Considérations SSO et proxy pour les applications MDX
L’intégration de XenMobile avec Citrix ADC vous permet de fournir aux utilisateurs une authentification unique (SSO) à toutes les ressources HTTP/HTTPS principales. En fonction de vos exigences d’authentification unique (SSO), vous pouvez configurer les connexions utilisateur d’une application MDX pour utiliser l’une des options suivantes :
- Secure Browse, qui est un type de VPN sans client
- Tunnel VPN complet
Si Citrix ADC n’est pas le meilleur moyen de fournir une authentification unique dans votre environnement, vous pouvez configurer une application MDX avec une mise en cache de mot de passe locale basée sur une stratégie. Cet article explore les différentes options SSO et proxy, en mettant l’accent sur Secure Web. Les concepts s’appliquent à d’autres applications MDX.
L’organigramme suivant résume le flux décisionnel pour les connexions SSO et utilisateur.
Méthodes d’authentification Citrix ADC
Cette section fournit des informations générales sur les méthodes d’authentification prises en charge par Citrix ADC.
Authentification SAML
Lorsque vous configurez Citrix ADC pour le langage SAML (Assertion Marking Language), les utilisateurs peuvent se connecter aux applications Web prenant en charge le protocole SAML pour l’authentification unique. Citrix Gateway prend en charge l’authentification unique de fournisseur d’identité pour les applications Web SAML.
Configuration requise :
- Configurez l’authentification unique SAML dans le profil de trafic Citrix ADC.
- Configurez le fournisseur d’identité SAML pour le service demandé.
Authentification NTLM
Si l’authentification unique pour les applications Web est activée dans le profil de session, Citrix ADC effectue automatiquement l’authentification NTLM.
Configuration requise :
- Activez l’authentification unique dans le profil de trafic ou de session Citrix ADC.
Emprunt d’identité Kerberos
XenMobile prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez Citrix ADC pour Kerberos SSO, Citrix ADC utilise l’emprunt d’identité lorsqu’un utilisateur est disponible pour Citrix ADC. L’emprunt d’identité signifie que Citrix ADC utilise des informations d’identification utilisateur pour obtenir le ticket requis pour accéder aux services, tels que Secure Web.
Configuration requise :
- Configurez la stratégie de session Citrix ADC “Worx” pour lui permettre d’identifier le domaine Kerberos à partir de votre connexion.
- Configurez un compte Kerberos Constrained Delegation (KCD) sur Citrix ADC. Configurez ce compte sans mot de passe et associez-le à une stratégie de trafic sur votre passerelle XenMobile.
- Pour plus de détails sur la configuration, consultez le blog Citrix : WorxWeb and Kerberos Impersonation SSO.
Délégation Kerberos contrainte
XenMobile prend en charge Kerberos pour Secure Web uniquement. Lorsque vous configurez Citrix ADC pour Kerberos SSO, Citrix ADC utilise la délégation contrainte lorsqu’un mot de passe utilisateur n’est pas disponible pour Citrix ADC.
Avec une délégation contrainte, Citrix ADC utilise un compte d’administrateur spécifié pour obtenir des tickets au nom des utilisateurs et des services.
Configuration requise :
- Configurez un compte KCD dans Active Directory avec les autorisations requises et un compte KCD sur Citrix ADC.
- Activez l’authentification unique dans le profil de trafic Citrix ADC.
- Configurez le site Web principal pour l’authentification Kerberos.
Authentification par remplissage de formulaire
Lorsque vous configurez Citrix ADC pour l’authentification par remplissage de formulaire, les utilisateurs peuvent se connecter une seule fois pour accéder à toutes les applications protégées de votre réseau. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.
Configuration requise :
- Configurez l’authentification unique par remplissage de formulaire dans le profil de trafic Citrix ADC.
Authentification HTTP Digest
Si vous activez l’authentification unique pour les applications Web dans le profil de session, Citrix ADC effectue automatiquement l’authentification HTTP Digest. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.
Configuration requise :
- Activez l’authentification unique dans le profil de trafic ou de session Citrix ADC.
Authentification HTTP de base
Si vous activez l’authentification unique pour les applications Web dans le profil de session, Citrix ADC effectue automatiquement l’authentification HTTP de base. Cette méthode d’authentification s’applique aux applications qui utilisent les modes Navigation sécurisée ou VPN complet.
Configuration requise :
- Activez l’authentification unique dans le profil de trafic ou de session Citrix ADC.
Navigation sécurisée, tunnel VPN complet ou tunnel VPN complet avec PAC
Les sections suivantes décrivent les types de connexion utilisateur pour Secure Web. Pour plus d’informations, consultez cet article sur Secure Web dans la documentation Citrix, Configuration des connexions utilisateur.
Tunnel VPN complet
Les connexions qui sont tunnelisées sur le réseau interne peuvent utiliser un tunnel VPN complet. Utilisez la stratégie Mode VPN préféré de Secure Web pour configurer un tunnel VPN complet. Citrix recommande un tunnel VPN complet pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne. Un tunnel VPN complet gère tout protocole sur TCP. Vous pouvez utiliser un tunnel VPN complet avec les appareils Windows, Mac, iOS et Android.
En mode Tunnel VPN complet, Citrix ADC n’a pas de visibilité dans une session HTTPS.
Secure Browse
Les connexions qui sont tunnelisées sur le réseau interne peuvent utiliser une variante d’un VPN sans client, appelé Navigation sécurisée. Navigation sécurisée est la configuration par défaut spécifiée pour la stratégie Mode VPN préféré de Secure Web. Citrix recommande Navigation sécurisée pour les connexions qui nécessitent l’authentification unique (SSO).
En mode Navigation sécurisée, Citrix ADC divise la session HTTPS en deux parties :
- Du client à Citrix ADC
- De Citrix ADC au serveur de ressources principal
De cette manière, Citrix ADC a une visibilité complète sur toutes les transactions entre le client et le serveur, ce qui lui permet de fournir une authentification unique.
Vous pouvez également configurer des serveurs proxy pour Secure Web lorsque vous utilisez le mode Navigation sécurisée. Pour plus d’informations, consultez le blog XenMobile WorxWeb Traffic Through Proxy Server in Secure Browse Mode.
Tunnel VPN complet avec PAC
Vous pouvez utiliser un fichier PAC (Proxy Automatic Configuration) avec un déploiement de tunnel VPN complet pour Secure Web sur les appareils Android. XenMobile prend en charge l’authentification proxy fournie par Citrix ADC. Un fichier PAC contient des règles qui définissent la manière dont les navigateurs Web sélectionnent un serveur proxy pour accéder à une URL spécifiée. Les règles du fichier PAC peuvent spécifier la procédure à suivre pour les sites internes et externes. Secure Web analyse les règles du fichier PAC et envoie les informations sur le serveur proxy à Citrix Gateway. Citrix Gateway ignore le fichier PAC ou le serveur proxy.
Pour l’authentification aux sites Web HTTPS : la stratégie MDX de Secure Web Activer la mise en cache du mot de passe Web permet à Secure Web de s’authentifier et de fournir l’authentification unique (SSO) au serveur proxy via MDX.
Split tunneling Citrix ADC
Lors de la planification de votre configuration SSO et proxy, vous devez également décider si vous souhaitez utiliser la fonction split tunneling de Citrix ADC. Citrix vous recommande d’utiliser le split tunneling de Citrix ADC uniquement si nécessaire. Cette section fournit un aperçu général de la manière dont le split tunneling fonctionne : Citrix ADC détermine le chemin du trafic en fonction de sa table de routage. Lorsque le split tunneling de Citrix ADC est activé, Secure Hub distingue le trafic réseau interne (protégé) du trafic Internet. Secure Hub procède en fonction du suffixe DNS et des applications intranet. Secure Hub tunnellise uniquement le trafic réseau interne via le tunnel VPN. Lorsque le split tunneling de Citrix ADC est désactivé, tout le trafic passe par le tunnel VPN.
- Si vous préférez surveiller tout le trafic pour des raisons de sécurité, désactivez le split tunneling de Citrix ADC. Dans ce cas, tout le trafic passe par le tunnel VPN.
- Si vous utilisez un tunnel VPN complet avec PAC, vous devez désactiver le split tunneling de Citrix Gateway. Si le split tunneling est activé et qu’un fichier PAC est configuré, les règles du fichier PAC remplacent les règles de split tunneling de Citrix ADC. Un serveur de proxy configuré dans une stratégie de trafic ne remplace pas les règles de split tunneling de Citrix ADC.
Par défaut, la stratégie Accès réseau est définie sur Tunnélisé vers le réseau interne pour Secure Web. Avec cette configuration, les applications MDX utilisent les paramètres de split tunneling de Citrix ADC. La stratégie Accès réseau par défaut diffère pour certaines autres applications de productivité mobiles.
Citrix Gateway dispose également d’un mode de split tunneling inverse à micro VPN. Cette configuration prend en charge une liste d’exclusion d’adresses IP qui ne sont pas tunnellisées sur Citrix ADC. Ces adresses sont envoyées en utilisant la connexion Internet de l’appareil. Pour plus d’informations sur le split tunneling inverse, veuillez consulter la documentation relative à Citrix Gateway.
XenMobile inclut une liste d’exclusion de split tunneling inversé. Pour empêcher que certains sites Web soient envoyés par un tunnel via Citrix Gateway : ajoutez une liste séparée par des virgules des noms de domaine complet (FQDN) ou des suffixes DNS qui se connectent à l’aide du réseau LAN. Cette stratégie s’applique uniquement au mode Navigation sécurisée avec Citrix Gateway configuré pour le split tunneling inverse.