Guide PoC : de ZTNA à des applications Web privées (sans agent)
Vue d’ensemble
Avec le travail à distance, les utilisateurs ont besoin d’accéder à des applications Web internes. Fournir une meilleure expérience signifie éviter un modèle de déploiement VPN, ce qui entraîne souvent les défis suivants :
- Risque VPN 1 : sont difficiles à installer et à configurer
- Risque VPN 2 : Exiger que les utilisateurs installent le logiciel VPN sur les terminaux, qui peuvent utiliser un système d’exploitation non pris en charge
- Risque VPN 3 : nécessite la configuration de stratégies complexes pour empêcher un terminal non fiable d’avoir un accès illimité au réseau, aux ressources et aux données de l’entreprise
- Risque VPN 4 : difficile de synchroniser les stratégies de sécurité entre l’infrastructure VPN et l’infrastructure sur site
Pour améliorer l’expérience utilisateur globale, les entreprises doivent être en mesure d’unifier toutes les applications autorisées et de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification.
Les entreprises doivent fournir et sécuriser des applications SaaS, Web, Windows, Linux et des postes de travail, même si certaines de ces ressources existent au-delà des limites du centre de données et peuvent accéder à des ressources en dehors du centre de données. Le service Citrix Secure Private Access fournit aux entreprises un accès sécurisé et sans VPN aux ressources autorisées par l’utilisateur, via Citrix Workspace.
Dans ce scénario de validation fonctionnelle, un utilisateur s’authentifie auprès de Citrix Workspace à l’aide d’Active Directory, Azure Active Directory, Okta, Google, Citrix Gateway ou d’un fournisseur SAML 2.0 de son choix en tant qu’annuaire utilisateur principal. Citrix Workspace fournit des services d’authentification unique pour un ensemble défini d’applications Web d’entreprise.
Si le service Citrix Secure Private Access est attribué à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, à la restriction des actions d’impression/téléchargement, aux restrictions de capture d’écran et au masquage du clavier, sont appliquées au-dessus des applications Web.
L’animation montre un utilisateur accédant à une application Web Sharepoint interne avec l’authentification unique fournie par Citrix et sécurisée avec le service Citrix Secure Private Access.
Cette démonstration montre un flux dans lequel l’utilisateur lance l’application depuis Citrix Workspace, qui utilise la connexion sans VPN au centre de données. Étant donné que l’utilisateur accède à une application Web interne à partir d’un appareil externe, la demande d’accès doit provenir de Citrix Workspace.
Ce guide de validation de concept montre comment :
- Configuration de Citrix Workspace
- Intégrer un annuaire d’utilisateurs principal
- Intégrez l’authentification unique pour une application Web Sharepoint située dans le centre de données
- Valider la configuration
Configuration de Citrix Workspace
La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut
- Une fois que vous avez établi les droits de service Citrix Secure Private Access auprès de votre équipe de compte Citrix, vous trouverez l’icône Citrix Secure Private Access sous Mes services. Pour plus d’informations, consultez.
- Configurer l’URL de l’espace de travail
Définir l’URL d’espace de travail
- Connectez-vous au cloud Citrix et connectez-vous en tant que compte administrateur
- Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
- Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé
Intégrer un annuaire d’utilisateurs principaux
Avant que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateurs principal doit être configuré. L’annuaire des utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique pour les identités secondaires.
Une organisation peut utiliser l’un des annuaires d’utilisateurs principaux suivants :
- Active Directory : pour activer l’authentification Active Directory, un Cloud Connector doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide d’installation du Cloud Connector .
- Active Directory avec mot de passe à usage unique basé sur l’heure : l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe à usage unique basé sur l’heure (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
- Azure Active Directory : les utilisateurs peuvent s’authentifier auprès de Citrix Workspace avec une identité Azure Active Directory. Ce guide fournit des informations détaillées sur la configuration de cette option.
- Citrix Gateway : les entreprises peuvent utiliser une passerelle NetScaler Gateway sur site pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des informations détaillées sur l’intégration.
- Okta : Les organisations peuvent utiliser Okta comme répertoire utilisateur principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.
- SAML 2.0 : les entreprises peuvent utiliser le fournisseur SAML 2.0 de leur choix avec leur Active Directory (AD) sur site. Ce guide fournit des instructions pour configurer cette option.
Configurer l’authentification unique
Pour intégrer correctement les applications Web à Citrix Workspace, l’administrateur doit effectuer les opérations suivantes :
- Déployer l’appliance
- Configurer l’application Web
- Autoriser l’application Web et configurer une sécurité renforcée
Déployer l’appliance
- Dans Citrix Cloud, sélectionnez Emplacements des ressources dans la barre de menus
- Dans l’emplacement de ressources associé au site contenant l’application Web, sélectionnez Appliances Connector
- Dans la boîte de dialogue Add a Connector Appliance, téléchargez l’image associée à l’hyperviseur approprié et laissez cette fenêtre de navigateur ouverte
- Une fois téléchargé, importez l’image dans l’hyperviseur
- Lorsque l’image démarre, elle fournit l’URL à utiliser pour accéder à la console
- Connectez-vous au Connector, modifiez le mot de passe administrateur et définissez l’adresse IP du réseau
- Donnez un nom à l’appliance et connectez-vous au domaine pour cet emplacement de ressources
- Sélectionnez Enregistrer et copiez le code d’enregistrement
- Revenez à la page Citrix Cloud et soumettez le code d’enregistrement pour terminer la configuration de l’appliance Connector
Configurer l’application Web
- Dans le cloud Citrix, sélectionnez Gérer dans la vignette Accès privé sécurisé
- Sélectionnez Applications, puis Ajouter une application
- Dans l’Assistant Choisir un modèle, sélectionnez Ignorer
- Dans la fenêtre des détails de l’application, sélectionnez Dans mon réseau d’entreprise
- Spécifiez HTTP/HTTPS comme type d’application
- Indiquez le nom et la description de l’application
- (facultatif) Sélectionnez Accès direct pour activer l’accès directement via un nom de domaine complet pouvant être résolu via l’Internet public. Si cette option est sélectionnée, vous devrez télécharger le certificat SSL correspondant au format .pfx ou .pem. Vous devez également mapper un enregistrement CNAME pour le nom de domaine complet du site vers le service Citrix Gateway.
- Entrez l’ URL de l’application Web
- Ajoutez des domaines connexes supplémentaires si nécessaire pour l’application Web
- Ajoutez une icône d’application personnalisée si vous le souhaitez
- Sélectionner Suivant
- Dans la fenêtre Single Sign-On, sélectionnez l’option SSO appropriée pour l’application Web.
Cela nécessite souvent l’aide du propriétaire de l’application Web.
Vous aurez le choix entre 5 options d’authentification unique :
- Basic : Si votre serveur backend vous pose un défi de base 401, choisissez Basic SSO
- Kerberos : Si votre serveur backend vous pose un défi de négociation 401, choisissez Kerberos SSO
- Basé sur les formulaires : si votre serveur principal vous présente un formulaire HTML pour l’authentification, choisissez l’authentification unique basée sur les formulaires
- SAML : choisissez SAML pour l’authentification unique basée sur SAML dans les applications Web. Entrez les détails de configuration du type SSO SAML .
- No SSO : utilisez l’option No SSO lorsque vous n’avez pas besoin d’authentifier l’utilisateur sur le serveur principal
- Sélectionnez le SSO de base et le nom d’utilisateur principal (UPN) comme format de nom d’utilisateur
- Sélectionner Suivant
- Dans la fenêtre App Connectivity, sélectionnez l’emplacement des ressources, où vous avez installé l’appliance Connector précédemment, pour les entrées URL et domaines associés (et vérifiez que vos connecteurs sont actifs)
- Sélectionnez Enregistrer
- Sélectionner Terminer
Autoriser l’application Web et configurer une sécurité renforcée
- Dans le menu Secure Private Access, sélectionnez Stratégies d’accès
- Dans la section Stratégie d’accès, sélectionnez Créer une stratégie
- Entrez le nom de la stratégie et une brève description de la stratégie
- Dans la liste déroulante Applications, recherchez « The Hub (Intranet) » et sélectionnez-le
Remarque
Vous pouvez créer plusieurs règles d’accès et configurer différentes conditions d’accès pour différents utilisateurs ou groupes d’utilisateurs au sein d’une même stratégie. Ces règles peuvent être appliquées séparément aux applications HTTP/HTTPS et TCP/UDP, le tout dans le cadre d’une stratégie unique. Pour plus d’informations sur les règles d’accès multiples, voir Configurer une stratégie d’accès avec plusieurs règles.
- Sélectionnez Créer une règle pour créer des règles pour la stratégie
- Entrez le nom de la règle et une brève description de la règle, puis sélectionnez Suivant
- Ajoutez les utilisateurs/groupes appropriés autorisés à lancer l’application, puis sélectionnez Suivant
Remarque
Cliquez sur + pour ajouter plusieurs conditions en fonction du contexte.
- Spécifiez si l’application HTTP/HTTPS est accessible avec ou sans restrictions.
La capture d’écran ci-dessous montre toutes les restrictions configurées.
Veuillez noter que l’anti-enregistrement des clés et la fonction anti-capture d’écran nécessitent des clients de bureau Citrix Workspace. - Spécifiez l’action des applications TCP/UDP La capture d’écran ci-dessous refuse
l’accès aux applications TCP/UDP. - Sélectionner Suivant
- La page Résumé affiche les détails des règles de stratégie.
Vérifiez les détails et sélectionnez Terminer.
- Dans la boîte de dialogue Créer une stratégie, vérifiez que l’ option Activer la stratégie lors de l’enregistrement est cochée, puis sélectionnez Enregistrer.
Valider
- Connectez-vous à Citrix Workspace en tant qu’utilisateur
- Sélectionnez l’application Web configurée
- L’utilisateur se connecte automatiquement à l’application
- Les stratégies de sécurité améliorées appropriées sont appliquées
Dépannage
Échec des stratégies de sécurité améliorées
Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au presse-papiers) échouent. Généralement, cela se produit parce que l’application Web utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application Web, il y avait une entrée pour les domaines associés.
Les stratégies de sécurité améliorées sont appliquées à ces domaines connexes. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application Web à l’aide d’un navigateur local et effectuer les opérations suivantes :
- Accédez à la section de l’application dans laquelle les stratégies échouent.
- Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
- Sélectionnez Plus d’outils.
- Sélectionner les outilsde développement
- Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Afin d’activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme
*.domain.com