Citrix Secure Private Access

Accès direct aux applications Web d’entreprise

Les applications Web d’entreprise telles que SharePoint, JIRA, Confluence et autres, hébergées par le client sur site ou sur des clouds publics, sont désormais accessibles directement depuis un navigateur client. Les utilisateurs finaux n’ont plus besoin d’initier l’accès à leurs applications Web d’entreprise à partir de l’expérience Citrix Workspace. Cette fonctionnalité permet également aux utilisateurs finaux d’accéder aux applications Web en cliquant sur des liens depuis leurs e-mails, leurs outils de collaboration ou les signets de leur navigateur. Fournit ainsi une véritable solution à empreinte zéro aux clients.

Fonctionnement

  • Ajoutez un nouvel enregistrement DNS ou modifiez un enregistrement DNS existant pour les applications Web d’entreprise configurées.

  • L’administrateur informatique ajouterait un nouvel enregistrement DNS public ou modifierait un enregistrement DNS public existant pour le nom de domaine complet de l’application Web d’entreprise configuré afin de rediriger l’utilisateur vers le service Citrix Secure Private Access.

  • Lorsque l’utilisateur final initie l’accès à l’application Web d’entreprise configurée, le trafic de l’application est dirigé vers le service Citrix Secure Private Access, qui proxy l’accès à l’application.

  • Une fois la demande arrivée sur le service Citrix Secure Private Access, il vérifie l’authentification de l’utilisateur et l’autorisation de l’application, y compris les vérifications des stratégies d’accès contextuelles.

  • Une fois la validation réussie, le service Citrix Secure Private Access communique avec les appareils Citrix Cloud Connector, déployés dans l’environnement du client (sur site ou dans le cloud) pour permettre l’accès à l’application Web d’entreprise configurée.

Configurer Citrix Secure Private Access pour un accès direct aux applications Web d’entreprise

Prérequis

Avant de commencer, vous avez besoin des éléments suivants pour configurer l’application.

  • Nom de domaine complet de l’application
  • Certificat SSL – Certificat public pour l’application à configurer
  • Emplacement des ressources – Installer les appareils Citrix Cloud Connector
  • Accédez à l’enregistrement DNS public pour le mettre à jour avec le nom canonique (CNAME) fourni par Citrix lors de la configuration de l’application.

Procédure de configuration de l’accès direct aux applications Web d’entreprise :

Important :

Pour une configuration complète de bout en bout d’une application, consultez Flux de travail guidé par l’administrateur pour une intégration et une configuration faciles.

  1. Sur la page d’accueil de Secure Private Access, cliquez sur Continuer.

Remarque

Le bouton Continuer apparaît uniquement la première fois que vous utilisez l’assistant. Dans les utilisations suivantes, vous pouvez accéder directement à la page Applications puis cliquer sur Ajouter une application.

  1. Configurer l’identité et l’authentification. Pour plus de détails, consultez Flux de travail guidé par l’administrateur pour une intégration et une configuration faciles.

  2. Procédez à l’ajout d’une application. Pour plus de détails, voir Ajouter et gérer des applications.

  3. Sélectionnez l’application que vous souhaitez ajouter et cliquez sur Ignorer.

  4. Dans Où se trouve l’emplacement de l’application ?, sélectionnez l’emplacement.

  5. Saisissez les détails suivants dans la section Détails de l’application et cliquez sur Suivant.

    • Type d’application – Sélectionnez le type d’application (HTTP ou HTTPS).

    • Nom de l’application – Nom de l’application.

    • Description de l’application - Une brève description de l’application. Cette description que vous saisissez ici est affichée à vos utilisateurs dans l’espace de travail.

    • Icône de l’application – Cliquez sur Modifier l’icône pour modifier l’icône de l’application. La taille du fichier d’icône doit être de 128x128 pixels. Si vous ne modifiez pas l’icône, l’icône par défaut s’affiche.

      Si vous ne souhaitez pas afficher l’icône de l’application, sélectionnez Ne pas afficher l’icône de l’application aux utilisateurs.

  6. Sélectionnez Accès direct pour permettre aux utilisateurs d’accéder à l’application directement depuis un navigateur client. Entrez les détails suivants.

    • URL – URL de l’application back-end. L’URL doit être au format HTTPS et une entrée DNS correspondante doit être ajoutée par l’administrateur.
    • Certificat SSL – Sélectionnez un certificat SSL existant dans le menu déroulant ou ajoutez un nouveau certificat SSL en cliquant sur Ajouter un nouveau certificat SSL.

      Points à noter :

      • Seul un certificat d’autorité de certification public ou approuvé est pris en charge. Les certificats auto-signés ne sont pas pris en charge.
      • Une chaîne complète de certificats doit être téléchargée.
    • Domaines associés – Le domaine associé est automatiquement renseigné en fonction de l’URL que vous avez fournie. Le domaine associé aide le service à identifier l’URL dans le cadre de l’application et à acheminer le trafic en conséquence. Vous pouvez ajouter plusieurs domaines associés. Vous pouvez lier un certificat SSL à chaque domaine associé, ceci est facultatif.

    • Enregistrement CName – Généré automatiquement par Secure Private Access. Il s’agit de la valeur qui doit être saisie dans le DNS pour permettre l’accès direct à l’application.

    Accès sans agent

  7. Cliquez sur Suivant.

  8. Dans la section Authentification unique , sélectionnez votre type d’authentification unique préféré à utiliser pour votre application et cliquez surSuivant.

    Authentification unique SPA

  9. Dans la section Connectivité des applications , vous pouvez soit sélectionner un emplacement de ressource existant, soit en créer un et déployer une nouvelle appliance de connecteur. Pour choisir un emplacement de ressource existant, cliquez sur l’un des emplacements de ressource dans la liste des emplacements de ressource, par exemple Mon emplacement de ressource, puis cliquez surSuivant. Pour plus de détails, consultez Tables de routage pour résoudre les conflits si les domaines associés dans les applications SaaS et Web sont les mêmes.

    Connectivité des applications SPA

  10. Cliquez sur Terminer. L’application est ajoutée à la page Applications. Vous pouvez modifier ou supprimer une application depuis la page Applications après l’avoir configurée. Pour ce faire, cliquez sur le bouton points de suspension d’une application et sélectionnez les actions en conséquence.

    • Modifier l’application
    • Supprimer

Important :

  • Pour permettre un accès basé sur la confiance zéro aux applications, l’accès aux applications se voit refuser par défaut. L’accès aux applications est activé uniquement si une politique d’accès est associée à l’application. Pour plus de détails sur la création de politiques d’accès, voir Créer des politiques d’accès.
  • Si plusieurs applications sont configurées avec le même nom de domaine complet ou une variante du nom de domaine complet générique, cela peut entraîner une configuration conflictuelle. Pour éviter les configurations conflictuelles, consultez Bonnes pratiques pour les configurations d’applications Web et SaaS.

Service Device Posture avec applications à accès direct

Citrix Secure Private Access avec des applications d’accès direct, associé au service Device Posture, peut garantir que seuls les appareils conformes accèdent aux applications sensibles via un accès direct. Les administrateurs peuvent bloquer l’accès aux appareils non conformes ou non gérés en fonction des résultats de l’analyse du service Device Posture.

Étapes à suivre pour activer l’accès direct uniquement pour les appareils conformes

Pour activer l’accès direct uniquement aux appareils conformes, l’administrateur doit effectuer les étapes suivantes :

  1. À partir de la console d’administration du service Device Posture, créez une stratégie de posture de l’appareil pour vérifier les conditions d’analyse de posture de l’appareil telles que le certificat de l’appareil, l’antivirus, le navigateur, puis sélectionnez Conforme comme action de résultat de stratégie. Pour plus de détails, voir Configurer la posture de l’appareil.

    Position de l'appareil pour un accès direct1

  2. Depuis la console d’administration Secure Private Access, procédez comme suit :

    Position de l'appareil pour un accès direct2

    • Configurez l’accès privé sécurisé avec la posture de l’appareil. Dans Portée de la règle, sélectionnez Vérification de la posture de l’appareil > Correspond à l’un des et entrez la balise Conforme. Cette balise est envoyée depuis le service Device Posture.

Remarque

La balise doit être saisie exactement comme saisie précédemment, en utilisant des majuscules initiales (conforme). Dans le cas contraire, les politiques de posture de l’appareil ne fonctionnent pas comme prévu. Pour plus de détails, voir Configuration de Citrix Secure Private Access avec Device Posture.

![Position de l'appareil pour un accès direct3](/en-us/citrix-secure-private-access/media/spa-direct-access-device-posture-3.png)

Une fois cette configuration effectuée, en fonction des résultats de l’analyse de posture de l’appareil, l’appareil est marqué comme conforme, non conforme ou la connexion est refusée et l’accès à l’application est activé en conséquence.

Exemple :

Considérez que vous avez créé une politique de posture de périphérique pour vérifier la présence d’un certificat de périphérique sur un périphérique de terminaison et déterminer son état de connexion. Une fois les stratégies de posture de l’appareil définies et la posture de l’appareil activée, les actions suivantes se produisent lorsqu’un utilisateur final se connecte à Citrix Workspace.

  1. L’analyse de posture de l’appareil vérifie la présence d’un certificat d’appareil sur le périphérique terminal.

    • Si le certificat de l’appareil est présent sur l’appareil, l’appareil est étiqueté comme conforme.
    • Si le certificat de l’appareil n’est pas présent sur l’appareil, l’appareil est marqué comme non conforme.
  2. Ces informations sont ensuite transmises au service Citrix Secure Private Access sous forme de balises.
  3. La politique d’accès est évaluée en fonction de la classification de l’appareil.

    • Si l’appareil est conforme, l’accès direct aux applications est autorisé.
    • Si l’appareil n’est pas conforme, l’accès direct est désactivé pour les applications.

Expérience de l’utilisateur final

L’expérience de l’utilisateur final est basée sur la classification de l’appareil comme conforme ou non conforme.

  • Appareil conforme :

    L’utilisateur peut lancer l’application d’accès direct depuis Citrix Workspace ou depuis le navigateur à l’aide de l’URL de l’application.

  • Appareil non conforme :

    • L’application n’est pas répertoriée dans Citrix Workspace.
    • L’utilisateur ne peut pas lancer l’application depuis le navigateur en utilisant l’URL de l’application.
    • Une page d’accès bloqué est affichée à l’utilisateur.
Accès direct aux applications Web d’entreprise