Gateway

Configurer le scénario de secours d’accès

SmartAccess permet à NetScaler Gateway de déterminer automatiquement les méthodes d’accès autorisées pour une machine utilisateur en fonction des résultats d’une analyse des terminaux. Le scénario Access Fallback étend encore cette fonctionnalité en permettant à une machine utilisateur de passer du client Citrix Secure Access à l’interface Web ou à StoreFront à l’aide de l’application Citrix Workspace si la machine utilisateur ne passe pas avec succès l’analyse initiale des terminaux.

Pour activer le scénario d’accès alternatif, vous configurez une stratégie de post-authentification qui détermine si les utilisateurs reçoivent une autre méthode d’accès lorsqu’ils se connectent à NetScaler Gateway. Cette stratégie de post-authentification est définie comme une expression de sécurité client que vous configurez globalement ou dans le cadre d’un profil de session. Si vous configurez un profil de session, le profil est associé à une stratégie de session que vous liez ensuite aux utilisateurs, groupes ou serveurs virtuels. Lorsque vous activez le scénario d’accès de secours, NetScaler Gateway lance une analyse des terminaux après authentification de l’utilisateur. Les résultats pour les machines utilisateur qui ne répondent pas aux exigences d’une analyse post-authentification de secours sont les suivants :

  • Si les choix du client sont activés, les utilisateurs peuvent ouvrir une session sur l’interface Web ou StoreFront à l’aide de l’application Citrix Workspace uniquement.
  • Si l’accès sans client et les choix de client sont désactivés, les utilisateurs peuvent être mis en quarantaine dans un groupe qui fournit un accès uniquement à l’interface Web ou à StoreFront.
  • Si l’accès sans client et l’interface Web ou StoreFront sont activés sur NetScaler Gateway et que le proxy ICA est désactivé, les utilisateurs reviennent à l’accès sans client.
  • Si l’interface Web ou StoreFront n’est pas configuré et que l’accès sans client est configuré pour autoriser, les utilisateurs reviennent à l’accès sans client.

Lorsque l’accès sans client est désactivé, la combinaison de paramètres suivante doit être configurée pour le scénario de secours d’accès :

  • Définissez les paramètres de sécurité du client pour l’analyse de secours après authentification.
  • Définissez la page d’accueil de l’interface Web.
  • Désactivez les choix du client.
  • Si les machines utilisateur échouent au contrôle de sécurité du client, les utilisateurs sont placés dans un groupe de quarantaine qui autorise l’accès uniquement à l’interface Web ou à StoreFront et aux applications publiées.

Créer des stratégies pour le scénario de secours Access Scenario

Pour configurer NetScaler Gateway pour le scénario de secours d’accès, vous devez créer des stratégies et des groupes de la manière suivante :

  • Créez un groupe de quarantaine dans lequel les utilisateurs sont placés en cas d’échec de l’analyse de l’analyse des points de terminaison.
  • Créez une interface Web globale ou un paramètre StoreFront qui sera utilisé en cas d’échec de l’analyse d’analyse des points de terminaison.
  • Créez une stratégie de session qui remplace le paramètre global, puis liez la stratégie de session à un groupe.
  • Créez une stratégie de sécurité client globale qui sera appliquée en cas d’échec de l’analyse des points de terminaison.

Lorsque vous configurez le scénario de secours d’accès, suivez les instructions suivantes :

  • L’utilisation des choix du client ou du scénario de secours d’accès nécessite le plug-in Endpoint Analysis pour tous les utilisateurs. Si l’analyse des points de terminaison ne peut pas être exécutée ou si les utilisateurs sélectionnent Ignorer l’analyse pendant l’analyse, l’accès est refusé aux utilisateurs. Remarque : L’option permettant d’ignorer l’analyse est supprimée dans NetScaler Gateway 10.1, build 120.1316.e
  • Lorsque vous activez les choix du client, si la machine utilisateur échoue à l’analyse d’analyse des points de terminaison, les utilisateurs sont placés dans le groupe de quarantaine. Les utilisateurs peuvent continuer à se connecter à l’interface Web ou à StoreFront à l’aide du client Citrix Secure Access ou de l’application Citrix Workspace. Remarque : Citrix recommande de ne pas créer de groupe de quarantaine si vous activez les choix des clients. Les machines utilisateur qui échouent à l’analyse des points de terminaison sont mises en quarantaine sont traitées de la même manière que les machines utilisateur qui réussissent l’analyse des terminaux.
  • Si l’analyse de l’analyse des points de terminaison échoue et que l’utilisateur est placé dans le groupe de quarantaine, les stratégies liées au groupe de quarantaine ne sont effectives que si aucune stratégie liée directement à l’utilisateur n’a un numéro de priorité égal ou inférieur à celui des stratégies liées au groupe de quarantaine.
  • Vous pouvez utiliser différentes adresses Web pour l’interface d’accès et l’interface Web ou StoreFront. Lorsque vous configurez les pages d’accueil, la page d’accueil de l’interface d’accès est prioritaire pour le client Citrix Secure Access et la page d’accueil de l’interface Web est prioritaire pour les utilisateurs de l’interface Web. La page d’accueil de l’application Citrix Workspace est prioritaire pour StoreFront.

Créer un groupe de quarantaine

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, ouvrez NetScaler Gateway > Administration des utilisateurs, puis cliquez sur AAAGroups.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom du groupe, tapez le nom du groupe, cliquez sur Créer, puis sur Fermer. Important: Le nom du groupe de quarantaine ne doit pas correspondre au nom d’un groupe de domaines auquel les utilisateurs pourraient appartenir. Si le groupe de quarantaine correspond à un nom de groupe Active Directory, les utilisateurs sont mis en quarantaine même si la machine utilisateur réussit l’analyse de sécurité de l’analyse des points de terminaison.

Après avoir créé le groupe, configurez NetScaler Gateway pour revenir à l’interface Web si la machine utilisateur échoue à l’analyse des terminaux.

Configuration des paramètres de mise en quarantaine des connexions utilisateur

  1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
  3. Dans la boîte de dialogue Paramètres globaux de NetScaler Gateway, sous l’onglet Applications publiées, en regard de Proxy ICA, sélectionnez Désactivé.
  4. À côté de Adresse de l’interface Web, saisissez l’adresse Web de StoreFront ou de l’interface Web.
  5. En regard de Domaine d’authentification unique, tapez le nom de votre domaine Active Directory, puis cliquez sur OK.

Après avoir configuré les paramètres globaux, créez une stratégie de session qui remplace le paramètre proxy ICA global, puis liez la stratégie de session au groupe de quarantaine.

Créer une stratégie de session pour le scénario de secours Access Scenario

  1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développezNetScaler Gateway > Policies, puis cliquez sur Session.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la politique.
  4. À côté de Demander un profil, cliquez sur Nouveau.
  5. Dans l’onglet Applications publiées, en regard de Proxy ICA, cliquez sur Override Global, sélectionnez On, puis cliquez sur Create.
  6. Dans la boîte de dialogue Créer une politique de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.

Après avoir créé la stratégie de session, liez la stratégie à un groupe de quarantaine.

Liez la stratégie de session au groupe de quarantaine

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, ouvrez NetScaler Gateway > Administration des utilisateurs, puis cliquez sur AAAGroups.
  2. Dans le volet d’informations, sélectionnez un groupe, puis cliquez sur Ouvrir.
  3. Cliquez sur Session.
  4. Dans l’onglet Stratégies, sélectionnez Session, puis cliquez sur Insérer une stratégie.
  5. Sous Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur OK.

Après avoir créé la stratégie de session et le profil activant l’interface Web ou StoreFront sur NetScaler Gateway, créez une stratégie de sécurité client globale.

Créer une stratégie de sécurité client globale

  1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
  3. Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
  4. Dans Client Security, saisissez l’expression. Pour plus d’informations sur la configuration des expressions système, consultez Configuration des expressions système et Configuration des expressions de sécurité du client composé
  5. Dans Groupe de quarantaine, sélectionnez le groupe que vous avez configuré dans la procédure de groupe, puis cliquez sur OK.
Configurer le scénario de secours d’accès