Configurer les stratégies de session NetScaler Gateway pour StoreFront

Cet article explique comment configurer une authentification de domaine NetScaler Gateway uniquement avec StoreFront pour les utilisateurs qui utilisent l’application Citrix Workspace ou un navigateur Web.

Configuration minimale requise

• Citrix StoreFront 2.x ou 3.0

• NetScaler 10.5 et versions supérieures

• Application Citrix Workspace pour Windows 4.x

• Application Citrix Workspace pour Mac 11.8

• Navigateur Web (application Citrix Workspace pour Web)

• Authentification configurée sur l’appliance NetScaler comme décrit dans CTX108876 - Comment configurer l’authentification LDAP sur une appliance NetScaler

• Certificats SSL configurés pour StoreFront Server et NetScaler Gateway. Pour plus d’informations sur les rubriques suivantes, consultez la documentation StoreFront.

  ​- Installation et configuration de StoreFront 2.6

  • Certificats Windows 2012 Server

  • Pour ajouter une liaison SSL à un site

  • Installation et gestion des certificats pour l’appliance NetScaler 10.5

Configurer NetScaler Gateway avec StoreFront

Créer une stratégie de session pour l’accès par navigateur Web

1. Accédez à NetScaler Gateway > StratégiesSession.

2. Dans l’onglet Stratégies de session, cliquez sur Ajouter.

3. Dans Nom, tapez le nom de la stratégie de session. Par exemple, Web_Browser_Policy.

4. Dans Profil, cliquez sur Ajouter. La page Create Citrix Gateway Session Policy s’affiche.

5. Mettez à jour les champs obligatoires et cliquez sur Créer.

   

6. Sur la page Stratégies et profils de session Citrix Gateway, sélectionnez la stratégie de session.

7. Pour ajouter un profil de session, accédez au champ Profil et cliquez sur Ajouter. La page Create Citrix Gateway Session Profile s’affiche.

   Attribuez un nom au profil de session. Vous pouvez cocher les cases Override Global sous tous les onglets pour remplacer les valeurs héritées des paramètres globaux de NetScaler Gateway. L’exemple de configuration suivant décrit les paramètres obligatoires :

8. Dans l’onglet Configuration réseau, configurez les paramètres suivants :

   • Supprimer les connexions : Spécifiez si NetScaler Gateway doit déconnecter les connexions qui existaient avant que l’utilisateur ne se connecte à NetScaler Gateway et empêcher les connexions entrantes lorsque l’utilisateur est connecté et que le split tunneling est désactivé.

     

9. Dans l’onglet Expérience client, configurez les paramètres suivants :

   • Split Tunnel : le trafic est canalisé uniquement pour les applications intranet définies dans NetScaler Gateway. Achemine tout le reste du trafic directement vers Internet.

   • Accès sans client : lorsque ce paramètre est défini sur ALLOW, vous pouvez accéder aux applications sans installer le client Citrix Secure Access.

   • Codage desURL d’accès sans client : lorsque l’accès sans client est activé, vous pouvez encoderles adresses des applications Web internes ou laisser l’adresse sous forme de texte brut.

   • Cookie persistant d’accès sans client : définissez ce paramètre sur Autoriser à afficher l’état des cookies persistants en mode d’accès sans client. Un cookie persistant reste sur la machine utilisateur et est envoyé avec chaque demande HTTP.

   • Mode VPN sans client avancé : activez ou désactivez le mode VPN sans client avancé. L’option STRICT bloque le mode VPN sans client classique lors de l’utilisation du mode sans client avancé.

   • Type de plug-in : autorise l’accès aux ressources réseau à l’aide d’une adresse IP et d’un masque de sous-réseau uniques, ou à l’aide d’une plage d’adresses IP. Lorsque cette option est désactivée, NetScaler Gateway définit le mode proxy, dans lequel vous configurez les adresses IP source et de destination, ainsi que les numéros de port.

   • Authentification unique à l’application Web : activez cette option pour définir l’authentification unique (SSO) pour une session. Lorsque l’utilisateur accède à un serveur, ses informations de connexion sont redirigées vers le serveur à des fins d’authentification.

   • Index des informations d’identification : Spécifiez si vous souhaitez utiliser l’authentification principale ou les informations d’authentification secondaires pour l’authentification unique au serveur.

   • Authentification unique avec Windows : activez ou désactivez la connexion automatique à Windows pour une session. Si une session VPN est établie après l’activation de ce paramètre, l’utilisateur est automatiquement connecté à l’aide des informations d’identification Windows après le redémarrage du système.

   • Demande de nettoyage du client : définissez cette option si vous souhaitez que NetScaler Gateway vous invite à nettoyer le cache côté client à la fermeture d’une session initiée par le client.

   

   

10. Dans l’onglet Sécurité, configurez le paramètre suivant :

    • Actions d’autorisation par défaut : Spécifie les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils se connectent au réseau interne. Réglez-le sur AUTORISER pour permettre aux utilisateurs de se connecter aux ressources réseau à partir d’appareils mobiles iOS et Android. Les utilisateurs n’ont pas besoin d’établir un tunnel VPN complet pour accéder aux ressources du réseau sécurisé.

    • Secure Browse : permet aux utilisateurs de se connecter aux ressources réseau à partir d’appareils mobiles.

    

11. Dans l’onglet Applications publiées, activez les paramètres suivants :

    • Proxy ICA : défini sur Activé.

    • Adresse de l’interface Web : nom de domaine complet du serveur StoreFront suivi du chemin d’accès au magasin pour le Web.

    • Type d’interface Web : type d’interface Web (IPv4/v6).

    • Domaine d’authentification unique : nom NetBIOS du domaine.

    

12. Cliquez sur Create.

13. Ajoutez une expression.

    1. Cliquez sur Stratégie avancée, puis sur Éditeur d’expression.

    2. Dans Expression Editor, sélectionnez les éléments suivants dans l’ordre. HTTP > REQ > HEADER, puis tapez le paramètre, par exemple **CitrixReceiver**.

       HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT

       Cette stratégie est nécessaire pour que NetScaler puisse différencier les connexions basées sur le navigateur Web et les connexions basées sur l’application Citrix Workspace. Cette stratégie s’applique aux connexions basées sur un navigateur Web.

Créer une stratégie de session pour l’accès basé sur les applications Citrix Workspace

1. Accédez à NetScaler Gateway > StratégiesSession.

2. Dans l’onglet Stratégies de session, cliquez sur Ajouter.

3. Dans Nom, tapez le nom de la stratégie de session. Par exemple, Workspace_app_policy.

4. Dans Profil, cliquez sur Ajouter.

5. Dans la fenêtre Créer un profil de session NetScaler Gateway, ajoutez un nom au profil de session.

   Vous pouvez cocher les cases Override Global sous tous les onglets pour remplacer les valeurs héritées des paramètres globaux de NetScaler Gateway. Dans l’exemple de configuration, seuls les paramètres obligatoires sont inclus.

6. Dans l’onglet Expérience client, activez les paramètres suivants :

   • Page d’accueil :Aucun

   • Tunnel divisé :désactivé

   • Accès sans client : défini surActivé

   • Type de plug-in : défini sur Java

   • Authentification unique à l’application Web : cochez la case

7. Cliquez sur Paramètres avancés, décochez la case Choix du client .

8. Dans l’onglet Sécurité, activez les actions d’autorisation par défaut et définissez-la sur AUTORISER.

9. Dans l’onglet Application publiée, activez les paramètres suivants :

   • Proxy ICA : défini sur Activé.

   • Adresse de l’interface Web : nom de domaine complet du serveur StoreFront suivi du chemin d’accès au magasin pour le Web

   • Domaine d’authentification unique  : nom NetBIOS du domaine

   • Adresse des services de compte : saisissez l’adresse des services de compte. La dernière barre oblique inverse est importante. Par exemple, https://sfcitrix.com/.

   

10. Cliquez sur Create.

11. Ajoutez une expression.

    1. Cliquez sur Stratégie avancée, puis sur Éditeur d’expression.
    2. Dans Expression Editor, sélectionnez HTTP > REQ > HEADER, puis tapez le paramètre, tel que **CitrixReceiver**. Par exemple, les opérations suivantes peuvent être effectuées :

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")

    Cette stratégie est nécessaire pour que NetScaler puisse différencier les connexions basées sur l’application Citrix Workspace et celles basées sur le navigateur Web. Cette stratégie est appliquée aux connexions basées sur l’application Citrix Workspace.

Création d’une stratégie de session pour l’application Citrix Workspace pour Windows ou Mac et pour les appareils mobiles sur NetScaler Gateway

1. Accédez à NetScaler Gateway > StratégiesSession.

2. Dans le champ Stratégies de session, cliquez sur Ajouter.

3. Dans le champ Nom, tapez le nom de la stratégie de session. Par exemple, Receiver_Policy.

   

4. Tapez le nom du nouveau profil de session dans la fenêtre Configurer le profil de session NetScaler Gateway .

   

5. Dans l’onglet Expérience client, activez les paramètres suivants :

   • Page d’accueil : Définir sur Aucun

   • Tunnel divisé : désactivé

   • Accès sans client : défini surActivé

   • Authentification unique à l’application Web : cochez la case

   • Type de plug-in : défini sur Java

   

6. Dans l’onglet Sécurité, définissez les actions d’autorisation par défaut sur AUTORISER.

   

7. Dans l’onglet Application publiée, activez les paramètres suivants :

   • Proxy ICA : défini sur Activé.

   • Adresse de l’interface Web : nom de domaine complet du serveur StoreFront suivi du chemin d’accès au magasin

   • Domaine d’authentification unique : nom NetBIOS du domaine

   • Adresse des services de compte :saisissez l’adresse des services de compte. La dernière barre oblique inverse est importante. Par exemple, https://accounts.example.com/Citrix/Roaming/Accounts

   

8. Cliquez sur Create.

9. Si vous utilisez une expression de stratégie classique, dans le champ Expression, ajoutez les informations suivantes et cliquez sur Créer.

   `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
   

   

10. Si vous utilisez une expression de stratégie avancée, dans le champ Expression, ajoutez les informations suivantes et cliquez sur Créer.

    `HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")`
    

    

    Cette stratégie est nécessaire pour que NetScaler puisse différencier les connexions basées sur le navigateur Web et les connexions basées sur l’application Citrix Workspace. Cette stratégie s’applique aux connexions basées sur l’application Citrix Workspace.

Configurer l’authentification sur l’appliance NetScaler

Pour plus d’informations sur la configuration de l’authentification LDAP sur une appliance NetScaler, consultez la section Configurationde l’authentification LDAP.

Créez un serveur virtuel NetScaler Gateway et liez les stratégies de session

1. Accédez à NetScaler Gateway > Serveur virtuel et cliquez sur Ajouter pour ajouter un nouveau serveur virtuel.

2. Une fois le serveur virtuel créé, liez la stratégie de session spécifique au serveur virtuel en fonction des besoins de votre entreprise.

Configuration de l’authentification pour StoreFront

1. Activez l’authentification directe depuis NetScaler Gateway sur StoreFront. Pour de plus amples informations, consultez la section Configurer le service d’authentification.

   StoreFront doit faire confiance à l’émetteur du certificat lié au serveur virtuel NetScaler Gateway (certificats racine et/ou intermédiaires) pour le service Authentication Callback.

2. Ajoutez NetScaler Gateway à StoreFront. Pour plus d’informations, consultez la section Ajouter une connexion NetScaler Gateway.

   L’URL de la passerelle doit correspondre exactement à ce que les utilisateurs saisissent dans la barre d’adresse du navigateur Web.

3. Activez l’accès à distance sur le magasin StoreFront. Pour de plus amples informations, consultez la section Gérer l’accès distant aux magasins via NetScaler Gateway.

Références

• Configuration des paramètres de délai d’expiration