Création de stratégies à l’aide de l’assistant de configuration rapide
Remarque : Citrix Endpoint Management n’est plus pris en charge.
Vous pouvez configurer les paramètres dans NetScaler Gateway pour permettre la communication avec Endpoint Management, StoreFront ou l’interface Web à l’aide de l’assistant de configuration rapide. Lorsque vous avez terminé la configuration, l’assistant crée les stratégies appropriées pour la communication entre NetScaler Gateway, Endpoint Management, StoreFront ou l’interface Web. Ces stratégies incluent les stratégies d’authentification, de session et d’accès sans client. Lorsque l’Assistant est terminé, les stratégies sont liées au serveur virtuel créé par l’assistant.
Lorsque vous avez terminé l’assistant de configuration rapide, NetScaler Gateway peut communiquer avec Endpoint Management ou StoreFront, et les utilisateurs peuvent accéder à leurs applications Windows, à leurs bureaux virtuels et à leurs applications Web, SaaS et mobiles. Les utilisateurs peuvent ensuite se connecter directement à Endpoint Management.
Au cours de l’assistant, vous configurez les paramètres suivants :
- Nom du serveur virtuel, adresse IP et port
- Redirection d’un port non sécurisé vers un port sécurisé
- Certificats
- serveur LDAP
- Serveur RADIUS
- Certificat client pour l’authentification (uniquement pour l’authentification à deux facteurs)
- Endpoint Management, StoreFront ou Interface Web
Vous pouvez configurer des certificats pour NetScaler Gateway dans l’assistant de configuration rapide en utilisant les méthodes suivantes :
- Sélectionnez un certificat installé sur l’appliance.
- Installez un certificat et une clé privée.
- Sélectionnez un certificat de test. Remarque : Si vous utilisez un certificat de test, vous devez ajouter le nom de domaine complet (FQDN) qui figure dans le certificat.
L’assistant de configuration rapide prend en charge l’authentification par certificat LDAP, RADIUS et client. Vous pouvez configurer l’authentification à deux facteurs dans l’assistant en suivant ces instructions :
- Si vous sélectionnez LDAP comme type d’authentification principal, vous pouvez configurer RADIUS en tant que type d’authentification secondaire.
- Si vous sélectionnez RADIUS comme type d’authentification principal, vous pouvez configurer LDAP en tant que type d’authentification secondaire.
- Si vous sélectionnez des certificats clients comme type d’authentification principal, vous pouvez configurer LDAP ou RADIUS comme type d’authentification secondaire.
Vous ne pouvez configurer qu’une seule stratégie d’authentification LDAP à l’aide de l’assistant de configuration rapide. L’Assistant ne vous permet pas de configurer plusieurs stratégies d’authentification LDAP. Si vous exécutez l’Assistant plusieurs fois et que vous souhaitez utiliser une stratégie LDAP différente, vous devez configurer les stratégies supplémentaires manuellement. Par exemple, vous souhaitez configurer une stratégie qui utilise SAMAccountName dans le champ Attribut de nom d’ouverture de session du serveur et une deuxième stratégie LDAP qui utilise le nom principal d’utilisateur (UPN) dans le champ Attribut du nom d’ouverture de session du serveur. Pour configurer ces stratégies distinctes, utilisez l’utilitaire de configuration pour créer les stratégies d’authentification. Pour plus d’informations sur la configuration de NetScaler Gateway afin d’authentifier l’accès des utilisateurs à un ou plusieurs serveurs LDAP, consultez la section Configuration de l’authentification LDAP.
Lorsque vous créez un serveur virtuel à l’aide de l’Assistant Configuration rapide, si vous souhaitez supprimer le serveur virtuel ultérieurement, Citrix recommande de le supprimer à l’aide de l’onglet Accueil. Lorsque vous utilisez cette méthode pour supprimer le serveur virtuel, les stratégies et les profils configurés via l’assistant sont supprimés. Si vous supprimez le serveur virtuel à l’aide de l’onglet Configuration, les stratégies et les profils ne sont pas supprimés. L’Assistant ne supprime pas les éléments suivants :
- La paire de clés de certificat créée pendant l’Assistant n’est pas supprimée, même si le certificat n’est pas lié à un serveur virtuel
- La stratégie et le profil d’authentification LDAP sont conservés si la stratégie est liée à un autre serveur virtuel. NetScaler Gateway supprime la stratégie LDAP uniquement si celle-ci n’est pas liée à un serveur virtuel.
Les tableaux suivants décrivent les stratégies et les profils créés par l’assistant de configuration rapide. Comme décrit dans les tableaux, les stratégies et les profils configurés dépendent de la manière dont les utilisateurs se connectent, que ce soit avec le client Citrix Secure Access, l’application Citrix Workspace ou Secure Hub. Les stratégies appliquées dépendent de la licence Citrix Endpoint Management Universal ou Platform utilisée lorsque les utilisateurs se connectent. Lorsque vous avez acheté NetScaler Gateway, vous avez également acheté un certain nombre de licences universelles, par exemple 100. Si les utilisateurs se connectent au client Citrix Secure Access, la session utilise une licence universelle. Si les utilisateurs se connectent à l’application Citrix Workspace pour accéder aux applications et bureaux Windows, la session utilise la licence Platform. Si les utilisateurs se connectent à partir d’un appareil mobile à l’aide d’un micro VPN et se connectent à Secure Hub, ou démarrent des applications, telles que WorxMail ou WorxWeb, la session utilise une licence universelle.
Stratégies de session, expressions et profils pour la licence universelle
L’assistant de configuration rapide crée les stratégies et expressions de session suivantes qui sont appliquées lorsque la session utilise la licence universelle.
| Type de stratégie | Expression |
|---|---|
| Session : application Citrix Secure Hub ou Citrix Workspace | REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS |
| Session : application Citrix Workspace pour le Web | L’agent utilisateur REQ.HTTP.HEADER NOTCONTAINS CitrixReceiver
|
| Session - NetScaler Gateway | REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS |
Le tableau suivant présente les paramètres de profil de session créés par l’Assistant Configuration rapide pour chaque type de stratégie de session du tableau précédent. La première colonne indique où trouver le paramètre de profil ou l’onglet du profil de session dans l’utilitaire de configuration.
L’URL StoreFront que vous entrez dépend de la façon dont les utilisateurs se connectent. Si les utilisateurs se connectent à l’aide de l’application Citrix Workspace pour le Web ou à l’aide d’un navigateur Web, vous utilisez le formulaire URL https://SF-FQDN/Citrix/StoreWeb. Si les utilisateurs se connectent à l’aide de l’application Citrix Workspace sur des appareils Windows, Mac ou mobiles, vous utilisez le formulaire URL https://SF-FQDN/Citrix/Store.
| Emplacement du profil | Paramètre du profil | Application Citrix Workspace | Application Citrix Workspace pour le Web | NetScaler Gateway |
|---|---|---|---|---|
| Ressources > Applications Intranet | Interception transparente | S/O | Désactivé | On |
| Onglet Session > Expérience client | Accès sans client | On | On | Désactivé |
| Onglet Session > Applications publiées | Proxy ICA | Désactivé | Désactivé | Désactivé |
| Session > onglet Expérience client | Connexion unique aux applications Web | On | On | On |
| Onglet Session > Applications publiées | Domaine d’authentification unique | URL StoreWeb d’Endpoint Management | URL StoreWeb d’Endpoint Management | URL StoreWeb d’Endpoint Management |
| Onglet Session > Applications publiées | Adresse de l’interface Web | URL StoreWeb d’Endpoint Management | URL StoreWeb d’Endpoint Management | URL StoreWeb d’Endpoint Management |
| Onglet Session > Applications publiées | Adresse des services de compte | URL StoreFront | S/O | URL StoreFront |
| Onglet Session > Expériences client | Split Tunnelling | Désactivé | S/O | Désactivé |
| Onglet Session > Expériences client | Encodage d’URL d’accès sans client | Effacer | S/O | Effacer |
| Onglet Session > Expériences client | Page d’accueil | S/O | URL StoreWeb d’Endpoint Management | URL StoreWeb d’Endpoint Management |
| OngletSession > Expériences client, puis cliquez sur l’onglet Paramètres avancés > Général | Choix du client | Désactivé | Désactivé | Désactivé |
| OngletSession > Sécurité | Action d’autorisation par défaut | Allow | Allow | Allow |
| Onglet Session > Expériences client | Délai d’expiration de la session (minutes) | 24 heures | S/O | S/O |
| Onglet Session > Expériences client | Délai d’inactivité du client (minutes) | (0) désactivé | S/O | S/O |
| OngletSession > Configuration réseau, puis cliquez sur Paramètres avancés | Délai d’attente forcé (minutes) | 24 heures | S/O | S/O |
Paramètres du profil d’accès sans client pour la licence universelle
L’assistant de configuration rapide crée les paramètres de profil d’accès sans client suivants pour la licence universelle :
- Configurez les domaines pour l’accès sans client pour autoriser l’accès. Configure le jeu de motifs ns_cvpn_default_inet_domains <
App ControllerFQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com -
App ControllerURL. Configure le jeu de motifs ns_cvpn_default_inet_domains <App ControllerFQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com - ShareFile. Permet d’utiliser jusqu’à cinq fixations. Configurez le jeu de motifs ns_cvpn_default_inet_domains <
App ControllerFQDN>. Par exemple, ns_cvpn_default_inet_domainsAppController_domain_com
Paramètres et règles d’accès sans client pour la licence universelle
Le tableau suivant répertorie les paramètres de stratégie d’accès sans client qui sont appliqués lorsque la session utilise la licence universelle.
| Nom de la stratégie | Rule | Profile |
URLs rewrite étiquette |
Javascript rewrite étiquette |
Jeu de motifs | Commentaires |
|---|---|---|---|---|---|---|
| CLT_LESS_VIP | Receiver_NoRewrite | NO_RW_VIP | Valeur par défaut | Valeur par défaut | Valeur par défaut | Receiver_NoRewrite |
| CLT_LESS_RF_VIPCLT_LESS_RF_VIP | True | ST_WB_RW_VIP | ns_cvpn_default_inet_url_label | Valeur par défaut | STORE_WEB_COOKIES |
RfWeb_Rewrite |
Le jeu de modèles STORE_WEB_COOKIES pour l’application Citrix Workspace pour Web ajoute l’adresse IP virtuelle de NetScaler Gateway au nom, comme indiqué dans la figure suivante :
Figure 1. Jeu de modèles pour l’application Citrix Workspace pour le Web
Stratégies, règles et profils de session pour la licence Platform
La licence Platform avec NetScaler Gateway permet un nombre illimité de connexions ICA à des applications et à des bureaux Windows hébergés par Citrix Virtual Apps and Desktops. Les tableaux suivants présentent les règles de session et les paramètres de stratégie de session pour les utilisateurs qui se connectent à l’application Citrix Workspace.
| Type de stratégie | Rule |
| ———————————————— | ————————————————————————————— |
| Session - Système d’exploitation et NetScaler Gateway | REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver || REQ.HTTP.HEADER Referer NOTEXISTS
| | Session - Receiver pour Web | ns_true |
|Emplacement du profil|Paramètre du profil|Système d’exploitation/NetScaler Gateway|Web|
|— |— |— |— |
|**Ressources > Applications Intranet**|Interception transparente|S/O|Désactivé|
|Onglet **Session > Expérience client**|Accès sans client|Désactivé|Désactivé|
|Onglet **Session > Applications publiées**|Proxy ICA|On|On|
|**Session > onglet Expérience client**|Single Sign-on vers les applications Web|On|On|
|Onglet **Session > Applications publiées**|Single Sign-on Domaine|Set|Set|
|Session > Onglet Applications publiées|Adresse de l’interface Web|Config.xml si
URL StoreFront de l’interface Web avec StoreWeb|URL StoreFront |
|Session > Onglet Applications publiées|Adresse des services de compte|URL StoreFront avec StoreWeb|N/A|
|Session > Onglet Expériences client|Split Tunnel|Off|N/A|
|Session > Onglet Expériences client|Encodage d’URL d’accès sans client|N/A|N/A|
|Session > Onglet Expériences client|Page d’accueil|N/A|N/A|
|Session > onglet Expériences client, puis cliquez sur Paramètres avancés > Onglet Général|Choix du client|Off|Off|
|Session > Onglet Sécurité|Action d’autorisation par défaut|Autoriser|
|Session > onglet Expériences client|Délai d’expiration de session (minutes) |N/A|N/A|
|Session > Expériences client Onglet|Délai d’inactivité du client (minutes)
|N/A|N/A| |Session > onglet Configuration réseau, puis cliquez sur Paramètres avancés|Délai d’expiration forcé (minutes) |N/A|N/A|