Stratégies de post-authentification
Important :
Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.
Une stratégie de post-authentification est un ensemble de règles génériques que la machine utilisateur doit respecter pour maintenir la session active. Si la stratégie échoue, la connexion à NetScaler Gateway prend fin. Lorsque vous configurez la stratégie de post-authentification, vous pouvez configurer n’importe quel paramètre pour les connexions utilisateur pouvant être rendu conditionnel.
Vous utilisez des stratégies de session pour configurer les stratégies de post-authentification. Tout d’abord, vous créez les utilisateurs auxquels la stratégie s’applique. Vous ajoutez ensuite les utilisateurs à un groupe. Ensuite, vous liez la session, les stratégies de trafic et les applications intranet au groupe.
Vous pouvez également spécifier que les groupes soient des groupes d’autorisation. Ce type de groupe vous permet d’attribuer des utilisateurs à des groupes en fonction d’une expression de contrôle de l’appareil client dans la stratégie de session.
Vous pouvez également configurer une stratégie de post-authentification pour placer les utilisateurs dans un groupe de quarantaine si la machine utilisateur ne répond pas aux exigences de la stratégie. Une stratégie simple comprend une expression de contrôle de l’appareil client et un message. Lorsque les utilisateurs se trouvent dans le groupe de quarantaine, ils peuvent se connecter à NetScaler Gateway ; toutefois, ils bénéficient d’un accès limité aux ressources réseau.
Vous ne pouvez pas créer de groupe d’autorisation et de groupe de quarantaine en utilisant le même profil de session et la même stratégie. Les étapes de création de la stratégie de post-authentification sont les mêmes. Lorsque vous créez la stratégie de session, vous sélectionnez un groupe d’autorisation ou un groupe de quarantaine. Vous pouvez créer deux stratégies de session et lier chaque stratégie au groupe.
Les stratégies de post-authentification sont également utilisées avec SmartAccess. Pour de plus amples informations sur SmartAccess, consultez la section Configuration de SmartAccess sur NetScaler Gateway.
Remarque :
Cette fonctionnalité fonctionne uniquement avec le client Citrix Secure Access. Si les utilisateurs ouvrent une session avec l’application Citrix Workspace, l’analyse Endpoint Analysis s’exécute uniquement à l’ouverture de session.
Configurer une stratégie de post-authentification
Vous utilisez une stratégie de session pour configurer une stratégie de post-authentification. Une stratégie simple comprend une expression de contrôle de l’appareil client et un message.
Pour configurer une stratégie de post-authentification à l’aide de l’interface graphique
- Développez NetScaler Gateway > Policies, puis cliquez sur Session.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
- Sous Client Security, cliquez sur Override Global, puis cliquez sur New.
- Configurez l’expression de contrôle de l’appareil client, puis cliquez sur Créer.
- Sous Client Security, dans Groupe de quarantaine, sélectionnez un groupe.
- Dans Message d’erreur, tapez le message que vous souhaitez que les utilisateurs reçoivent en cas d’échec de l’analyse post-authentification.
- Sous Groupes d’autorisation, cliquez sur Remplacer le groupe global, sélectionnez un groupe, cliquez sur Ajouter, cliquez sur OK, puis cliquez sur Créer.
- Dans la boîte de dialogue Créer une politique de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.
Configuration de la fréquence des analyses post-authentification
Vous pouvez configurer NetScaler Gateway pour exécuter la stratégie de post-authentification à des intervalles spécifiés. Par exemple, vous avez configuré une stratégie de vérification de l’appareil client et souhaitez qu’elle soit exécutée sur la machine utilisateur toutes les 10 minutes. Vous pouvez configurer cette fréquence en créant une expression personnalisée dans la stratégie.
Remarque :
La fonctionnalité de vérification de fréquence pour les stratégies de post-authentification fonctionne uniquement avec le client Citrix Secure Access. Si les utilisateurs ouvrent une session avec l’application Citrix Workspace, l’analyse Endpoint Analysis s’exécute uniquement à l’ouverture de session.
Vous pouvez définir la fréquence (en minutes) lorsque vous configurez la stratégie de contrôle de l’appareil client en suivant la procédure Configuration d’une stratégie post-authentification. La figure suivante montre où vous pouvez entrer une valeur de fréquence dans la boîte de dialogue Ajouter une expression .
Groupes de quarantaine et d’autorisation
Lorsque les utilisateurs se connectent à NetScaler Gateway, vous les attribuez à un groupe que vous configurez soit sur NetScaler Gateway, soit sur un serveur d’authentification du réseau sécurisé. Si un utilisateur échoue lors d’une analyse post-authentification, vous pouvez l’affecter à un groupe restreint, appelé groupe de quarantaine, qui limite l’accès aux ressources réseau.
Vous pouvez également utiliser des groupes d’autorisation pour restreindre l’accès des utilisateurs aux ressources réseau. Par exemple, il se peut qu’un groupe de contractuels n’ait accès qu’à votre serveur de messagerie et à un partage de fichiers. Lorsque les machines des utilisateurs répondent aux exigences de vérification des appareils que vous avez définies sur NetScaler Gateway, les utilisateurs peuvent devenir membres de groupes de manière dynamique.
Vous utilisez des paramètres globaux ou des stratégies de session pour configurer des groupes de quarantaine et d’autorisation liés à un utilisateur, un groupe ou un serveur virtuel. Vous pouvez affecter des utilisateurs à des groupes en fonction d’une expression de contrôle de l’appareil client dans la stratégie de session. Lorsque l’utilisateur est membre d’un groupe, NetScaler Gateway applique la stratégie de session en fonction de l’appartenance au groupe.
Configuration des groupes d’autorisation
Lorsque vous configurez une analyse Endpoint Analysis, vous pouvez ajouter dynamiquement des utilisateurs à un groupe d’autorisations lorsque la machine utilisateur réussit l’analyse. Par exemple, vous créez une analyse Endpoint Analysis qui vérifie l’appartenance au domaine de la machine utilisateur. Sur NetScaler Gateway, créez un groupe local appelé Domain-Joined Computers et ajoutez-le en tant que groupe d’autorisation pour tous ceux qui réussissent l’analyse. Lorsque des utilisateurs rejoignent le groupe, ils héritent des stratégies associées au groupe.
Vous ne pouvez pas lier des stratégies d’autorisation globalement ou à un serveur virtuel. Vous pouvez utiliser des groupes d’autorisation pour fournir un ensemble de stratégies d’autorisation par défaut lorsque les utilisateurs ne sont pas configurés pour être membres d’un autre groupe sur NetScaler Gateway.
Pour configurer un groupe d’autorisations à l’aide d’une stratégie de session
- Accédez à NetScaler Gateway > Policies, puis cliquez sur Session.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
- Sous Groupes d’autorisation, cliquez sur Remplacer le groupe global et sélectionnez un groupe dans la liste déroulante.
- Cliquez sur Ajouter, sur OK, puis sur Créer.
- Dans la boîte de dialogue Créer une politique de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis surFermer.
Après avoir créé la stratégie de session, vous pouvez la lier à un utilisateur, un groupe ou un serveur virtuel.
Pour configurer un groupe d’autorisations global
- Développez NetScaler Gateway, puis cliquez sur Paramètres généraux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
- Sous Groupe d’autorisation, sélectionnez un groupe dans la liste déroulante.
- Cliquez sur Ajouter, puis sur OK.
Si vous souhaitez supprimer un groupe d’autorisations globalement ou de la politique de session, dans la boîte de dialogue Paramètres de sécurité - Paramètres avancés, sélectionnez le groupe d’autorisations dans la liste, puis cliquez sur Supprimer.
Configuration des groupes de quarantaine
Lorsque vous configurez un groupe de quarantaine, vous configurez l’expression de contrôle de l’appareil client à l’aide de la boîte de dialogue Paramètres de sécurité - Paramètres avancés au sein d’un profil de session.
Pour configurer l’expression de contrôle de l’appareil client pour un groupe de quarantaine
- Accédez à NetScaler Gateway > Policies, puis cliquez sur Session.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
- Sous Client Security, cliquez sur Override Global, puis cliquez sur New.
- Dans la boîte de dialogue Expression client, configurez l’expression de contrôle de l’appareil client, puis cliquez sur Créer.
- Dans Groupe de quarantaine, sélectionnez le groupe.
- Dans Message d’erreur, tapez un message décrivant le problème pour les utilisateurs, puis cliquez sur Créer.
- Dans la boîte de dialogue Créer une stratégie de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, puis cliquez sur Ajouter une expression.
- Cliquez sur Créer, puis sur Fermer.
Après avoir créé la stratégie de session, liez-la à un utilisateur, un groupe ou un serveur virtuel.
Remarque :
Si l’analyse Endpoint Analysis échoue et que l’utilisateur est placé dans le groupe de quarantaine, les stratégies liées au groupe de quarantaine ne sont effectives que si aucune stratégie liée directement à l’utilisateur n’a un numéro de priorité égal ou inférieur à celui des stratégies liées au groupe de quarantaine.
Pour configurer un groupe de quarantaine global
- Développez NetScaler Gateway, puis cliquez sur Paramètres généraux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Sécurité, cliquez sur Paramètres avancés.
- Dans Client Security, configurez l’expression de contrôle de l’appareil client.
- Dans Groupe de quarantaine, sélectionnez le groupe.
- Dans Message d’erreur, tapez un message décrivant le problème aux utilisateurs, puis cliquez sur OK.