Access Control

Contributeurs

Auteur : Daniel Feller

À mesure que les utilisateurs consomment davantage d’applications SaaS, les organisations doivent être en mesure d’unifier toutes les applications sanctionnées, de simplifier les opérations de connexion tout en appliquant les normes d’authentification et de capturer le comportement des utilisateurs. Est également crucial pour surveiller les SLA des fournisseurs et l’analyse de l’utilisation des applications.

Expérience unifiée

Citrix Receiver

Citrix Workspace regroupe toutes les ressources dans une interface utilisateur unique et personnalisée. Les utilisateurs peuvent opter pour une application Workspace installée localement (bureau et mobile) ou utiliser leurs navigateurs locaux pour accéder à un espace de travail Web. Indépendamment de l’approche choisie et de l’appareil choisi, l’expérience reste familière et cohérente.

Présentation de l'application Citrix Workspace

Apportez votre propre identité

Chaque organisation sélectionne son propre fournisseur d’identité unique pour les ouvertures de session initiales des utilisateurs à l’espace de travail.

  • Azure Active Directory : le processus de connexion à l’espace de travail est redirigé vers Azure Active Directory, qui peut intégrer la marque personnalisée, l’authentification multi-facteurs, les stratégies de mot de passe, l’audit, etc.
  • Windows Active Directory : utilise l’environnement Active Directory local d’une organisation pour la connexion initiale à l’Workspace de l’utilisateur. Afin de fédérer Active Directory local avec Citrix Cloud, l’administrateur déploie des connecteurs cloud redondants dans le même emplacement de ressource qu’Active Directory. Chaque connecteur cloud établit un lien sortant vers l’abonnement Citrix Cloud de l’organisation.

Citrix Apportez votre propre identité

Single Sign-On

Une fois que l’utilisateur est authentifié auprès de Citrix Workspace avec une identité principale, les défis d’authentification suivants pour les applications SaaS et Web sont automatiquement résolus par le service Single Sign-On µ-service dans Citrix Cloud à l’aide d’assertions SAML.

Par défaut, l’assertion SAML utilise l’adresse e-mail associée au compte Active Directory de l’utilisateur (fournisseur d’identité) avec l’adresse e-mail associée au compte SaaS ou d’application Web (fournisseur de services) de l’utilisateur.

Citrix Access Control SSO

Contrôle du contenu

Pour protéger le contenu, les organisations intègrent des stratégies de sécurité améliorées dans les applications SaaS. Chaque stratégie applique une restriction sur le navigateur intégré lors de l’utilisation de l’application Workspace pour bureau ou sur Secure Browser lorsque vous utilisez l’application Workspace Web ou mobile.

  • Navigateur préféré : désactive l’utilisation du navigateur local et repose sur le moteur de navigateur intégré (application Workspace - bureau) ou le service Secure Browser (application Workspace - mobile et Web).
  • Restreindre l’accès au presse-papiers : désactive les opérations de coupe/copier/coller entre l’application et le presse-papiers du point de terminaison.
  • Restreindre l’impression : désactive la possibilité d’imprimer à partir du navigateur de l’application.
  • Restreindre la navigation : désactive les boutons du navigateur suivant/arrière.
  • Restreindre les téléchargements : désactive la possibilité de téléchargement de l’utilisateur à partir de l’application SaaS.
  • Afficher filigrane : superpose un filigrane basé sur l’écran montrant le nom d’utilisateur et l’adresse IP du point de terminaison. Si un utilisateur tente d’imprimer ou de prendre une capture d’écran, le filigrane apparaîtra tel qu’affiché à l’écran.

Sécurité renforcée de Citrix Access Control SSO

Accès contextuel

Bien qu’une application SaaS autorisée soit considérée comme sûre, le contenu de l’application SaaS peut être dangereux, ce qui constitue un risque pour la sécurité. Lorsqu’un utilisateur clique sur un lien hypertexte dans une application SaaS, le trafic est acheminé via le service µ-filtrage Web, qui fournit une évaluation des risques pour le lien hypertexte. Sur la base de l’évaluation des risques du lien hypertexte et de la liste personnalisée des catégories d’URL, le filtrage web µ-service permet, refuse ou redirige la demande de lien hypertexte de l’utilisateur comme suit :

  • Approuvé : le lien hypertexte est considéré comme sûr et il est accessible par le navigateur intégré dans Workspace App
  • Refusé : le lien hypertexte est considéré comme dangereux et l’accès est refusé
  • Redirigé : la demande de lien hypertexte est redirigée vers le service Secure Browser, où les activités de navigation sur Internet de l’utilisateur sont isolées du terminal, du réseau d’entreprise et de l’application SaaS.

Filtrage des URL de contrôle d'accès Citrix

La plupart des applications SaaS consomment du contenu de plusieurs sites Web. Lors de l’utilisation du filtrage Web, l’application SaaS doit être testée en profondeur pour valider que les sources secondaires de contenu ne sont pas bloquées ou redirigées. Le temps nécessaire à la sélection d’une URL et au navigateur pour charger la page peut prendre un peu plus de temps avec une sécurité accrue, car chaque URL accessible dans l’application SaaS est analysée par le service de filtrage Web µ-service, qui s’exécute dans Citrix Cloud.

Analyse de la sécurité et des performances

Les analyses de sécurité identifient les comportements à risque et fournissent un score de risque global pour chaque utilisateur.

Citrix Analytics

En utilisant l’apprentissage automatique et l’intelligence artificielle, le service Citrix Analytics surveille les activités des utilisateurs et identifie les écarts par rapport au comportement historique qui peuvent augmenter ou diminuer le score de risque de l’utilisateur.

Les utilisateurs accèdent invariablement aux applications SaaS qui ont une sécurité renforcée inhérente à celles-ci. L’application Workspace, le service Gateway et le service Secure Browser fournissent au service d’analyse de la sécurité des informations sur les comportements des utilisateurs et des applications suivants, car ils ont une incidence sur le score de risque global de l’utilisateur :

  • Heure de lancement de l’application
  • Heure de fin de l’application
  • Action d’impression
  • Accès au Presse-papiers
  • Accès aux URL
  • Chargement de données
  • Téléchargement de données

Le service de filtrage web µ-service évalue le risque de chaque lien hypertexte sélectionné dans l’application SaaS. L’accès à ces sites et la surveillance des changements dans le comportement de l’utilisateur augmentent le score de risque global de l’utilisateur, car cela indique que le périphérique du point de terminaison est compromis et a commencé à infecter ou à chiffrer des données ou que l’utilisateur et l’appareil volent la propriété intellectuelle.

Access Control