Documentation Produit
Citrix Secure Web Gateway
12.1
Voir PDF

Gestion de l’identité des utilisateurs

September 29, 2025
Contributeur: 
C C

Le nombre croissant de failles de sécurité et la popularité grandissante des appareils mobiles ont souligné la nécessité de s’assurer que l’utilisation d’Internet externe est conforme aux politiques de l’entreprise et que seuls les utilisateurs autorisés accèdent aux ressources externes fournies par le personnel de l’entreprise. La gestion des identités rend cela possible en vérifiant l’identité d’une personne ou d’un appareil. Elle ne détermine pas les tâches que l’individu peut effectuer ni les fichiers qu’il peut consulter.

Un déploiement de Secure Web Gateway (SWG) identifie l’utilisateur avant d’autoriser l’accès à Internet. Toutes les requêtes et réponses de l’utilisateur sont inspectées. L’activité de l’utilisateur est enregistrée et les journaux sont exportés vers Citrix® Application Delivery Management (ADM) pour la création de rapports. Dans Citrix ADM, vous pouvez consulter les statistiques sur les activités des utilisateurs, les transactions et la consommation de bande passante.

Par défaut, seule l’adresse IP de l’utilisateur est enregistrée, mais vous pouvez configurer l’appliance Citrix SWG pour enregistrer plus de détails sur l’utilisateur et utiliser ces informations d’identité afin de créer des politiques d’utilisation d’Internet plus complètes pour des utilisateurs spécifiques.

L’appliance Citrix ADC prend en charge les modes d’authentification suivants pour une configuration de proxy explicite.

  • Lightweight Directory Access Protocol (LDAP). Authentifie l’utilisateur via un serveur d’authentification LDAP externe. Pour plus d’informations, consultez Stratégies d’authentification LDAP.
  • RADIUS. Authentifie l’utilisateur via un serveur RADIUS externe. Pour plus d’informations, consultez Stratégies d’authentification RADIUS.
  • TACACS+. Authentifie l’utilisateur via un serveur d’authentification Terminal Access Controller Access-Control System (TACACS) externe. Pour plus d’informations, consultez Stratégies d’authentification.
  • Négocier. Authentifie l’utilisateur via un serveur d’authentification Kerberos. En cas d’erreur d’authentification Kerberos, l’appliance utilise l’authentification NTLM. Pour plus d’informations, consultez Stratégies d’authentification de négociation.

Pour le proxy transparent, seule l’authentification LDAP basée sur IP est actuellement prise en charge. Lorsqu’une requête client est reçue, le proxy authentifie l’utilisateur en vérifiant une entrée pour l’adresse IP du client dans l’annuaire actif et crée une session basée sur l’adresse IP de l’utilisateur. Cependant, si vous configurez l’attribut ssoNameAttribute dans une action LDAP, une session est créée en utilisant le nom d’utilisateur au lieu de l’adresse IP. Les stratégies classiques ne sont pas prises en charge pour l’authentification dans une configuration de proxy transparent.

Remarque

Pour le proxy explicite, vous devez définir le nom de connexion LDAP sur sAMAccountName. Pour le proxy transparent, vous devez définir le nom de connexion LDAP sur networkAddress et attribute1 sur sAMAccountName.

Exemple pour le proxy explicite :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

Exemple pour le proxy transparent :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

Configurer l’authentification utilisateur à l’aide de l’interface de ligne de commande (CLI) Citrix SWG

À l’invite de commandes, saisissez :

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

Arguments :

  • Nom du serveur virtuel (Vserver) : Nom du serveur virtuel d’authentification auquel lier la stratégie. Longueur maximale : 127

  • serviceType : Type de protocole du serveur virtuel d’authentification. Toujours SSL. Valeurs possibles : SSL Valeur par défaut : SSL

  • Nom de l’action : Nom de la nouvelle action LDAP. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_), et ne doit contenir que des lettres, des chiffres, des tirets (-), des points (.), des dièses (#), des espaces ( ), des arobases (@), des signes égal (=), des deux-points (:) et des caractères de soulignement. Ne peut pas être modifié après l’ajout de l’action LDAP. L’exigence suivante s’applique uniquement à l’interface de ligne de commande (CLI) : Si le nom inclut un ou plusieurs espaces, mettez le nom entre guillemets doubles ou simples (par exemple, « my authentication action » ou « my authentication action »). Longueur maximale : 127

  • serverIP : Adresse IP attribuée au serveur LDAP.

  • ldapBase : Base (nœud) à partir de laquelle démarrer les recherches LDAP. Si le serveur LDAP s’exécute localement, la valeur par défaut de la base est dc=netscaler®, dc=com. Longueur maximale : 127

  • ldapBindDn : Nom distinctif complet (DN) utilisé pour se lier au serveur LDAP. Par défaut : cn=Manager,dc=netscaler,dc=com Longueur maximale : 127

  • ldapBindDnPassword : Mot de passe utilisé pour se lier au serveur LDAP. Longueur maximale : 127

  • ldapLoginName : Attribut du nom de connexion LDAP. L’appliance Citrix ADC utilise le nom de connexion LDAP pour interroger les serveurs LDAP externes ou les annuaires Active Directory. Longueur maximale : 127

  • Nom de la stratégie : Nom de la stratégie d’AUTHENTIFICATION avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_), et ne doit contenir que des lettres, des chiffres, des tirets (-), des points (.), des dièses (#), des espaces ( ), des arobases (@), des signes égal (=), des deux-points (:) et des caractères de soulignement. Ne peut pas être modifié après la création de la stratégie d’AUTHENTIFICATION. L’exigence suivante s’applique uniquement à l’interface de ligne de commande (CLI) : Si le nom inclut un ou plusieurs espaces, mettez le nom entre guillemets doubles ou simples (par exemple, « my authentication policy » ou « my authentication policy »). Longueur maximale : 127

  • Règle : Nom de la règle, ou expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur d’AUTHENTIFICATION. Longueur maximale : 1499

  • Action : Nom de l’action d’authentification à effectuer si la stratégie correspond. Longueur maximale : 127

  • Priorité : Entier positif spécifiant la priorité de la stratégie. Un nombre inférieur indique une priorité plus élevée. Les stratégies sont évaluées dans l’ordre de leurs priorités, et la première stratégie qui correspond à la requête est appliquée. Doit être unique dans la liste des stratégies liées au serveur virtuel d’authentification. Valeur minimale : 0 Valeur maximale : 4294967295

Exemple :

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit                                                                                   Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

Activer la journalisation du nom d’utilisateur à l’aide de l’interface de ligne de commande (CLI) Citrix SWG

À l’invite de commandes, saisissez :

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Arguments :

  • AAAUserName Active la journalisation du nom d’utilisateur AppFlow® AAA. Valeurs possibles : ENABLED, DISABLED Valeur par défaut : DISABLED

Exemple :

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Gestion de l’identité des utilisateurs
September 29, 2025
Contributeur: 
C C
September 29, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.