Citrix® Access Gateway™ 4.5
Citrix Access Suite™
Documentation du CD-ROM du produit contient des copies de ce contrat de licence.
Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Excepté pour l'impression d'une copie pour une utilisation personnelle, aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc.
© 2003-2006 Citrix Systems, Inc. Tous droits réservés.
Citrix, Citrix Presentation Server, Citrix Access Gateway, ICA (Independent Computing Architecture), Access Suite, Citrix Program Neighborhood et SmoothRoaming sont des marques déposées ou des marques de fabrique, de commerce ou de service de Citrix Systems, Inc. aux États-Unis et dans d'autres pays.
RSA Encryption © 1996-1997 RSA Security Inc. Tous droits réservés.
Autres marques de fabrique, de commerce et de service
Adobe, Acrobat et PostScript sont des marques déposées ou des marques de fabrique, de commerce ou de service d'Adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays.
Apple, Mac, Mac OS et Macintosh sont des marques déposées ou des marques de fabrique, de commerce ou de service d'Apple Computer Inc.
Flash et Shockwave sont des marques déposées ou des marques de fabrique, de commerce ou de service de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays.
Java est une marque déposée de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays.
Microsoft, MSDOS, Windows, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et Vista sont des marques déposées ou des marques de fabrique, de commerce ou de service de Microsoft Corporation aux ÉtatsUnis et/ou dans d'autres pays.
Lotus, Domino, Notes et iNotes sont des marques de fabrique, de commerce ou de service d'International Business Machines Corporation aux États-Unis et/ou dans d'autres pays.
Mozilla et Firefox sont des marques déposées ou des marques de fabrique, de commerce ou de service de Mozilla Foundation aux États- Unis et/ou dans d'autres pays.
Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays.
Secure Computing et SafeWord sont des marques déposées de Secure Computing Corporation.
McAfee et VirusScan sont des marques déposées ou des marques de fabrique, de commerce ou de service de McAfee, Inc. et/ou de ses filiales aux États-Unis et/ou dans d'autres pays.
Norton AntiVirus, Norton Personal Firewall, Symantec, Symantec AntiVirus Solution et Symantec Desktop Firewall sont des marques déposées ou des marques de fabrique, de commerce ou de service de Symantec Corporation aux États-Unis et/ou dans d'autres pays.
OfficeScan, Trend Micro et Trend Micro Incorporated sont des marques de fabrique, de commerce ou de service de Trend Micro aux États-Unis et/ou dans d'autres pays.
ZoneAlarm et Zone Labs sont des marques déposées ou des marques de fabrique, de commerce ou de service de Zone Labs LLC aux États-Unis et dans d'autres pays.
Toutes les autres marques de fabrique, de commerce et de service, et autres marques déposées sont la propriété de leurs détenteurs respectifs.
Code document : 19 septembre 2006 (JB)
Table des matières
Chapitre 1 Bienvenue
Access Gateway édition Advanced . . . .13
SmartAccess . . . .13
SmoothRoaming . . . .14
Secure by Design. . . .14
Nouvelles fonctionnalités . . . .15
Nouveau nom. . . .16
Chapitre 2 Aide et informations supplémentaires
Accès à la documentation produit . . . .17Conventions utilisées dans ce document. . . .19
Conventions de ligne de commande . . . .20
Assistance technique et services disponibles . . . .20
Subscription Advantage . . . .21
Notification du centre de connaissances . . . .21
Formations. . . .21
Personnalisation du logiciel . . . .22
Chapitre 3 Planification de votre stratégie d'accès
Étape 1 : évaluation de l'infrastructure de votre entreprise . . . .23Étape 2 : analyse des risques. . . .27
Étape 3 : mise en œuvre de la stratégie d'accès . . . .27
Sécurisation de l'accès et des ressources à l'aide de stratégies . . . .28
Planification des configurations requises pour les clients . . . .28
Traversée de pare-feu . . . .29
Protection des données d'entreprise confidentielles . . . .30
Évaluation des types d'authentification . . . .31
Authentification à un facteur. . . .31
Authentification avancée. . . .32
Optimisation du taux de disponibilité. . . .33
Prise en compte des besoins des utilisateurs . . . .34
Chapitre 4 Licences de l'édition Advanced
Installation du système de licences Citrix . . . .37Informations supplémentaires . . . .38
Obtention de licences . . . .38
Détermination des licences requises . . . .39
Délai de grâce des licences . . . .39
Environnements mixtes . . . .39
Spécification du serveur de licences. . . .41
Ajout de raccourcis à la console License Management Console. . . .42
Chapitre 5 Installation d'Advanced Access Control
Planification de votre installation . . . .43Tâches précédant l'installation . . . .44
Tâches suivant l'installation. . . .45
Éléments requis sur les serveurs. . . .46
Configurations requises. . . .46
Configurations réseau requises. . . .48
Configurations requises pour les comptes . . . .48
Configurations requises pour le compte d'utilisateur Microsoft SQL Server . .48 Configurations requises de compte de service . . . .49
Utilisation des modèles de sécurité avec le compte de service . . . .50
Configurations requises pour les bases de données . . . .51
Configurations requises pour le boîtier Access Gateway . . . .51
Configurations requises pour les fonctionnalités . . . .51
Configurations requises pour l'aperçu HTML . . . .51
Configurations requises pour la fonction Live Edit . . . .55
Configurations requises pour la synchronisation des emails . . . .55
Configurations requises pour le courrier électronique Web. . . .56
Utilisation de Microsoft Windows Server 2003 Web Edition pour le courrier électronique Web. . . .58
Configurations requises pour l'analyse de point de terminaison . . . .58
Configurations requises pour l'authentification . . . .59
Configurations requises pour l'intégration de Citrix Presentation Server . . . . .61
Configurations requises pour contourner le proxy Web. . . .64
Conditions requises pour l'intégration de portails tiers. . . .64
Configurations requises pour les clients. . . .65
Configurations requises pour les navigateurs Web . . . .65
Configurations requises pour le client Live Edit . . . .68
Configurations requises pour le client d'analyse de point de terminaison . . . . .68
Configurations requises pour le client Secure Access Client. . . .69
Configurations requises pour la console. . . .69
Présentation générale de l'installation. . . .70
Installation d'Advanced Access Control. . . .71
Désinstallation d'Advanced Access Control. . . .72
Chapitre 6 Configuration d'Advanced Access Control
Configurations prises en charge . . . .76Configurations Access Gateway . . . .76
Configurations d'Advanced Access Control. . . .77
Configurations de zone démilitarisée double . . . .77
Modification de la configuration d'un serveur . . . .85
Configuration de vos serveurs . . . .86
Présentation de l'outil Configuration de serveur. . . .86
Procédure de configuration d'un serveur . . . .87
Création d'une batterie de serveurs d'accès ou association à une batterie de serveurs d'accès . . . .87
Sélection d'une base de données . . . .88
Spécification d'un serveur de base de données existant . . . .88
Spécification d'un serveur de licences . . . .89
Sélection d'un chemin d'accès de site Web. . . .90
Sécurisation du trafic du site Web à l'aide de SSL . . . .90
Finalisation de la configuration du serveur. . . .90
Activation d'Advanced Access Control . . . .90
Utilisation de la console Access Management Console . . . .92
Installation de la console Access Management Console . . . .92
Utilisateurs et comptes . . . .93
Déploiement de la console vers les administrateurs . . . .93
Interface utilisateur de la console Access Management Console. . . .93
Démarrage de la console Access Management Console . . . .94
Utilisation de la découverte pour la recherche d'éléments dans un déploiement . . . .94
Personnalisation de l'affichage à l'aide de Mes vues . . . .95
Configuration d'une batterie à partir du panneau Présentation générale . . . .95
Lien avec Citrix Presentation Server . . . .96
Spécification de batteries de serveurs . . . .97
Configuration de l'équilibrage de charge ou du basculement. . . .98
Configuration des modes d'adresse. . . .98
Configuration de la traduction d'adresse. . . .100
Configuration du mode d'adresse Access Gateway . . . .100
Association de sites Access Platform . . . .101
Configuration de points d'ouverture de session . . . .101
Changement du nom d'un point d'ouverture de session . . . .104
Ouverture de session via un point d'ouverture de session spécifié . . . .105
Mise à jour des informations de page d'ouverture de session . . . .106
Modification des mots de passe expirés . . . .106
Définition du point d'ouverture de session par défaut . . . .107
Suppression d'un point d'ouverture de session . . . .107
Configuration du boîtier Access Gateway . . . .108
Configuration du split tunneling. . . .109
Configuration de réseaux accessibles . . . .110
Transmission des messages système . . . .110
Configuration des propriétés de client . . . .111
Configuration des propriétés de serveur. . . .113
Configuration du contrôle d'accès ICA . . . .114
Configuration de l'authentification avec Citrix Presentation Server . . . .115
Chapitre 7 Sécurisation des connexions utilisateur
Configuration de l'authentification avancée. . . .117Configuration de l'authentification RADIUS et LDAP . . . .118
Création de profils d'authentification RADIUS . . . .119
Création de profils d'authentification LDAP . . . .120
Affectation de profils d'authentification à des points d'ouverture de session . . . .122
Définition d'informations d'identification d'authentification pour les points d'ouverture de session. . . .123
Configuration de l'authentification RSA SecurID . . . .125
Configuration de l'authentification SafeWord . . . .128
Configuration de l'authentification avancée avec SafeWord . . . .128
Configuration de l'authentification avec SafeWord uniquement . . . .129
Configuration de RADIUS avec SafeWord . . . .130
Configuration de l'authentification approuvée . . . .133
Configuration du boîtier Access Gateway pour l'authentification approuvée. . . .133
Configuration d'Advanced Access Control pour l'authentification approuvée. . . .134
Chapitre 8 Ajout de ressources
Création de ressources accessibles via un réseau privé virtuel (VPN) . . . .137
Utilisation de la ressource Tout le réseau . . . .138
Définition de ressources et conflits possibles . . . .139
Création de ressources Web . . . .140
Inclusion des fichiers associés. . . .142
Configuration de sites sécurisés avec SSL . . . .142
Ressources Web maintenant les sessions actives . . . .142
Activation de l'authentification unique pour les ressources Web . . . .143
Configuration pour les sites utilisant une authentification à l'aide d'un formulaire. . . .144
Création de partages de fichiers . . . .144
Utilisation de jetons système dynamiques . . . .147
Attributs Active Directory. . . .148
Création de groupes de ressources pour faciliter l'administration des stratégies . . . .148
Intégration de listes de ressources dans des portails tiers . . . .150
Chapitre 9 Contrôle de l'accès à l'aide de stratégies
Contrôle des accès utilisateur . . . .152Intégration de votre stratégie d'accès . . . .153
Regroupement des ressources en fonction des besoins d'accès . . . .153
Conception de stratégies répondant aux scénarios utilisateur . . . .153
Différence entre le contrôle d'accès et la publication . . . .155
Création de stratégies d'accès . . . .156
Dénomination des stratégies . . . .157
Configuration des paramètres de stratégie pour contrôler les actions des utilisateurs. . . .158
Autorisation de l'accès à des contenus Web standard. . . .160
Autorisation de l'association de type de fichier . . . .161
Autorisation de l'aperçu HTML . . . .161
Autorisation de l'envoi comme pièce jointe . . . .162
Autorisation de la fonction Live Edit . . . .162
Autoriser l'ouverture de session . . . .163
Définitions des conditions d'affichage de la page d'ouverture de session . . . .163
Contournement de la réécriture d'URL . . . .167
Informations relatives à la réécriture d'URL. . . .167
Limites de l'accès par navigateur uniquement . . . .168
Création de stratégies de connexion . . . .170
Création de stratégies pour les connexions Presentation Server . . . .172
Définition des priorités des stratégies de connexion . . . .172
Création de filtres de stratégie . . . .173
Création de filtres personnalisés. . . .175
Création de filtres d'analyse continue. . . .177
Permission de l'accès à tout le réseau . . . .179
Vérification des informations de stratégie à l'aide du gestionnaire de stratégies. . . .180
Chapitre 10 Intégration de Citrix Presentation Server
Liaison entre Advanced Access Control et Citrix Presentation Server . . . .182Intégration de l'Interface Web . . . .183
Affichage de plusieurs sites et mise en cache des informations d'identification . . . .185
Coordination des paramètres Advanced Access Control et des paramètres de l'Interface Web. . . .188
Configuration de l'association de type de fichier . . . .189
Intégration à des portails tiers. . . .189
Chapitre 11 Vérification des configurations requises sur les machines clientes
Création d'analyses de point de terminaison . . . .193Utilisation des résultats d'analyse pour filtrer les stratégies . . . .194
Utilisation de résultats d'analyse pour filtrer la visibilité de la page d'ouverture de session . . . .195
Packs d'analyse . . . .195
Ajout de règles dans des analyses. . . .196
Utilisation des résultats d'analyse dans d'autres analyses . . . .197
Modification des conditions et des règles . . . .199
Modification des conditions disponibles. . . .199
Modification des règles . . . .199
Utilisation d'ensembles de données pour les analyses . . . .200
Listes . . . .200
Mappages. . . .200
Création des ensembles de données . . . .200
Ajout de packs d'analyse. . . .202
Regroupement d'analyses . . . .203
Ajout de packs de langue. . . .203
Écriture de scripts et planification des mises à jour d'analyses . . . .203
Mise à jour des valeurs de propriété dans les analyses. . . .204
Mise à jour des ensembles de données . . . .205
Création d'analyses continues. . . .206
Chapitre 12 Accès sécurisé au courrier électronique d'entreprise
Choix d'une solution de courrier électronique . . . .210Accès aux applications de courrier électronique publiées . . . .211
Accès sécurisé au courrier électronique Web. . . .212
Activation de l'accès au courrier électronique Web. . . .213
Intégration de l'accès au courrier électronique Web dans un portail tiers . . . .217
Accès sécurisé aux comptes de courrier électronique . . . .217
Possibilité de joindre des fichiers au courrier électronique Web. . . .220
Restriction sur les types de pièce jointe . . . .221
Activation de l'accès au courrier électronique pour les machines de petite taille . . . .222
Mise à jour du fichier Mapisvc.inf . . . .224
Chapitre 13 Déploiement d'Advanced Access Control vers les utilisateurs
Développement d'une stratégie de déploiement des logiciels clients . . . .228Détermination de la responsabilité de l'installation des logiciels clients . . . . .228
Options de déploiement prises en charge . . . .230
Choix des clients à déployer . . . .232
Gestion des logiciels clients à l'aide du Pack de clients d'accès . . . .233
Logiciels clients disponibles pour le Pack de clients d'accès . . . .234
Création d'un pack de distribution de logiciels clients . . . .234
Distribution et installation de votre pack de logiciels clients. . . .234
Copie des logiciels clients sur un point de partage. . . .236
Téléchargement des logiciels clients à la demande . . . .236
Conditions du bon déroulement de l'ouverture de session avec le client Secure Access Client . . . .239
Modification de l'adresse URL du point d'ouverture de session . . . .239
Modification des paramètres de délai du navigateur . . . .240
Modification des paramètres de durée de vie de ticket. . . .241
Conditions d'un déploiement sans problème . . . .242
Communication des informations d'ouverture de session aux utilisateurs. . . .243
Considérations en matière de sécurité du navigateur. . . .244
Personnalisation des paramètres de sécurité du navigateur . . . .245
Personnalisation du message d'erreur d'ouverture de session . . . .246
Chapitre 14 Gestion de votre environnement Access Gateway
Gestion à distance des batteries de serveurs d'accès . . . .249
Contrôle de l'accès à partir de plusieurs consoles. . . .251
Utilisation des groupes dans les attributions de stratégies . . . .251
Sécurisation de la console Access Management Console à l'aide de COM+ . . . .251
Redémarrage des applications COM+ . . . .253
Ajout et suppression de batteries . . . .254
Ajout et suppression de boîtiers Access Gateway . . . .254
Modification du compte de service et des informations d'identification de base de données . . . .256
Modification des rôles d'un serveur . . . .256
Suppression d'un serveur d'une batterie . . . .257
Disponibilité des batteries de serveurs d'accès. . . .257
Exportation et importation des données de configuration . . . .258
Contrôle des sessions . . . .260
Chapitre 15 Audit des accès aux ressources d'entreprise
Configuration des fonctions d'audit . . . .263Interprétation des événements d'audit . . . .267
Résolution des problèmes d'accès utilisateur aux ressources . . . .268
Maintenance du journal d'audit. . . .269
Annexe A Glossaire Annexe B Propriétés d'analyse
Packs d'analyse d'anti-virus . . . .282Analyses Citrix pour McAfee VirusScan . . . .282
Analyses Citrix pour McAfee VirusScan Enterprise . . . .282
Analyses Citrix pour Norton AntiVirus Personal. . . .283
Analyses Citrix pour Symantec AntiVirus Enterprise . . . .284
Analyses Citrix pour Trend OfficeScan . . . .285
Analyses Citrix pour l'anti-virus du Centre de sécurité Windows . . . .286
Packs d'analyse de navigateur. . . .287
Analyses Citrix pour navigateurs . . . .287
Analyses Citrix pour Internet Explorer. . . .287
Analyses Citrix pour les mises à jour Internet Explorer. . . .288
Analyses Citrix pour Mozilla Firefox . . . .289
Analyses Citrix pour Netscape Navigator. . . .290
Packs d'analyse de pare-feu . . . .291
Analyses Citrix pour McAfee Desktop Firewall . . . .291
Analyses Citrix pour McAfee Personal Firewall Plus . . . .292
Analyses Citrix pour le pare-feu Microsoft Windows . . . .293
Analyses Citrix pour Norton Personal Firewall . . . .293
Analyses Citrix pour le pare-feu du Centre de sécurité Windows . . . .294
Analyses Citrix pour ZoneAlarm . . . .295
Analyses Citrix pour ZoneAlarm Pro . . . .295
Packs d'analyse d'identification de la machine. . . .296
Analyses Citrix pour l'appartenance à un domaine. . . .296
Analyses Citrix pour l'adresse MAC. . . .297
Packs d'analyse divers. . . .298
Analyse Citrix de la bande-passante . . . .298
Packs d'analyse du système d'exploitation . . . .299
Analyses Citrix pour Macintosh . . . .299
Analyses Citrix pour le service pack Microsoft Windows. . . .299
Analyses Citrix pour les mises à jour Microsoft Windows . . . .300
Bienvenue
Le boîtier Citrix Access Gateway est un boîtier VPN SSL universel. Il constitue un point d'accès sécurisé, unique et toujours disponible pour toutes les
applications et tous les protocoles. Il présente tous les avantages des réseaux VPN IPSec et VPN SSL sans les inconvénients d'une mise en œuvre et d'une gestion coûteuses et délicates. Avec l'édition Advanced, Access Gateway contrôle avec précision non seulement les ressources auxquelles les utilisateurs peuvent accéder, mais aussi les actions qu'ils sont autorisés à effectuer sur ces ressources.
En cela, il facilite la conformité à certaines dispositions réglementaires. Le boîtier Access Gateway fournit les meilleures conditions d'accès pour tout le monde : un accès sécurisé protégeant les données de l'entreprise, un accès aisé pour les utilisateurs ainsi qu'une administration et une gestion souples pour les départements informatiques.
Access Gateway édition Advanced
L'édition Advanced étend votre environnement Access Gateway avec le logiciel Advanced Access Control, qui fournit à vos utilisateurs les fonctions standard suivantes.
SmartAccess
SmartAccess se charge d'analyser les conditions d'accès et de fournir le niveau d'accès approprié sans compromettre la sécurité. Les niveaux d'accès accordés à un utilisateur (possibilité de prévisualiser les documents, de les modifier, etc.) varient en fonction de l'utilisateur, de son emplacement, de sa machine et du réseau qu'il utilise.
Advanced Access Control offre SmartAccess au travers de deux phases clés : une phase de détection et une phase de réponse. Dans un premier temps, le système analyse le scénario d'accès de l'utilisateur. Il accorde ensuite le niveau d'accès qui convient lors de la phase de réponse. « Accordé » et « Refusé » ne sont plus les seules réponses fournies à une requête d'accès. Il est désormais possible de contrôler non seulement les ressources auxquelles un utilisateur peut accéder en fonction de son scénario d'accès, mais aussi la façon dont il peut utiliser les ressources auxquelles il accède.
Un utilisateur se connectant à partir d'un kiosque dans un aéroport pourrait, par exemple, être autorisé à prévisualiser ou lire des fichiers et des pièces jointes à ses emails, mais n'aurait pas le droit de télécharger, de modifier ou d'imprimer ces fichiers. Il pourrait, en revanche, être habilité à effectuer ces opérations à partir de son domicile. Advanced Access Control s'intègre de façon transparente avec Citrix Presentation Server afin de fournir aux organisations le même niveau de contrôle sur les applications publiées.
SmoothRoaming
Advanced Access Control prend en charge la technologie SmoothRoaming.
Lorsque les utilisateurs changent de machine, passent d'un réseau à un autre ou se déplacent d'un lieu à un autre, ils peuvent désormais automatiquement bénéficier du niveau d'accès approprié configuré pour chaque nouveau cas de figure.
Secure by Design
Advanced Access Control a été conçu pour fournir aux utilisateurs une sécurité optimale. Il protège les informations de l'entreprise et assure l'intégrité du réseau.
Les technologies SmartAccess, SmoothRoaming et Secure by Design interagissent en combinant les fonctionnalités suivantes.
• Sécurité de point de terminaison intégrée. Permet un contrôle continu en temps réel pour s'assurer que la machine cliente est sûre avant connexion et qu'elle le reste pendant toute la durée de la connexion au réseau. L'analyse de point de terminaison évalue plus en profondeur l'intégrité des machines se connectant et vous permet de personnaliser le niveau d'accès accordé dans les stratégies en fonction des résultats d'analyse.
• Connectivité VPN. Les ressources réseau permettent la
connectivité VPN SSL directe aux serveurs, aux services et aux réseaux au sein du réseau local d'entreprise.
• Contrôles des actions. Ils permettent aux administrateurs de définir des stratégies autorisant ou interdisant la visualisation, la modification et l'enregistrement des documents en fonction de l'identité, de la machine, de l'emplacement et de la connexion de l'utilisateur.
• Prise en compte des machines portables. Modifie les interfaces de courrier électronique et de fichiers pour les ordinateurs de poche (PDA) et les machines de petite taille.
• Accès uniquement à l'aide d'un navigateur. Permet d'accéder à des sites Web, à des fichiers et au courrier électronique à l'aide d'un navigateur Web quelconque exécuté sur une machine quelconque. Vous pouvez effectuer un rendu automatique de document Microsoft Office pour l'aperçu HTML.
• Accès sécurisé au courrier électronique Web et aux fichiers. Permet d'accéder en toute sécurité à la messagerie de l'entreprise via Internet à partir d'une interface utilisateur de type Web. Permet aux utilisateurs d'accéder en toute sécurité à Microsoft Outlook et Lotus Notes en temps réel et de synchroniser les informations afin de travailler hors ligne. Permet d'accéder en toute sécurité aux partages de fichiers sur le réseau de
l'entreprise via Internet à partir d'une interface utilisateur de type Web.
• Intégration avancée avec Presentation Server. Vous pouvez utiliser l'analyse de point de terminaison et l'emplacement de la machine cliente pour contrôler quelles applications publiées sont disponibles pour l'utilisateur. La technologie SmartAccess est donc étendue à Presentation Server et il est possible de recourir aux filtres Advanced Access Control pour contrôler le mappage des lecteurs clients, les opérations possibles à l'aide du Presse-papiers et le mappage des imprimantes locales.
• Prise en charge multilingue. Permet la prise en charge totale de l'anglais, du japonais, de l'allemand, du français et de l'espagnol pour le serveur et le client.
• Cryptage de données standard. Utilisation du système de cryptage SSL standard permettant un accès sécurisé aux ressources de l'entreprise.
• Plate-forme de gestion commune. Fournit une structure unifiée
regroupant les outils de configuration, d'application de licences, de contrôle et de signalisation du client et du serveur. Cette structure unifiée contribue à la simplicité de l'administration, à la visibilité des activités et à la sécurité de l'entreprise.
Nouvelles fonctionnalités
Cette version apporte les nouvelles fonctionnalités et les améliorations suivantes.
• Prise en charge du format UPN et des informations d'identification UPN secondaires. Les utilisateurs qui ouvrent une session sur des réseaux internes avec des informations d'identification spécifiées au format UPN (User Principal Name) ou UPN secondaire peuvent ouvrir une session sur Access Gateway et accéder de façon transparente aux ressources
d'entreprise telles que les sites Web publiés, les partages de fichiers et le courrier électronique Web.
• Accès étendu aux applications publiées à l'aide de Citrix Presentation Server. Les applications publiées à l'aide de Citrix Presentation Server sont accessibles en tant que sites Access Platform à partir de l'interface Access.
Ceci permet aux utilisateurs d'accéder rapidement aux applications publiées et de les démarrer. Vous pouvez activer jusqu'à trois sites Access Platform
pour afficher des applications à partir de plusieurs batteries Presentation Server.
• Prise en charge d'équilibreurs de charge tiers. Outre ses fonctionnalités d'équilibrage de charge internes, Access Gateway édition Advanced prend en charge les configurations incluant des équilibreurs de charge tiers tels que Citrix Netscaler. Dans le cas où l'un des serveurs Advanced Access Control d'une batterie devient indisponible, les utilisateurs sont
automatiquement routés vers un autre serveur Advanced Access Control.
• Accès étendu aux documents hébergés sur des sites Sharepoint. Les sites Microsoft Sharepoint auxquels l'accès s'effectue via le proxy Web conservent bon nombre des fonctions commandées par menu dont les utilisateurs ont besoin pour travailler sur des fichiers, telles que Supprimer, Modifier les propriétés et M'alerter.
• Prise en charge des déploiements de zone démilitarisée double. Les organisations peuvent fournir une couche supplémentaire de sécurité pour leurs ressources internes en déployant des boîtiers Access Gateway dans une configuration de zone démilitarisée en deux étapes.
• Des stratégies déterminent de manière dynamique la meilleure méthode en matière de mise à disposition des ressources. Vous pouvez configurer des stratégies pour déterminer la meilleure méthode pour accéder à des ressources en fonction de la bande passante de connexion des utilisateurs. La bande passante de connexion est calculée à l'aide de l'analyse de point de terminaison Citrix Bandwidth et le résultat est utilisé pour déterminer si les ressources telles que les applications publiées sont envoyées en streaming ou fournies à l'utilisateur via une session ICA.
Nouveau nom
Access Gateway édition Advanced est le nouveau nom des produits
précédemment connus sous les noms d'Access Gateway avec Advanced Access Control, Access Gateway Enterprise et MetaFrame Secure Access Manager.
Aide et informations supplémentaires
Les rubriques de cette section expliquent comment obtenir des informations supplémentaires sur le produit et comment contacter Citrix.
• « Accès à la documentation produit », page 17
• « Assistance technique et services disponibles », page 20
• « Formations », page 21
• « Personnalisation du logiciel », page 22
Accès à la documentation produit
Votre documentation produit se compose de guides au format PDF, d'une documentation en ligne, d'informations sur les problèmes connus, d'une assistance à l'écran intégrée et du système d'aide de l'application.
• La documentation utilisateur est disponible par l'intermédiaire du système d'aide en ligne et de fichiers Adobe PDF (Portable Document Format). Les guides correspondent à différentes fonctions. Ainsi, toutes les informations destinées aux administrateurs ont été regroupées dans le guide Access Gateway Standard Edition Administrator’s Guide. Vous trouverez ces guides dans le dossier \Documentation du CD-ROM du serveur. Fichiers de documentation sur les emplacements d'installation dans le répertoire C:\Program Files\Citrix\Access Gateway\Documentation\langue. Dans cet exemple, langue représente le code de langue (en pour l'anglais, fr pour le français, etc.).
Remarque : les guides en ligne sont disponibles au format Adobe PDF (Portable Document Format). Pour afficher ou imprimer la documentation PDF ou y effectuer des recherches, vous aurez besoin d'Adobe Acrobat Reader 5.0.5 avec la fonction de recherche ou une des versions Adobe Reader 6.0 à 7.0. Vous pouvez télécharger ces produits gratuitement depuis le site Web d'Adobe Systems à l'adresse suivante : http://www.adobe.com/.
• L'interface utilisateur offre une assistance intégrée conçue pour vous aider à réaliser les tâches souhaitées. Par exemple, dans la console Access
Management Console, placer le pointeur de la souris sur une option a pour effet d'en afficher une description.
• Une aide en ligne est disponible dans de nombreux composants tels que la console. Vous pouvez accéder à l'aide en ligne à partir du menu ou du bouton Aide.
La documentation suivante est incluse avec le logiciel :
• Les fichiers Readme figurant sur le CD-ROM Serveur présentent les informations les plus récentes sur les fonctionnalités, les problèmes connus et les modifications apportées à la documentation. Nous vous
recommandons de prendre connaissance de ces informations avant d'installer le produit ou ses composants.
• Ce manuel, intitulé Guide de l'administrateur Access Gateway édition Advanced, décrit les concepts et procédures pour les administrateurs système chargés de planifier, concevoir, tester ou déployer le logiciel. Il contient des informations sur les fonctionnalités, sur l'installation et la configuration, ainsi que sur la maintenance des batteries de serveurs d'accès.
• Le Guide de mise à niveau Access Gateway édition Advanced fournit aux administrateurs système des procédures de mise à niveau depuis une version antérieure. Il contient des informations sur la sauvegarde des données de votre batterie de serveurs, la mise à niveau des composants de serveur et la migration des données et des informations de licence.
• Le Guide de démarrage du système de licences Citrix et le fichier Lisez- moi relatif aux licences décrivent les concepts et les procédures applicables au déploiement, à la maintenance et à l'utilisation des licences pour les produits Citrix.
L'outil Portail d'administration d'Access Gateway fournit une documentation supplémentaire relative au boîtier Access Gateway. Celle-ci comprend les guides Getting Started with Citrix Access Gateway Standard Edition, Access Gateway Standard Edition Pre-Installation Checklist et Access Gateway Standard Edition Administrator's Guide, ainsi qu'un fichier Lisez-moi.
Pour nous faire part de vos commentaires sur la documentation, veuillez accéder au site www.citrix.com, puis cliquez sur Support > Knowledge Center >
Product Documentation. Pour accéder au formulaire de remarques et suggestions, cliquez sur le lien Submit Documentation Feedback.
Conventions utilisées dans ce document
Cette documentation applique les conventions typographiques suivantes pour les menus, commandes, touches de clavier et les éléments de l'interface du
programme.
Convention Signification
Gras Indique une commande, le nom d'un élément de l'interface tel qu'une zone de texte ou un bouton, ou des données entrées par l'utilisateur.
Italique Signale un emplacement réservé à des informations ou des paramètres que vous devez fournir. Exemple : si une procédure vous demande d'entrer un nom de fichier vous devez entrer le nom d’un fichier. L'italique peut également indiquer un terme nouveau ou le titre d'un document.
%SystemRoot% Désigne le répertoire du système Windows qui peut être WTSRV, WINNT, WINDOWS ou tout autre nom spécifié à l'installation de Windows.
Espacement fixe Texte apparaissant dans un fichier texte.
{ accolades } Renferment une série d'éléments dont l'un est nécessaire à l'instruction. Par exemple, { yes | no } indique que vous devez saisir yes ou no. N'entrez pas les accolades.
[ crochets ] Renferment les éléments facultatifs des instructions. Par exemple, [/ping] indique que vous pouvez saisir /ping dans la commande. N'entrez pas les crochets.
| (barre verticale) Sépare les éléments entre crochets ou accolades dans les instructions. Par exemple, { /hold | /release | /delete } indique que vous devez taper /hold ou /release ou /delete.
… (points de suspension) Indique que vous pouvez répéter le ou les élément(s) précédent(s) dans les instructions. Par exemple, / route:NomMachine[,…] indique que vous pouvez saisir plusieurs noms de machine séparés par des virgules.
Conventions de ligne de commande
Certains composants s'exécutent à partir d'une interface de ligne de commande DOS. Si vous n'êtes pas familiarisé avec les lignes de commande DOS, notez les informations suivantes.
• Les barres obliques et les traits d'union placés dans une ligne de commande ont leur importance et doivent être saisis exactement comme dans les instructions fournies.
• Les espaces présents dans une ligne de commande sont également importants. Ils doivent donc être saisis exactement comme dans les instructions fournies.
• Les programmes DOS disposent d'un système d'aide. Pour y accéder, il suffit d'entrer le nom de la commande suivi d'une barre oblique et d'un point d'interrogation. Exemple : C:>sessmon/?
Assistance technique et services disponibles
Le programme CSA (Citrix Solution Advisors) est la principale source
d'assistance technique proposée par Citrix. Nos partenaires CSA sont formés et habilités à fournir un niveau d'assistance élevé auprès de nos clients. Veuillez contacter votre fournisseur pour obtenir une assistance directe ou consultez les coordonnées du partenaire CSA le plus proche à partir de l'adresse http://
www.citrix.com/support/.
Outre le programme CSA, Citrix offre une large gamme d'outils d'assistance technique Web en libre accès et notamment :
• le centre de connaissances Citrix (Citrix Knowledge Center), outil interactif contenant des milliers de solutions techniques pour la maintenance de votre environnement Citrix ;
• des forums d'assistance technique dans lesquels vous pouvez participer à des discussions techniques et rechercher les réponses à des questions déjà posées par d'autres participants ;
• les derniers service packs, corrections à chaud et utilitaires que vous pouvez télécharger ;
• des clients téléchargeables à partir de l'adresse http://www.citrix.com/
download/.
Autre source d'assistance, les services Citrix Preferred Support Services vous proposent une gamme d'options permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix utilisés dans votre entreprise.
Subscription Advantage
Votre produit inclut un abonnement d'un an au programme Subscription Advantage. Le programme Citrix Subscription Advantage vous permet de disposer facilement des dernières versions et informations relatives aux produits Citrix. L'inscription à ce programme vous donne non seulement un accès automatique au téléchargement des dernières feature releases, mises à niveau et améliorations disponibles pendant votre période d'adhésion, mais elle vous donne aussi un accès prioritaire à d'importantes informations sur les technologies Citrix.
Pour plus d'informations, veuillez visiter le site Web Citrix à l'adresse http://
www.citrix.com/services/ (sélectionnez Subscription Advantage). Vous pouvez également contacter votre représentant commercial Citrix, le support client Citrix Customer Care ou un membre du programme Citrix Solutions Advisors.
Notification du centre de connaissances
Le centre de connaissances Citrix vous permet de configurer des notifications.
Configurer une notification sur un sujet qui vous intéresse vous permet d'être informé lorsque celui-ci est mis à jour. Vous êtes alors averti des mises à jour de base de connaissances ou de forum. Vous pouvez définir des notifications sur des catégories de produit, des types de document, des documents spécifiques, ainsi que sur des catégories ou des sujets de forum.
Pour définir une notification, ouvrez une session sur le site Web d'assistance technique Citrix à l'adresse
http://support.citrix.com. Après l'ouverture de session, cliquez sur My Watches, au haut à droite, puis suivez les instructions fournies.
Formations
Citrix propose de nombreuses formations avec instructeur ou via le Web. Les formations avec instructeur sont proposées dans des centres de formation agréés (CALC : Citrix Authorized Learning Center). Les centres CALC offrent des formations en salle de qualité et utilisent des manuels conçus par Citrix. De nombreux cours débouchent sur l'obtention d'un certificat.
Les formations par le Web sont disponibles auprès des centres CALC, des revendeurs et sur le site Web de Citrix.
Pour obtenir des informations sur les cours et les programmes de formations et certifications Citrix, veuillez visiter le site http://www.citrix.com/edu/.
Personnalisation du logiciel
Le réseau CDN (Citrix Developer Network) est un programme d'inscription libre donnant accès à des kits d'outils de développement, à des informations techniques et à des programmes pilotes. Les distributeurs de logiciels et de matériels, les intégrateurs de systèmes, les utilisateurs autorisés ICA et les développeurs d'entreprise qui incorporent les solutions informatiques de Citrix à leurs produits peuvent accéder au réseau CDN à l'adresse http://apps.citrix.com/cdn/.
Certaines opérations peuvent faire l'objet de scripts utilisant les kits de
développement logiciel de Citrix (SDK). Le kit de développement logiciel (SDK) d'analyse de point de terminaison inclus avec votre logiciel prend en charge la personnalisation de cette analyse et se trouve sur le CD-ROM Serveur dans le dossier \Setup\EndpointAnalysisSDK.
Planification de votre stratégie d'accès
Avant d'installer Advanced Access Control, il convient d'évaluer votre
infrastructure et de réunir toutes les informations nécessaires afin d'élaborer une stratégie d'accès qui réponde précisément aux besoins de votre entreprise. La planification d'une stratégie d'accès implique trois étapes essentielles.
« Étape 1 : évaluation de l'infrastructure de votre entreprise », page 23
« Étape 2 : analyse des risques », page 27
« Étape 3 : mise en œuvre de la stratégie d'accès », page 27
Chacune de ces étapes est décrite en détail dans les sections suivantes. Prenez soin de documenter vos découvertes tout au long de la procédure. Cela vous permettra de mieux prévoir la charge de travail à accomplir au cours du projet, de déterminer des délais réalistes pour la phase de mise en œuvre et de préparer des bancs d'essai et des tests afin de mesurer les progrès généraux.
Étape 1 : évaluation de l'infrastructure de votre entreprise
L'infrastructure d'une entreprise recouvre tous les éléments matériels qui constituent le réseau de l'entreprise (machines clientes, serveurs, équilibreurs de charge, pare-feu, etc.). Votre évaluation doit également prendre en compte les ressources que vous souhaitez rendre accessibles : applications, services,
données, etc. Les principaux types de composant d'une infrastructure d'entreprise sont les suivants :
• applications Web (intranet, programme de messagerie Web, etc.) ;
• données d'entreprise (bases de données, documents, présentations, feuilles de calcul, etc.) ;
• serveurs (Exchange ou Notes/Domino, serveurs Web, serveurs de base de données, etc.).
Advanced Access Control vous permet de sécuriser et de contrôler l'accès des utilisateurs à toutes leurs ressources sur le réseau d'entreprise. Les figures suivantes présentent trois routes (VPN, navigateur, Presentation Server ICA) que vous pouvez fournir et combiner pour satisfaire une grande variété de besoins en accès à distance.
Trafic VPN (réseau privé virtuel)
Trafic de navigateur Web
Trafic Presentation Server
Après avoir identifié les éléments au sein de l'infrastructure d'entreprise, vous êtes en mesure de procéder à une analyse des risques et de définir une stratégie afin d'accorder le niveau d'accès approprié à ces ressources.
Remarque : Advanced Access Control intègre une prise en charge de l'équilibrage de charge. Par conséquent, il n'est pas nécessaire de déployer un équilibreur de charge pour gérer les requêtes soumises aux serveurs Advanced Access Control.
Étape 2 : analyse des risques
En matière de contrôle d'accès, les vulnérabilités correspondent à la possibilité, pour des utilisateurs non autorisés, d'accéder aux ressources de l'entreprise. Il existe plusieurs méthodes d'estimation des risques, généralement basées sur des calculs de probabilités et de conséquences. Ainsi, pour chaque ressource de l'entreprise à laquelle vous fournissez un accès et pour chaque menace que vous identifiez, les questions à se poser sont : « Quelle est la probabilité que cette menace soit mise à exécution ? » et « Quels seraient les dommages si cette menace était mise à exécution ? ».
Pour déterminer les risques encourus lorsque vous donnez accès à une ressource de l'entreprise, trois facteurs déterminants doivent être pris en compte : le type de la ressource, le caractère sensible des données associées à cette ressource et l'environnement à partir duquel il est possible d'accéder à cette ressource. Il est malgré tout difficile de quantifier les risques en raison de leur nature subjective et des dommages qui en résultent. Le plus important, cependant, est de s'assurer que vos stratégies Advanced Access Control en matière de contrôle d'accès aux ressources présentent un niveau de risque acceptable.
Il est intéressant, par exemple, de comparer les bénéfices que tire l'entreprise en permettant à certains utilisateurs d'accéder à des données confidentielles par rapport aux risques de dévoiler ces données, de façon accidentelle, à des sources qui ne sont pas dignes de confiance. Si votre analyse démontre que le risque est trop important, vous pouvez créer des stratégies limitant de façon encore plus stricte l'accès à ces données et minimisant ainsi les dangers associés à celui-ci.
Étape 3 : mise en œuvre de la stratégie d'accès
Après avoir collecté les informations nécessaires sur l'infrastructure de votre entreprise, identifié les ressources auxquelles vous souhaitez donner accès et procédé à une analyse des risques, vous êtes prêt à développer une stratégie d'accès. Cette étape consiste entre autres à déterminer comment vous allez intégrer Advanced Access Control à votre réseau existant.
Sécurisation de l'accès et des ressources à l'aide de stratégies
Les stratégies permettent de mieux protéger votre réseau en contrôlant les ressources auxquelles les utilisateurs ont le droit d'accéder et les actions qu'ils sont autorisés à effectuer sur ces ressources. Avant de créer des stratégies, vous devez considérer les points suivants.
• Ressources. Identifiez les ressources que vous souhaitez rendre accessibles en prenant en compte les résultats de l'analyse de risques.
• Utilisateurs. Associez les stratégies aux utilisateurs appropriés.
• Scénarios d'accès. Développez des stratégies adaptées aux conditions d'accès des utilisateurs aux ressources de l'entreprise. Un scénario est défini par le point d'ouverture de session utilisé pour accéder au réseau, les résultats de l'analyse de point de terminaison, le type d'authentification appliqué ou une combinaison de ces éléments. Déterminez, par exemple, si les utilisateurs doivent être en mesure de consulter leur courrier
électronique via Internet à partir d'un ordinateur portable de l'entreprise.
Déterminez aussi les actions qu'ils doivent pouvoir effectuer après avoir accédé aux ressources. Par exemple, vous pouvez leur donner le droit de modifier des documents au moyen d'une application publiée, de
prévisualiser un document au format HTML, etc.
Pour obtenir une description détaillée de la mise en place de stratégies d'accès, veuillez consulter le chapitre « Contrôle de l'accès à l'aide de stratégies », page 151.
Planification des configurations requises pour les clients
Advanced Access Control fournit deux méthodes de vérification des informations relatives à la machine cliente. Les analyses continues vérifient les fichiers, les processus ou les entrées de registre requis sur les machines clientes se connectant à votre réseau. Ces analyses sont exécutées de façon répétée lors de la session de l'utilisateur pour vérifier que la machine cliente continue de satisfaire les
conditions requises. Vous pouvez incorporer des analyses continues dans des stratégies de connexion afin de pouvoir mettre fin à la connexion si une analyse de fichier, de processus ou de registre n'est pas conforme à la valeur requise.
Une analyse de point de terminaison permet de recueillir des informations au sujet d'une machine cliente (version du système d'exploitation, niveau de service pack, etc.). Une analyse est exécutée lorsqu'un utilisateur essaie de se connecter via un point d'ouverture de session. À la différence des analyses continues, les analyses de point de terminaison ne sont exécutées qu'une seule fois par session.
Vous pouvez en incorporer les résultats dans des stratégies d'accès et définir ainsi l'accès à vos réseaux et ressources en fonction des informations réunies au sujet de la machine cliente. Par exemple, vous pouvez ne permettre l'accès à votre réseau d'entreprise à un employé travaillant à partir d'un ordinateur à son domicile que si une version requise d'un logiciel anti-virus est exécutée sur cet ordinateur.
Pour plus d'informations sur l'incorporation d'analyses de point de terminaison et d'analyses continues dans vos stratégies d'accès, veuillez consulter le chapitre
« Vérification des configurations requises sur les machines clientes », page 191.
Traversée de pare-feu
Access Gateway facilite la traversée des pare-feu et fournit une passerelle Internet sécurisée entre les serveurs Advanced Access Control et les machines clientes.
Les pare-feu sont généralement utilisés dans les cas de figure suivants.
• Zones démilitarisées (DMZ). Dans ce scénario, les pare-feu servent à créer une zone démilitarisée à un ou deux niveaux afin de protéger le réseau d'entreprise du trafic Internet. Ce déploiement suppose que des utilisateurs externes traversent les pare-feu qui protègent le réseau d'entreprise avant d'accéder aux ressources de l'entreprise.
• Enclaves. Dans ce scénario, le rôle des pare-feu est de limiter le trafic entre des segments spécifiques du réseau. Par exemple, les administrateurs d'un hôpital ont intérêt de segmenter leur réseau local pour que les informations les plus sensibles (comme les dossiers des patients) soient accessibles uniquement à partir d'enclaves particulières au sein du réseau.
• Périmètre de sécurité autour de la batterie de serveurs d'accès. Dans ce scénario, les pare-feu protègent les serveurs Advanced Access Control d'éventuelles menaces au sein du réseau local de l'entreprise en formant un périmètre de sécurité autour de la batterie de serveurs d'accès. Ce type de déploiement empêche les utilisateurs d'accéder directement à la batterie de serveurs d'accès.
Les entreprises combinent souvent ces trois types de déploiement afin de faire face aux différents types de risque. Pour plus d'informations sur les scénarios de déploiement d'Access Gateway pris en charge, veuillez consulter le guide Access Gateway Standard Edition Administrator's Guide.
Protection des données d'entreprise confidentielles
Les données confidentielles d'une entreprise (communément appelées propriété intellectuelle) représentent tout type d'information, d'application ou de service considéré comme appartenant à l'entreprise. Il s'agit, par exemple, des documents financiers, des données clientes ou des dossiers des employés. Le degré de sensibilité des données est fonction de l'impact d'une éventuelle perte de confidentialité ou d'intégrité de ces données. Ce degré de sensibilité dépend des aspects suivants.
• Dispositions réglementaires. Certains secteurs d'activité (santé, assurance et finance, par exemple) ont un devoir de secret imposé par des clauses légales de confidentialité très rigoureuses. De plus, l'environnement général exige des entreprises une connaissance pointue des règlements en vigueur dans les pays où elles exercent une activité.
• Implications légales. Il est essentiel de vérifier si la divulgation de données confidentielles soumises aux droits de propriété peut entraîner une action en justice de la part d'une tierce partie si celle-ci estime que ces données ont été communiquées à des utilisateurs non autorisés.
• Perte de compétitivité. Déterminez si votre entreprise pourrait rester compétitive en cas de perte d'informations cruciales. Imaginez, par exemple, que l'un des secrets de fabrication de votre entreprise tombe entre les mains de la concurrence.
• Image de l'entreprise. Étudiez l'impact sur votre entreprise en terme d'image si des intrus parvenaient à accéder à certaines informations confidentielles. Par exemple, imaginez qu'ils prennent connaissance des informations liées aux cartes de crédit de vos clients. Il est probable non seulement que vos clients demandent une réparation des dommages causés, mais aussi qu'ils perdent confiance en votre entreprise et cessent d'utiliser ses services.
Le contrôle de propriété intellectuelle a pour objectif d'empêcher tout risque de violation des données d'entreprise confidentielles. Advanced Access Control vous permet de protéger la propriété intellectuelle de votre entreprise à l'aide des fonctions suivantes de contrôle d'accès et de stratégies associées.
• Aperçu HTML. Vous pouvez configurer les fichiers Microsoft Office (Word ou Excel, par exemple) pour les afficher au format HTML et non dans leur format de fichier natif. Les utilisateurs seront alors en mesure de consulter ces fichiers mais pas de les modifier. De plus, la suppression des fichiers HTML du cache de la machine cliente lorsque l'utilisateur termine la session permet d'éliminer les risques liés aux fichiers temporaires. Vous avez ainsi la garantie qu'aucune donnée n'est conservée par accident sur les machines clientes lorsque les utilisateurs ferment leur sessions.
• Intégration de Citrix Presentation Server. Vous pouvez configurer les fichiers de façon à les ouvrir à l'aide d'une application publiée au lieu d'une application locale exécutée sur une machine cliente. Cela permet de mieux protéger les données de propriété intellectuelle dans la mesure où celles-ci restent en permanence sur le réseau protégé de l'entreprise.
Advanced Access Control et Citrix Presentation Server peuvent en outre partager les informations de stratégie afin d'activer, de façon sélective, certaines fonctionnalités pour certaines sessions d'application publiée (le mappage des lecteurs clients ou l'impression locale, par exemple). Pour plus d’informations sur les filtres, veuillez consulter le chapitre « Contrôle de l'accès à l'aide de stratégies », page 151.
Évaluation des types d'authentification
L'authentification est le processus déterminant si un utilisateur est la personne qu'il prétend être. Advanced Access Control prend en charge l'authentification à un facteur et l'authentification avancée. Les options d'authentification sont décrites dans les sections qui suivent.
Authentification à un facteur
Ce type d'authentification est basé sur ce que l'utilisateur connaît (code secret, mot de passe, etc.). Lorsque l'authentification à un facteur est utilisée, les utilisateurs s'identifient auprès d'Advanced Access Control en entrant leur nom d'utilisateur et leur mot de passe lors de l'ouverture de session. Lorsque les informations d'identification saisies sont correctes, il est conclu que l'utilisateur est bien l'utilisateur déclaré.
L'authentification à un facteur présente les avantages suivants.
• Advanced Access Control est compatible avec l'authentification à un facteur Windows et LDAP. Cette méthode d'authentification n'implique donc aucune charge de travail ni aucun coût de mise en œuvre
supplémentaire.
• Il est facile d'annuler et de remplacer les mots de passe dont l'intégrité a été compromise.
• Les utilisateurs sont habitués à ce type d'authentification.
L'authentification à un facteur présente les inconvénients suivants.
• Sans le savoir, les utilisateurs risquent de communiquer leurs mots de passe à des personnes malveillantes par le biais d'un stratagème quelconque ou d'une astuce technique.
• Il est impossible de se fier totalement à un mot de passe pour garantir l'authenticité de l'utilisateur dans la mesure où rien n'empêche les
utilisateurs de partager leurs mots de passe. Il est fréquent qu'un utilisateur oublie de modifier son mot de passe après l'avoir communiqué à une autre personne dans un but quelconque. Plusieurs personnes peuvent ainsi ouvrir des sessions en utilisant les mêmes informations d'identification.
Authentification avancée
Ce type d'authentification combine une donnée connue de l'utilisateur à un deuxième élément d'information (possédé par l'utilisateur, comme un jeton matériel, ou connu par l'utilisateur, comme un mot de passe supplémentaire).
Advanced Access Control fonctionne avec trois procédés de sécurité
(RSA Security SecurID, Secure Computing SafeWord et RADIUS) permettant une authentification avancée.
L'authentification avancée présente les avantages suivants.
• Elle permet d'augmenter la fiabilité générale du processus
d'authentification. Demander un élément d'information supplémentaire aux utilisateurs (que ce soit un mot de passe supplémentaire ou un code à usage unique généré à partir d'un jeton matériel) permet de limiter
considérablement les risques d'usurpation d'identité. Par exemple, pour accéder au réseau, un intrus devra non seulement connaître le mot de passe principal d'un utilisateur, mais également se procurer le mot de passe RADIUS ou le jeton matériel de cet utilisateur.
• Les solutions à base de jetons présentent un intérêt supplémentaire dans la mesure où les utilisateurs n'ont pas la possibilité de mémoriser leurs informations d'identification en vue d'un usage ultérieur. Vous avez ainsi la certitude qu'ils se conformeront aux recommandations d'usage en matière de sécurité et qu'ils ne pourront pas enregistrer les données d'identification sous forme électronique ni les inscrire sur un support papier.
L'authentification avancée présente les inconvénients suivants.
• Les coûts de mise en œuvre sont conséquents. En plus du logiciel indispensable à la validation des données d'authentification avancée, les solutions à base de jetons nécessitent l'achat des jetons matériels.
• Les utilisateurs risquent de perdre, de se faire dérober ou d'oublier leurs jetons.
Comparez les avantages et les inconvénients respectifs de l'authentification à un facteur et de l'authentification avancée. Pour certaines entreprises, la première méthode offre un niveau de sécurité suffisant. Si votre entreprise requiert une sécurité plus poussée, considérez une solution recourant à l'authentification avancée.
Optimisation du taux de disponibilité
Advanced Access Control intègre une prise en charge de l'équilibrage de charge.
De plus, les serveurs Advanced Access Control prennent en charge diverses applications et techniques standard de mise en cluster des serveurs afin d'assurer un taux de disponibilité élevé et une continuité de service optimale. Lors de la planification de votre déploiement Advanced Access Control, envisagez une ou plusieurs des solutions suivantes.
• Sauvegarde des bases de données. La sauvegarde de votre base de données SQL Advanced Access Control permet de remédier à des problèmes tels qu'un échec de stockage de base de données, une erreur d'application ou une erreur d'utilisateur. Les sauvegardes sont souvent primordiales pour la restauration des données en cas de catastrophe naturelle (ouragan, incendie, inondation, etc.).
• Redondance matérielle. La redondance matérielle évite d'immobiliser le système en cas de problème matériel en détectant les composants
défaillants avant qu'ils ne tombent en panne et en les isolant lorsque le problème survient. Pour bénéficier d'une redondance matérielle,
assurez-vous que votre équipement dispose des configurations minimales requises indiquées dans la section « Éléments requis sur les serveurs », page 46. Essayez en outre de déterminer s'il est nécessaire d'appliquer la redondance pour les éléments suivants :
• commutateurs et routeurs par lesquels transite le trafic Advanced Access Control ;
• cartes d’interface réseau des serveurs Advanced Access Control ;
• serveurs de bases de données.
• Redondance de serveur. Chaque serveur Advanced Access Control d'une batterie de serveurs d'accès est configuré pour le rôle de serveur d'aperçu HTML par défaut. Par conséquent, chaque serveur ajouté à votre batterie agit comme serveur redondant afin de limiter la durée d'immobilisation en cas de panne de serveur. Si vous ne souhaitez pas affecter tous les serveurs de votre batterie à ce rôle, déployez un ou plusieurs serveurs pour chaque serveur Advanced Access Control ayant ce rôle activé. Pour plus
d'informations sur l'attribution du rôle de serveur d'aperçu HTML, veuillez consulter la section « Modification des rôles d'un serveur », page 256.
• Redondance de base de données. Toutes les données Advanced Access Control sont stockées sur un serveur de base de données SQL. Pour vous assurer que ces données sont disponibles en permanence pour les utilisateurs, adoptez une ou plusieurs des stratégies suivantes :
• mise en cluster ;
• envoi de journaux ;
• équilibrage de charge réseau pour procéder à la commutation des serveurs SQL en cas de besoin ;
• « stretch clustering ».
Pour plus d'informations sur ces solutions à taux de disponibilité élevé, veuillez consulter votre documentation SQL.
Prise en compte des besoins des utilisateurs
Pour planifier une stratégie d'accès adaptée, il est essentiel d'analyser les besoins des utilisateurs. Vous pourrez ainsi en déduire le type d'accès dont chaque utilisateur a besoin pour travailler dans les meilleures conditions. Il est important de considérer les points suivants.
• Productivité. Créez des stratégies offrant aux utilisateurs le niveau d'accès nécessaire pour rester efficaces et productifs.
• Accès aux ressources. Répertoriez les ressources que vous devez mettre à la disposition des utilisateurs (messagerie, applications Web, applications publiées, partages de fichiers, etc.).
• Interface utilisateur. Déterminez l'interface qu'il convient de présenter par défaut aux utilisateurs lorsqu'ils ouvrent une session. Advanced Access Control comprend l'interface Access, une page Web affichant les ressources d'entreprise et le courrier électronique mis à la disposition d'un utilisateur.
Vous pouvez aussi configurer une application Web telle qu'un site Citrix Access Platform ou un portail tiers en guise d'interface utilisateur par défaut.
• Travail en mode déconnecté. Déterminez si les utilisateurs ont besoin d'accéder régulièrement au réseau pour synchroniser leurs données et de travailler en mode déconnecté. Par exemple, les utilisateurs qui sont souvent en déplacement ont intérêt à accéder en toute sécurité à leur courrier électronique en temps réel et à synchroniser leurs données sur leurs machines clientes s'ils souhaitent rester productifs et continuer à travailler même lorsqu'ils ne sont plus reliés au réseau.
• Machines clientes. Advanced Access Control est compatible avec un grand nombre de machines clientes. Il est donc essentiel d'établir les profils matériels et logiciels des machines clientes de votre environnement (de considérer entre autres les tailles des machines, les systèmes d'exploitation utilisés, les types de navigateur, etc.) pour s'assurer qu'ils répondent aux configurations minimales requises pour Advanced Access Control. Pour plus d'informations sur les configurations requises pour les machines clientes, veuillez consulter la section « Configurations requises pour les clients », page 65.
• Accès par navigateur uniquement. Déterminez si les utilisateurs ont besoin d'accéder aux partages de fichiers réseau, au courrier
électronique Web et aux sites Web internes à partir de machines clientes verrouillées empêchant le téléchargement d'un logiciel client. Dans ce cas, le seul logiciel client nécessaire pour accéder au réseau d'entreprise est un navigateur Web.
Remarque : certaines applications Web ne permettent pas l'accès par navigateur uniquement. Pour plus d’informations, veuillez consulter le chapitre « Limites de l'accès par navigateur uniquement », page 168.
Licences de l'édition Advanced
Le système de licences Citrix limite le nombre de sessions utilisateur simultanées au nombre de licences achetées. Si vous achetez 100 licences, vous pouvez ouvrir 100 sessions utilisateur à la fois. Quand un utilisateur met fin à une session, la licence est libérée pour l'utilisateur suivant. Un utilisateur qui se connecte sur plusieurs ordinateurs en même temps utilise une licence pour chaque session.
Le processus d'attribution de licences comprend les étapes suivantes :
• « Installation du système de licences Citrix », page 37 (facultatif si vous avez déjà le système de licences Citrix)
• « Obtention de licences », page 38
• « Spécification du serveur de licences », page 41
• « Ajout de raccourcis à la console License Management Console », page 42 (facultatif)
Installation du système de licences Citrix
Access Gateway édition Advanced exige l'accès à au moins un serveur de licences partagé ou dédié exécutant le système de licences Citrix. Si votre portefeuille de produits comprend déjà d'autres produits Citrix, il est possible que vous disposiez déjà d'un serveur de licences pour stocker et gérer vos licences utilisateur. Dans ce cas, vous pouvez ignorer cette étape et passer à l'obtention de vos fichiers de licences.
Remarque : Access Gateway édition Standard utilise un serveur de licences sur le boîtier Access Gateway et ne nécessite pas de serveur de licences Citrix dédié.
Vous devez utiliser un serveur de licences dédié pour l'édition Advanced. Si vous effectuez une mise à niveau à partir de l'édition Standard et ne disposez pas encore d'un serveur de licences Citrix, vous devez en installer un.
Vous pouvez installer et configurer le système de licences Citrix avant, pendant ou après l'installation d'Access Gateway édition Advanced.
Pour installer le système de licences Citrix, suivez les procédures du guide intitulé Guide de démarrage du système de licences Citrix, disponible :
• dans le centre de connaissances Citrix (http://support.citrix.com/) ;
• dans le dossier Documentation du CD-ROM du produit ;
• à partir de la commande Démarrer > Tous les programmes ou Programmes > Citrix > Access Gateway > Documentation sur un serveur exécutant Access Gateway édition Advanced.
L'attribution des licences étant un moment crucial de l'installation de votre produit, Citrix conseille fortement de lire le guide des licences avant d'installer le système de licences Citrix.
Informations supplémentaires
Outre le Guide de démarrage du système de licences Citrix, vous trouverez une série d'articles destinés à vous fournir des informations plus détaillées pour des tâches ne faisant pas partie de l'installation proprement dite de vos composants de licences. Ces articles sont répertoriés dans le chapitre 3 du guide et se trouvent dans le centre de connaissances Citrix (http://support.citrix.com/).
Obtention de licences
Si ce n'est déjà fait, vous devez obtenir des fichiers de licences à télécharger et copier sur votre serveur de licences. Les fichiers de licences contiennent les licences que vous avez attribuées pour un serveur de licences spécifié. Vous pouvez obtenir ces fichiers à partir de la zone du système de licences du site Web MyCitrix (http://www.mycitrix.com/).
Avant de télécharger un fichier de licences, réfléchissez déjà au nom contextuel du serveur de licences qui stockera le fichier de licences et le nombre de licences que vous souhaitez attribuer à ce serveur.
Vous trouverez plus de détails sur les informations à fournir et les étapes de téléchargement des fichiers de licences dans le Guide de démarrage du système de licences Citrix, disponible sur le CD-ROM du produit, à partir du menu Démarrer d'un serveur exécutant Access Gateway édition Advanced, ou de la zone Support du site Web Citrix
(http://support.citrix.com).
