Guide PoC - ZTNA vers les applications Web privées (sans agent)

Vue d’ensemble

Avec le travail à distance, les utilisateurs ont besoin d’accéder à des applications Web internes. Fournir une meilleure expérience signifie éviter un modèle de déploiement VPN, ce qui entraîne souvent les défis suivants :

  • Risque VPN 1 : sont difficiles à installer et à configurer
  • Risque VPN 2 : Exiger que les utilisateurs installent le logiciel VPN sur les terminaux, qui peuvent utiliser un système d’exploitation non pris en charge
  • Risque VPN 3 : nécessite la configuration de stratégies complexes pour empêcher un terminal non fiable d’avoir un accès illimité au réseau, aux ressources et aux données de l’entreprise
  • Risque VPN 4 : difficile de synchroniser les stratégies de sécurité entre l’infrastructure VPN et l’infrastructure sur site

Pour améliorer l’expérience utilisateur globale, les entreprises doivent être en mesure d’unifier toutes les applications autorisées et de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification.

Présentation de l'authentification unique

Les entreprises doivent fournir et sécuriser des applications SaaS, Web, Windows, Linux et des postes de travail, même si certaines de ces ressources existent au-delà des limites du centre de données et peuvent accéder à des ressources en dehors du centre de données. Le service Citrix Secure Private Access fournit aux entreprises un accès sécurisé et sans VPN aux ressources autorisées par l’utilisateur, via Citrix Workspace.

Dans ce scénario de validation fonctionnelle, un utilisateur s’authentifie auprès de Citrix Workspace à l’aide d’Active Directory, Azure Active Directory, Okta, Google, Citrix Gateway ou d’un fournisseur SAML 2.0 de son choix en tant qu’annuaire utilisateur principal. Citrix Workspace fournit des services d’authentification unique pour un ensemble défini d’applications Web d’entreprise.

Présentation de l'authentification unique

Si le service Citrix Secure Private Access est attribué à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, à la restriction des actions d’impression/téléchargement, aux restrictions de capture d’écran et au masquage du clavier, sont appliquées au-dessus des applications Web.

L’animation montre un utilisateur accédant à une application Web Sharepoint interne avec l’authentification unique fournie par Citrix et sécurisée avec le service Citrix Secure Private Access.

Démo Citrix SSO

Cette démonstration montre un flux dans lequel l’utilisateur lance l’application depuis Citrix Workspace, qui utilise la connexion sans VPN au centre de données. Étant donné que l’utilisateur accède à une application Web interne à partir d’un appareil externe, la demande d’accès doit provenir de Citrix Workspace.

Ce guide de validation de concept montre comment :

  1. Configuration de Citrix Workspace
  2. Intégrer un annuaire d’utilisateurs principal
  3. Intégrez l’authentification unique pour une application Web Sharepoint située dans le centre de données
  4. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

  1. Une fois que vous avez établi les droits de service Citrix Secure Private Access auprès de votre équipe de compte Citrix, vous trouverez l’icône Citrix Secure Private Access sous Mes services. Pour plus d’informations, consultez.
  2. Configurer l’URL de l’espace de travail

Définir l’URL d’espace de travail

  1. Connectez-vous au cloud Citrix et connectez-vous en tant que compte administrateur
  2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
  3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

URL de l'espace de travail

Intégrer un annuaire d’utilisateurs principaux

Avant que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateurs principal doit être configuré. L’annuaire des utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique pour les identités secondaires.

Une organisation peut utiliser l’un des annuaires d’utilisateurs principaux suivants :

  • Active Directory : pour activer l’authentification Active Directory, un Cloud Connector doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide d’installation du Cloud Connector .
  • Active Directory avec mot de passe à usage unique basé sur l’heure : l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe à usage unique basé sur l’heure (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
  • Azure Active Directory : les utilisateurs peuvent s’authentifier auprès de Citrix Workspace avec une identité Azure Active Directory. Ce guide fournit des informations détaillées sur la configuration de cette option.
  • Citrix Gateway : les entreprises peuvent utiliser une passerelle Citrix Gateway sur site pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des informations détaillées sur l’intégration.
  • Okta : Les organisations peuvent utiliser Okta comme répertoire utilisateur principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.
  • SAML 2.0 : les entreprises peuvent utiliser le fournisseur SAML 2.0 de leur choix avec leur Active Directory (AD) sur site. Ce guide fournit des instructions pour configurer cette option.

Configurer l’authentification unique

Pour intégrer correctement les applications Web à Citrix Workspace, l’administrateur doit effectuer les opérations suivantes :

  • Déployer l’appliance
  • Configurer et autoriser l’application Web

Déployer l’appliance

  • Dans Citrix Cloud, sélectionnez Emplacements des ressources dans la barre de menus

Appareil Connector 01

  • Dans l’emplacement de ressources associé au site contenant l’application Web, sélectionnez Appliances Connector
  • Sélectionnez Ajouter un appareil Connector Appliance Connector Appliance 01b
  • Téléchargez l’image associée à l’hyperviseur approprié et laissez cette fenêtre de navigateur ouverte
  • Une fois téléchargé, importez l’image dans l’hyperviseur
  • Lorsque l’image démarre, elle fournit l’URL à utiliser pour accéder à la console

Appareil Connector 02

  • Connectez-vous au Connector, modifiez le mot de passe administrateur et définissez l’adresse IP du réseau
  • Donnez un nom à l’appliance et connectez-vous au domaine pour cet emplacement de ressources
  • Sélectionnez Enregistrer et copiez le code d’enregistrement

Appareil Connector 03

  • Revenez à la page Citrix Cloud et soumettez le code d’enregistrement pour terminer la configuration de l’appliance Connector

Appareil Connector 04

Configurer et autoriser l’application Web

  • Dans le cloud Citrix, sélectionnez Gérer dans la vignette Accès privé sécurisé
  • Sélectionnez Applications, puis Ajouter une application
  • Dans l’Assistant Choisir un modèle, sélectionnez Ignorer

Configuration de l'application Web 02

  • Dans la fenêtre Détails de l’application, sélectionnez Dans mon réseau d’entreprise
  • Spécifiez HTTP/HTTPS comme type d’application
  • Indiquez le nom et la description de l’application
  • (facultatif) Sélectionnez Accès direct pour activer l’accès directement via un nom de domaine complet pouvant être résolu via l’Internet public. Si cette option est sélectionnée, vous devrez télécharger le certificat SSL correspondant au format .pfx ou .pem. Vous devrez également mapper un enregistrement CNAME pour le nom de domaine complet du site au service Citrix Gateway à l’adresse directaccess.netscalergateway.net
  • Entrez l’ URL de l’application Web
  • Ajoutez des domaines connexes supplémentaires si nécessaire pour l’application Web
  • Ajoutez une icône d’application personnalisée si vous le souhaitez
  • Sélectionner Suivant

Configuration de l'application Web 03

  • Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement
  • Sélectionner Suivant

Configuration de l'application Web 04

  • Dans la fenêtre Single Sign-On, sélectionnez l’option SSO appropriée pour l’application Web. Cela nécessite souvent l’aide du propriétaire de l’application Web. Vous aurez le choix entre 4 options d’authentification unique :
  1. Basic : Si votre serveur backend vous pose un défi de base 401, choisissez Basic SSO
  2. Kerberos : Si votre serveur backend vous pose un défi de négociation 401, choisissez Kerberos SSO
  3. Basé sur les formulaires : si votre serveur principal vous présente un formulaire HTML pour l’authentification, choisissez l’authentification unique basée sur les formulaires
  4. No SSO : utilisez l’option No SSO lorsque vous n’avez pas besoin d’authentifier l’utilisateur sur le serveur principal
  • Sélectionnez le format du nom d’utilisateur
  • Sélectionner Suivant

Configuration de l'application Web 06

  • Dans la fenêtre App Connectivity, sélectionnez l’emplacement des ressources, où vous avez installé l’appliance Connector précédemment, pour les entrées URL et domaines associés (et vérifiez que vos connecteurs sont actifs)
  • Sélectionner Suivant

Configuration de l'application Web 07

  • Dans la fenêtre Abonnés à l’application, ajoutez les utilisateurs/groupes appropriés autorisés à lancer l’application
  • Sélectionner Suivant

Configuration de l'application Web 08

  • Sélectionner Terminer

Valider

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application Web configurée
  • L’utilisateur se connecte automatiquement à l’application
  • Les stratégies de sécurité améliorées appropriées sont appliquées

Démo Citrix SSO

Résolution des problèmes

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au presse-papiers) échouent. Généralement, cela se produit parce que l’application Web utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application Web, il y avait une entrée pour les domaines associés.

Configuration de l'application Web 03

Les stratégies de sécurité améliorées sont appliquées à ces domaines connexes. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application Web à l’aide d’un navigateur local et effectuer les opérations suivantes :

  • Accédez à la section de l’application dans laquelle les stratégies échouent.
  • Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
  • Sélectionnez Plus d’outils.
  • Sélectionner les outilsde développement
  • Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Afin d’activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme *.domain.com

Dépannage de sécurité amélioré 01

Guide PoC - ZTNA vers les applications Web privées (sans agent)