-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Optimisation du split tunnel VPN Citrix Gateway pour Office365
-
Configuration de l'expérience utilisateur VPN
-
Fonctionnement des connexions utilisateur avec le plug-in Citrix Gateway
-
Comment configurer la configuration complète du VPN sur une appliance Citrix Gateway
-
Déploiement des plug-ins Citrix Gateway pour l'accès utilisateur
-
VPN AlwaysOn avant la connexion à Windows (service officiel AlwaysOn)
-
-
Déploiement dans une DMZ double-hop
-
Déploiement de Citrix Gateway dans une zone DMZ à double saut
-
Installation et configuration de Citrix Gateway dans une DMZ à double-hop
-
-
Maintenance et surveillance du système
-
Comment les utilisateurs se connectent aux applications, aux postes de travail et à ShareFile
-
Déploiement avec Citrix Endpoint Management, Citrix Virtual Apps et Citrix Virtual Desktops
-
Accès aux ressources Citrix Virtual Apps and Desktops avec l'Interface Web
-
Intégration de Citrix Gateway avec Citrix Virtual Apps and Desktops
-
Établissement d'une connexion sécurisée à la batterie de serveurs
-
Configuration d'un site d'interface Web pour qu'il fonctionne
-
Configuration de paramètres d'interface Web supplémentaires sur Citrix Gateway
-
Configuration de l'accès aux applications et aux bureaux virtuels dans l'interface Web
-
Configuration de l'authentification unique sur l'interface Web
-
Pour configurer l'authentification unique sur les applications Web à l'échelle mondiale
-
Pour configurer l'authentification unique aux applications Web à l'aide d'une stratégie de session
-
Pour définir le port HTTP pour l'authentification unique vers les applications Web
-
Pour tester la connexion d'authentification unique à l'interface Web
-
Configuration de l'authentification unique sur l'interface Web à l'aide d'une carte à puce
-
Pour configurer l'authentification unique pour Citrix Virtual Apps et les partages de fichiers
-
-
-
Configuration des paramètres de votre environnement Citrix Endpoint Management
-
Configuration de l'interface utilisateur RFWebUI Persona sur NetScaler Gateway
-
Prise en charge du proxy PCoIP activé par Citrix Gateway pour VMware Horizon View
-
-
Configuration de la vérification des périphériques de contrôle d'accès réseau pour le serveur virtuel NetScaler Gateway pour le déploiement de l'authentification à facteur unique
-
Configuration d'une application Citrix Gateway sur le portail Azure
-
Configuration du serveur virtuel Citrix Gateway pour l'authentification par jeton Microsoft ADAL
-
Configuration automatique du proxy pour la prise en charge du proxy sortant pour Citrix Gateway
-
Validation du certificat de serveur lors d'une connexion SSL
-
Utilisation de la stratégie avancée pour créer des stratégies VPN
-
Configuration simplifiée des applications SaaS à l'aide d'un modèle
-
Configurer le certificat de périphérique dans nFactor en tant que composant EPA
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurer la vérification des périphériques de contrôle d’accès réseau pour le serveur virtuel Citrix Gateway pour le déploiement de l’authentification à facteur unique
Cette rubrique fournit des informations sur la configuration de Citrix Gateway pour se connecter à un réseau interne à partir d’un appareil mobile (iOS et Android) avec la sécurité NAC (Network Access Compliance) offerte par Microsoft Intune. Lorsqu’un utilisateur tente de se connecter à Citrix Gateway à partir d’un client VPN iOS ou Android, la passerelle vérifie d’abord auprès du service Intune si l’appareil est géré et conforme.
- Géré : l’appareil est inscrit à l’aide du client du portail d’entreprise Intune.
- Conformité : les stratégies requises envoyées depuis le serveur MDM Intune sont appliquées.
Ce n’est que si l’appareil est géré et conforme que la session VPN est établie et que l’utilisateur a accès aux ressources internes.
Remarque :
Dans cette configuration, Citrix Gateway en arrière-plan communique avec le service Intune. Les profils SSL gèrent les connexions entrantes vers Citrix Gateway. La communication dorsale Citrix Gateway gère toutes les exigences SNI des services cloud back-end (Intune).
La vérification NAC Intune, pour le VPN par application ou même le VPN à l’échelle de l’appareil, n’est prise en charge que lorsque le profil VPN est provisionné par le portail de gestion Intune (maintenant connu sous le nom de Microsoft Endpoint Manager). Ces fonctionnalités ne sont pas prises en charge pour les profils VPN ajoutés par l’utilisateur final. Le profil VPN de la machine de l’utilisateur final doit être déployé sur son appareil à partir de Microsoft Endpoint Manager par son administrateur Intune pour utiliser la vérification NAC.
Gestion des licences
Une licence Citrix Enterprise Edition est requise pour cette fonctionnalité.
Configuration système requise
- Citrix Gateway 11.1 build 51.21 ou version ultérieure
- VPN iOS — 10.6 ou version ultérieure
- VPN Android — 2.0.13 ou version ultérieure
- Microsoft
- Accès Azure AD (avec des privilèges de locataire et d’administrateur)
- Locataire activé Intune
- Pare-feu
Activer les règles de pare-feu pour tout le trafic DNS et SSL depuis l’adresse IP du sous-réseau vers
https://login.microsoftonline.com
ethttps://graph.windows.net
(port 53 et port 443)
Pré-requis
-
Toutes les stratégies d’authentification existantes doivent être converties des stratégies classiques aux stratégies avancées. Pour plus d’informations sur la conversion de stratégies classiques en stratégies avancées, reportez-vous à la section https://support.citrix.com/article/CTX131024.
-
Créez une application Citrix Gateway sur le portail Azure. Pour plus d’informations, consultez Configuration d’une application Citrix Gateway sur le portail Azure.
-
Configurez la stratégie OAuth sur l’application Citrix Gateway que vous avez créée à l’aide des informations spécifiques à l’application suivantes.
- ID client/ID de l’application
- Secret client/ Clé d’application
- ID de locataire Azure
Références
-
Ce document décrit la configuration de l’installation de Citrix Gateway. La plupart de la configuration du client Citrix SSO (iOS/Android) se fait du côté Intune. Pour plus d’informations sur la configuration du VPN Intune pour NAC, reportez-vous à la section https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
-
Pour configurer le profil VPN d’une application iOS, reportez-vous à la section https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
-
Pour configurer l’application Citrix Gateway sur le portail Azure, consultez Configuration d’une application Citrix Gateway sur le portail Azure.
Pour ajouter un serveur virtuel Citrix Gateway avec nFactor pour le déploiement de Gateway
-
Accédez à Virtual Servers sous le nœud de l’arborescence Citrix Gateway.
-
Indiquez les informations requises dans la zone Paramètres de base, puis cliquez sur OK.
-
Sélectionnez Certificat de serveur.
-
Sélectionnez le certificat de serveur requis et cliquez sur Liaison.
-
Cliquez sur Continuer.
-
Cliquez sur Continuer.
-
Cliquez sur Continuer.
-
Cliquez sur l’icône plus [+] en regard de Stratégies et sélectionnez Session dans la liste Choisir une stratégie, sélectionnez Demande dans la liste Choisir un type, puis cliquez sur Continuer.
-
Cliquez sur l’icône plus [+] en regard de Sélectionner une stratégie.
-
Sur la page Créer une stratégie de session Citrix Gateway, indiquez un nom pour la stratégie de session.
-
Cliquez sur l’icône plus [+] en regard de Profil et sur la page Créer un profil de session Citrix Gateway, indiquez un nom pour le profil de session.
-
Dans l’onglet Expérience client, cochez la case en regard de Accès sans client et sélectionnez Désactivé dans la liste.
-
Cochez la case à côté de Type de plug-in et sélectionnez Windows/macOS dans la liste.
-
Cliquez sur Paramètres avancés, cochez la case en regard de Choix du client et définissez sa valeur sur ON.
-
Dans l’onglet Sécurité, cochez la case en regard de Action d’autorisation par défaut et sélectionnez Autoriser dans la liste.
-
Dans l’onglet Applications publiées, cochez la case en regard de Proxy ICA et sélectionnez DÉSACTIVÉ dans la liste.
-
Cliquez sur Créer.
-
Entrez NS_TRUE dans la zone Expression de la page Créer une politique de session NetScaler Gateway .
-
Cliquez sur Créer.
-
Cliquez sur Bind.
-
Sélectionnez Profil d’authentification dans les paramètres avancés.
-
Cliquez sur l’icône plus [+] et saisissez un nom pour le profil d’authentification.
-
Cliquez sur l’icône plus [+] pour créer un serveur virtuel d’authentification.
-
Spécifiez le nom et le type d’adresse IP du serveur virtuel d’authentification dans la zone Paramètres de base, puis cliquez sur OK. Le type d’adresse IP peut également être non adressable.
-
Cliquez sur Stratégie d’authentification.
-
Dans la vue Liaison de stratégie, cliquez sur l’icône plus [+] pour créer une stratégie d’authentification.
-
Sélectionnez OAUTH comme type d’action et cliquez sur l’icône plus [+] pour créer une action OAuth pour NAC.
-
Créez une action OAuth à l’aide de l’ID client, du secret clientet de l’ ID de locataire.
L’ID **client, le secretclient et l’ID du locataire** sont générés après la configuration de l’application NetScaler Gateway sur le portail Azure.
Assurez-vous qu’un serveur de noms DNS approprié est configuré sur votre appliance pour résoudre et atteindre
https://login.microsoftonline.com/
,https://graph.windows.net/
et *.manage.microsoft.com. -
Créez une stratégie d’authentification pour OAuth Action.
Règle :
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Cliquez sur l’icône plus [+] pour créer l’étiquette de politique NextFactor.
-
Cliquez sur l’icône plus [+] pour créer un schéma de connexion.
-
Sélectionnez noschema comme schéma d’authentification et cliquez sur Créer.
-
Après avoir sélectionné le schéma de connexion créé, cliquez sur Continuer.
-
Dans Sélectionner une stratégie, sélectionnez une stratégie d’authentification existante pour la connexion de l’utilisateur ou cliquez sur l’icône plus + pour créer une stratégie d’authentification. Pour plus d’informations sur la création d’une politique d’authentification, consultez la section Configuration de politiques d’authentification avancées .
-
Cliquez sur Bind.
-
Cliquez sur Terminé.
-
Cliquez sur Bind.
-
Cliquez sur Continuer.
-
Cliquez sur Terminé.
-
Cliquez sur Créer.
-
Cliquez sur OK.
-
Cliquez sur Terminé.
Pour lier le schéma de connexion d’authentification au serveur virtuel d’authentification afin d’indiquer que les plug-ins VPN doivent envoyer l’ID de périphérique dans le cadre de la demande /cgi/login
-
Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
-
Sélectionnez le serveur virtuel précédemment sélectionné, puis cliquez sur Modifier.
-
Cliquez sur Schémas de connexion sous Paramètres avancés.
-
Cliquez sur Schémas de connexion à lier.
-
Cliquez sur [>] pour sélectionner et lier les stratégies de schéma de connexion intégrées existantes pour la vérification des périphériques NAC.
-
Sélectionnez la stratégie de schéma de connexion requise appropriée à votre déploiement d’authentification, puis cliquez sur Sélectionner.
Dans le déploiement expliqué, l’authentification à facteur unique (LDAP) associée à la politique NAC OAuth Action est utilisée, c’est pourquoi lschema_single_factor_deviceid a été sélectionné.
-
Cliquez sur Bind.
-
Cliquez sur Terminé.
Dépannage
Problèmes d’ordre général
Problème | Résolution |
---|---|
Le message « Ajouter une stratégie requise » s’affiche lorsque vous ouvrez une application | Ajouter des stratégies dans l’API Microsoft Graph |
Il y a des conflits de stratégie | Une seule stratégie par application est autorisée |
Votre application ne peut pas se connecter aux ressources internes | Assurez-vous que les ports de pare-feu appropriés sont ouverts, que vous avez corrigé l’ID de locataire, etc. |
Problèmes avec Citrix Gateway
Problème | Résolution |
---|---|
Les autorisations requises pour être configurées pour l’application passerelle sur Azure ne sont pas disponibles. | Vérifiez si une licence Intune appropriée est disponible. Essayez d’utiliser le portail manage.windowsazure.com pour voir si l’autorisation peut être ajoutée. Contactez le support technique Microsoft si le problème persiste. |
Citrix Gateway ne peut pas atteindre login.microsoftonline.comandgraph.windows.net . |
À partir de NS Shell, vérifiez si vous êtes en mesure d’accéder au site Web Microsoft suivant : cURL -v -k https://login.microsoftonline.com. Vérifiez ensuite si le DNS est configuré sur Citrix Gateway. Vérifiez également que les paramètres du pare-feu sont corrects (dans le cas où les demandes DNS sont pare-feu). |
Une erreur apparaît dans ns.log après la configuration de OAuthAction. | Vérifiez si la licence Intune est activée et si l’application de passerelle Azure dispose des autorisations appropriées. |
La commande Sh OAuthAction n’affiche pas l’état OAuth comme terminé. | Vérifiez les paramètres DNS et les autorisations configurées sur l’application de passerelle Azure. |
L’appareil Android ou iOS n’affiche pas l’invite d’authentification double. | Vérifiez si l’ID d’appareil à double facteur LogonSchema est lié au serveur virtuel d’authentification. |
État OAuth de Citrix Gateway et condition d’erreur
État | Condition d’erreur |
---|---|
AADFORGRAPH | Secret non valide, URL non résolue, expiration de la connexion |
MDMINFO |
*manage.microsoft.com est en panne ou inaccessible |
GRAPH | Le point de terminaison graphique est inaccessible |
CERTFETCH | Communication impossible avec Token Endpoint: https://login.microsoftonline.com en raison d’une erreur DNS. Pour valider cette configuration, accédez à l’invite Shell et tapez cURL https://login.microsoftonline.com. Cette commande doit être validée. |
Remarque : Lorsque l’état OAuth est réussi, l’état est affiché comme COMPLETE.
Vérification de la configuration Intune
Assurez-vous de cocher la case J’accepte dans Configuration VPN iOS de base pour Citrix SSO > Activer le contrôle d’accès réseau (NAC). Sinon, la vérification NAC ne fonctionne pas.
Partager
Partager
Dans cet article
- Gestion des licences
- Configuration système requise
- Pré-requis
- Références
- Pour ajouter un serveur virtuel Citrix Gateway avec nFactor pour le déploiement de Gateway
- Pour lier le schéma de connexion d’authentification au serveur virtuel d’authentification afin d’indiquer que les plug-ins VPN doivent envoyer l’ID de périphérique dans le cadre de la demande /cgi/login
- Dépannage
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.