Configurer Citrix SSO pour les utilisateurs iOS
IMPORTANT : Citrix VPN ne peut pas être utilisé sur iOS 12 et versions ultérieures. Pour continuer au VPN, utilisez l’application Citrix SSO.
Le tableau suivant compare la disponibilité de diverses fonctionnalités entre Citrix VPN et Citrix SSO.
| Fonctionnalité | Citrix VPN | Citrix SSO |
|---|---|---|
| VPN au niveau de l’appareil | Pris en charge | Pris en charge |
| VPN par application (MDM uniquement) | Pris en charge | Pris en charge |
| Split tunneling par application | Non pris en charge | Pris en charge |
| Profils VPN configurés MDM | Pris en charge | Pris en charge |
| VPN à la demande | Pris en charge | Pris en charge |
| Jetons de mot de passe (basés sur T-OTP) | Non pris en charge | Pris en charge |
| Connexion basée sur les notifications push (second facteur à partir du téléphone enregistré) | Non pris en charge | Pris en charge |
| Authentification basée sur le certificat | Pris en charge | Pris en charge |
| Authentification du nom d’utilisateur/mot de passe | Pris en charge | Pris en charge |
| Vérification du contrôle d’accès réseau avec Citrix Endpoint Management (anciennement XenMobile) | Non pris en charge | Pris en charge |
| Vérification du contrôle d’accès réseau avec Microsoft Intune | Pris en charge | Pris en charge |
| Prise en charge de DTLS | Non pris en charge | Pris en charge |
| Bloquer les profils VPN créés par l’utilisateur | Pris en charge | Pris en charge |
| Authentification unique pour les applications natives gérées par Citrix Cloud | Non pris en charge | Pris en charge |
| Version de système d’exploitation prise en charge | iOS 9, 10, 11 (ne fonctionne pas à partir d’iOS 12+) | iOS 9+ |
Compatibilité avec les produits MDM
Citrix SSO est compatible avec la plupart des fournisseurs MDM tels que Citrix Endpoint Management (anciennement XenMobile), Microsoft Intune, etc.
Citrix SSO prend également en charge une fonctionnalité appelée Contrôle d’accès réseau (NAC). Pour en savoir plus sur NAC, cliquez ici. Avec NAC, les administrateurs MDM peuvent appliquer la conformité des machines de l’utilisateur final avant de se connecter à Citrix ADC. NAC sur Citrix SSO nécessite un serveur MDM tel que Citrix Endpoint Management ou Intune et Citrix ADC.
Configurer un profil VPN géré par MDM pour Citrix SSO
La section suivante capture les instructions étape par étape pour configurer les profils VPN à l’échelle du périphérique et par application pour Citrix SSO à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lorsque vous travaillez avec Citrix SSO.
Remarque : Cette section explique les étapes de configuration d’un profil VPN de base à l’échelle de l’appareil et par application. Vous pouvez également configurer les serveurs proxy à la demande, en continu et en suivant la documentation Citrix Endpoint Management (anciennement XenMobile) ou la configuration de charge utile VPN MDM d’Apple.
Profils VPN au niveau du périphérique
Les profils VPN de niveau périphérique sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et services est mis en tunnel vers Citrix Gateway en fonction des stratégies VPN (telles que Full-Tunnel, Split-Tunnel, Reverse Split Tunnel) définies dans Citrix ADC.
Pour configurer un VPN au niveau du périphérique sur Citrix Endpoint Management
Procédez comme suit pour configurer un VPN au niveau du périphérique sur Citrix Endpoint Management.
1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies de périphérique > Ajouter une nouvelle stratégie.
2. Sélectionnez iOS dans le volet de gauche de la Plateforme de stratégie. Sélectionnez VPN dans le volet droit.
3. Dans la page Informations sur la stratégie, entrez un nom et une description de stratégie valides, puis cliquez sur Suivant.
4. Sur la page Stratégie VPN pour iOS, tapez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.
Remarque : Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPNdoit être définie sur VPN.
5. Dans l’identifiant SSL personnalisé (format DNS inverse), entrez com.citrix.netscalerGateway.ios.app. Il s’agit de l’identificateur de bundle pour l’application Citrix SSO sur iOS.
Remarque : Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubType.
6. Dans l’identifiant du bundle fournisseur, entrez com.citrix.NetScalerGateway.ios.app.vpnPlugin . Il s’agit de l’identificateur de bundle de l’extension réseau contenue dans le binaire de l’application Citrix SSO iOS.
Remarque : Dans la charge utile VPN MDM, l’identificateur de bundle du fournisseur correspond à la clé ProviderBundleIdentifier.
7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet (nom de domaine complet) du Citrix ADC associé à cette instance de Citrix Endpoint Management.
Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management (anciennement XenMobile).
8 Cliquez sur Suivant.
9 Cliquez sur Enregistrer.
Profils VPN par application
Les profils VPN par application sont utilisés pour configurer VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est acheminé vers Citrix Gateway. La charge utile VPN par application prend en charge toutes les clés pour VPN à l’échelle de l’appareil ainsi que quelques clés supplémentaires.
Pour configurer un VPN par application sur Citrix Endpoint Management
Procédez comme suit pour configurer un VPN par application :
1. Terminez la configuration VPN au niveau du périphérique sur Citrix Endpoint Management.
2. Activez le commutateur Activer Per App VPN dans la section Per App VPN.
3. Activez le commutateur Correspondance d’application à la demande activée si Citrix SSO doit être démarré automatiquement lorsque l’application Match est lancée. Ceci est recommandé pour la plupart des cas par application.
Remarque : Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppenabled.
4. Dans Type de fournisseur, sélectionnez Tunnel de paquets.
Remarque : Dans la charge utile VPN MDM, ce champ correspond au type de fournisseurclé.
5. La configuration du domaine Safari est facultative. Lorsque le domaine Safari est configuré, Citrix SSO démarre automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL correspondant à celle du champ Domaine. Ceci n’est pas recommandé si vous souhaitez restreindre le VPN pour une application spécifique.
Remarque : Dans la charge utile VPN MDM, ce champ correspond aux principaux SafariDomains.
Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management (anciennement XenMobile).
14. Cliquez sur Suivant.
15 Cliquez sur Enregistrer.
Pour associer ce profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.
Configuration du split tunneling dans un VPN par application
Les clients MDM peuvent configurer le split tunneling dans le VPN Per-App pour Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
<!--NeedCopy-->
La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.
Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.
Désactivation des profils VPN créés par l’utilisateur
Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de l’application Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
<!--NeedCopy-->
La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.
Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.
Problèmes connus
Description du problème : Tunneling pour les adresses de nom complet contenant un domaine « .local » dans les configurations VPN par application ou VPN à la demande. Il y a un bogue dans le framework d’extension réseau d’Apple qui empêche les adresses FQDN contenant .local dans la partie domaine (par exemple http://wwww.abc.local) d’être tunnelées sur l’interface TUN du système. Le trafic de cette adresse est envoyé via l’interface physique de l’appareil à la place. Le problème est observé uniquement avec les configurations VPN par application ou VPN à la demande et n’est pas vu avec les configurations VPN à l’échelle du système. Citrix a déposé un rapport de bogue radar auprès d’Apple, et Apple avait noté que selon RFC-6762 :https://tools.ietf.org/html/rfc6762, .local est une requête DNS multicast (MDN) et n’est donc pas un bogue. Cependant, Apple n’a pas encore fermé le bogue et il n’est pas clair si le problème sera résolu dans les futures versions iOS.
Solution : attribuez un nom de domaine non .local à de telles adresses comme solution de contournement.
Limitations
- le split tunneling basé sur le nom de domaine complet n’est pas encore entièrement pris en charge.
- L’analyse des points de terminaison (EPA) n’est pas prise en charge sur iOS.
- Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.