Configurer Citrix SSO pour les utilisateurs macOS
L’application Citrix SSO pour macOS offre la meilleure solution d’accès aux applications et de protection des données offerte par Citrix Gateway. Vous pouvez désormais accéder en toute sécurité aux applications stratégiques, aux postes de travail virtuels et aux données d’entreprise, où que vous soyez et à tout moment. Citrix SSO est le client VPN de nouvelle génération pour Citrix Gateway pour créer et gérer les connexions VPN à partir de périphériques macOS. Citrix SSO est construit à l’aide du framework Network Extension (NE) d’Apple. Le framework NE d’Apple est une bibliothèque moderne qui contient des API qui peuvent être utilisées pour personnaliser et étendre les fonctionnalités de réseau de base de macOS. L’extension réseau avec prise en charge du VPN SSL est disponible sur les appareils fonctionnant sous macOS 10.11 +.
L’application Citrix SSO remplace le plug-in Citrix Gateway hérité basé sur les extensions Kernel (KE) qui sera bientôt obsolète par Apple. L’application Citrix SSO prend en charge des fonctionnalités avancées telles que les connexions initiées par le serveur et DTLS.
L’application Citrix SSO fournit une prise en charge complète de la gestion des périphériques mobiles (MDM) sur macOS. Avec un serveur MDM, un administrateur peut désormais configurer et gérer à distance les profils VPN au niveau de l’appareil et les profils VPN par application. L’application Citrix SSO pour macOS peut être installée à partir d’un Mac App Store.
Comparaison des fonctionnalités entre Citrix VPN et Citrix SSO
Le tableau suivant compare la disponibilité de diverses fonctionnalités entre Citrix VPN et Citrix SSO.
| Fonctionnalité | Citrix VPN | Citrix SSO |
|---|---|---|
| Méthode de distribution des applications | page de téléchargements Citrix | Magasin d’applications |
| Nombre de connexions en tunnel | 128 | 128 |
| Accès depuis le navigateur | Pris en charge | Non pris en charge |
| Accès depuis l’application native | Pris en charge | Pris en charge |
| Split Tunneling (DÉSACTIVÉ/ACTIVÉ/INVERSE) | Pris en charge | Pris en charge |
| Split DNS (LOCAL/DISTANT/LES DEUX) | DISTANT | DISTANT |
| Accès au réseau local | Activer/Désactiver | Toujours activé |
| Prise en charge des connexions initiées par le serveur (SIC) | Non pris en charge | Pris en charge |
| Transférer la connexion | Pris en charge | Pris en charge |
| Proxy côté client | Pris en charge | Non pris en charge |
| Prise en charge d’EPA Classic/Opswat | Pris en charge | Pris en charge |
| Prise en charge des certificats d’appareil | Pris en charge | Pris en charge |
| Prise en charge du délai d’expiration de session | Pris en charge | Pris en charge |
| Prise en charge du délai d’expiration forcé | Pris en charge | Pris en charge |
| Prise en charge du délai d’inactivité | Pris en charge | Non pris en charge |
| IPV6 | Non pris en charge | Pris en charge |
| Itinérance du réseau (Basculer entre Wi-Fi, Ethernet, etc.) | Pris en charge | Pris en charge |
| Prise en charge des applications intranet | Pris en charge | Pris en charge |
| Prise en charge de DTLS pour UDP | Non pris en charge | Pris en charge |
| Prise en charge du CLUF | Pris en charge | Pris en charge |
| Intégration appli + Receiver | Pris en charge | Non pris en charge |
| Authentification — Local, LDAP, RADIUS | Pris en charge | Pris en charge |
| Authentification du certificat client | Pris en charge | Pris en charge |
| Prise en charge de TLS (TLS1, TLS1.1 et TLS1.2) | Pris en charge | Pris en charge |
| Authentification à deux facteurs | Pris en charge | Pris en charge |
Compatibilité avec les produits MDM
Citrix SSO pour macOS est compatible avec la plupart des fournisseurs MDM tels que Citrix XenMobile, Microsoft Intune, etc. Il prend en charge une fonctionnalité appelée Contrôle d’accès réseau (NAC) à l’aide de laquelle les administrateurs MDM peuvent appliquer la conformité des machines utilisateur final avant de se connecter à Citrix Gateway. NAC sur Citrix SSO nécessite un serveur MDM tel que XenMobile ou Intune et Citrix Gateway. Pour en savoir plus sur NAC, cliquez sur ici.
Configurer un profil VPN géré par MDM pour Citrix SSO
La section suivante capture les instructions étape par étape pour configurer les profils VPN à l’échelle du périphérique et par application pour Citrix SSO à l’aide de Citrix Endpoint Management (anciennement XenMobile) à titre d’exemple. D’autres solutions MDM peuvent utiliser ce document comme référence lorsque vous travaillez avec Citrix SSO.
Remarque : Cette section explique les étapes de configuration d’un profil VPN de base à l’échelle de l’appareil et par application. Vous pouvez également configurer les serveurs proxy à la demande, Always-On, en suivant la documentation Citrix Endpoint Management (anciennement XenMobile) ou celle d’Apple Configuration de la charge utile VPN MDM.
Profils VPN au niveau du périphérique
Les profils VPN de niveau périphérique sont utilisés pour configurer un VPN à l’échelle du système. Le trafic provenant de toutes les applications et services est mis en tunnel vers Citrix Gateway en fonction des stratégies VPN (telles que Full-Tunnel, Split-Tunnel, Reverse Split Tunnel) définies dans Citrix ADC.
Pour configurer un VPN au niveau du périphérique sur Citrix Endpoint Management
Procédez comme suit pour configurer un VPN au niveau du périphérique.
1. Sur la console Citrix Endpoint Management MDM, accédez à Configurer > Stratégies de périphérique > Ajouter une nouvelle stratégie.
2. Sélectionnez macOS dans le volet gauche de la Plate-forme de stratégie. Sélectionnez Stratégie VPN dans le volet droit.
3. Dans la page Informations sur la stratégie, entrez un nom et une description de stratégie valides, puis cliquez sur Suivant.
4. Sur la page Détail de la stratégie pour macOS, tapez un nom de connexion valide et choisissez SSL personnalisé dans Type de connexion.
Remarque : Dans la charge utile VPN MDM, le nom de connexion correspond à la clé UserDefinedName et la clé de type VPNdoit être définie sur VPN.
5. Dans l’identifiant SSL personnalisé (format DNS inverse), entrez com.citrix.netscalerGateway.macos.app. Il s’agit de l’identificateur de bundle pour l’application Citrix SSO sur macOS.
Remarque : Dans la charge utile VPN MDM, l’identificateur SSL personnalisé correspond à la clé VPNSubType.
6. Dans l’identifiant du bundle fournisseur, entrez com.citrix.NetScalerGateway.macos.app.vpnplugin. Il s’agit de l’identificateur de bundle de l’extension réseau contenue dans le binaire de l’application Citrix SSO macOS.
Remarque : Dans la charge utile VPN MDM, l’identificateur de bundle du fournisseur correspond à la clé ProviderBundleIdentifier.
7. Dans Nom du serveur ou adresse IP, entrez l’adresse IP ou le nom de domaine complet du Citrix ADC associé à cette instance de Citrix Endpoint Management.
Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management.
8 Cliquez sur Suivant.
9 Cliquez sur Enregistrer.
Profils VPN par application
Les profils VPN par application sont utilisés pour configurer VPN pour une application spécifique. Le trafic provenant uniquement de l’application spécifique est acheminé vers Citrix Gateway. La charge utile VPN par application prend en charge toutes les clés pour VPN à l’échelle de l’appareil ainsi que quelques clés supplémentaires.
Pour configurer un VPN par application sur Citrix Endpoint Management
Procédez comme suit pour configurer un VPN par application sur Citrix Endpoint Management :
1. Terminez la configuration VPN au niveau du périphérique sur Citrix Endpoint Management.
2. Activez le commutateur Activer Per App VPN dans la section Per App VPN.
3. Activez le commutateur Correspondance d’application à la demande activée si Citrix SSO doit être démarré automatiquement lorsque l’application Match est lancée. Ceci est recommandé pour la plupart des cas par application.
Remarque : Dans la charge utile VPN MDM, ce champ correspond à la clé OnDemandMatchAppenabled.
5. La configuration du domaine Safari est facultative. Lorsque le domaine Safari est configuré, Citrix SSO démarre automatiquement lorsque les utilisateurs lancent Safari et accèdent à une URL correspondant à celle du champ Domaine. Ceci n’est pas recommandé si vous souhaitez restreindre le VPN pour une application spécifique.
Remarque : Dans la charge utile VPN MDM, ce champ correspond aux principaux SafariDomains.
Les champs restants de la page de configuration sont facultatifs. Les configurations de ces champs se trouvent dans la documentation Citrix Endpoint Management (anciennement XenMobile).
13. Cliquez sur Suivant.
14. Cliquez sur Enregistrer.
Pour associer ce profil VPN à une application spécifique sur l’appareil, vous devez créer une stratégie d’inventaire des applications et une stratégie de fournisseur d’informations d’identification en suivant ce guide - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/
Configuration du split tunneling dans un VPN par application
Les clients MDM peuvent configurer le split tunneling dans le VPN Per-App pour Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.
- Clé = "PerAppSplitTunnel"
- Valeur = "true ou 1 ou yes"
La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.
Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.
Désactivation des profils VPN créés par l’utilisateur
Les clients MDM peuvent empêcher les utilisateurs de créer manuellement des profils VPN à partir de l’application Citrix SSO. Pour ce faire, la paire clé/valeur suivante doit être ajoutée à la section de configuration fournisseur du profil VPN créé sur le serveur MDM.
- Clé = "disableUserProfiles"
- Valeur = "true ou 1 ou yes"
La clé est sensible à la casse et doit correspondre exactement alors que la valeur n’est pas sensible à la casse.
Remarque : l’interface utilisateur permettant de configurer la configuration du fournisseur n’est pas standard pour les fournisseurs MDM. Vous devez contacter le fournisseur MDM pour trouver la section de configuration du fournisseur sur votre console utilisateur MDM.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Citrix Endpoint Management.
Voici un exemple de capture d’écran de la configuration (paramètres spécifiques au fournisseur) dans Microsoft Intune.
Problèmes connus
Voici les problèmes connus actuellement.
- La connexion EPA échoue si l’utilisateur est placé dans un groupe de quarantaine.
- Le message d’avertissement de délai d’expiration forcé n’est pas affiché.
- L’application SSO permet de se connecter si le tunnel split est activé et qu’aucune application intranet n’est configurée.
Limitations
Voici les limitations actuelles.
- Certaines analyses EPA (par exemple, analyses de gestion des correctifs, analyse du navigateur Web, processus d’échec) peuvent échouer en raison d’un accès restreint à l’application SSO en raison du sandboxing.
- Le split tunneling basé sur les ports/protocoles n’est pas pris en charge.
Questions fréquentes
Cette section capture les FAQ sur l’application Citrix SSO.
En quoi l’application Citrix SSO est-elle différente de l’application Citrix VPN ? Citrix SSO est le client VPN SSL de nouvelle génération pour Citrix ADC. L’application utilise le cadre d’extension réseau d’Apple pour créer et gérer des connexions VPN sur les appareils iOS et macOS. Citrix VPN est le client VPN hérité qui a utilisé les API VPN privées d’Apple qui est désormais obsolète. La prise en charge du VPN Citrix sera supprimée de l’App Store dans les mois à venir.
Qu’est-ce que NE ? Le framework Network Extension (NE) d’Apple est une bibliothèque moderne qui contient des API qui peuvent être utilisées pour personnaliser et étendre les fonctionnalités de réseau de base d’iOS et de macOS. Network Extension avec prise en charge du VPN SSL est disponible sur les appareils exécutant iOS 9+ et macOS 10.11+.
Quelles versions de Citrix ADC sont-elles compatibles avec Citrix SSO ? Les fonctionnalités VPN dans Citrix SSO sont prises en charge sur Citrix ADC versions 10.5 et supérieures. Le TOTP est disponible sur Citrix ADC version 12.0 et supérieure. La notification Push sur Citrix ADC n’a pas encore été annoncée publiquement. L’application nécessite les versions iOS 9+ et macOS 10.11+.
Comment fonctionne l’authentification basée sur le certificat pour les clients non MDM ? Les clients qui ont précédemment distribué des certificats par courrier électronique ou par navigateur pour effectuer l’authentification de certificat client dans Citrix VPN doivent noter cette modification lors de l’utilisation de Citrix SSO. Ceci est principalement vrai pour les clients non-MDM qui n’utilisent pas un serveur MDM pour distribuer des certificats utilisateur. Veuillez vous référer à « Importation de certificats dans Citrix SSO via e-mail » pour pouvoir distribuer des certificats.
Qu’est-ce que le contrôle d’accès réseau (NAC) ? Comment configurer NAC avec Citrix SSO et Citrix Gateway ? Les clients MDM Microsoft Intune et Citrix Endpoint Management (anciennement XenMobile) peuvent tirer parti de la fonctionnalité de contrôle d’accès réseau (NAC) dans Citrix SSO. Avec NAC, les administrateurs peuvent sécuriser leur réseau interne d’entreprise en ajoutant une couche d’authentification supplémentaire pour les appareils mobiles gérés par un serveur MDM. Les administrateurs peuvent appliquer une vérification de conformité des périphériques au moment de l’authentification dans Citrix SSO.
Pour utiliser NAC avec Citrix SSO, vous devez l’activer sur Citrix Gateway et le serveur MDM.
- Pour activer NAC sur Citrix ADC, reportez-vous à cette rubrique lien.
- Si le fournisseur MDM est Intune, reportez-vous à cette rubrique lien.
- Si le fournisseur MDM est Citrix Endpoint Management (anciennement XenMobile), reportez-vous à cette section lien.
Remarque : La version minimale prise en charge de Citrix SSO est 1.1.6 et supérieure.
Dans cet article
- Comparaison des fonctionnalités entre Citrix VPN et Citrix SSO
- Compatibilité avec les produits MDM
- Configurer un profil VPN géré par MDM pour Citrix SSO
- Configuration du split tunneling dans un VPN par application
- Désactivation des profils VPN créés par l’utilisateur
- Problèmes connus
- Limitations
- Questions fréquentes