Preuve de concept : Accès sécurisé aux applications SaaS avec Citrix Secure Workspace Access (2024)

Table of Contents
Aperçu Configuration de Citrix Workspace Définir l’URL d’espace de travail Activer les services Vérifier Intégrer un annuaire d’utilisateurs principaux Configurer l’authentification unique Configurer l’application SaaS Autoriser l’application SaaS Valider Définir des stratégies de filtrage du site Valider la configuration Résolution des problèmes Échec des stratégies de sécurité améliorées FAQs

May 17, 2021

Author: Daniel Feller

Aperçu

Comme les utilisateurs consomment davantage d’applications SaaS, les organisations doivent être en mesure d’unifier toutes les applications sanctionnées, de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification. Les entreprises doivent être en mesure de sécuriser ces applications même si elles existent au-delà des limites du datacenter. Citrix Workspace fournit aux entreprises un accès sécurisé aux applications SaaS.

Dans ce scénario, un utilisateur s’authentifie auprès de Citrix Workspace à l’aide d’Active Directory, Azure Active Directory, Okta, Google ou Citrix Gateway comme annuaire d’utilisateurs principal. Citrix Workspace fournit des services d’authentification unique pour un ensemble défini d’applications SaaS.

Si le service Citrix Secure Workspace Access est affecté à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, la restriction des actions d’impression et de téléchargement, les restrictions d’accaparement d’écran, l’obfuscation du clavier et la protection des utilisateurs contre les liens non fiables sont appliquées. en plus des applications SaaS.

L’animation suivante montre un utilisateur accédant à une application SaaS avec Citrix fournissant l’authentification SSO et sécurisé avec Citrix Secure Workspace Access.

See Also
Configuration de Single Sign-On sur l’application Citrix WorkspaceConfigurer l’accès aux espaces de travailTech Brief: Workspace Single Sign-OnTech Brief: Workspace Single Sign-On

Cette démonstration montre un flux SSO initié par ID dans lequel l’utilisateur lance l’application à partir de Citrix Workspace. Ce guide de PoC prend également en charge un flux SSO initié par SP où l’utilisateur tente d’accéder à l’application SaaS directement à partir de son navigateur préféré.

Ce guide de validation de concept montre comment:

  1. Configuration de Citrix Workspace
  2. Intégrer un annuaire d’utilisateurs principal
  3. Intégrer l’authentification unique pour les applications SaaS
  4. Définir des stratégies de filtrage du site
  5. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

  1. Configuration de l’URL de l’espace de travail
  2. Activation des services appropriés

Définir l’URL d’espace de travail

  1. Connectez-vous à Citrix Cloud et connectez-vous en tant que compte administrateur
  2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
  3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

Activer les services

Dans l’onglet Intégration de services, activez les services suivants pour prendre en charge l’accès sécurisé aux applications SaaS

  1. Passerelle
  2. Secure Browser

![Services d’espace de]travail(/en-us/tech-zone/learn/media/poc-guides_access-control-citrix-sso_workspace-config-002.png)

Vérifier

Citrix Workspace prend quelques instants pour mettre à jour les services et les paramètres d’URL. Dans un navigateur, vérifiez que l’URL de l’espace de travail personnalisée est active. Toutefois, l’ouverture de session n’est pas disponible tant qu’un répertoire utilisateur principal n’est pas défini et configuré.

Intégrer un annuaire d’utilisateurs principaux

Pour que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateur principal doit être configuré. L’annuaire d’utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique aux identités secondaires.

Une organisation peut utiliser l’un des répertoires d’utilisateurs principaux suivants

  • Active Directory: pour activer l’authentification Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide Installation de Cloud Connector.
  • Active Directory avec mot de passe unique basé sur le temps: l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe unique basé sur le temps (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
  • Azure Active Directory: les utilisateurs peuvent s’authentifier auprès de Citrix Workspace avec une identité Azure Active Directory. Ce guide fournit des détails sur la configuration de cette option.
  • Citrix Gateway: les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des détails sur l’intégration.
  • Okta: les organisations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.

Configurer l’authentification unique

Pour intégrer avec succès des applications SaaS à Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

See Also
Configuring single sign-on to Citrix Workspace app

  • Configurer l’application SaaS
  • Autoriser l’application SaaS

Configurer l’application SaaS

  • Dans Citrix Cloud, sélectionnez Gérer dans la vignette Gateway.

  • Sélectionnez Ajouter une application Web/SaaS
  • Dans l’Assistant Choisir un modèle, recherchez et corrigez le modèle, qui dans ce cas est Humanité
  • Dans la fenêtre Détails de l’application, tapez le nom de domaine unique de l’organisation pour l’application SaaS. L’URL et les domaines associés seront automatiquement remplis.

Remarque: Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL de l’étape précédente. Les stratégies de sécurité améliorées nécessitent des domaines associés pour l’application. Si l’application utilise plusieurs noms de domaine, le doit être ajouté dans le champ domaines associés, qui est souvent *.<companyID>.SaaSApp.com (à titre d’exemple *.citrix.slack.com)

  • Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement
  • Dans la fenêtre Single Sign-On, copiez l’ URL de connexion.
  • Sélectionnez le lien pour les métadonnées SAML pour identifier les paramètres SAML nécessaires à l’application SaaS.

  • Dans le fichier de métadonnées SAML, copiez le certificat X509, représenté sous la forme d’une chaîne alphanumérique.

  • Dans l’application Humanity SaaS, utilisez l’icône d’engrenage dans le coin supérieur droit pour afficher les paramètres. Sélectionner l’ authentification unique

  • Pour l’URL de l’émetteur SAML, utilisez l’ URL de connexion obtenue à partir de la configuration Citrix Workspace.
  • Passé la chaîne de certificat x.509 du fichier de métadonnées Citrix dans l’application Humanity SaaS.

  • Enregistrez les paramètres dans Humanity.
  • Dans Citrix Workspace, sélectionnez Enregistrer
  • Sélectionner Terminer

Autoriser l’application SaaS

  • Dans Citrix Cloud, sélectionnez Bibliothèque dans le menu

  • Trouvez l’application SaaS et sélectionnez Gérer les abonnés
  • Ajouter les utilisateurs/groupes appropriés qui sont autorisés à lancer l’application

Valider

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS configurée
  • Le lancement de l’application SaaS

Validation initiée par SP

  • Lancer un navigateur
  • Accédez à l’URL définie par l’entreprise pour l’application SaaS
  • Le navigateur redirige vers Citrix Workspace pour l’authentification
  • Une fois que l’utilisateur s’est authentifié auprès de l’annuaire des utilisateurs principal, l’application SaaS se lance avec Citrix fournissant une authentification unique

Définir des stratégies de filtrage du site

Le service Citrix Secure Workspace Access fournit le filtrage des sites Web au sein des applications SaaS et Web afin de protéger l’utilisateur contre les attaques par hameçonnage. La section suivante montre comment configurer des stratégies de filtrage de site Web.

  • À partir de Citrix Cloud, Gérer dans la vignette Secure Workspace Access

  • Si ce guide a été suivi, les étapes Configurer l’authentification de l’utilisateur finalet Configurer l’accès des utilisateurs finaux aux applications SaaS, Web et virtuelles sont terminées. Sélectionnez Configurer l’accès au contenu
  • Sélectionner Modifier
  • Activer l’option Filtrer les catégories du site
  • Dans la zone Catégories bloquées, sélectionnez Ajouter
  • Sélectionnez les catégories pour empêcher les utilisateurs d’accéder

  • Lorsque toutes les catégories applicables sont sélectionnées, sélectionnez Ajouter

  • Faites de même pour les catégories autorisées
  • Faites de même pour les catégories redirigées. Ces catégories redirigent vers une instance Secure Browser
  • Si nécessaire, les administrateurs peuvent filtrer les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même processus que celui utilisé pour définir des catégories. Les URL de site Web ont priorité sur les catégories.

Valider la configuration

Validation initiée par l’IdP

  • Connectez-vous à Citrix Workspace en tant qu’utilisateur
  • Sélectionnez l’application SaaS configurée. Si la sécurité renforcée est désactivée, l’application démarre dans le navigateur local, sinon le navigateur intégré est utilisé
  • L’utilisateur se connecte automatiquement à l’application
  • Les stratégies de sécurité améliorées appropriées sont appliquées
  • Si configuré, sélectionnez une URL dans l’application SaaS qui se trouve dans les catégories bloquées, autorisées et redirigées
  • Si configuré, sélectionnez une URL dans l’application SaaS qui se trouve dans les URL bloquées, autorisées et redirigées
  • Le lancement de l’application SaaS

Validation initiée par SP

  • Lancer un navigateur
  • Accédez à l’URL définie par l’entreprise pour l’application SaaS
  • Le navigateur dirige le navigateur vers Citrix Workspace pour l’authentification
  • Une fois que l’utilisateur s’est authentifié auprès du répertoire principal des utilisateurs, l’application SaaS démarre dans le navigateur local si la sécurité renforcée est désactivée. Si la sécurité renforcée est activée, une instance Secure Browser lance l’application SaaS

Résolution des problèmes

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès cliboard) échouent. Généralement, cela se produit parce que l’application SaaS utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application SaaS, il y avait une entrée pour les domaines associés.

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application SaaS à l’aide d’un navigateur local et effectuer les opérations suivantes:

  • Accédez à la section de l’application où les stratégies échouent
  • Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
  • Sélectionnez Plus d’outils.
  • Sélectionner les outilsde développement
  • Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Afin d’activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme *.domain.com

Preuve de concept : Accès sécurisé aux applications SaaS avec Citrix Secure Workspace Access (2024)

FAQs

What is the Citrix Access Gateway used for? ›

Citrix Gateway consolidates remote access infrastructure to provide single sign-on across all applications whether in a data center, in a cloud, or if the apps are delivered as SaaS apps. It allows people to access any app, from any device, through a single URL.

See Details
What is software entitlement for Citrix workspace? ›

Software entitlements enable you to define license details that are matched to software models. You can add an entitlement individually or import a list from a spreadsheet. Role required: sam_user or sam_admin. The sam_admin role is required to import entitlements.

Learn More Now
How to configure an account in Citrix Workspace? ›

Enter the information about your account that your organization provides.
  1. From the Citrix Workspace app home page, click the plus icon at the bottom-right of the screen to launch the Add Account dialog.
  2. In the Add Account dialog, enter the store URL provided by your IT administrator.
Jan 2, 2024

View More
What is Citrix solution for remote access? ›

Citrix Remote PC Access is a solution that allows for a like-local performance and simple seamless access from any device, without having to install or load a VPN.

Find Out More
Can Citrix see what you do? ›

Citrix Secure Private Access service collates and presents information on the activities of users, such as, websites visited, and the bandwidth spent.

Find Out More
What is the purpose of using Citrix? ›

What does Citrix do? Citrix sells virtualization software that enables users to work from remote locations. Access to applications, desktops and resources is enabled through virtualized software.

Keep Reading
Can my employer spy on me with Citrix? ›

Can my employer monitor my Citrix, Terminal, and Remote Desktop sessions? A: YES, your employer can and has the right to monitor your Citrix, Terminal, and Remote Desktop sessions. We mean to say, your employer can monitor what is going on within the session itself and not on the device where the session is executed.

Show Me More
Why do I need Citrix Workspace? ›

Citrix digital workspace solutions

Reduce security risk by protecting all applications and data with a zero-trust model approach. Single sign-on options and role-based access allows your company to give employees access to what they need securely.

Get More Info
What is the difference between Citrix and Citrix Workspace? ›

Citrix Receiver was not a standalone app. It was included with XenApp and XenDesktop subscriptions. Workspace, on the other hand, can be installed independently of those subscriptions. The Workspace app provides support for all platforms previously associated with Citrix Receiver.

See Details
How do I configure Citrix? ›

To configure settings, sign in the Citrix Cloud portal and navigate to Workspace Configuration > App configuration. Modify the app settings as per your organization's policies. You can then click Publish Drafts to save and publish your settings.

Read More

What is the Citrix platform? ›

With the Citrix platform, you can deliver, monitor, and manage secure application access to any device and any user while ensuring high performance and security. The Citrix platform is a comprehensive, enterprise-wide solution, which includes the entire breadth of Citrix and NetScaler capabilities.

Get More Info
Why use Citrix instead of VPN? ›

Because of the limited data transmission, Citrix is much more secure than a VPN. The remote server protects you from external threats that can compromise your devices or data. Also, server administrators can control which data is allowed to leave the corporate network.

Learn More Now
Why is Citrix better than RDP? ›

Are there any security advantages of using Citrix over RDP, especially considering the vulnerabilities found in RDP in the past? Citrix generally offers more robust security features compared to RDP, particularly in its handling of data encryption, multi-factor authentication, and granular access controls.

Explore More
What is the difference between Citrix and VMware? ›

The main difference between the two is the intended usage of the software. The Citrix XenServer is used by personal users and small to medium-sized businesses, while VMware vSphere ESXi is only intended for small to medium-sized businesses and is not structured for personal use.

View More
What are the benefits of Citrix Gateway? ›

Benefits
  • Citrix Cloud onboarding is faster and seamless.
  • Retains the benefits of on-premises StoreFront for enumeration and on-premises NetScaler Gateway for authentication.
  • Customers can maintain their NetScaler and StoreFront customizations.
  • Citrix DaaS customers can use their existing on-prem NetScaler Gateway URL.
Jun 5, 2024

See Details
Is Citrix Access Gateway a VPN? ›

The Citrix Access Gateway is a hardened appliance deployed in an organization's DMZ that secures all traffic with standards-based SSL and TLS encryption. It serves as a complete replacement for Secure Gateway servers or traditional IPSec VPN devices.

View Details
How does Citrix access work? ›

Citrix Secure Private Access provides zero trust network access for all of an organization's applications, meaning their security status is always under review. This always-on solution allows adaptive evaluation based on the end user's location, device risk posture, risk profile, and more.

See Details
What is the difference between Citrix Gateway and Citrix Gateway service? ›

Citrix Gateway is a subset of Citrix Application Delivery Controller (ADC), and because of that, customers can elect to add features that are inherent to other editions, such as Web App Firewall. Citrix Gateway Service is the cloud version, and a subscription to Citrix Cloud is required.

View Details
Top Articles
Blaise Alexander Chrysler Dodge Jeep RAM of Mansfield in Mansfield, PA | 146 Cars Available | Autotrader
European Public Opinion Three Decades After the Fall of Communism
David Beckham: 'the world's biggest sports personality'
David Beckham | Biography, Teams, & Facts
Great Wall Menu Prices (Updated: July 2023)
New Jersey Eats: Top 10 Morris restaurants
How Much Does a TB Test Cost at CVS?
How Much Does a Tuberculosis (TB) Test Cost?
Morgan Housel Net Worth
Namm Provider Portal
Peraton Sso
Charleston Gazette-Mail Memorials and Obituaries | We Remember
Latest Posts
2.4 Eastern Europe | World Regional Geography: People, Places and Globalization
World War II in Eastern Europe: Many Lands, Many Memories
Article information

Author: Trent Wehner

Last Updated:

Views: 6217

Rating: 4.6 / 5 (56 voted)

Reviews: 95% of readers found this page helpful

Author information

Name: Trent Wehner

Birthday: 1993-03-14

Address: 872 Kevin Squares, New Codyville, AK 01785-0416

Phone: +18698800304764

Job: Senior Farming Developer

Hobby: Paintball, Calligraphy, Hunting, Flying disc, Lapidary, Rafting, Inline skating

Introduction: My name is Trent Wehner, I am a talented, brainy, zealous, light, funny, gleaming, attractive person who loves writing and wants to share my knowledge and understanding with you.