :

    Smart Access

Certificat d’appareil du fournisseur

  1. Sur la page principale de la stratégie Smart Access, cliquez sur Ajouter, attribuez-lui un « Nom », entrez les informations suivantes, puis cliquez sur OK.
    • Action : sélectionnez Ajouter, entrez un nom de tag.

    Remarque :

    Ce nom est la balise qui est transmise à Citrix Cloud Workspace pour être utilisée ultérieurement avec les stratégies d’accès adaptatif pour le SPA et les stratégies pour le DaaS.

    • Cliquez sur OK. Smart Access
    • Expression : pour savoir si l’utilisateur fait partie du groupe AAA qui a réussi le contrôle EPA du Employee Device Certificate, entrez l’expression suivante “AAA.USER.IS_MEMBER_OF(“<AAA_group_specified_in_contractor_device_certificate_epa_action>”)
  2. La stratégie Smart Access finale ressemble à la suivante :

    Smart Access

Les stratégies Smart Access finalisées ressemblent aux suivantes :

Smart Access

Flux nFactor

Pour le cas d’utilisation, un flux nFactor est requis.

  1. Commencez sur la page principale de configuration de l’authentification adaptative, tapez nfactor dans la barre de recherche en haut à gauche, sélectionnez Security > AAA - Application Traffic > NFactor Visualizer > Flows, puis cliquez sur Ajouter sur la page suivante.

    nFactor

  2. Cliquez sur Le + pour ajouter le premier facteur.

    nFactor

  3. Dans le nouveau volet Ajouter un facteur, sélectionnez Créer un facteur et donnez-lui un nom.

    Remarque :

    Il s’agit du nom de l’ensemble du flux.

  4. Cliquez sur Create.

    nFactor

  5. Cliquez sur Ajouter un schéma.

    nFactor

  6. Cliquez sur Ajouter pour ajouter un nouveau schéma dans le volet suivant.

    nFactor

  7. Donnez un nom au schéma et cliquez sur l’icône « crayon » pour modifier le schéma.

    nFactor

  8. Sélectionnez le dossier Schéma de connexion, faites défiler la page vers le bas, sélectionnez DomainDropdown.xml, puis cliquez sur Modifier.

    nFactor

  9. Donnez un nom au schéma et remplissez les champs comme indiqué :

    nFactor

  10. Par défaut, ce schéma propose trois options dans la liste déroulante. Pour modifier le schéma afin d’éliminer la troisième option de la liste déroulante, passez la souris sur le schéma nouvellement créé et cliquez sur l’icône de téléchargement qui apparaît. Ouvrez le fichier XML téléchargé dans un éditeur de texte.

    nFactor

  11. Dans le fichier XML téléchargé, supprimez le texte surligné affiché pour supprimer la troisième option de liste déroulante.

    nFactor

  12. Fermez le volet de modification du schéma, cliquez sur Modifier sur le schéma nouvellement créé, chargez le nouveau fichier XML du schéma, cliquez sur OK, puis à nouveau sur OK . Vous pouvez désormais modifier le schéma mis à jour en cliquant sur l’icône en forme de crayon si nécessaire.

    nFactor

    nFactor

  13. Créez maintenant la stratégie d’authentification associée au schéma de liste déroulante du domaine. Dans ce cas, une stratégie NO_AUTH est requise. Cliquez sur Ajouter une stratégie.

    nFactor

  14. Cliquez sur Ajouter, donnez un nom à la stratégie, sélectionnez « NO_AUTHN » dans la liste déroulante Type d’action et entrez « true » dans la zone de texte de l’expression. Cliquez sur Create. Cliquez sur Ajouter.

    nFactor nFactor nFactor

  15. Le facteur suivant est le bloc décisionnel pour « Employé » ou « Sous-traitant ». Cliquez sur le « + » vert pour ajouter le facteur suivant. Sélectionnez le bouton radio « Créer un bloc de décision », donnez-lui un nom, puis cliquez sur Créer.

    nFactor nFactor

  16. Cliquez sur « Ajouter une stratégie », cliquez sur Ajouter pour créer une stratégie d’authentification et donnez-lui un nom. Cette stratégie détermine si l’utilisateur a sélectionné l’option « Employé » dans la liste déroulante. L’expression utilisée pour vérifier cela est la suivante :

    HTTP.REQ.BODY(500).AFTER_STR("domain=").CONTAINS("Employee")

  17. Cliquez sur OK.

    nFactor nFactor nFactor

  18. Cliquez sur Ajouter.

    nFactor

  19. Répétez cette procédure pour la sélection du contractant. Cliquez sur le « + » bleu en dessous de la stratégie de vérification des employés, cliquez sur Ajouter pour créer une stratégie d’authentification et donnez-lui un nom. Cette stratégie permet de déterminer si l’utilisateur a sélectionné l’option « Contractant » dans la liste déroulante. L’expression utilisée pour vérifier cela est la suivante :

    HTTP.REQ.BODY(500).AFTER_STR("domain=").CONTAINS("Contractor")

    nFactor nFactor nFactor

  20. Cliquez sur Ajouter.

    nFactor

  21. Les étapes suivantes se concentrent sur les configurations pour le cas d’utilisation « Employé ». Le facteur suivant sera le scan EPA de vérification du certificat de l’appareil. Cliquez sur le « + » vert sur la stratégie de vérification des employés pour ajouter le facteur suivant.

    nFactor

  22. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  23. Sélectionnez Ajouter une stratégie pour le « facteur de certificat de l’appareil employé » et cliquez sur Ajouter pour créer une stratégie d’authentification, lui donner un nom et définir le type d’action sur « EPA ». Joignez le certificat de l’appareil de l’employé, vérifiez l’action EPA créée précédemment, définissez l’expression sur « true » et cliquez sur Créer.

    nFactor nFactor nFactor

  24. Cliquez sur Ajouter.

    nFactor

  25. Poursuite avec le cas d’utilisation « Employé » (les configurations du cas d’utilisation « Contractant » seront abordées ultérieurement). Vient ensuite la configuration du facteur une fois que l’employé a passé avec succès le précédent contrôle EPA du certificat de l’appareil. Cliquez sur le « + » vert sur la stratégie de vérification des certificats des appareils des employés pour ajouter le facteur suivant.

nFactor

  1. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  2. Sélectionnez Ajouter une stratégie pour le « facteur SAML Azure AD pour les employés », puis cliquez sur Ajouter pour créer une stratégie d’authentification, lui donner un nom et définir le type d’action sur « SAML ». Joignez l’action SAML Azure AD de l’employé créée précédemment, définissez l’expression sur « true », puis cliquez sur Créer.

    nFactor nFactor nFactor

  3. Cliquez sur Ajouter.

    nFactor

  4. Après la stratégie SAML, l’étape suivante consiste à associer la stratégie NO_AUTHN afin de récupérer les attributs nécessaires à une authentification correcte auprès de Workspace. Cliquez sur le « + » vert sur la stratégie SAML Azure AD de l’employé pour ajouter le facteur suivant.

    nFactor

  5. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  6. Sélectionnez Ajouter une stratégie pour le « facteur LDAP sans authentification des employés » et cliquez sur Ajouter pour créer une stratégie d’authentification, lui donner un nom et définir le type d’action sur « LDAP ». Joignez l’action LDAP NO_AUTH de l’employé créée précédemment. Définissez l’expression sur « true » et cliquez sur Créer.

    nFactor nFactor nFactor

  7. Cliquez sur Ajouter.

    nFactor

  8. Pour configurer le deuxième cas d’utilisation par un employé dans lequel l’employé échoue à la vérification du certificat de l’appareil, cliquez sur le « + » rouge sur le facteur « Vérification du certificat de l’appareil par l’employé ».

    nFactor

  9. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  10. Sélectionnez Ajouter une stratégie pour le « Facteur de contrôle AV pour les employés », puis cliquez sur Ajouter pour créer une stratégie d’authentification, lui donner un nom et définir le type d’action sur « EPA ». Joignez l’action Employee AV Check créée précédemment, définissez l’expression sur « true » et cliquez sur Créer.

    nFactor nFactor nFactor

  11. Cliquez sur Ajouter.

    nFactor

  12. Si l’employé réussit la vérification antivirus, il est redirigé vers le LDAP Azure AD SAML + NO_AUTHN. Pour configurer cela, cliquez sur le « + » vert pour le facteur « Employee AV Check ».

    nFactor

  13. Dans le volet Next Factor to Connect, cliquez sur le bouton radio « Se connecter au facteur existant », sélectionnez le « Facteur Azure AD pour les employés », puis cliquez sur Créer.

    nFactor

  14. Ceci complète les configurations des scénarios d’utilisation Green, Orange et Red Employee. Jusqu’à présent, la configuration ressemble à la suivante :

    nFactor

  15. En ce qui concerne les configurations pour le cas d’utilisation « Contractor », le premier facteur à configurer est la vérification EPA du certificat de l’appareil. Pour commencer, cliquez sur le « + » vert sur la stratégie de vérification des sous-traitants pour ajouter le facteur suivant.

    nFactor

  16. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  17. Sélectionnez Ajouter une stratégie pour le « facteur de certificat de l’appareil du fournisseur » et cliquez sur Ajouter pour créer une stratégie d’authentification, lui donner un nom et définir le type d’action sur « EPA ». Joignez l’action de certificat de l’appareil du sous-traitant créée précédemment. Définissez l’expression sur « true » et cliquez sur Créer.

    nFactor nFactor nFactor

  18. Cliquez sur Ajouter.

    nFactor

  19. Si le fournisseur passe avec succès le contrôle du certificat de l’appareil, il est autorisé à se connecter. Configurez ensuite l’authentification LDAP pour le contractant en cliquant sur le « + » vert pour le « Facteur de vérification du certificat du périphérique du contractant ».

    nFactor

  20. Donnez un nom au facteur et cliquez sur Créer.

    nFactor

  21. Sélectionnez Ajouter une stratégie pour le « facteur LDAP du contractant » et cliquez sur Ajouter pour créer une stratégie d’authentification. Donnez un nom à la stratégie et définissez le type d’action sur « LDAP ». Joignez l’action LDAP du contractant créée précédemment, définissez l’expression sur « true » et cliquez sur Créer.

    nFactor nFactor nFactor

  22. Cliquez sur Ajouter.

    nFactor

  23. Un schéma de connexion est requis pour que ce facteur LDAP affiche les champs du nom d’utilisateur et du mot de passe à l’utilisateur final. Pour le configurer, cliquez sur Ajouter un schéma pour le « Contractor LDAP Factor ».

    nFactor

  24. Dans le volet Choisir un schéma de connexion, cliquez sur Ajouter.

    nFactor

  25. Donnez un nom au schéma et cliquez sur l’icône en forme de crayon .

    nFactor

  26. Cliquez sur le dossier « Schéma de connexion », faites défiler la page vers le bas et sélectionnez « SingleAuth.xml ». Cliquez ensuite sur le bouton Sélectionner .

    nFactor nFactor

  27. Cliquez sur Create.

    nFactor

  28. Cliquez sur OK.

    nFactor

Ceci termine les configurations pour le flux nFactor. Le résultat final ressemble à l’image suivante :

nFactor

Serveur virtuel AAA

Pour appliquer ces configurations au flux d’authentification, appliquez les configurations suivantes sur le serveur virtuel AAA :

1.  upload and bind the CA certificate
2.  bind the nFactor flow
3.  bind the Smart Access policies.

Il existe une sous-section pour chacune d’elles.

  1. Tout d’abord, accédez au serveur virtuel AAA. Commencez sur la page principale de configuration de l’authentification adaptative, tapez « AAA » dans la barre de recherche en haut à gauche, puis sélectionnez Sécurité > AAA - Trafic d’applications > Serveurs virtuels.

    nFactor

  2. Cliquez sur le serveur virtuel « auth_vs » pour le modifier.

    nFactor

Certificat CA

  1. Sur la page d’édition principale du serveur virtuel AAA, sélectionnez l’icône en forme de crayon en haut à droite.

    nFactor

  2. Cliquez sur Plus.

    nFactor

  3. Faites défiler la page vers le bas jusqu’au volet de configuration « CA for Device Certificate » et cliquez sur Ajouter.

    nFactor

  4. Sélectionnez le certificat CA qui a été ajouté précédemment, cliquez sur le « + », puis sur OK.

    nFactor nFactor

  5. Cliquez sur Aucun certificat d’appareil.

    nFactor

  6. Cliquez sur « > » et sélectionnez le même certificat CA, cliquez sur Sélectionner, puis sur Lier.

    nFactor nFactor nFactor

  7. Le serveur virtuel AAA ressemble à l’image suivante :

    nFactor

Flux nFactor

L’étape suivante consiste à lier le flux nFactor créé précédemment au serveur virtuel AAA.

  1. Sur la page d’édition principale du serveur virtuel auth_vs AAA, cliquez sur Continuer jusqu’à ce que « No nFactor Flow » apparaisse. Cliquez sur « No nFactor Flow ».

    nFactor

  2. Cliquez sur le « > » pour sélectionner le flux nFactor créé précédemment, cliquez sur Sélectionner, puis sur Bind.

    nFactor

  3. Sélectionnez le flux nFactor créé précédemment et cliquez sur Sélectionner.

    nFactor

  4. Cliquez sur Bind.

    nFactor

  5. Le vServer AAA ressemble à ce qui suit :

    nFactor

Stratégies d’accès intelligent

La dernière configuration nécessaire sur le serveur virtuel AAA consiste à lier les trois stratégies d’accès intelligentes créées précédemment.

  1. Sur la page d’édition principale du serveur virtuel auth_vs AAA, cliquez sur Continuer jusqu’à ce que « Aucune stratégie d’accès intelligent » apparaisse. Cliquez sur « Aucune stratégie d’accès intelligent ».

    nFactor

  2. Cliquez sur Ajouter.

    nFactor

  3. Sélectionnez la première « stratégie d’accès intelligente » en cliquant sur le bouton radio, puis sur Sélectionner.

    nFactor

  4. Cliquez sur Bind.

    nFactor

  5. Répétez les étapes 2 à 4 pour les deux autres stratégies d’accès intelligent. La liaison de stratégie d’accès intelligente terminée ressemble à la suivante. Cliquez sur Fermer.

    nFactor

Les configurations du serveur virtuel AAA sont désormais terminées. Sur la page principale de configuration du serveur virtuel AAA, cliquez sur Continuer ou faites défiler la page vers le bas et cliquez sur OK.

nFactor

Stratégies d’accès adaptatives

Les configurations suivantes sont effectuées dans le service Secure Private Access de la console d’administration Citrix Cloud. Pour ce scénario, trois stratégies d’accès adaptatives doivent être créées :

  1. Vert : accès à l’application pour les employés avec des contrôles de sécurité assouplis
  2. Orange : accès à l’application pour les employés avec des contrôles de sécurité stricts
  3. Violet : accès à l’application Contractor avec des contrôles de sécurité stricts.

Il existe une sous-section pour chacune d’elles.

Les configurations suivantes sont effectuées sur l’instance d’authentification adaptative. Pour accéder à l’authentification adaptative :

  1. Connectez-vous à citrix.cloud.com et sélectionnez le « client » approprié.

    nFactor nFactor

  2. Sur la page d’accueil principale de la console d’administration, sélectionnez le menu en haut à gauche et accédez à Mes services > Accès privé sécurisé.

    nFactor

  3. Passez la souris sur les icônes de navigation de gauche pour afficher les libellés, puis sélectionnez Stratégies d’accès.

    nFactor

Vert - Accès à l’application pour les employés avec des contrôles de sécurité assouplis

  1. La première stratégie à créer concerne l’application destinée aux employés avec des contrôles de sécurité assouplis. Pour commencer, sur la page principale de configuration des stratégies, cliquez sur Créer une stratégie.

    nFactor

  2. Renseignez les informations suivantes dans le champ de création de la stratégie, puis cliquez sur + Ajouter une condition :

    • Demandes : <employee app name>
    • Utilisateurs/groupes d’utilisateurs : <employee user(s)>

Remarque :

Les groupes de sécurité AD peuvent être utilisés à la place de noms d’utilisateur individuels.

nFactor

  1. Continuez à renseigner le créateur de la stratégie avec les informations suivantes :

    • Sélectionnez la condition : vérification de la posture de l’appareil > « correspond à toutes »
    • Entrez des balises personnalisées : CERT
    • Procédez ensuite comme suit : sélectionnez l’action : Autoriser l’accès
    • Nom de la stratégie : entrez un nom
    • Cochez la case « Activer la stratégie lors de la sauvegarde »
  2. La stratégie ressemble à la suivante, puis cliquez sur Enregistrer.

    nFactor

Orange - Accès à l’application réservée aux employés avec des contrôles de sécurité stricts

  1. La deuxième stratégie à créer concerne l’application destinée aux employés avec des contrôles de sécurité stricts. Pour commencer, cliquez sur Créer une stratégie sur la page principale de configuration de la stratégie.

    nFactor

  2. Renseignez les informations suivantes dans le champ de création de la stratégie, puis cliquez sur + Ajouter une condition :

    • Demandes : <employee app name>
    • Utilisateurs/groupes d’utilisateurs : <employee user(s)>

    nFactor

  3. Continuez à renseigner le créateur de la stratégie avec les informations suivantes :

    • Sélectionnez la condition : vérification de la posture de l’appareil > « correspond à toutes »
    • Entrez des balises personnalisées : NOCERT
    • Procédez ensuite comme suit : sélectionnez l’action : Autoriser l’accès avec restrictions
    • Restrictions : sélectionnez les restrictions à activer
    • Nom de la stratégie : entrez un nom
    • Cochez la case « Activer la stratégie lors de la sauvegarde »
  4. La stratégie ressemble à la suivante, puis cliquez sur Enregistrer.

    nFactor nFactor

Violet : accès à l’application pour sous-traitants avec des contrôles de sécurité stricts

  1. La troisième stratégie à créer concerne l’application Contractor avec des contrôles de sécurité stricts. Pour commencer, cliquez sur Créer une stratégie sur la page principale de configuration de la stratégie.

    nFactor

  2. Renseignez les informations suivantes dans le champ de création de la stratégie, puis cliquez sur + Ajouter une condition :

    • Demandes : <employee app name>
    • Utilisateurs/groupes d’utilisateurs : <employee user(s)>

    nFactor

  3. Continuez à renseigner le créateur de la stratégie avec les informations suivantes :

    • Sélectionnez la condition : vérification de la posture de l’appareil > « correspond à toutes »
    • Entrez des balises personnalisées : CONTRACTOR
    • Procédez ensuite comme suit : sélectionnez l’action : Autoriser l’accès avec restrictions
    • Restrictions : sélectionnez les restrictions à activer
    • Nom de la stratégie : entrez un nom
    • Cochez la case « Activer la stratégie lors de la sauvegarde »
  4. La stratégie ressemble à la suivante, puis cliquez sur Enregistrer.

    nFactor

    nFactor

Les configurations des stratégies d’accès adaptatives sont désormais terminées. La page de configuration principale de l’accès adaptatif ressemble à l’image suivante :

nFactor

Stratégies DaaS

Les configurations suivantes sont effectuées dans le service DaaS de la console d’administration Citrix Cloud. Pour ce scénario, deux stratégies DaaS doivent être créées :

  1. Autoriser la VDI pour les employés « verts » et les sous-traitants « violets »
  2. VDI sous-traitant violet avec des contrôles de sécurité stricts.

Il existe une sous-section pour chacune d’elles.

Les configurations suivantes sont effectuées sur le service Citrix DaaS. Pour accéder au service Citrix DaaS :

  1. Connectez-vous à citrix.cloud.com et sélectionnez le « client » approprié

    nFactor

    nFactor

  2. Sur la page d’accueil principale de la console d’administration, sélectionnez le menu en haut à gauche et accédez à Mes services > DaaS.

    nFactor

Autoriser la VDI pour les employés verts et les sous-traitants violets

  1. Pour configurer l’accès VDI pour les cas d’utilisation des employés « verts » et des sous-traitants « violets », la stratégie d’accès doit être modifiée pour le groupe de mise à disposition. Sélectionnez « Groupe de mise à disposition » dans le menu de gauche. Sélectionnez le groupe de mise à disposition pour le VDI et cliquez sur Modifier.

    nFactor

    nFactor

  2. Dans le volet d’édition du groupe de mise à disposition, cliquez sur « Stratégie d’accès » dans le menu de gauche. Cochez les trois cases et cliquez sur Ajouter.

    nFactor

  3. Le premier filtre à ajouter consiste à autoriser l’accès à l’employé. Dans le volet « Ajouter un filtre », ajoutez les informations suivantes :

    • Nom du site ou de la batterie : workspace
    • Filtre : <employee device certificate smart access tag>

Remarque :

Pour cet exemple, « CERT » est utilisé. Cela correspond à la balise d’accès intelligente configurée précédemment dans la console d’authentification adaptative.

  1. Cliquez sur OK.

    nFactor

  2. Le deuxième filtre à ajouter est d’autoriser l’accès au contractant. De retour sur la page principale de « stratégie d’accès », cliquez sur Ajouter.

    nFactor

  3. Dans le volet « Ajouter un filtre », ajoutez les informations suivantes :

    • Nom du site ou de la batterie : workspace
    • Filtre : <contractor device certificate smart access tag>

Remarque

Pour cet exemple, le terme « CONTRACTOR » est utilisé. Cela correspond à la balise d’accès intelligente configurée dans la console d’authentification adaptative.

  1. Cliquez sur OK.

    nFactor

  2. Cliquez sur Enregistrer.

    nFactor

VDI pour sous-traitants avec contrôles de sécurité stricts

  1. Pour configurer le VDI du sous-traitant avec des contrôles de sécurité stricts, les stratégies du studio DaaS doivent être modifiées. Pour démarrer les configurations, depuis la page d’accueil de gestion des DaaS, cliquez sur « Stratégies » dans le menu de gauche.

    nFactor

  2. Cliquez sur Créer une stratégie.

    nFactor

  3. La stratégie de sécurité stricte à appliquer consiste à définir un filigrane de session pour le Contractor VDI. Dans la barre de recherche de droite, tapez « filigrane ». Cliquez sur Sélectionner pour « Activer le filigrane de session ».

    nFactor

  4. Activez le paramètre et cliquez sur Enregistrer.

    nFactor

  5. Cliquez sur Suivant.

    nFactor

  6. Dans la case « Attribuer la stratégie à », cliquez sur Attribuer pour le paramètre « Contrôle d’accès ».

    nFactor

  7. Dans la case « Éléments de contrôle d’accès », entrez la « balise d’accès intelligente du certificat de l’appareil du fournisseur » dans le champ Condition d’accès. Cliquez sur Enregistrer.

    nFactor

  8. Cliquez sur Suivant.

    nFactor

  9. Assurez-vous que la stratégie est activée sur la page de résumé, donnez-lui un nom, puis cliquez sur Terminer.

    nFactor

Résumé

Ce guide vous a présenté les configurations du scénario d’authentification adaptative et d’accès adaptatif décrit dans la section Cas d’utilisation . Utilisez l’URL de l’espace de travail qui se trouve dans la section Configuration de l’espace de travail de citrix.cloud.com pour tester et valider la configuration.