Documentation Produit
Service d'authentification adaptative
Voir PDF

Accès intelligent à l’aide de l’authentification adaptative

March 27, 2023
Contributeur: 
C

Les clients Citrix Cloud peuvent fournir un accès intelligent (accès adaptatif) aux ressources Citrix DaaS (applications et bureaux virtuels) à l’aide de l’authentification adaptative en tant qu’IdP vers Citrix Workspace.

La fonctionnalité Smart Access permet au service d’authentification adaptative de transmettre toutes les informations de stratégie concernant l’utilisateur à Citrix Workspace ou Citrix DaaS. Le service d’authentification adaptative peut fournir la position de l’appareil (EPA), l’emplacement du réseau (à l’intérieur ou à l’extérieur du réseau de l’entreprise, la géolocalisation), des attributs utilisateur tels que des groupes d’utilisateurs, l’heure du jour ou une combinaison de ces paramètres dans le cadre des informations de stratégie. L’administrateur Citrix DaaS peut ensuite utiliser ces informations de stratégie pour configurer l’accès contextuel aux applications et bureaux virtuels. Les applications et bureaux virtuels peuvent être énumérés ou non en fonction de paramètres antérieurs (stratégie d’accès). Certaines actions de l’utilisateur, telles que l’accès au presse-papiers, la redirection de l’imprimante, le lecteur client ou le mappage USB, peuvent également être contrôlées.

Exemples de cas d’utilisation :

  1. L’administrateur peut configurer le groupe d’applications à afficher ou à accéder uniquement à partir d’emplacements réseau spécifiques, tels que le réseau d’entreprise.
  2. L’administrateur peut configurer le groupe d’applications à afficher ou à utiliser uniquement à partir des appareils gérés par l’entreprise. Par exemple, les analyses EPA peuvent vérifier si l’appareil est géré par l’entreprise ou s’il s’agit d’un appareil BYOD. Sur la base des résultats de l’analyse EPA, les applications pertinentes peuvent être énumérées pour l’utilisateur.

Conditions préalables

  • L’authentification adaptative en tant que fournisseur d’identité doit être configurée pour Citrix Workspace. Pour plus de détails, voir Service d’authentification adaptative.

    Passerelle en tant que fournisseur d'identité

  • Le service d’authentification adaptative avec Citrix DaaS est opérationnel.

Comprendre le flux d’événements pour un accès intelligent

  1. L’utilisateur se connecte à Citrix Workspace.
  2. L’utilisateur est redirigé vers le service d’authentification adaptative configuré en tant qu’IdP.
  3. Le service d’authentification adaptative effectue un contrôle EPA ainsi que d’autres contrôles.
  4. Le service d’authentification adaptative configuré en tant qu’IdP effectue l’authentification.
  5. Le service Adaptive Authentication envoie les balises au service Citrix Graph. L’utilisateur est redirigé vers la page d’accueil de Citrix Workspace.
  6. Citrix Workspace récupère les informations de stratégie pour cette session utilisateur, fait correspondre le filtre et évalue les applications ou les bureaux qui doivent être énumérés.
  7. L’administrateur configure la stratégie d’accès sur Citrix DaaS afin de restreindre l’accès ICA aux utilisateurs.

Scénario de configuration - Énumération des applications basée sur les analyses de l’état de sécurité de l’appareil

Étape 1 - Configuration des stratégies d’accès intelligentes sur l’instance Citrix Adaptive Authentication :

Dans l’exemple de configuration suivant, un ensemble d’applications différent est énuméré en fonction de l’ouverture de session domain-joined ou non-domain joined.

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Profils.

  2. Dans l’onglet Profils, cliquez sur Ajouter pour créer un profil nommé Domainjoined-SmartAccessProfile avec la balise DomainJoined. De même, créez une autre stratégie nommée, NonDomainJoined-SmartAccessProfile avec la balise NonDomainJoined.

    Profils d'accès intelligents

  3. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Smart Access > Stratégies.

  4. Sur la page Configurer la stratégie d’authentification et d’accès intelligent, cliquez sur Ajouter pour créer une stratégie nommée Domainjoined-SmartAccessPol.

  5. Sur la page Configurer la stratégie d’authentification intelligente, sous Action, sélectionnez le profil DomainJoined-SmartAccessProfile précédemment créé et cliquez sur Ajouter.

    Configuration de la stratégie d'accès intelligent

  6. Dans Expression, tapez l’expression suivante, puis cliquez sur OK.

    AAA.USER.GROUPS.CONTAINS("DomainJoinedGroup")
<!--NeedCopy-->

  7. De même, créez une autre stratégie nommée NonDomainJoined-SmartAccessPol (dans Action, sélectionnez le profil NonDomainJoined-SmartAccessProfile).

    Profils d'accès intelligents

  8. Liez la stratégie d’accès intelligent au serveur virtuel d’authentification.

    1. Accédez à Sécurité > Trafic des applications AAA > Serveurs virtuels.
    2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Modifier.
    3. Dans Stratégies d’authentification avancées, cliquez sur Stratégie d’accès intelligente, sélectionnez la stratégie, puis cliquez sur Ajouter une liaison.
    4. Cliquez sur Fermer.

    Stratégie d'accès intelligente et contraignante

Étape 2 - Configuration de Citrix DaaS :

  1. Cliquez sur Gérer sur la vignette Citrix DaaS.

  2. Accédez à Groupes de mise à disposition et cliquez sur Modifier le groupe de miseà disposition.

  3. Cliquez avec le bouton droit sur le groupe de mise à disposition et sélectionnez Modifier pour configurer le moment où les applications de ce groupe de mise à disposition doivent être énumérées et autorisées à se lancer.
  4. Cliquez sur Stratégie d’accès et ajoutez les balises requises. Farm doit toujours être défini sur Workspace et le filtre doit comporter l’une des balises que vous avez créées, en fonction de la configuration précédente.
  5. Répétez les étapes précédentes pour ajouter d’autres balises. Lorsque plusieurs balises sont utilisées, si au moins l’une des balises est présente, le groupe de mise à disposition est disponible pour le client.

Pour de plus amples informations, consultez la section Gérer des groupes d’applications.

Remarque :

  • Assurez-vous que les balises sont saisies en majuscules uniquement.
  • Si un administrateur supprime la configuration d’une balise spécifique sur le service d’authentification adaptative, la balise doit également être supprimée du studio Web et des groupes de mise à disposition. L’administrateur ne doit pas réutiliser les noms de balises supprimés. Les administrateurs doivent toujours utiliser de nouveaux noms de balises.

Une fois la configuration réussie, l’ouverture de session jointe au domaine énumère les applications suivantes.

Groupe rejoint le domaine Smart-Access

Une fois la configuration réussie, l’ouverture de session non liée au domaine énumère les applications suivantes.

`Smart-access-non-domain-joined-group`

Étape 3 - Ajoutez une stratégie d’accès pour les balises d’accès intelligentes :

  1. Sous Gérer, accédez à Stratégieset créez une stratégie.
  2. Sélectionnez le contrôle de stratégie ICA approprié.
  3. Dans Assign Policy To, sélectionnez « access control ».

Stratégie d'assignation intelligente d'accès

  1. Attribuez la balise d’accès intelligente (en majuscules) dans la condition d’accès.

`Smart-access-assign-to-access-control`

Dépannage

- Que faire si aucun tag n’est poussé :

  • Vérifiez si au moins une stratégie est évaluée comme étant vraie. Pour plus d’informations, consultez la section https://support.citrix.com/article/CTX138840.
  • Vérifiez la connectivité de Citrix ADC à cas.citrix.com.

Changements supplémentaires pour la configuration haute disponibilité :

Il peut arriver que la synchronisation des fichiers soit retardée dans une configuration haute disponibilité. Par conséquent, les clés créées lors de l’enregistrement de Citrix ADM ne sont pas lues à temps.

Nous recherchons les trois fichiers suivants sur le secondaire.

/var/mastools/conf/agent.conf /var/mastools/trust/.ssh/private.pem /var/mastools/trust/.ssh/public.pem

Pour résoudre le problème de synchronisation de fichiers, effectuez les étapes suivantes pour réexécuter la commande « set cloud » sur le secondaire.

> shell cat /var/mastools/conf/agent.conf
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<mps_agent>
<uuid>temp_str</uuid>
<url>fuji.agent.adm.cloud.com</url>
<customerid>customer_id</customerid>
<instanceid>instance_id</instanceid>
<servicename>MAS</servicename>
<download_service_url>download.citrixnetworkapistaging.net</download_service_url>
<abdp_url>fuji.agent.adm.cloud.com</abdp_url>
<msg_router_url>fuji.agent.adm.cloud.com</msg_router_url>
</mps_agent> Done
> set cloud param -CustomerID customer_id -InstanceID instance_id -Deployment Production
<!--NeedCopy-->
Accès intelligent à l’aide de l’authentification adaptative
March 27, 2023
Contributeur: 
C
March 27, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.