Configuration d’un domaine personnalisé
La configuration d’un domaine personnalisé pour votre espace de travail vous permet d’utiliser le domaine de votre choix pour accéder à votre magasin Citrix Workspace. Vous pouvez ensuite utiliser ce domaine à la place du domaine cloud.com qui vous a été attribué pour y accéder à la fois depuis un navigateur Web et des applications Citrix Workspace.
Un domaine personnalisé ne peut pas être partagé avec d’autres clients Citrix Workspace. Chaque domaine personnalisé doit être unique à ce client. Assurez-vous de choisir le domaine personnalisé que vous ne souhaitez pas attribuer à un autre client, à moins que vous ne souhaitiez le supprimer ultérieurement.
La désactivation de l’URL de Workspace dans Citrix Cloud ne désactive pas l’accès à Citrix Workspace via le domaine personnalisé. Pour désactiver l’accès à Citrix Workspace lors de l’utilisation d’un domaine personnalisé, désactivez également le domaine personnalisé.
Scénarios pris en charge
Scénarios | Pris en charge | Non pris en charge |
---|---|---|
Fournisseurs d’identité | AD (+ jeton), Azure AD, Citrix Gateway, Okta et SAML | |
Types de ressources | Virtual Apps and Desktops | Applications SaaS |
Méthodes d’accès | Navigateur (à l’exception d’Internet Explorer), application Citrix Workspace pour Windows, Mac, Linux et iOS | - |
Utilisation | Workspace | Cloud Connector et console d’administration Cloud |
En quoi est-elle différente de l’URL Workspace personnalisée actuelle ?
Si une URL Workspace personnalisée est déjà activée pour votre client, la vue suivante s’affiche.
Vous pouvez utiliser cette URL pour le moment et poursuivre les étapes décrites dans ce document pour intégrer une autre URL Workspace personnalisée. Elle sera dépréciée à l’avenir.
Si vous souhaitez utiliser la même URL, supprimez l’URL Workspace personnalisée précédente et supprimez tous les enregistrements DNS pour continuer.
Conditions préalables
-
Vous pouvez choisir un domaine récemment enregistré ou un domaine que vous possédez déjà. Le domaine doit être au format sous-domaine (your.company.com). Citrix ne prend pas en charge l’utilisation d’un domaine racine uniquement (company.com).
-
Citrix vous recommande d’utiliser un domaine dédié en tant que domaine personnalisé pour l’accès à Citrix Workspace, afin de pouvoir le modifier facilement si nécessaire.
- Les domaines personnalisés ne peuvent pas contenir de marques déposées Citrix. Vous trouverez la liste complète des marques déposées Citrix ici.
- Le domaine que vous choisissez doit être configuré dans le DNS public. Tous les noms et valeurs d’enregistrement CNAME inclus dans la configuration de votre domaine doivent pouvoir être résolus par Citrix.
Remarque :
Les configurations DNS privées ne sont pas prises en charge.
- La longueur du nom de domaine ne doit pas dépasser 64 caractères.
Configuration de votre domaine personnalisé
Une fois qu’un domaine personnalisé est défini, vous ne pouvez pas modifier l’URL ou le type de certificat. Vous pouvez uniquement le supprimer. Assurez-vous que le domaine que vous choisissez n’est pas déjà configuré dans le DNS. Supprimez tous les enregistrements CNAME existants avant de tenter de configurer votre domaine personnalisé.
Si vous utilisez le protocole SAML pour vous connecter à votre fournisseur d’identité, vous devez effectuer une étape supplémentaire pour terminer la configuration SAML. Pour plus d’informations, consultez SAML.
Ajouter un domaine personnalisé
-
Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Accès.
-
Dans l’onglet Accès, sous URL d’espace de travail personnalisée, sélectionnez + Ajouter votre propre domaine.
-
Lisez les informations affichées sur la page Aperçu, puis sélectionnez Suivant.
-
Entrez le domaine que vous avez choisi sur la page Fournissez une URL. Confirmez que vous êtes propriétaire du domaine spécifié en sélectionnant Confirmez que vous ou votre entreprise êtes propriétaire de l’URL fournie, puis choisissez vos préférences en matière de gestion des certificats TLS. Citrix recommande la méthode gérée, car les renouvellements de certificats sont gérés pour vous. Pour plus d’informations, consultez la section Fournir un certificat renouvelé. Cliquez sur Suivant.
Si des avertissements apparaissent sur cette page, corrigez le problème surligné pour continuer.
Si vous avez choisi de fournir votre propre certificat, vous devez suivre une étape supplémentaire dans les instructions.
Le provisioning du domaine que vous avez choisi prend un certain temps. Vous pouvez attendre et rester sur la page ou la fermer pendant que le provisioning est en cours.
-
Si la page Fournissez une URL est ouverte alors que le provisioning se termine, la page Configurez votre DNS s’ouvre automatiquement. Si vous avez fermé la page, sélectionnez le bouton Continuer correspondant à votre domaine personnalisé dans l’onglet Accès.
-
Effectuez cette étape sur le portail de gestion fourni par votre bureau d’enregistrement DNS. Ajoutez un enregistrement CNAME pour le domaine personnalisé de votre choix qui pointe vers le Azure Traffic Manager qui vous a été attribué.
Copiez l’adresse du gestionnaire de trafic depuis la page Configurez votre DNS. Dans l’exemple, l’adresse est la suivante :
wsp-cd-eastus2-production-traffic-manager-profile-1-52183.trafficmanager.net
Si des enregistrements d’autorisation de l’autorité de certification (CAA) sont configurés dans votre DNS, ajoutez-en un qui permet à Let’s Encrypt de générer des certificats pour votre domaine. Let’s Encrypt est l’autorité de certification (CA) que Citrix utilise pour générer un certificat pour votre domaine personnalisé. La valeur de l’enregistrement CAA doit être la suivante : 0 issue “letsencrypt.org”
-
Une fois que vous avez configuré l’enregistrement CNAME avec votre fournisseur DNS, sélectionnez Détecter enregistrement CNAME pour vérifier que votre configuration DNS est correcte. Si l’enregistrement CNAME a été correctement configuré, une coche verte apparaît à côté de la section Configuration de CNAME.
Si des avertissements apparaissent sur cette page, corrigez le problème pour continuer.
Si vous avez configuré des enregistrements CAA avec votre fournisseur DNS, une configuration CAA distincte s’affiche. Sélectionnez Détecter enregistrement CAA pour vérifier que votre configuration DNS est correcte. Si la configuration de votre enregistrement CAA est correcte, une coche verte apparaît à côté de la section Configuration de CAA.
Une fois votre configuration DNS vérifiée, cliquez sur Suivant.
-
Il s’agit d’une étape facultative. Si vous avez choisi d’ajouter votre propre certificat, complétez les informations requises sur la page Ajouter votre propre certificat.
Si des avertissements apparaissent sur cette page, corrigez le problème surligné pour continuer. Assurez-vous que le certificat remplit les conditions suivantes.
- Il doit être codé PEM.
- Il devrait rester valide pendant encore au moins 30 jours.
- Il doit être utilisé exclusivement pour l’URL personnalisée de l’espace de travail, les certificats génériques ne sont pas acceptables.
- Le nom courant du certificat doit correspondre au domaine personnalisé.
- Les SAN figurant sur le certificat doivent être destinés au domaine personnalisé. Aucun réseau SAN supplémentaire n’est autorisé.
- La durée de validité du certificat ne doit pas dépasser 10 ans.
Remarque :
Citrix vous recommande d’utiliser un certificat utilisant une fonction de hachage cryptographique sécurisée (SHA 256 ou supérieur). Vous êtes responsable du renouvellement du certificat. Si votre certificat a expiré ou est sur le point d’expirer, consultez la section Fournir un certificat renouvelé.
-
Il s’agit d’une étape facultative. Si vous utilisez SAML comme fournisseur d’identité, fournissez la configuration associée. Renseignez les informations requises sur la page Configurer pour SAML.
Utilisez les informations suivantes lors de la configuration de l’application dans votre fournisseur d’identité :
Propriété Valeur Audience https://saml.cloud.com
Destinataire https://<your custom domain>/saml/acs
Validateur des URL ACS https://<your custom domain>/saml/acs
URL des consommateurs ACS https://<your custom domain>/saml/acs
URL de déconnexion unique https://<your custom domain>/saml/logout/callback
-
Lisez les informations affichées sur la page Provisionnez votre domaine et confirmez avoir lu les instructions. Lorsque vous êtes prêt à continuer, sélectionnez Accepter et continuer.
Cette dernière étape de provisioning peut prendre un certain temps. Vous pouvez attendre et rester sur la page jusqu’à la fin de l’opération ou fermer la page.
Supprimer un domaine personnalisé
La suppression d’un domaine personnalisé pour votre client supprime la possibilité d’accéder à Citrix Workspace à l’aide d’un domaine personnalisé. Après avoir supprimé le domaine personnalisé, vous ne pouvez accéder à Citrix Workspace qu’à l’aide de l’adresse cloud.com.
Lorsque vous supprimez un domaine personnalisé, assurez-vous que l’enregistrement CNAME est supprimé de votre fournisseur DNS.
Pour supprimer un domaine personnalisé,
-
Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Accès.
-
Développez le menu contextuel (…) pour le domaine personnalisé dans l’onglet Accès, puis sélectionnez Supprimer.
-
Lisez les informations affichées sur la page Supprimer domaine personnalisé et confirmez avoir lu les instructions. Lorsque vous êtes prêt à continuer, sélectionnez Supprimer.
La suppression d’un domaine personnalisé prend un certain temps. Vous pouvez attendre et rester sur la page jusqu’à la fin de l’opération ou fermer la page.
Fournir un certificat renouvelé
-
Connectez-vous à Citrix Cloud.
-
Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Accès.
-
La date d’expiration du certificat sera affichée à côté du domaine personnalisé auquel il est attribué.
Lorsque votre certificat doit expirer dans un délai de 30 jours ou moins, votre domaine personnalisé affiche un avertissement.
-
Développez le menu contextuel (…) pour le domaine personnalisé dans l’onglet Accès. Sélectionnez Mettre à jour le certificat.
-
Entrez les informations requises sur la page Mettre à jour le certificat, puis sélectionnez Enregistrer.
Si des avertissements apparaissent sur cette page, corrigez le problème surligné pour continuer.
Le certificat doit répondre aux mêmes exigences que lors de la création du domaine personnalisé. Vous pouvez les vérifier dans Ajouter un domaine personnalisé.
Configuration de votre fournisseur d’identité
Configuration d’Okta
Procédez comme suit si vous utilisez Okta comme fournisseur d’identité pour l’accès à Citrix Workspace.
-
Connectez-vous au portail administrateur de votre instance Okta. Cette instance contient l’application utilisée par Citrix Cloud.
-
Développez Applications, puis sélectionnez Applications dans le menu.
- Ouvrez l’application liée à Citrix Cloud.
-
Sélectionnez Edit dans la section General Settings.
-
Dans la section LOGIN de General Settings, ajoutez une nouvelle valeur pour Sign-in redirect URIs. Ajoutez la nouvelle valeur aux valeurs existantes et ne les remplacez pas. La nouvelle valeur doit être au format suivant : https://your.company.com/core/login-okta
-
Dans la même section, ajoutez une nouvelle valeur pour Sign-out redirect URIs. Ajoutez la nouvelle valeur aux valeurs existantes et ne les remplacez pas. La nouvelle valeur doit être au format suivant : https://your.company.com
- Cliquez sur Save pour enregistrer la nouvelle configuration.
Configuration de stratégies et de profils OAuth
Important
La stratégie et le profil OAuth existants qui relient Citrix Cloud à Citrix Gateway ou à votre paire d’authentification adaptative HA ne doivent être mis à jour qu’en cas de perte des informations d’identification OAuth. La modification de cette stratégie risque de rompre le lien entre Citrix Cloud et des Workspace et d’affecter votre capacité à vous connecter à des Workspace.
Configurer Citrix Gateway
L’administrateur de Citrix Cloud a accès à la clé secrète client non chiffrée. Ces informations d’identification sont fournies par Citrix Cloud lors du processus de liaison avec Citrix Gateway dans Gestion des identités et des accès > Authentification. Le profil et la stratégie OAuth ont été créés manuellement par l’administrateur Citrix sur Citrix Gateway au cours du processus de connexion.
Vous avez besoin de l’ID client et de la clé secrète client non chiffrée qui ont été fournis lors du processus de connexion à Citrix Gateway. Ces informations d’identification sont fournies par Citrix Cloud et ont été enregistrées de manière sécurisée. La clé secrète non chiffrée est nécessaire pour utiliser à la fois l’interface de Citrix ADC ou l’interface de ligne de commande (CLI) afin de créer une stratégie et un profil OAuth.
Voici un exemple d’interface utilisateur lorsque l’ID client et le secret sont fournis à l’administrateur Citrix. Si l’administrateur Citrix ne parvient pas à enregistrer les informations d’identification pendant le processus de connexion, il ne pourra pas obtenir une copie du secret non chiffré après la connexion de Citrix Gateway.
Utilisation de Citrix Cloud
Procédez comme suit pour ajouter un profil et une stratégie OAuth supplémentaires à l’aide de l’interface de Citrix Gateway :
-
Dans le menu, sélectionnez Security > AAA - Application Traffic > OAuth IDP. Sélectionnez la stratégie OAuth existante et cliquez sur Add.
-
Lorsque vous y êtes invité, modifiez le nom de la nouvelle stratégie OAuth pour la différencier de la stratégie existante sélectionnée à l’étape précédente. Citrix suggère d’ajouter une URL personnalisée à son nom.
- Sur l’interface graphique de Citrix Gateway, créez votre profil OAuth existant.
-
Dans le même menu de l’interface graphique, à côté de Action, cliquez sur Add.
-
Sur l’interface graphique de Citrix Gateway, liez la nouvelle stratégie OAuth à votre serveur virtuel d’authentification, d’autorisation et d’audit existant.
-
Accédez à Security > Virtual Servers > Edit.
À l’aide de l’interface de ligne de commande (CLI)
Important
Si aucune copie des informations d’identification OAuth n’est enregistrée de manière sécurisée, vous devez déconnecter puis reconnecter votre Citrix Gateway et mettre à jour votre profil OAuth existant avec les nouvelles informations d’identification OAuth fournies par la Gestion des identités et des accès de Citrix Cloud. Ne mettez à jour votre profil OAuth existant avec de nouvelles informations d’identification que si les anciennes informations d’identification sont irrécupérables. Ceci n’est pas recommandé sauf si vous n’avez pas d’autre choix.
-
Utilisez un outil SSH tel que PuTTY pour vous connecter à votre instance Citrix Gateway.
-
Créez OAuthProfile et OAuthPolicy. Ajoutez l’authentification OAuthIDPProfile.
"CustomDomain-OAuthProfile" -clientID "<clientID>" -clientSecret "<unencrypted client secret>" -redirectURL "https://hostname.domain.com/core/login-cip" -audience "<clientID>" -sendPassword ON
add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"
-
Liez la OAuthPolicy au serveur virtuel d’authentification, d’autorisation et d’audit approprié avec une priorité inférieure à celle de la stratégie existante. Cette instance suppose que la stratégie existante a une priorité de 10, donc 20 est utilisé pour la nouvelle stratégie. Liez le serveur virtuel d’authentification.
"CitrixGatewayAAAvServer" -policy "CustomDomain-OAuthPol" -priority 20
Configuration de l’authentification adaptative
Important
La clé secrète chiffrée et les paramètres de chiffrement du profil OAuth sont différents sur les passerelles HA principales et secondaires d’authentification adaptative. Assurez-vous d’obtenir la clé secrète chiffrée auprès de la passerelle HA principale et exécutez également ces commandes sur la passerelle HA principale.
L’administrateur de Citrix Cloud n’a pas accès à la clé secrète client non chiffrée. La stratégie et le profil OAuth sont créés par le Citrix Adaptive Authentication Service pendant la phase de provisioning. Il est nécessaire d’utiliser la clé secrète chiffrée et les commandes CLI obtenues à partir du fichier ns.conf pour créer des profils OAuth. Cela ne peut pas être effectué à l’aide de l’interface utilisateur de Citrix ADC. Liez la nouvelle URL personnalisée OAuthPolicy à votre serveur virtuel d’authentification, d’autorisation et d’audit existant en utilisant un niveau de priorité supérieur à celui de la stratégie existante liée à votre serveur virtuel d’authentification, d’autorisation et d’audit existant. Notez que les niveaux de priorité les moins élevés sont évalués en premier. Définissez la stratégie existante sur la priorité 10 et la nouvelle stratégie sur la priorité 20 pour vous assurer qu’elles sont évaluées dans le bon ordre.
-
Connectez-vous à votre nœud principal d’authentification adaptative à l’aide d’un outil SSH tel que PuTTY.
show ha node
-
Localisez la ligne dans la configuration en cours de la passerelle HA principale contenant votre profil OAuth existant.
sh runn | grep oauth
-
Copiez le résultat depuis l’interface de ligne de commande de Citrix ADC, y compris tous les paramètres de chiffrement.
-
Modifiez la ligne que vous avez copiée à l’étape précédente et utilisez-la pour créer une nouvelle commande CLI qui vous permettra de créer un profil OAuth à l’aide de la version chiffrée de l’ID client. Cela nécessite l’inclusion de tous les paramètres de chiffrement.
- Mettez à jour le nom du profil OAuth sur CustomDomain-OAuthProfile
- Mettez à jour -redirectURL sur https://hostname.domain.com/core/login-cip
Voici un exemple après les deux mises à jour.
add authentication OAuthIDPProfile "CustomDomain-OAuthProfile" -clientID b1656835-20d1-4f6b-addd-1a531fd253f6 -clientSecret <long encrypted client Secret> -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2023_04_19_09_12_25 -redirectURL "https://hostname.domain.com/core/login-cip" -audience b1656835-20d1-4f6b-addd-1a531fd253f6 -sendPassword ON
add authentication OAuthIDPPolicy "CustomDomain-OAuthPol" -rule true -action "CustomDomain-OAuthProfile"
-
Liez la OAuthPolicy au serveur virtuel d’authentification, d’autorisation et d’audit approprié avec une priorité inférieure à celle de la stratégie existante. Le nom du serveur virtuel d’authentification, d’autorisation et d’audit pour tous les déploiements de l’authentification adaptative est auth_vs. Cette instance suppose que la stratégie existante a une priorité de 10, donc 20 est utilisé pour la nouvelle stratégie.
bind authentication vserver "auth_vs" -policy "CustomDomain-OAuthPol" -priority 20
Limitations connues
Les limites connues de la solution de domaine personnalisé sont les suivantes :
Plate-forme Workspace
- Ne prend actuellement en charge qu’un seul domaine personnalisé par client.
- Un domaine personnalisé ne peut être lié qu’à l’URL par défaut de Workspace. Les autres URL de Workspace ajoutées via la fonctionnalité multi-URL ne peuvent pas avoir de domaine personnalisé. La fonctionnalité multi-URL est actuellement disponible dans la version Private Tech Preview et n’est peut-être pas disponible pour tous les clients.
- Si vous avez configuré un domaine personnalisé sur la solution précédente et que vous utilisez SAML ou Azure AD pour authentifier l’accès à Citrix Workspace, vous ne pouvez pas configurer un domaine personnalisé sur la nouvelle solution sans supprimer d’abord votre domaine personnalisé existant.
SAML
La prise en charge de SAML est limitée à l’un des cas d’utilisation suivants :
- SAML peut être utilisé exclusivement pour les domaines cloud.com. Dans ce cas, l’utilisation de SAML couvrirait l’accès à Citrix Workspace et l’accès administrateur à Citrix Cloud.
- SAML peut être utilisé exclusivement pour un domaine personnalisé.
Application Citrix Workspace pour Windows
- Cette fonctionnalité n’est pas prise en charge dans les versions 2305 et 2307 de l’application Citrix Workspace pour Windows. Effectuez la mise à jour vers la dernière version prise en charge.