Extension de la durée de vie de vos applications Web héritées à l’aide de Citrix Secure Browser

在《世界报》des应用et des干部网络,la diversité doit être adoptée. Différents types d’utilisateurs, de groupes et d’entreprises ont besoin d’accéder aux outils, applications et autorisations appropriés pour se connecter aux applications d’entreprise Web. Dans la plupart des cas, il existe des facteurs de conformité qui dictent la façon d’accéder à ces applications. Les entreprises qui ont besoin de prendre en charge des sous-systèmes plus anciens, avec des cadres de navigateur plus anciens, ont du mal à fournir un accès adéquat et à satisfaire aux exigences de conformité pour les applications critiques de l’entreprise. Le document suivant décrit comment utiliser Citrix Secure Browser pour étendre l’accès et la durée de vie de vos applications Web et navigateurs hérités tout en créant une stratégie de mise à jour et de migration.

La solution nécessite la publication d’un navigateur conforme qui permet l’accès aux utilisateurs externes ou internes, indépendamment de la façon dont l’utilisateur se connecte ou du navigateur qu’ils utilisent pour se connecter au site interne. Cette solution utilise XenDesktop Server OS VDA, StoreFront, NetScaler Gateway et XenApp Secure Browser. Les utilisateurs redirigent les navigateurs ou les points de terminaison compatibles pour utiliser un navigateur natif lorsqu’il répond à toutes les exigences définies par l’administrateur informatique ; et si la stratégie détecte un navigateur ou un point de terminaison non conforme, redirige l’utilisateur vers une session de navigateur publié contenant à distance. Les utilisateurs n’ont besoin de connaître qu’une URL par ressource (ce qui réduit les coûts de formation et de support), quelle que soit la façon dont ils se connectent à l’environnement.

Architecture

La section suivante explique comment les utilisateurs accèdent au site interne, que l’utilisateur se connecte à partir d’un réseau interne ou externe. Dans le scénario, un type de navigateur (Internet Explorer) est le navigateur conforme et un autre (Google Chrome) comme non conforme. Il appartient à chaque entreprise de déterminer comment et quels navigateurs sont mis en correspondance avec la stratégie de conformité.

Pour cette solution, nous supposons que NetScaler Gateway est configuré pour un accès externe aux applications publiées, ceci est représenté dans la Figure 1 comme Gateway vServer 1. Le deuxième serveur virtuel (Gateway vServer 2) redirige les utilisateurs pour lancer la session HTML5 Receiver pour Secure Browser.

Cas d’utilisation

Il est nécessaire de maintenir les applications Web héritées qui ne sont plus prises en charge par les navigateurs actuels. Dans ce cas, le service informatique doit toujours gérer un site Web conçu pour Internet Explorer 8 et le fournisseur ne publie plus d’améliorations pour prendre en charge les nouveaux navigateurs ou autres. Pour résoudre ce problème, l’administrateur informatique publie un navigateur sécurisé pour permettre aux utilisateurs qui répondent aux exigences du navigateur d’accéder au site. Le diagramme ci-dessous explique chaque connexion dans le workflow pour les utilisateurs internes et externes.

Flux de travail de connectivité

1. Chaque utilisateur entre dans l’URL du site qui résout à partir d’un serveur DNS externe, dans notre exemple,https://train.qckr.net
2. Le navigateur se connecte à l’équilibreur de charge NetScaler Gateway et détermine les exigences de conformité.
3. Lorsque le navigateur n’est pas conforme, les utilisateurs internes et externes redirigent vers le serveur virtuel NetScaler Gateway. Lorsque le navigateur est conforme, NetScaler Gateway met en proxy la connexion au site interne via l’équilibreur de charge pour les utilisateurs externes et redirige le navigateur local vers le site pour les utilisateurs internes.
4. Le serveur virtuel démarre automatiquement une session énumérée par StoreFront.
5. StoreFront contacte le contrôleur XenDesktop pour obtenir des informations sur la session et le routage.
6. La session démarre via le groupe de bureau Secure Browser ; dans ce cas, il s’agit d’un VDA avec OS de serveur avec un navigateur conforme publié.
7. La session se connecte via le proxy ICA sur l’appliance NetScaler Gateway.
8. Citrix Receiver pour HTML5 établit la session de l’utilisateur dans le navigateur natif.
9. Le site interne s’affiche via la session Secure Browser avec Citrix Receiver pour HTML5.

Configuration et configuration

Cette section explique comment implémenter la solution pour les environnements XenDesktop actuels avec la connectivité à distance NetScaler Gateway.

Exigences de la solution

La configuration nécessite l’installation et la configuration des composants suivants :

• Serveur XenDesktop Desktop Controller
• Serveur Citrix StoreFront avec un magasin configuré pour un accès externe
• NetScaler Gateway avec un serveur virtuel XenDesktop
• VDA avec OS de serveur avec l’utilisation du navigateur installé comme navigateur sécurisé
• Adresse DNS externe qui pointe vers un nouvel équilibreur de charge NetScaler
• Adresse DNS externe qui pointe vers un nouveau serveur virtuel NetScaler Gateway

Configuration

Contrôleur XenDesktop

Ajoutez le VDA du SE de serveur à un nouveau catalogue de machines nomméSecure Browser Catalog.

Créez un groupe de mise à disposition pourSecure Browser Cataloget publiez Internet Explorer. Dans les paramètres de ligne de commande, tapez -k .** Le paramètre -k consiste à ouvrir Internet Explorer en mode Kiosque. Dans cet exemple, nous publions Internet Explorer 8 et utilisons un site interne pour l’URL.

Vous pouvez affecter le groupe de mise à disposition à des utilisateurs et groupes spécifiques. Vous n’avez pas besoin d’ajouter un accès au bureau s’il n’est pas nécessaire pour le cas d’utilisation.

Sur le VDA du système d’exploitation de serveur, installez un certificat d’authentification serveur ou client, qui active SSL sur la communication Controller et VDA.

Montez le support d’installation XenDesktop 7.6 ou version ultérieure. Ouvrez une fenêtre de commande PowerShell, puis exécutez%MediaDrive%:\Support\Tools\SslSupport\Enable-VdaSSL.ps1 –Enable

Redémarrez l’instance VDA du système d’exploitation de serveur.

Sur XenDesktop Controller, ouvrez une fenêtre de commande PowerShell et exécutez la commandeASNP Citrix*.

Exécutez les trois commandes suivantes pour activer le broker vers la communication sécurisée VDA :

Get-BrokerAccessPolicyRule –DesktopGroupName ‘Secure Browser Desktop Group’ | Set-BrokerAccessPolicyRule –HdxSslEnabled $true* 

Set-BrokerSite –DnsResolutionEnabled $true 

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true* 

StoreFront

Créez un nouveau magasin appeléSecureBrowseret sélectionnezAutoriser uniquement les utilisateurs non authentifiés à accéder à ce magasin. Le trafic est authentifié car tous les utilisateurs transitent un jeton de NetScaler Gateway au contrôleur.

Ajoutez le contrôleur XenDesktop.

Activezl’accès distantet ajoutez une deuxième passerelle NetScaler Gateway que vous allez configurer dans les étapes suivantes. Pour cette configuration, vous n’avez pas besoin d’utiliser l’adresseCallbackou VIPdans la configuration StoreFront / NetScaler Gateway.

Terminez la création du magasin à l’aide des valeurs par défaut de l’assistant.

Après avoir créé le magasin, cliquez surGérer Receiver pour les sites Web.

Dans la pageGérer Receiver pour les sites Web, cliquez surConfigurer, accédez àRaccourcis de siteWeb, ajoutez l’URL interne du site Web et cliquez sur le lienObtenir les raccourcis.

Ouvrez une session en tant qu’utilisateur régulier avec accès à l’applicationSecure Browserpubliée.

Copiez l’URL de l’application Secure Browser et enregistrez-le dans un fichier texte pour l’utiliser ultérieurement dans la configuration de NetScaler Gateway.

Revenez àModifier les propriétés du site Receiver pour Web, cliquez sur Déployer Citrix Receiver et sélectionnezToujours utiliser Receiver pour HTML5. Sélectionnez l’optionLancer les applications dans le même onglet que Receiver pour Web.

Cliquez surContrôle de l’espace de travail, dans l’action de fermeturede session, sélectionnezTerminer. Désactivez l’optionActiver le contrôle de l’espace de travail.

Cliquez surParamètres de l’interface client, désactivez l’optionDémarrage automatique du bureauet cliquez surOKpour enregistrer les paramètres.

Dans un éditeur de texte, ouvrez le fichier C:\inetpub\wwwroot\Citrix\SecureBrowserWeb\web.config.

Recherchez le量, définissez-le surfalseet enregistrez les modifications. La désactivation de ce paramètre empêche StoreFront de demander aux utilisateurs s’ils souhaitent lancer l’application.

NetScaler Gateway

Dans l’interface graphique de NetScaler Gateway, dans le volet de navigation, cliquez surXenApp et XenDesktop, puis sur letableau de bord, cliquez surCréer une passerelle.

Dans les propriétés StoreFront, définissez lechemin du site sur/Citrix/SecureBrowserWeb et définissez le nom dumagasinsurSecureBrowsercomme nouveau magasin dans le serveur StoreFront.

Continuez l’Assistant et enregistrez le nouveau serveur virtuel.

Sur le nœudNetScaler Gateway, développezStratégieset accédez àSession.

Sélectionnez l’ongletActions, modifiez l’action nouvellement créée pour le deuxième serveur virtuel, puis modifiez l’actionAC_WB_policy.

Sous l’ongletApplications publiées, collez l’URL Raccourcisd’application que vous avez précédemment enregistrée dans le champAdresse de l’interface Web, puis cliquez surOK.

Dans le volet de navigation, cliquez sur le nœudAppExpert, développez la sectionRépondeur, puis cliquez surActions.

Ajoutez une nouvelleaction, nommez-laConnexions interneset définissez le type surRedirection.

Dans le champExpression, ajoutez l’URL du site interne pour vous connecter entre guillemets, tels quehttps://mysite.acme.com

Cliquez surCréerpour enregistrer l’action.

Ajoutez une nouvelle action, nommez-laConnexions externeset définissez le type surRedirection.

Dans le champExpression, ajoutez l’URL du deuxième serveur virtuel NetScaler Gateway entouré de guillemets, tels quehttps://gateway.acme.com

Cliquez surCréerpour enregistrer l’action.

Accédez au nœudStratégies du répondeur.

Ajoutez une nouvelle stratégie, nommez-laDétecter la conformité du navigateur, dans la liste déroulanteAction, sélectionnez l’actionConnexions externesque vous avez créée précédemment.

Définissezl’action de résultat indéfinisurNOOP.

Dans le champExpression, ajoutez le texte suivant :

Les expressions ci-dessus détectent les navigateurs non conformes ou, dans ce cas, pas Internet Explorer.

Cliquez surCréerpour enregistrer les modifications.

Ajoutez une nouvelle stratégie, nommez-laDétecter la source du client, définissez l’action ActionsurConnexions internesprécédemment créée.

Définissezl’action de résultat indéfinisurNOOP.

Dans le champ Expression, ajoutez le texte suivant :

Remplacez ou ajoutez chaque sous-réseau ci-dessus pour correspondre à votre environnement réseau interne. L’agent utilisateur, dans ce cas, correspond à la version configurée d’Internet Explorer et que le client se connecte à partir du réseau interne.

Cliquez surCréerpour enregistrer les modifications.

Dans le volet de navigation, développezGestion du trafic > Équilibrage de charge, puis sélectionnezServeurs. Ajoutez le serveur utilisé pour héberger le site interne.

Dans le volet de navigation, cliquez surGroupes de servicessousÉquilibrage de chargeg, ajoutez un nouveau groupe de services, définissez leprotocolesurSSLet liez leserveur克里族一个l 'etape precedente la listeMembres du groupe de services.

Cliquez surTerminé.

Dans le volet de navigation, cliquez surServeurs virtuelsdans le nœudÉquilibrage de charge, cliquez surAjouteret nommez lesite intranet duserveur.

Définissez leprotocolesurSSLet tapez l’adresse IP de l’équilibreur de charge.

Liez勒serveur Web interne du groupe de servicescréé à l’étape précédente et configurez les certificats pour l’accès externe. Liez le certificat d’autorité de certification racine interne aux certificats de l’autorité de certification afin que l’équilibreur de charge puisse décharger SSL vers le serveur Web interne.

Dans le volet d’informations, dansParamètres avancés, cliquez sur+ Stratégies. Cliquez sur le signe plus (+) pour lier une nouvelle stratégie.

SélectionnezRépondeur pour Choisir une stratégie, puis cliquez surContinuer. SélectionnezDétecter la source du clientet définissez la priorité sur 100.

Cliquez surBind.

Cliquez sur la section Stratégie durépondeur, cliquez surAjouter une liaison, sélectionnezDétecter la conformité du navigateuret définissez la priorité sur110. Cliquez surBind.

Cliquez surFermer, puis surTerminé.

Enregistrez la configuration NetScaler Gateway.

Résultats et attentes des cas d’utilisation

Cette section passe en revue les cas d’utilisation et les résultats attendus de la façon dont chaque utilisateur se connecte à la configuration précédente. Dans tous les cas d’utilisation suivants, l’utilisateur ouvre un navigateur installé localement et tape l’URL externe du site de formation.

Utilisateur externe avec navigateur non conforme

Résultat attendu :l 'utilisateur兰斯拉会话Citrix接收机丹s un onglet de navigateur qui rend le site avec le navigateur sécurisé publié.

Utilisateur externe avec navigateur conforme

Résultat attendu : NetScaler Gateway proxie le trafic entre le navigateur local et le site Web interne.

Utilisateur interne avec navigateur non conforme

Résultat attendu : l’utilisateur lance la session Citrix Receiver dans un onglet de navigateur rendant le site avec le navigateur sécurisé publié.

Utilisateur interne avec navigateur conforme

Résultat attendu : la session utilisateur redirige vers le site interne ; NetScaler Gateway ne fournit pas de proxy la connexion puisque le client se connecte à partir du réseau interne.

Limitations connues

• L’URL dynamique passant au serveur virtuel NetScaler Gateway ne prend pas en charge l’utilisation de Citrix Receiver pour HTML5 pour Secure Browser.
  • Pour transmettre une URL de lancement au serveur virtuel, désactivez le proxy ICA dans le profil de session. Le proxy ICA est requis pour Citrix Receiver pour HTML5.
• Citrix Receiver pour HTML5 ne prend pas en charge la redirection de contenu.
  • Les administrateurs peuvent configurer Citrix Receiver dans StoreFront pour les sites Web.
• environnement)校正几个不同的网站,créent des stratégies de session NetScaler Gateway différentes pour chaque site et les lient au serveur virtuel ou créent un portail de lancement interne qui peut héberger des URL pour les sites internes.

Références

• Comment sécuriser les connexions ICA dans XenApp et XenDesktop 7.6 à l’aide de SSL