Product Documentation

Considérations SSO et proxy pour les applications MDX

L’intégration de XenMobile avec NetScaler vous permet de fournir aux utilisateurs une authentification unique (SSO) à toutes les ressources HTTP / HTTPS principales. En fonction de vos exigences d’authentification unique (SSO), vous pouvez configurer les connexions utilisateur d’une application MDX pour utiliser l’une des options suivantes :

  • Secure Browse, qui est un type de VPN sans client
  • Tunnel VPN complet

Si NetScaler n’est pas le meilleur moyen de fournir une authentification unique dans votre environnement, vous pouvez configurer une application MDX avec une mise en cache de mot de passe locale basée sur une stratégie. Cet article explore les différentes options SSO et proxy, en mettant l’accent sur Secure Web. Les concepts s’appliquent à d’autres applications MDX.

L’organigramme suivant résume le flux décisionnel pour les connexions SSO et utilisateur.

Diagramme du flux décisionnel pour les connexions SSO et utilisateur

Méthodes d’authentification NetScaler

Cette section fournit des informations générales sur les méthodes d’authentification prises en charge par NetScaler.

Authentification SAML

Lorsque vous configurez NetScaler pour le langage SAML (Assertion Marking Language), les utilisateurs peuvent se connecter aux applications Web prenant en charge le protocole SAML pour l’authentification unique. NetScaler Gateway prend en charge l’authentification unique de fournisseur d’identité pour les applications Web SAML.

Configuration requise :

  • Configurez l’authentification unique SAML dans le profil NetScaler Traffic.
  • Configurez le fournisseur d’identité SAML pour le service demandé.

Authentification NTLM

Si l’authentification unique pour les applications Web est activée dans le profil de session, NetScaler effectue automatiquement l’authentification NTLM.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session NetScaler.

Emprunt d’identité Kerberos

XenMobile prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez NetScaler pour Kerberos SSO, NetScaler utilise l’emprunt d’identité lorsqu’un mot de passe utilisateur est disponible pour NetScaler. L’emprunt d’identité signifie que NetScaler utilise des informations d’identification utilisateur pour obtenir le ticket requis pour accéder aux services, tels que Secure Web.

Configuration requise :

  • Configurez la stratégie de session NetScaler “Worx” pour lui permettre d’identifier le domaine Kerberos à partir de votre connexion.
  • Configurez un compte Kerberos Constrained Delegation (KCD) sur NetScaler. Configurez ce compte sans mot de passe et associez-le à une stratégie de trafic sur votre passerelle XenMobile.
  • Pour plus de détails sur la configuration, consultez le blog Citrix : WorxWeb and Kerberos Impersonation SSO.

Délégation Kerberos contrainte

XenMobile prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez NetScaler pour Kerberos SSO, NetScaler utilise la délégation contrainte lorsqu’un mot de passe utilisateur n’est pas disponible pour NetScaler.

Avec une délégation contrainte, NetScaler utilise un compte d’administrateur spécifié pour obtenir des tickets au nom des utilisateurs et des services.

Configuration requise :

  • Configurez un compte KCD dans Active Directory avec les autorisations requises et un compte KDC sur NetScaler.
  • Activez l’authentification unique dans le profil de trafic NetScaler.
  • Configurez le site Web principal pour l’authentification Kerberos.
  • Pour plus de détails sur la configuration, consultez le blog Citrix : Configuring Kerberos Single Sign-on for WorxWeb.

Authentification par remplissage de formulaire

Lorsque vous configurez NetScaler pour l’authentification par remplissage de formulaire, les utilisateurs peuvent se connecter une seule fois pour accéder à toutes les applications protégées de votre réseau. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.

Configuration requise :

  • Configurez l’authentification unique par remplissage de formulaire dans le profil de trafic NetScaler.

Authentification HTTP Digest

Si vous activez l’authentification unique pour les applications Web dans le profil de session, NetScaler effectue automatiquement l’authentification HTTP Digest. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session NetScaler.

Authentification HTTP de base

Si vous activez l’authentification unique pour les applications Web dans le profil de session, NetScaler effectue automatiquement l’authentification HTTP de base. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.

Configuration requise :

  • Activez l’authentification unique dans le profil de trafic ou de session NetScaler.

Les sections suivantes décrivent les types de connexion utilisateur pour Secure Web. Pour plus d’informations, consultez cet article sur Secure Web dans la documentation Citrix, Configuration des connexions utilisateur.

Tunnel VPN complet

Les connexions qui sont tunnelisées sur le réseau interne peuvent utiliser un tunnel VPN complet. Utilisez la stratégie Mode VPN préféré de Secure Web pour configurer un tunnel VPN complet. Citrix recommande un tunnel VPN complet pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne. Full VPN tunnel gère tout protocole sur TCP. Vous pouvez utiliser un tunnel VPN complet avec les appareils Windows, Mac, iOS et Android.

En mode Tunnel VPN complet, NetScaler n’a pas de visibilité dans une session HTTPS.

Les connexions qui sont tunnelisées sur le réseau interne peuvent utiliser une variante d’un VPN sans client, appelé Navigation sécurisée. Navigation sécurisée est la configuration par défaut spécifiée pour la stratégie Mode VPN préféré de Secure Web. Citrix recommande Navigation sécurisée pour les connexions qui nécessitent l’authentification unique (SSO).

En mode Navigation sécurisée, NetScaler divise la session HTTPS en deux parties :

  • Du client à NetScaler
  • De NetScaler au serveur de ressources principal

De cette manière, NetScaler a une visibilité complète sur toutes les transactions entre le client et le serveur, ce qui lui permet de fournir une authentification unique.

Vous pouvez également configurer des serveurs proxy pour Secure Web lorsque vous utilisez le mode Navigation sécurisée. Pour plus d’informations, consultez le blog XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode.

Tunnel VPN complet avec PAC

Vous pouvez utiliser un fichier PAC (Proxy Automatic Configuration) avec un déploiement de tunnel VPN complet pour Secure Web sur les appareils iOS. XenMobile prend en charge l’authentification proxy fournie par NetScaler. Un fichier PAC contient des règles qui définissent la manière dont les navigateurs Web sélectionnent un serveur proxy pour accéder à une URL spécifiée. Les règles du fichier PAC peuvent spécifier la procédure à suivre pour les sites internes et externes. Secure Web analyse les règles du fichier PAC et envoie les informations sur le serveur proxy à NetScaler Gateway. NetScaler Gateway ignore le fichier PAC ou le serveur proxy.

Pour l’authentification aux sites Web HTTPS : la stratégie MDX de Secure Web Activer la mise en cache du mot de passe Web permet à Secure Web de s’authentifier et de fournir l’authentification unique (SSO) au serveur proxy via MDX.

Split tunneling de NetScaler

Lors de la planification de votre configuration SSO et proxy, vous devez également décider si vous souhaitez utiliser la fonction split tunneling de NetScaler. Citrix vous recommande d’utiliser le split tunneling de NetScaler uniquement si nécessaire. Cette section fournit un aperçu général de la manière dont le split tunneling fonctionne : NetScaler détermine le chemin du trafic en fonction de sa table de routage. Lorsque le split tunneling de NetScaler est activé, Secure Hub distingue le trafic réseau interne (protégé) du trafic Internet. Secure Hub procède en fonction du suffixe DNS et des applications intranet. Secure Hub tunnellise uniquement le trafic réseau interne via le tunnel VPN. Lorsque le split tunneling de NetScaler est désactivé, tout le trafic passe par le tunnel VPN.

  • Si vous préférez surveiller tout le trafic pour des raisons de sécurité, désactivez le split tunneling de NetScaler. Dans ce cas, tout le trafic passe par le tunnel VPN.
  • Si vous utilisez un tunnel VPN complet avec PAC, vous devez désactiver le split tunneling de NetScaler Gateway. Si le split tunneling est activé et qu’un fichier PAC est configuré, les règles du fichier PAC remplacent les règles de split tunneling de NetScaler. Un serveur de proxy configuré dans une stratégie de trafic ne remplace pas les règles de split tunneling de NetScaler.

Par défaut, la stratégie Accès réseau est définie sur Tunnélisé vers le réseau interne pour Secure Web. Avec cette configuration, les applications MDX utilisent les paramètres de split tunneling de NetScaler. La stratégie Accès réseau par défaut diffère pour certaines autres applications de productivité mobiles.

NetScaler Gateway dispose également d’un mode de split tunneling inverse à micro VPN. Cette configuration prend en charge une liste d’exclusion d’adresses IP qui ne sont pas tunnellisées sur NetScaler. Ces adresses sont envoyées en utilisant la connexion Internet de l’appareil. Pour plus d’informations sur le split tunneling inverse, veuillez consulter la documentation relative à NetScaler Gateway.

XenMobile inclut une liste d’exclusion de split tunneling inversé. Pour empêcher que certains sites Web soient envoyés par un tunnel via NetScaler Gateway : ajoutez une liste séparée par des virgules des noms de domaine complet (FQDN) ou des suffixes DNS qui se connectent à l’aide du réseau local (LAN). Cette stratégie s’applique uniquement au mode Navigation sécurisée avec NetScaler Gateway configuré pour le split tunneling inverse.

Considérations SSO et proxy pour les applications MDX