Configurer les stratégies de session Citrix Gateway pour StoreFront
Cet article explique comment configurer une authentification de domaine Citrix Gateway uniquement avec StoreFront pour les utilisateurs qui utilisent l’application Citrix Workspace ou un navigateur Web.
Configuration minimale requise
-
Citrix StoreFront 2.x ou 3.0
-
Citrix ADC 10.5 et versions ultérieures
-
Application Citrix Workspace pour Windows 4.x
-
Application Citrix Workspace pour Mac 11.8
-
Navigateur Web (application Citrix Workspace pour Web)
-
Authentification configurée sur l’appliance Citrix ADC comme indiqué dans CTX108876 - Comment configurer l’authentification LDAP sur une appliance Citrix ADC
-
Certificats SSL configurés pour StoreFront Server et Citrix Gateway. Pour plus d’informations sur les rubriques suivantes, consultez la documentation StoreFront.
- Installation et configuration de StoreFront 2.6
-
Certificats Windows 2012 Server
-
Pour ajouter une liaison SSL à un site
-
Installation et gestion des certificats pour l’appliance Citrix ADC 10.5
-
Configuration de Citrix Gateway avec StoreFront
Créer une stratégie de session pour l’accès par navigateur Web
-
Accédez à Citrix Gateway > Stratégies > Session.
-
Dans l’onglet Stratégies de session, cliquez sur Ajouter.
-
Dans Nom, tapez le nom de la stratégie de session. Par exemple, Web_Browser_Policy.
-
Dans Profil, cliquez sur Ajouter. La page Create Citrix Gateway Session Policy s’affiche.
-
Mettez à jour les champs obligatoires et cliquez sur Créer.
-
Sur la page Stratégies et profils de session Citrix Gateway, sélectionnez la stratégie de session.
-
Pour ajouter un profil de session, accédez au champ Profil et cliquez sur Ajouter. La page Create Citrix Gateway Session Profile s’affiche.
Attribuez un nom au profil de session. Vous pouvez cocher les cases Override Global sous tous les onglets pour remplacer les valeurs héritées des paramètres globaux de Citrix Gateway. L’exemple de configuration suivant décrit les paramètres obligatoires :
-
Dans l’onglet Configuration réseau, configurez les paramètres suivants :
-
Kill Connections : indiquez si Citrix Gateway doit déconnecter les connexions qui existaient avant que l’utilisateur ne se connecte à Citrix Gateway et empêcher les connexions entrantes lorsque l’utilisateur est connecté et que le split tunneling est désactivé.
-
-
Dans l’onglet Expérience client, configurez les paramètres suivants :
-
Tunnelpartagé : tunnel le trafic uniquement pour les applications intranet définies dans Citrix Gateway. Achemine tout le reste du trafic directement vers Internet.
-
Accès sans client : lorsque ce paramètre est défini sur ALLOW, vous pouvez accéder aux applications sans installer le client Citrix Secure Access.
-
Codage desURL d’accès sans client : lorsque l’accès sans client est activé, vous pouvez encoderles adresses des applications Web internes ou laisser l’adresse sous forme de texte brut.
-
Cookie persistant d’accès sans client : définissez ce paramètre sur Autoriser à afficher l’état des cookies persistants en mode d’accès sans client. Un cookie persistant reste sur la machine utilisateur et est envoyé avec chaque demande HTTP.
-
Mode VPN sans client avancé : activez ou désactivez le mode VPN sans client avancé. L’option STRICT bloque le mode VPN sans client classique lors de l’utilisation du mode sans client avancé.
-
Type de plug-in : autorise l’accès aux ressources réseau à l’aide d’une adresse IP et d’un masque de sous-réseau uniques, ou à l’aide d’une plage d’adresses IP. Lorsque cette option est désactivée, Citrix Gateway définit le mode proxy, dans lequel vous configurez les adresses IP source et de destination, ainsi que les numéros de port.
-
Authentification unique à l’application Web : activez cette option pour définir l’authentification unique (SSO) pour une session. Lorsque l’utilisateur accède à un serveur, ses informations de connexion sont redirigées vers le serveur à des fins d’authentification.
-
Index des informations d’identification : Spécifiez si vous souhaitez utiliser l’authentification principale ou les informations d’authentification secondaires pour l’authentification unique au serveur.
-
Authentification unique avec Windows : activez ou désactivez la connexion automatique à Windows pour une session. Si une session VPN est établie après l’activation de ce paramètre, l’utilisateur est automatiquement connecté à l’aide des informations d’identification Windows après le redémarrage du système.
-
Invite de nettoyage duclient : définissez cette option si vous souhaitez que Citrix Gateway vous invite à effectuer un nettoyage du cache côté client à la fermeture d’une session initiée par le client.
-
-
Dans l’onglet Sécurité, configurez le paramètre suivant :
- Actionsd’autorisation par défaut : configurez-le sur ALLOW pour permettre aux utilisateurs de se connecter aux ressources réseau depuis des appareils mobiles iOS et Android. Les utilisateurs n’ont pas besoin d’établir un tunnel VPN complet pour accéder aux ressources du réseau sécurisé.
-
Dans l’onglet Applications publiées, activez les paramètres suivants :
-
Proxy ICA: Réglez sur ON.
-
Adresse de l’interface Web : nom de domaine complet du serveur StoreFront suivi du chemin d’accès au magasin pour le Web.
-
Type d’interface Web : type d’interface Web (IPv4/v6).
-
Domaine d’authentification unique : nom NetBIOS du domaine.
-
-
Cliquez sur Créer.
-
Ajoutez une expression.
- Cliquez sur Stratégie avancée, puis sur Éditeur d’expression.
- Dans Expression Editor, sélectionnez HTTP > REQ > HEADER, puis tapez le paramètre, tel que
**CitrixReceiver**
. Par exemple,
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
Cette politique est nécessaire pour que Citrix ADC fasse la différence entre les connexions basées sur le navigateur Web et les connexions basées sur les applications Citrix Workspace. Cette stratégie s’applique aux connexions basées sur un navigateur Web.
Créer une stratégie de session pour l’application Citrix Workspace pour Windows ou Mac, et les appareils mobiles sur Citrix Gateway
-
Accédez à Citrix Gateway > Stratégies > Session.
-
Dans le champ Stratégies de session, cliquez sur Ajouter.
-
Dans le champ Nom, tapez le nom de la stratégie de session. Par exemple, Receiver_Policy.
-
Tapez le nom du nouveau profil de session dans la fenêtre Configurer le profil de session Citrix Gateway.
-
Dans l’onglet Expérience client, activez les paramètres suivants :
-
Page d’accueil : Définir sur Aucun
-
Tunnel divisé : désactivé
-
Accès sans client: réglé sur Activé
-
Authentification unique à l’application Web : cochez la case
-
Typede plug-in : défini sur Java
-
-
Dans l’onglet Sécurité, définissez les actions d’autorisation par défaut sur AUTORISER.
-
Dans l’onglet Applications publiées, activez les paramètres suivants :
-
Proxy ICA: Réglez sur ON.
-
Adresse de l’interface Web : nom de domaine complet du serveur StoreFront suivi du chemin d’accès au magasin
-
Domaine d’authentification unique : nom NetBIOS du domaine
-
Adresse des services de compte :saisissez l’adresse des services de compte. La dernière barre oblique inverse est importante. Par exemple,
https://accounts.example.com/Citrix/Roaming/Accounts
-
-
Cliquez sur Créer.
-
Si vous utilisez une expression de stratégie classique, dans le champ Expression, ajoutez les informations suivantes et cliquez sur Créer.
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
-
Si vous utilisez une expression de stratégie avancée, dans le champ Expression, ajoutez les informations suivantes et cliquez sur Créer.
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
Cette politique est requise pour que Citrix ADC fasse la différence entre les connexions basées sur le navigateur Web et les connexions basées sur les applications Citrix Workspace. Cette stratégie s’applique aux connexions basées sur l’application Citrix Workspace.
Configurer l’authentification sur l’appliance Citrix ADC
Pour plus d’informations sur la configuration de l’authentification LDAP sur une appliance Citrix ADC, consultez Configuration de l’authentification LDAP.
Créer un serveur virtuel Citrix Gateway et lier les stratégies de session
-
Accédez à Citrix Gateway > Serveur virtuel, puis cliquez sur Ajouter pour ajouter un nouveau serveur virtuel.
-
Une fois le serveur virtuel créé, liez la stratégie de session spécifique au serveur virtuel en fonction des besoins de votre entreprise.
Configuration de l’authentification pour StoreFront
-
Activez l’authentification directe à partir de Citrix Gateway sur StoreFront. Pour de plus amples informations, consultez la section Configurer le service d’authentification.
StoreFront doit approuver l’émetteur du certificat lié du serveur virtuel Citrix Gateway (certificats racine et/ou intermédiaires) pour le service de rappel d’authentification.
-
Ajoutez Citrix Gateway à StoreFront. Pour plus d’informations, consultez la section Ajouter une connexion Citrix Gateway.
L’URL de la passerelle doit correspondre exactement à ce que les utilisateurs saisissent dans la barre d’adresse du navigateur Web.
-
Activez l’accès à distance sur le magasin StoreFront. Pour plus d’informations, consultez la rubrique Gestion de l’accès à distance aux magasins via Citrix Gateway.