Guide de déploiement : Citrix Secure Private Access sur site

Audience

Ce document est destiné aux architectes, aux concepteurs de réseaux, aux professionnels techniques, aux partenaires et aux consultants intéressés par la mise en œuvre de la solution Citrix Secure Private Access sur site. Elle est également conçue pour les administrateurs réseau, les administrateurs Citrix, les fournisseurs de services gérés ou toute personne souhaitant déployer cette solution.

Présentation de la solution

CitrixSecure Private Accesssur site est une solution Zero Trust Network Access (ZTNA) gérée par le client qui fournit un accès sans VPN aux applications Web et SaaS internes avec le principe du moindre privilège, l’authentification unique (SSO), l’authentification multifactorielle et l’évaluation de la position des appareils, des contrôles de sécurité au niveau des applications et des fonctionnalités de protection des applications, ainsi qu’une expérience utilisateur fluide. La solution s’appuie sur l’application StoreFront sur site et Citrix Workspace pour offrir une expérience d’accès fluide et sécurisée permettant d’accéder aux applications Web et SaaS dans Citrix Enterprise Browser. Cette solution s’appuie également sur NetScaler Gateway pour appliquer les contrôles d’authentification et d’autorisation.

La solution Citrix Secure Private Access sur site améliore la sécurité globale et la conformité des entreprises en leur permettant de fournir facilement un accès Zero Trust aux applications Web internes et aux applications SaaS en utilisant le portail local StoreFront comme portail d’accès unifié aux applications Web et SaaS, ainsi qu’aux applications virtuelles et aux postes de travail en tant que partie intégrante de Citrix Workspace.

Citrix Secure Private Access combine des éléments de NetScaler Gateway et de StoreFront pour offrir une expérience intégrée aux utilisateurs finaux et aux administrateurs.

Cas d’utilisation

La solution Citrix Secure Private Access (SPA) sur site associée à Citrix Virtual Apps and Desktops (CVAD) On-Premises fournit une expérience utilisateur unifiée et sécurisée aux ressources virtualisées et aux applications basées sur un navigateur (applications Web et applications SaaS) avec une sécurité constante.

La solution SPA On-Premises est conçue pour répondre aux cas d’utilisation suivants à l’aide d’une solution gérée par le client.

Cas d’utilisation #1 :accès sécurisé pour les employés et les sous-traitants à des applications Web et SaaS internes à partir d’appareils gérés ou non gérés sans publier de navigateur ni utiliser de VPN.

Cas d’utilisation #2 :mettez en œuvre une approche Zero Trust complète grâce à des contrôles de sécurité du navigateur configurables par l’administrateur pour les applications Web et SaaS internes provenant d’appareils gérés ou non gérés, sans publier de navigateur ni utiliser de VPN.

Cas d’utilisation #3 :Accelerez l 'acces des utilisateurs辅助融合等acquisitions (M & A) auprès de plusieurs fournisseurs d’identité, garantissez une sécurité constante et offrez un accès fluide aux utilisateurs finaux entre plusieurs groupes d’utilisateurs.

Exigences

Cet article fournit des instructions détaillées pour déployer Secure Private Access avec StoreFront et NetScaler Gateway. Le navigateur Citrix Enterprise (inclus dans l’application Citrix Workspace) est le logiciel client utilisé pour interagir en toute sécurité avec vos applications SaaS ou Web internes.
Le service GACS (Global App Config Service) est requis pour la gestion du navigateur Citrix Enterprise Browser.
Ce guide suppose que le lecteur possède une connaissance de base des offres Citrix et NetScaler suivantes et une expérience générale en matière d’administration de Windows :

• Citrix Virtual Apps and Desktops
• StoreFront
• NetScaler Gateway
• 世界人口l App Configuration Service

Versions :

• Application Citrix Workspace
  • Windows— 2303 et versions ultérieures
  • macOS— 2304 et versions ultérieures
• Citrix Virtual Apps and Desktops : versions LTSR et actuelles prises en charge
• StoreFront : LTSR 2203 ou version non LTSR 2212 et versions ultérieures
• NetScaler Gateway — 12.1 et versions ultérieures

Reportez-vous à la documentation suivante pour plus de détails, le cas échéant :

• Citrix Virtual Apps and Desktops
  • Configuration système requise
  • Vue d’ensemble technique
• StoreFront
  • Configuration système requise
  • Planifier votre déploiement StoreFront
• NetScaler Gateway
  • Avant de commencer
  • Déploiements NetScaler Gateway courants
• Service de configuration globale des applications (GACS)
  • Gérer Citrix Enterprise Browser via Global App Configuration Service

Vue d’ensemble technique

L’accès aux applications Web internes est possible depuis n’importe quel endroit, sur n’importe quel appareil et à tout moment via NetScaler Gateway avec le navigateur Citrix Enterprise (y compris dans l’application Citrix Workspace) installé. Il en va de même pour les applications SaaS, à la différence que l’accès peut être direct ou indirect via NetScaler Gateway.

Le navigateur Citrix Enterprise et l’application Citrix Workspace communiquent avec NetScaler Gateway via une connexion cryptée TLS. NetScaler Gateway fournit un accès basé sur la confiance zéro en évaluant l’appareil de l’utilisateur, une authentification nFactor renforcée, l’autorisation des applications et l’authentification unique (SSO).
Citrix Enterprise Browser utilise le protocole Citrix Secure Browse pour autoriser l’accès aux noms de domaine internes(par exemplehttps://website.company.local)sans avoir besoin d’un nom DNS public.
Citrix Secure Private Access avec Citrix Enterprise Browser permet de configurer des contrôles de sécurité supplémentaires pour les applications Web, tels que le filigrane, le copier/coller, le montage/le téléchargement et les restrictions d’impression. Ces restrictions sont configurées dans un fichier appelé « policy.json ».

Processus de configuration

IMPORTANT

Un outil de configuration est disponible pour intégrer rapidement des applications et des politiques pour les applications, ainsi que pour configurer les paramètres de NetScaler Gateway et StoreFront.
Toutefois, prenez note des points suivants avant d’utiliser l’outil.

• Lisez les sectionsPublier une application WebetCréer et publier le fichier de règlespour vous assurer de bien comprendre les exigences de configuration pour la configuration de la solution sur site.
• Cet outil ne peut être utilisé qu’en complément des procédures existantes documentées dans cette rubrique et ne remplace pas la configuration qui doit être effectuée manuellement.

Pour plus de détails sur l’outil, voirConfigurer des applications et des politiques à l’aide de l’outil de configuration Secure Private Access.

Étape 1 — Publier une application Web

洛杉矶一个中篇小说出版initiale应用程序Web utilise une applet de commande Windows PowerShell installée avec Citrix Virtual Apps and Desktops. Dès que l’application Web est créée, les modifications ultérieures peuvent être effectuées à l’aide de la console Citrix Studio.

• Ouvrez un Windows PowerShell sur une machine sur laquelle le SDK PowerShell est installé.
• Executez以下这个对倒充电器les应用lets de commande Citrix :
  Add-PSSnapIn citrix*
• Définissez les variables nécessaires pour l’application Web :
  先锋派的d 'executer莱斯命令,remplacez les载荷适配器ces réservés marqués par des crochets angulaires. (< >)

$deliveryGroupName = "" $appURL = "" $appName = "" $appIconFilePath = "" $appDescription = "KEYWORDS:SPAENABLED" 

Exemple

$deliveryGroupName = "CVAD-On-Prem" $appURL = "https://finance.training.local" $appName = "Finance-Portal" $appIconFilePath = "C:\temp\Icon\finance.ico" $appDescription = "KEYWORDS:SPAENABLED" 

• Exécutez les commandes suivantes pour publier la nouvelle application Web :

$deliveryGroupUid = (Get-BrokerDesktopGroup -Name $deliveryGroupName).Uid New-BrokerApplication -ApplicationType PublishedContent -CommandLineExecutable $appURL -Name $appName -DesktopGroup $deliveryGroupUid -Description $appDescription 

• (Facultatif)Exécutez les commandes suivantes pour modifier l’icône de l’application Web :

$encodedIconData = [convert]::ToBase64String((Get-Content $appIconFilePath -Encoding byte)) New-BrokerIcon -EncodedIconData $encodedIconData $UidEncode = Get-BrokerIcon | Select-Object Uid $testUid = $UidEncode[-1].Uid $IconUid = [int]$testUid Set-BrokerApplication -name $appName -IconUid $IconUid 

• Exécutez la commande suivante pour vérifier l’application Web :

Get-BrokerApplication -ApplicationType PublishedContent | Format-Table @{Label="Type"; Expression={$\_.ApplicationType}},Name,@{Label="URL"; Expression={$\_.CommandLineExecutable}},@{Label="Delivery group"; Expression={(Get-BrokerDesktopGroup -Uid $_.AssociatedDesktopGroupUids[0]).Name}},Description 

Exemple de sortie

| Type | Nom | URL | Groupe de mise à disposition | Description | | —- | —- | — | ————– | ———– | | PublishedContent | Finance-Portal |https://finance.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED | | PublishedContent | Doctor |https://doctor.training.local| CVAD-On-Prem | KEYWORDS:SPAENABLED |

• DansCitrix Studio，dans la sectionApplications，vous pouvez voir la nouvelle application Web.
  Toutes les modifications futures seront effectuées dans la console Citrix Studio.

Remarque

Pour plus d’informations sur la façon de publier du contenu, cliquezici.
Pour plus d’informations sur la modification de l’icône par défaut, cliquezici.

Étape 2 — Création et publication du fichier de stratégie

Le fichier de stratégie nommépolicy.jsondéfinit le routage et les contrôles de sécurité de chaque application Web publiée.
比如,莱斯还一个应用安全炸药cation Office 365 SaaS doivent-ils être activés et acheminés via votre centre de données, ou le trafic doit-il être direct ?

Remarque: Si vous connaissez la structure et les valeurs du fichier de règles, passez à l’exemple de fichier policy.json complet.

Structure des fichiers de stratégie

Le fichier de stratégie est au format JSON et contient les sections suivantes :

• stratégies
  La section des stratégies définit les contrôles de sécurité et le routage du trafic pour toutes les applications SaaS Web publiées. Pour les sites Web non publiés, une stratégie fourre-tout est définie.
  Remarque: Si l’application Web se compose de différents noms de domaine, vous devez tous les spécifier pour appliquer correctement les contrôles de sécurité.

Le tableau suivant répertorie les options de stratégie d’accès disponibles et leurs valeurs :

Remarque

La valeurenabledreprésenteALLOWetdisabledBLOCK.

*La protection contre l’enregistrement des frappeset lacapture d’écrannécessitent l’installation de la fonctionnalité de protection des applications fournie avec l’application Citrix Workspsace.*

Modèle

"policies": [{ "name": "", "patterns": ["/\*", "/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct", } } ] 

• système
  La section système définit l’adresse NetScaler Gateway vers laquelle le trafic est acheminé.

Modèle

"system": { "secureBrowseAddress": "https://" } 

Exemple complet de fichier policy.json

{ "policies": [{ "name": "Finance-Portal", "patterns": ["\*.finance.training.local/\*"], "policy": { "watermark_v1": "enabled", "clipboard_v1": "enabled", "printing_v1": "disabled", "download_v1": "disabled", "upload_v1": "disabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "name": "Doctor", "patterns": ["\*.doctor.training.local/\*"], "policy": { "watermark_v1": "disabled", "clipboard_v1": "disabled", "printing_v1": "enabled", "download_v1": "enabled", "upload_v1": "enabled", "keylogging_v1": "disabled", "screencapture_v1": "disabled", "proxytraffic_v1": "secureBrowse" } }, { "patterns": ["\*/\*"], "policy": { "proxytraffic_v1": "direct" } } ], "system": { "secureBrowseAddress": "https://citrix.training.com" } } 

Emplacement du fichier de stratégie

Le fichierpolicy.jsondoit être placé sur chaque serveur StoreFront à l’adresse
C:\inetpub\wwwroot\Citrix\\Resources\SecureBrowser.

Remarque: Les structures de dossiers « Resources » et « SecureBrowser » doivent d’abord être créées.

Exemple

Dans cet exemple, nous utilisons le magasin StoreFront par défaut appelé « Store ».

mkdir C:\inetpub\wwwroot\Citrix\Store\Resources mkdir C:\inetpub\wwwroot\Citrix\Store\Resources\SecureBrowser 

Placez le fichierpolicy.jsondans le répertoire « SecureBrowser ».

Vérifier le téléchargement du fichier de stratégie

• Ouvrez un navigateur Web installé sur votre serveur StoreFront.
• Accédez à l’adresse suivantehttps:///Citrix//Resources/SecureBrowser/policy.jsonet téléchargez le fichier de stratégie.
  Avant d’exécuter le téléchargement, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
  Exemple:https://xa02.training.local/Citrix/Store/Resources/SecureBrowser/policy.json
• Le fichier devrait être téléchargé correctement.

Remarque

Suivez les étapes ci-dessous si une page d’erreur IIS 404.7 s’affiche, indiquant que lefiltrage des demandesbloque le téléchargement.

• Ouvrez leGestionnaire des services Internet (IIS).
• Accédez au dossierSecureBrowsercréé précédemment.
• Dans la sectionFeature View，double-cliquez surFiltrage des demandes.
• Dans le voletActions，cliquez surAutoriser l’extension du nom de fichier.
• Entrez « .json » et cliquez surOK.
• Testez à nouveau le téléchargement.

Pour plus d’informations sur la configuration du filtrage des demandes, cliquezici.

Magasin StoreFront web.config

Pour que les détails de la nouvelle stratégie soient disponibles pour l’application Citrix Workspace et le navigateur Citrix Enterprise, nous devons modifier le fichierweb.configdans le répertoire StoreFront.
(Par exemple, C:\inetpub\wwwroot\Citrix\Store\web.config)

• Créez une sauvegarde du fichierweb.configactuel dansC:\inetpub\wwwroot\Citrix\\
  Example:copy C:\inetpub\wwwroot\Citrix\Store\web.config C:\inetpub\wwwroot\Citrix\Store\web.config.orig
• Ouvrez le bloc-notes, insérez le code suivant et enregistrez le fichier au, formatModifyWebConf.ps1pour modifier correctement le fichierweb.config.

function Editwebconf { param ( [parameter(Mandatory = $true)][String]$Global:webconfigfile ) # Read in the contents of the file $content = Get-Content $Global:webconfigfile # Define the multi-line string you want to replace $oldText = '' # Define the new string you want to replace it with $newText = '           ' # Iterate through each line in the content and replace the old text with the new text for ($i = 0; $i -lt $content.Count; $i++) { if ($content[$i] -match '') { Write-Host "web.config has already been modified" exit } if ($content[$i] -match $oldText) { $content[$i] = $content[$i] -replace $oldText, $newText } } # Write the modified content back to the file Set-Content $Global:webconfigfile $content Write-Host "$newText" } Editwebconf 

• Ouvrez un Windows PowerShell.
• Basculez vers le répertoire deModifyWebConf.ps1.
• Exécutez la commande suivante.\ModifyWebConf.ps1.
• Lorsque vous êtes invité à entrer世界人口l:webconfigfile:，insérez le chemin complet, y compris le nom du fichier, dans votre fichier web.conf.
  Exemple:C:\inetpub\wwwroot\Citrix\Store\web.config

Résultat

PS C:\temp> .\ModifyWebConf.ps1 cmdlet Editwebconf at command pipeline position 1 Supply values for the following parameters: Global:webconfigfile: C:\inetpub\wwwroot\Citrix\Store\web.config             

Étape 3 — Configuration de NetScaler Gateway sur site

La配置uration de NetScaler Gateway comprend quatre étapes essentielles :

• Activer l’accès sans client
• 配置du codage des Web地址
• Activer la Secure Browse
• Exclure les domaines de la réécriture en mode d’accès sans client

Remarque

L’accès sans client ne fonctionne que lorsqueICA Onlyest défini surfalsesur le serveur virtuel NetScaler Gateway.(Paramètre par défaut pour les nouveaux déploiements)

Pour un accès sans client afin de fonctionner avec StoreFront, spécifiez une URL de rappel dans votre configuration StoreFront.

L’accès aux applications Web publiées n’est possible qu’à l’aide de l’application Citrix Workspace et du navigateur Citrix Enterprise.

Activer l’accès sans client

Un accès sans client est requis pour que Citrix Enterprise Browser se connecte aux applications Web.

Il existe deux options pour activer l’accès sans client :

• À l’échelle mondiale : tous les utilisateurs
• Stratégie de session : groupe ou utilisateurs sélectionnés

Citrix recommande d’activer cette stratégie par session afin de mieux contrôler l’accès sans client.

Accès sans client dans le monde entier

L’accès sans client activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler

  1. Dans l’onglet Configuration, développezCitrix Gateway，puis cliquez surParamètres généraux.
  2. 苏尔拉页产品generaux,双击Modifier les paramètres généraux.
  3. Dans l’ongletExpérience client，sélectionnezActivépouraccéder sans client.
  4. Dans l’ongletApplications publiées，sélectionnezOFFpourICA Proxy，puis cliquez surOK.

• CLI NetScaler

  1. Exécutez la commande suivante :
     set vpn parameter -clientlessVpnMode On -icaProxy OFF

Stratégie de session d’accès sans client

La配置uration de la stratégie d’accès sans client par session permet de restreindre les paramètres pour les utilisateurs, les groupes ou les serveurs virtuels Gateway. La création d’une nouvelle stratégie/action de session avec les mêmes paramètres permet de passer facilement d’une configurationicaProxyàclientless access.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler

  1. Dans l’onglet Configuration, développez NetScaler Gateway, développezStratégies，puis cliquez surSession.
  2. Sur la page Session, passez à l’ongletProfils de sessionet ouvrez le profil de session pour l’application Citrix Workspace.(par exemple, AC_OS_192.168.0.100)
  3. Dans l’ongletExpérience client，à côté deClientless Access，cliquez surOverride Global，puis sélectionnezActivé.
  4. Dans l’ongletApplications publiées，à côté deICA Proxy，cliquez surOverride Global，sélectionnezOFF，puis cliquez surOK.

• CLI NetScaler
  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
     set vpn sessionAction -clientlessVpnMode On -icaProxy OFF

配置du codage des Web地址

L’activation de l’accès sans client vous permet de coder les adresses des applications Web internes ou de laisser l’adresse en texte clair. Il est recommandé de définir le codage de l’URL d’accès sans client surEffacer.

Il existe deux options pour définir le codage des URL d’accès sans client :

• À l’échelle mondiale : tous les utilisateurs
• Stratégie de session : groupe ou utilisateurs sélectionnés

Encodage des URL dans le monde

L’accès sans client activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développezCitrix Gateway，puis cliquez surParamètres généraux.
  2. 苏尔拉页产品generaux,双击Modifier les paramètres généraux.
  3. Dans l’ongletExpérience client，sélectionnezEffacerpour lecodage de l’URL d’accès sans client，puis cliquez surOK.

• CLI NetScaler
  1. Exécutez la commande suivante :
     set vpn parameter -clientlessModeUrlEncoding TRANSPARENT

Stratégie de session de codage des URL

La配置uration du codage des URL d’accès sans client par session permet de restreindre le paramètre pour les utilisateurs, les groupes ou les serveurs virtuels Gateway.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développez NetScaler Gateway, développezStratégies，puis cliquez surSession.
  2. Sur la page Session, passez à l’ongletProfils de sessionet ouvrez le profil de session pour l’application Citrix Workspace.(par exemple, AC_OS_192.168.0.100)
  3. Dans l’ongletExpérience client，à côté deCodage des URL d’accès sans client，cliquez surOverride Global，sélectionnezEffacer，puis cliquez surOK.

• CLI NetScaler
  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
     set vpn sessionAction -clientlessModeUrlEncoding TRANSPARENT

Activer la Secure Browse

Le navigateur Citrix Enterprise utilise le mode navigation sécurisée pour accéder aux applications sans avoir besoin d’un ancien VPN.

Il existe deux options pour configurer le mode navigation sécurisée :

• À l’échelle mondiale : tous les utilisateurs
• Stratégie de session : groupe ou utilisateurs sélectionnés

Secure Browse dans le monde entier

Secure Browse activé globalement s’applique à tous les serveurs virtuels NetScaler Gateway configurés.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développezCitrix Gateway，puis cliquez surParamètres généraux.
  2. 苏尔拉页产品generaux,双击Modifier les paramètres généraux.
  3. Dans l’ongletSécurité，sélectionnezACTIVÉpourSecure Browse，puis cliquez surOK.

• CLI NetScaler
  1. Exécutez la commande suivante :
     set vpn parameter -secureBrowse ENABLED

Stratégie relative aux sessions de Secure Browse

La配置uration de la stratégie Secure Browse par session permet de restreindre les paramètres pour les utilisateurs, les groupes ou les serveurs virtuels Gateway.

Vous pouvez l’activer à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développez NetScaler Gateway, développezStratégies，puis cliquez surSession.
  2. Sur la page Session, passez à l’ongletProfils de sessionet ouvrez le profil de session pour l’application Citrix Workspace.(par exemple, AC_OS_192.168.0.100)
  3. Dans l’ongletSécurité，à côté deSecure Browse，cliquez surOverride Global，sélectionnezACTIVÉ，puis cliquez surOK.

• CLI NetScaler
  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
     set vpn sessionAction -secureBrowse ENABLED

Exclure les domaines de la réécriture en mode d’accès sans client

Après avoir activé le mode d’accès sans client, NetScaler effectuera des réécritures côté serveur pour les requêtes « /cvpn ». ExclureStoreFront server FQDN(s)ouStoreFront Load Balancer FQDNetcitrix.com.

Cette configuration n’est disponible que dans les paramètres globaux de NetScaler Gateway.

Vous pouvez configurer l’exclusion à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développezCitrix Gateway，puis cliquez surParamètres généraux.
  2. 苏尔拉页产品generaux,双击Configurer les domaines pour un accès sans client.
  3. SélectionnezExclure les domaines，insérez leStoreFront server FQDN(s)ou leStoreFront Load Balancer FQDN，puis cliquez sur lePlus.
  4. Répétez l’étape 3 pourcitrix.com.
  5. Cliquez surOK.

• CLI NetScaler

  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)

     bind policy patset ns_cvpn_default_bypass_domains  bind policy patset ns_cvpn_default_bypass_domains citrix.com 

Étape 4 — Autoriser les utilisateurs à accéder aux applications Web publiées

La publication d’applications Web dans CVAD ne vous permet pas de contrôler l’accès des utilisateurs. Cela doit être fait sur NetScaler Gateway à l’aide de stratégies d’autorisation. Les stratégies d’autorisation sont liées à un utilisateur ou à un groupe.

Il est essentiel de savoir comment les stratégies sont appliquées :

• Utilisateur
• Groupe

Les stratégies utilisateur ont toujours une priorité plus élevée que les stratégies liées aux groupes. L’autorisation d’un site Web au niveau de l’utilisateur et le refus de ce site au niveau du groupe autoriseront l’accès, que la priorité de la stratégie au niveau du groupe soit supérieure ou non.

Les stratégies multiples liées au même utilisateur ou au même groupe sont différenciées par priorité. Il est essentiel de savoir que la priorité la plus élevée (nombre faible) correspond à la priorité la plus faible (nombre élevé). Assurez-vous que les stratégies autorisées ont une priorité plus élevée que les stratégies refusées.

Nous vous recommandons de créer un groupe par application Web publiée afin de contrôler les autorisations d’accès.(Approche Zero Trust)

Stratégies d’autorisation par défaut

Deux stratégies d’autorisation doivent être créées par défaut pour autoriser l’accès au serveur StoreFront et refuser l’accès à toutes les applications Web publiées :

• Allow_StoreFront
• Deny_ALL

Stratégies d’autorisation des applications Web

Maintenant que nous disposons des stratégies d’autorisation par défaut, l’étape suivante consiste à créer des stratégies d’autorisation pour chaque application Web publiée.

• Allow_
• Allow_

Création de stratégies d’autorisation

Vous pouvez configurer les stratégies d’autorisation à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développezNetScaler Gateway，développezStratégies，puis cliquez surAutorisation.
  2. Sur la page Autorisation, cliquez surAjouter.
  3. Insérez lenomd’une stratégie d’autorisation, sélectionnez l’action，sélectionnezStratégie avancéeet créez votreexpression.
  4. Cliquez surCreate.

• CLI NetScaler
  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)
     add authorization policy "HTTP.REQ.HOSTNAME.CONTAINS(\"\")" ALLOW

Exemple

Stratégies d’autorisation par défaut :

add authorization policy Allow_StoreFront "HTTP.REQ.HOSTNAME.CONTAINS("")" ALLOW add authorization policy Deny_ALL true DENY 

Stratégies d’autorisation des applications Web :

add authorization policy Allow_Finance "HTTP.REQ.HOSTNAME.CONTAINS("finance.training.local")" ALLOW add authorization policy Allow_Doctor "HTTP.REQ.HOSTNAME.CONTAINS("doctor.training.local")" ALLOW 

Stratégies d’autorisation contraignantes

Vous pouvez lier les stratégies d’autorisation à l’aide de l’interface graphique ou de l’interface de ligne de commande NetScaler.

• Interface graphique NetScaler
  1. Dans l’onglet Configuration, développezNetScaler Gateway，développezAdministration des utilisateurset cliquez surGroupes AAAouGroupes AAA.
  2. Sur la page Groupes AAA ou Utilisateurs AAA, cliquez surAjouter.
  3. Insérez unnomd’utilisateur ou de groupe et cliquez surOK.
  4. DansParamètres avancés，cliquez surStratégies d’autorisation.
  5. Sur la pageLiaison de stratégies，sélectionnez une stratégie à lier, définissez lapriorité，puis tapez «Demande», puis cliquez surLier.
  6. Répétez l’étape 5 pour chaque stratégie à lier.
  7. Cliquez surTerminé.

• CLI NetScaler

  1. Exécutez la commande suivante :Avant d’exécuter la commande, remplacez les espaces réservés marqués par des crochets angulaires. (< >)

     add aaa group  bind aaa group  -policy  -priority  -gotoPriorityExpression END 

Exemple

Utilisateur : autorisez l’accès à une application Web publiée spécifique :

add aaa user testuser01 bind aaa user testuser01 -policy Allow_Doctor -priority 63000 -gotoPriorityExpression END 

Groupe : autorisez l’accès à l’application Web publiée, StoreFront, et refusez toutes les autres demandes :

add aaa group Doctor bind aaa group Doctor -policy Allow_Doctor -priority 10 -gotoPriorityExpression END bind aaa group Doctor -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Doctor -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

add aaa group Finance bind aaa group Finance -policy Allow_Finance -priority 10 -gotoPriorityExpression END bind aaa group Finance -policy Allow_StoreFront -priority 999 -gotoPriorityExpression END bind aaa group Finance -policy Deny_ALL -priority 1000 -gotoPriorityExpression END 

Tester

• Ouvrez et connectez-vous à l’application Citrix Workspace sur un client interne ou externe

Dépannage

Un message d’erreur s’affiche après une connexion réussie, reportez-vous àNetScaler - Aucune adresse IP d’intranet disponible.

• Lancer l’application Web
  Remarque: L’utilisateur connecté peut accéder à l’applicationDoctormais l’accès àFinance-Portallui est refusé.

Doctor

Finance-Portal

Dépannage

Affichage d’un code d’erreur dans le navigateur Citrix Enterprise :

• PS1001
• PS1003

Visibilité, surveillance et résolution des problèmes

ADM — Gateway Insight
Gateway Insight fournit une visibilité sur les défaillances rencontrées par tous les utilisateurs, quel que soit le mode d’accès, au moment de la connexion à NetScaler Gateway. Consultez la liste de tous les utilisateurs disponibles, du nombre d’utilisateurs actifs, du nombre de sessions actives, ainsi que des octets et des licences utilisés par tous les utilisateurs à un moment donné. Consultez les échecs liés à l’analyse des terminaux (EPA), à l’authentification, à l’authentification unique (SSO) et au lancement d’applications pour un utilisateur.

Pour plus d’informations, consultez ladocumentation ADM — Gateway Insight.

Le tableau de bord de dépannage deCitrix Director
fournit une surveillance historique et en temps réel de l’intégrité du site Citrix Virtual Apps or Desktops. Cela permet de voir les défaillances en temps réel, ce qui donne une meilleure idée de ce que vivent les utilisateurs finaux.

Pour plus d’informations, consultez ladocumentation Citrix Virtual Apps and Desktops — Director.

Résumé

Citrix Secure Private Access pour les applications locales permet un accès basé sur la confiance zéro aux applications SaaS et Web internes. Ce guide de déploiement décrit les étapes spécifiques nécessaires pour publier des applications Web et définir des contrôles de sécurité. Le résultat final est une solution intégrée dotée d’une véritable authentification unique permettant aux utilisateurs d’accéder aux applications SaaS et Web internes de la même manière qu’aux applications virtuelles.

Résolution des problèmes de déploiement

NetScaler - Aucune adresse IP d’intranet disponible

Après une connexion réussie à l’application Citrix Workspace, l’utilisateur ne voit pas les applications et le message suivant est écritns.log.
default SSLVPN Message 659106 0 : "Failed to process setclient for id , user due to "

Il s’agit d’un problème connu (CTX461242) qui peut être résolu en définissantUse Mapped IPsurNSetUse Intranet IPsurOFFdans votre profil de session pour l’application Citrix Workspace.

Interface graphique NetScaler :

CLI NetScaler :
set vpn sessionAction AC_OS_192.168.0.100 -useMIP NS -useIIP OFF

CEB — PS1001

Ce code d’erreur indique que l’application Citrix Workspace ne peut pas récupérer le fichier « policy.json » depuis StoreFront.
Consultez les sections suivantes :

• Emplacement du fichier de stratégie
• Magasin StoreFront web.config
• Étape 3 - Configuration de NetScaler Gateway sur site

CEB — PS1003

Ce code d’erreur indique un problème avec le fichier « policy.json ».
Consultez la sectionExemple complet de fichier policy.json.