Gateway

Certificat de périphérique dans nFactor en tant que composant EPA

Important :

Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.

Le certificat de périphérique peut être configuré dans nFactor en tant que composant EPA. Le certificat d’appareil peut apparaître comme n’importe quel facteur dans le cadre de l’EPA.

Voici les avantages de la configuration du certificat de périphérique dans nFactor en tant que composant EPA.

  • L’échec de la validation du certificat de périphérique n’entraîne pas d’échec de connexion. En fonction de la configuration, l’ouverture de session peut se poursuivre et l’utilisateur peut être placé sous des groupes avec un accès limité.

  • Étant donné que la vérification du certificat d’appareil est pilotée par une stratégie, vous pouvez autoriser ou bloquer l’accès aux ressources intranet de votre entreprise de manière sélective en fonction de l’authentification par certificat de périphérique. Par exemple, l’authentification par certificat de périphérique peut être utilisée pour fournir un accès conditionnel à l’application Office 365 uniquement sur les ordinateurs portables gérés par l’entreprise.

La validation du certificat de périphérique ne peut pas faire partie d’une analyse périodique de l’EPA.

Important :

  • Par défaut, Windows impose des privilèges d’administrateur pour accéder aux certificats d’appareil. Pour ajouter la vérification du certificat de l’appareil pour les utilisateurs non administrateurs, vous devez installer le plug-in VPN de la même version que le plug-in EPA sur l’appareil.
  • Vous pouvez ajouter plusieurs certificats d’autorité de certification à la passerelle et valider le certificat de l’appareil.
  • Si vous installez deux certificats de périphérique ou plus sur les machines clientes, les utilisateurs doivent sélectionner le bon certificat lors de la connexion à Citrix Gateway ou avant l’exécution de l’analyse des points de terminaison.
  • Lorsque vous créez le certificat de périphérique, il doit s’agir d’un certificat X.509.
  • Si vous disposez d’un certificat de périphérique émis par une autorité de certification intermédiaire, les certificats d’autorité de certification intermédiaire et racine doivent être liés.
  • Vous devez également lier le certificat de l’autorité de certification au serveur virtuel VPN.

Configurez le certificat de périphérique dans nFactor en tant que composant EPA

Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA à l’aide de l’interface de ligne de commande :

À l’invite de commande, tapez ;

add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail

<!--NeedCopy-->

Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA pour le serveur virtuel VPN à l’aide de l’interface graphique :

  1. Dans l’interface graphique Citrix ADC, accédez à Configuration > Citrix Gateway > Virtual Servers.
  2. Sur la page Serveurs virtuels Citrix Gateway, sélectionnez le serveur virtuel à modifier et cliquez surModifier.
  3. Sur la page Serveur virtuel VPN, cliquez sur l’icône Modifier.

    Page du serveur virtuel VPN

  4. Cliquez sur Plus.

  5. Cliquez sur + dans la section CA for Device Certificate, puis cliquez sur OK.

    Remarque :

    Ne cochez pas la case Activer le certificat de périphérique. L’activation de cette option active la validation du certificat de périphérique dans l’EPA classique.

  6. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Sécurité > AAA — Trafic des applications > Stratégies > Authentification > Stratégies avancées > Actions > EPA.

  7. Sur la page Action EPA d’authentification, cliquez sur Ajouter. Vous pouvez cliquer sur Modifier pour modifier une action EPA existante.

  8. Sur la page Créer une action EPA d’authentification, indiquez les valeurs des champs requis pour créer une action EPA d’authentification, puis cliquez sur le lien EPA Editor.

  9. Sélectionnez Commun dans le menu Éditeur d’expressions.

    Sélectionnez commun

  10. Sélectionnez Certificat de périphérique dans le menu suivant qui apparaît, puis cliquez sur Terminé pour terminer la configuration.

    Sélectionnez le certificat de l'appareil

Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA pour le serveur virtuel Citrix ADC AAA à l’aide de l’interface graphique :

  1. Dans l’interface graphique Citrix ADC, accédez à Sécurité > Trafic des applications AAA > Serveurs virtuels.

  2. Sur la page Serveurs virtuels Citrix Gateway, sélectionnez le serveur virtuel à modifier et cliquez sur Modifier.

  3. Sur la page Serveur virtuel d’authentification, cliquez sur l’icône Modifier.
  4. Cliquez sur Plus.

  5. Cliquez sur Ajouter en regard de la section CA for Device Certificate.

  6. Sélectionnez le certificat à ajouter et cliquez sur OK pour terminer la configuration.

  7. Répétez les étapes 6 à 10 pour terminer la configuration.

Références

Certificat de périphérique dans nFactor en tant que composant EPA