Gateway

Configurer la vérification du périphérique de contrôle d’accès réseau pour le serveur virtuel Citrix Gateway pour la connexion à facteur unique

Cette rubrique fournit des informations sur la configuration de Citrix Gateway pour se connecter à un réseau interne à partir d’un appareil mobile (iOS et Android) avec la sécurité NAC (Network Access Compliance) offerte par Microsoft Intune. Lorsqu’un utilisateur tente de se connecter à Citrix Gateway à partir d’un client VPN iOS ou Android, la passerelle vérifie d’abord auprès du service Intune si l’appareil est géré et conforme.

  • Géré : l’appareil est inscrit à l’aide du client du portail d’entreprise Intune.
  • Conformité : les stratégies requises envoyées depuis le serveur MDM Intune sont appliquées.

Ce n’est que si l’appareil est géré et conforme que la session VPN est établie et que l’utilisateur a accès aux ressources internes.

Remarque :

  • Dans cette configuration, Citrix Gateway en arrière-plan communique avec le service Intune. Les profils SSL gèrent les connexions entrantes vers Citrix Gateway. La communication dorsale Citrix Gateway gère toutes les exigences SNI des services cloud back-end (Intune).

  • Le serveur virtuel de passerelle SNI pour DTLS est pris en charge dans Citrix Gateway version 13.0 build 64.x et ultérieure.

  • La vérification NAC Intune, pour le VPN par application ou même le VPN à l’échelle de l’appareil, n’est prise en charge que lorsque le profil VPN est provisionné par le portail de gestion Intune (maintenant connu sous le nom de Microsoft Endpoint Manager). Ces fonctionnalités ne sont pas prises en charge pour les profils VPN ajoutés par l’utilisateur final. Le profil VPN de la machine de l’utilisateur final doit être déployé sur son appareil à partir de Microsoft Endpoint Manager par son administrateur Intune pour utiliser la vérification NAC.

Gestion des licences

Une licence Citrix Enterprise Edition est requise pour cette fonctionnalité.

Configuration système requise

  • Citrix Gateway 11.1 build 51.21 ou version ultérieure
  • VPN iOS — 10.6 ou version ultérieure
  • VPN Android — 2.0.13 ou version ultérieure
  • Microsoft
    • Accès Azure AD (avec des privilèges de locataire et d’administrateur)
    • Locataire activé Intune
  • Pare-feu Activer les règles de pare-feu pour tout le trafic DNS et SSL depuis l’adresse IP du sous-réseau vers https://login.microsoftonline.com et https://graph.windows.net (port 53 et port 443)

Pré-requis

  • Toutes les stratégies d’authentification existantes doivent être converties des stratégies classiques aux stratégies avancées. Pour plus d’informations sur la conversion de stratégies classiques en stratégies avancées, reportez-vous à la section https://support.citrix.com/article/CTX131024.
  • Créez une application Citrix Gateway sur le portail Azure. Pour plus d’informations, consultez Configuration d’une application Citrix Gateway sur le portail Azure.
  • Configurez la stratégie OAuth sur l’application Citrix Gateway que vous avez créée à l’aide des informations spécifiques à l’application suivantes.
    • ID client/ID de l’application
    • Secret client/ Clé d’application
    • ID de locataire Azure

Références

Pour ajouter un serveur virtuel Citrix Gateway avec nFactor pour le déploiement de la passerelle

  1. Accédez à Citrix Gateway > Virtual Servers.

    Page Serveurs virtuels

  2. Cliquez sur Ajouter.

  3. Indiquez les informations requises dans la zone Paramètres de base, puis cliquez sur OK.

    Définir les paramètres de base

  4. Sélectionnez Certificat de serveur.

    Sélectionnez un certificat de serveur

  5. Sélectionnez le certificat de serveur requis et cliquez sur Liaison.

    Cert de serveur Bind

  6. Cliquez sur Continuer.

  7. Cliquez sur Continuer.

  8. Cliquez sur Continuer.

  9. Cliquez sur l’icône plus [+] en regard de Stratégies et sélectionnez Session dans la liste Choisir une stratégie, sélectionnez Demande dans la liste Choisir un type, puis cliquez sur Continuer.

  10. Cliquez sur l’icône plus [+] en regard de Sélectionner une stratégie.

  11. Sur la page Créer une stratégie de session Citrix Gateway, indiquez un nom pour la stratégie de session.

  12. Cliquez sur l’icône plus [+] en regard de Profil et sur la page Créer un profil de session Citrix Gateway, indiquez un nom pour le profil de session.

  13. Dans l’onglet Expérience client, cochez la case en regard de Accès sans client et sélectionnez Désactivé dans la liste.

  14. Cochez la case en regard de Type de plug-in et sélectionnez Windows/Mac OS X dans la liste.

  15. Cliquez sur Paramètres avancés, cochez la case en regard de Choix du client et définissez sa valeur sur ON.

  16. Dans l’onglet Sécurité, cochez la case en regard de Action d’autorisation par défaut et sélectionnez Autoriser dans la liste.

  17. Dans l’onglet Applications publiées, cochez la case en regard de Proxy ICA et sélectionnez DÉSACTIVÉ dans la liste.

  18. Cliquez sur Créer.

  19. Sur la page Créer une stratégie de session Citrix Gateway, dans la zone Expression, configurez l’expression de qualification.

  20. Cliquez sur Créer.

  21. Cliquez sur Bind.

  22. Sélectionnez Profil d’authentification dans les paramètres avancés.

    Sélectionnez le profil d'authentification

  23. Cliquez sur l’icône plus [+] et saisissez un nom pour le profil d’authentification.

    Nom du profil d'authentification

  24. Cliquez sur l’icône plus [+] pour créer un serveur virtuel d’authentification.

    Ajouter un serveur virtuel d'authentification

  25. Spécifiez le nom et le type d’adresse IP du serveur virtuel d’authentification dans la zone Paramètres de base, puis cliquez sur OK. Le type d’adresse IP peut également être non adressable.

    Définir les paramètres de base

  26. Cliquez sur Stratégie d’authentification.

    Stratégie d'authentification

  27. Dans la vue Liaison de stratégie, cliquez sur l’icône plus [+] pour créer une stratégie d’authentification.

    Créer une stratégie d'authentification

  28. Sélectionnez OAUTH comme type d’action et cliquez sur l’icône plus [+] pour créer une action OAuth pour NAC.

    Sélectionnez le type d'action OAuth

  29. Créez une action OAuth à l’aide de l’ID client, du secret clientet de l’ ID de locataire.

    Remarque :

    • L’ID client, le secret client et l’ ID de locataire sont générés après la configuration de l’application Citrix Gateway sur le portail Azure.
    • Notez les informations de l’ID client/de l’application, du secret du client/de l’application et de l’ID de locataire Azure, car elles sont requises lors de la création d’une action OAuth sur Citrix Gateway ultérieurement.

    Assurez-vous que vous disposez d’un serveur de noms DNS approprié configuré sur votre appliance pour résoudre et atteindre ; https://login.microsoftonline.com/, - - https://graph.windows.net/, - *.manage.microsoft.com.

    ID et secret pour le portail Azure

  30. Créez une stratégie d’authentification pour OAuth Action.

    Règle :

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    Règle de stratégie d'authentification

  31. Cliquez sur l’icône plus [+] pour créer une étiquette de stratégie NextFactor.

    Créer une étiquette de stratégie de facteurs suivante

  32. Cliquez sur l’icône plus [+] pour créer un schéma de connexion.

    Créer un schéma de connexion

  33. Sélectionnez noschema en tant que schéma d’authentification, puis cliquez sur Créer.

    Sélectionnez le schéma d'authentification

  34. Après avoir sélectionné le schéma de connexion créé, cliquez sur Continuer.

    Cliquez sur Continuer

  35. Dans Sélectionner une stratégie, sélectionnez une stratégie d’authentification existante pour la connexion de l’utilisateur ou cliquez sur l’icône plus + pour créer une stratégie d’authentification. Pour plus d’informations sur la création d’une stratégie d’authentification, consultez Configuration des stratégies d’authentification avancées et Configuration de l’authentification LDAP.

    Sélectionnez ou créez une stratégie d'authentification

  36. Cliquez sur Bind.

    Cliquez sur Bind

  37. Cliquez sur Terminé.

    Cliquez sur OK

  38. Cliquez sur Bind.

    Cliquez sur Bind

  39. Cliquez sur Continuer.

    Cliquez sur Continuer

  40. Cliquez sur Terminé.

    Cliquez sur OK

  41. Cliquez sur Créer.

    Cliquez sur Créer.

  42. Cliquez sur OK.

    Cliquez sur OK

  43. Cliquez sur Terminé.

    Cliquez sur OK

Pour lier le schéma de connexion d’authentification au serveur virtuel d’authentification afin d’indiquer que les plug-ins VPN doivent envoyer l’ID de périphérique dans le cadre de la demande /cgi/login

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.

    Page Serveurs virtuels

  2. Sélectionnez le serveur virtuel précédemment sélectionné, puis cliquez sur Modifier.

    Modifier un serveur virtuel

  3. Cliquez sur Schémas de connexion sous Paramètres avancés.

    Sélectionnez le schéma de connexion

  4. Cliquez sur Schémas de connexion à lier.

    Schéma de connexion Bind

  5. Cliquez sur [>] pour sélectionner et lier les stratégies de schéma de connexion intégrées existantes pour la vérification des périphériques NAC.

    Stratégies de schéma de connexion de liaison

  6. Sélectionnez la stratégie de schéma de connexion requise appropriée à votre déploiement d’authentification, puis cliquez sur Sélectionner.

    Dans le déploiement expliqué précédemment, l’authentification à facteur unique (LDAP) avec une stratégie d’action OAuth NAC est utilisée, c’est pourquoi lschema_single_factor_deviceid a été sélectionné.

    Sélectionnez la stratégie d'authentification à facteur unique

  7. Cliquez sur Bind.

    Cliquez sur Bind

  8. Cliquez sur Terminé.

    Cliquez sur OK

Dépannage

Problèmes d’ordre général

Problème Résolution
Le message « Ajouter une stratégie requise » s’affiche lorsque vous ouvrez une application Ajouter des stratégies dans l’API Microsoft Graph
Il y a des conflits de stratégie Une seule stratégie par application est autorisée
Votre application ne peut pas se connecter aux ressources internes Assurez-vous que les ports de pare-feu appropriés sont ouverts, que vous avez corrigé l’ID de locataire, etc.

Problèmes avec Citrix Gateway

Problème Résolution
Les autorisations requises pour être configurées pour l’application passerelle sur Azure ne sont pas disponibles. Vérifiez si une licence Intune appropriée est disponible. Essayez d’utiliser le portail manage.windowsazure.com pour voir si l’autorisation peut être ajoutée. Contactez le support technique Microsoft si le problème persiste.
Citrix Gateway ne peut pas atteindre login.microsoftonline.comandgraph.windows.net. À partir de NS Shell, vérifiez si vous êtes en mesure d’accéder au site Web Microsoft suivant : cURL -v -k https://login.microsoftonline.com. Vérifiez ensuite si le DNS est configuré sur Citrix Gateway. Vérifiez également que les paramètres du pare-feu sont corrects (dans le cas où les demandes DNS sont pare-feu).
Une erreur apparaît dans ns.log après la configuration de OAuthAction. Vérifiez si la licence Intune est activée et si l’application de passerelle Azure dispose des autorisations appropriées.
La commande Sh OAuthAction n’affiche pas l’état OAuth comme terminé. Vérifiez les paramètres DNS et les autorisations configurées sur l’application de passerelle Azure.
L’appareil Android ou iOS n’affiche pas l’invite d’authentification double. Vérifiez si l’ID d’appareil à double facteur LogonSchema est lié au serveur virtuel d’authentification.

État OAuth de Citrix Gateway et condition d’erreur

État Condition d’erreur
AADFORGRAPH Secret non valide, URL non résolue, expiration de la connexion
MDMINFO *manage.microsoft.comest en panne ou inaccessible
GRAPH Le point de terminaison graphique est inaccessible
CERTFETCH Communication impossible avec Token Endpoint: https://login.microsoftonline.com en raison d’une erreur DNS. Pour valider cette configuration, accédez à l’invite Shell et tapez cURL https://login.microsoftonline.com. Cette commande doit être validée.

Remarque : Lorsque l’état OAuth est réussi, l’état est affiché comme COMPLETE.

Vérification de la configuration Intune

Assurez-vous de cocher la case J’accepte dans Configuration VPN iOS de base pour Citrix SSO > Activer le contrôle d’accès réseau (NAC). Sinon, la vérification NAC ne fonctionne pas.

Configurer la vérification du périphérique de contrôle d’accès réseau pour le serveur virtuel Citrix Gateway pour la connexion à facteur unique