Pour configurer des batteries de serveurs Citrix XenApp et XenDesktop dans VMware Identity Manager, vous créez une ou plusieurs collections d'applications virtuelles dans la page Catalogue > Collection d'applications virtuelles, qui contient des informations de configuration telles que les serveurs Citrix à partir desquels synchroniser les ressources et droits d'accès, l'instance d'Integration Broker à utiliser pour la synchronisation et l'authentification unique, le connecteur VMware Identity Manager à utiliser pour la synchronisation et les paramètres administrateur, tels que le client de lancement par défaut.

Vous pouvez ajouter toutes vos batteries de serveurs Citrix dans une collection ou créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer une collection distincte pour chaque batterie de serveurs afin de simplifier la gestion et de répartir la charge de la synchronisation sur plusieurs connecteurs. Ou vous pouvez choisir d'inclure toutes les batteries de serveurs dans une collection pour un environnement de test et d'avoir une autre collection identique pour votre environnement de production.

Avant de configurer des ressources publiées Citrix dans VMware Identity Manager, vérifiez que toutes les conditions préalables sont remplies.

De plus, suivez ces recommandations pour les paramètres de batterie de serveurs Citrix.
  • Synchronisation des groupes de livraison

    Le paramètre Type de livraison d'un groupe de livraison dans Citrix détermine comment VMware Identity Manager synchronise le groupe de livraison.

    VMware Identity Manager synchronise un groupe de livraison uniquement si son Type de livraison est défini sur DesktopsAndApps ou DesktopsOnly. Si le Type de livraison du groupe de livraison est défini sur AppsOnly, ses applications sont synchronisées, mais le groupe de livraison lui-même ne l'est pas et il n'apparaît pas dans le catalogue VMware Identity Manager.

    Configurez vos groupes de livraison en conséquence.

  • Dans XenDesktop et XenApp 7.9, si vous utilisez l'option Groupe à visibilité limitée pour limiter les utilisateurs, vérifiez que Groupe à visibilité limitée contient des utilisateurs ou des groupes. S'il ne contient pas d'utilisateurs ou de groupes, la synchronisation à VMware Identity Manager ne fonctionnera pas.
  • Vérifiez que tous les postes de travail et les applications publiées Citrix d'un site contiennent des utilisateurs valides. Si vous supprimez un utilisateur ou un groupe, vérifiez que vous le supprimez également dans les ressources publiées Citrix.
  • Vérifiez que les utilisateurs et les groupes ont été attribués au groupe de livraison correct.

    Si vous sélectionnez des paramètres pour restreindre les utilisateurs, vérifiez qu'ils incluent des utilisateurs et des groupes.

  • XenDesktop et XenApp 7.x vous permettent de définir des droits pour tous les utilisateurs authentifiés au niveau du groupe de livraison avec le paramètre « Autoriser n'importe quel utilisateur authentifié à utiliser ce groupe de livraison ». VMware Identity Manager ne prend pas en charge ce paramètre. Pour vous assurer que les utilisateurs disposent des droits corrects dans VMware Identity Manager, définissez des droits explicites pour les utilisateurs et les groupes.

Conditions préalables

  • Configurez VMware Identity Manager. Pour plus d'informations, consultez les guides Installation et configuration de VMware Identity Manager et Administration de VMware Identity Manager.
  • Assurez-vous que les utilisateurs et les groupes disposant de droits Citrix ont été synchronisés entre votre annuaire d'entreprise et VMware Identity Manager à l'aide de la synchronisation d'annuaire.

    Les utilisateurs doivent avoir l'attribut distinguishedName. Si l'attribut n'est pas défini pour un utilisateur, celui-ci n'est pas en mesure d'exécuter des applications et des postes de travail.

  • Déployez Integration Broker et vérifiez que vous avez respecté les conditions préalables décrites dans la section Conditions préalables à l'intégration de Citrix.

  • Si vous utilisez un équilibrage de charge devant Integration Broker, notez le nom d'hôte ou l'adresse IP de l'équilibrage de charge pour pouvoir l'utiliser au cours de cette tâche.

  • Si vous voulez utiliser l'option Utiliser StoreFront, disponible dans VMware Identity Manager 2.9.1 et versions ultérieures, vérifiez que les conditions suivantes sont remplies.
    • Installez la version 2.9.1 ou ultérieure d'Integration Broker.
    • Assurez-vous que StoreFront est pris en charge par la version de XenApp ou XenDesktop que vous utilisez.
    • Assurez-vous qu’Integration Broker peut communiquer avec le serveur StoreFront.

      Lorsque vous activez l’API ReST StoreFront, Integration Broker communique avec le serveur StoreFront pour générer le fichier ICA.

    • Activez l’authentification de base HTTP comme méthode d’authentification dans le magasin Citrix StoreFront. Cela est nécessaire pour l'accès interne uniquement.
      Attention : Si vous n’activez pas l’authentification HTTP de base, l’authentification échoue.
  • Consultez la documentation de Citrix pour votre version de Citrix XenApp ou XenDesktop.

Procédure

  1. Connectez-vous à la console d'administration de VMware Identity Manager.
  2. Sélectionnez l'onglet Catalogue > Collection d'applications virtuelles.
  3. Cliquez sur Ajouter des applications virtuelles et sélectionnez Application publiée Citrix.
  4. Entrez un nom unique pour la collection.
  5. Dans le menu déroulant Synchroniser les connecteurs, sélectionnez le connecteur que vous souhaitez utiliser pour synchroniser les ressources de cette collection.

    Si vous avez configuré plusieurs connecteurs pour la haute disponibilité, cliquez sur Ajouter un connecteur et sélectionnez les connecteurs. L'ordre dans lequel les connecteurs sont répertoriés détermine l'ordre de basculement.

  6. Dans la section Synchroniser Integration Broker, fournissez les informations sur l'instance d'Integration Broker que vous souhaitez utiliser pour synchroniser des ressources.
    1. Entrez le nom de domaine complet et le numéro de port de l'instance synchronisée d'Integration Broker.

      Si vous avez configuré un équilibrage de charge devant plusieurs instances d'Integration Broker dédiées à la synchronisation, entrez le nom d'hôte ou l'adresse IP et le numéro de port de l'équilibrage de charge.

    2. Pour vous connecter à Integration Broker via SSL, cochez la case Utiliser SSL, puis copiez et collez le certificat SSL du serveur Integration Broker.
      Note : Si vous utilisez un certificat auto-signé, téléchargez également le certificat sur la page Paramètres du dispositif > Gérer la configuration > Installer des certificats SSL > Autorités de certification approuvées. Pour les connecteurs externes, la page est disponible à l'adresse https:// connectorFQDN:8443/cfg/ssl. Si vous avez sélectionné plusieurs connecteurs de synchronisation, ajoutez le certificat à la page Installer des certificats SSL > Autorités de certification approuvées de tous les connecteurs.
  7. Dans la section SSO Integration Broker, fournissez les informations sur l'instance d'Integration Broker que vous souhaitez utiliser pour lancer des ressources. Vous devez vous connecter à SSO Integration Broker via SSL.
    1. Entrez le nom de domaine complet et le numéro de port de SSO Integration Broker.

      Si vous avez configuré un équilibrage de charge devant plusieurs instances d'Integration Broker dédiées à fournir l'authentification unique, entrez le nom de domaine complet et le numéro de port de l'équilibrage de charge.

      Note : N'utilisez pas l'adresse IP.
    2. Dans le champ Certificat SSL, copiez et collez le certificat SSL du serveur Integration Broker.
      Note : Si vous utilisez un certificat auto-signé, téléchargez également le certificat sur la page Paramètres du dispositif > Gérer la configuration > Installer des certificats SSL > Autorités de certification approuvées. Pour les connecteurs externes, la page est disponible à l'adresse https:// connectorFQDN:8443/cfg/ssl. Si vous avez sélectionné plusieurs connecteurs de lancement, ajoutez le certificat à la page Installer des certificats SSL > Autorités de certification approuvées de tous les connecteurs.
  8. Dans la section Batteries de serveurs, entrez les détails de la batterie de serveurs Citrix.
    Pour ajouter plusieurs batteries de serveurs, cliquez sur +Ajouter une batterie de serveurs.
    Option Description
    Version Sélectionnez la version de la batterie de serveurs Citrix : 5.0, 6.0, 6.5 ou 7.x.
    Utiliser StoreFront Sélectionnez cette option si vous souhaitez que les ressources XenApp soient lancées à l'aide de Citrix StoreFront REST API. Lorsque cette option est sélectionnée, Integration Broker utilise Citrix StoreFront REST API afin de communiquer avec le serveur StoreFront et de récupérer le fichier ICA. Si cette option n’est pas sélectionnée, Integration Broker utilise l'interface Web SDK de Citrix afin de communiquer avec les composants de Citrix et de récupérer le fichier ICA.
    Note : Si vous activez ou désactivez cette option après l'installation initiale et la synchronisation, enregistrez vos paramètres, puis procédez de nouveau à la synchronisation afin que la modification prenne effet.
    URL de StoreFront Entrez l'URL du serveur StoreFront au format suivant : transportType://storefrontServerFQDN/Citrix/storenameWeb

    Par exemple : http://xen76.example.com/Citrix/mystoreWeb

    Note : Il s’agit de l’URL du site Web du magasin Web récepteur.
    Important : Entrez également cette URL dans le champ Hôte URL d’accès client dans la section XenApp des paramètres de la Plage réseau.
    Nom du serveur Nom du serveur attribué à votre environnement.
    Serveurs (ordre de basculement) Organisez les brokers XML Citrix (serveurs) dans l'ordre de basculement. VMware Identity Manager respectera cet ordre au cours de l'authentification SSO et en cas de basculement.
    Note : PowerShell Remoting doit être activé sur les brokers XML.
    Type de transport Type de transport utilisé dans votre configuration de serveur Citrix : HTTP, HTTPS ou relais SSL.
    Note : Le type de transport et le port doivent correspondre à la configuration de votre serveur Citrix.
    Port Paramètre de port utilisé dans votre configuration de serveur Citrix
    Note : Le type de transport et le port doivent correspondre à la configuration de votre serveur Citrix.
    Serveur STA Si vous utilisez NetScaler, vous devez spécifier un serveur STA pour la batterie de serveurs.
    1. Spécifiez le serveur STA pour la batterie de serveurs Citrix.

      Entrez l'URL du serveur STA au format suivant :

      transporttype://server:port

      Par exemple : http://staserver.example.com:80

      L'URL ne peut contenir que des caractères alphanumériques, des points (.) et des traits d'union (-).

    2. Cliquez sur Ajouter à la liste.

      Le serveur apparaît dans la liste Serveurs STA XenApp.

    3. Entrez des serveurs STA supplémentaires, le cas échéant. Par exemple, vous pouvez spécifier un second serveur STA à des fins de basculement.
    Si vous utilisez NetScaler, spécifiez le serveur STA pour la batterie de serveurs Citrix.
    Serveurs XenApp STA (ordre de basculement) Spécifiez l'ordre de basculement pour les serveurs STA que vous avez ajoutés.
  9. Pour ajouter une autre batterie de serveurs, cliquez sur Ajouter une batterie de serveurs et entrez les informations de configuration de la batterie de serveurs.
  10. Sélectionnez Catégories de synchronisation provenant des batteries de serveurs si vous voulez synchroniser des catégories provenant de batteries de serveurs Citrix vers VMware Identity Manager.
  11. Sélectionnez Ne pas synchroniser les applications en double pour éviter que les applications en double soient synchronisées depuis plusieurs serveurs. Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. Cocher cette option empêche la duplication des postes de travail ou des applications dans votre catalogue VMware Identity Manager.
  12. Dans le menu déroulant Fréquence de synchronisation, sélectionnez la fréquence à laquelle vous voulez synchroniser les ressources de cette collection.
    Vous pouvez configurer un planning de synchronisation régulier ou choisir de synchroniser manuellement. Si vous sélectionnez Manuel, vous devez cliquer sur Synchroniser sur la page Catalogue > Collection d'applications virtuelles une fois que vous configurez la collection et chaque fois qu'une modification est apportée à vos droits ou ressources publiées Citrix.
  13. Dans la liste déroulante Type d'activation, choisissez de quelle manière les ressources publiées Citrix sont mises à la disposition des utilisateurs dans Workspace ONE.
    Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à la page Catalogue. Les utilisateurs peuvent utiliser les ressources de la page Catalogue ou les déplacer vers la page Signets. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application.

    La stratégie d'activation que vous sélectionnez sur cette page s'applique à tous les droits d'accès des utilisateurs pour toutes les ressources de la collection. Vous pouvez modifier la stratégie d'activation pour des utilisateurs individuels ou des groupes par ressource, sur la page Droits d'accès de l'application ou du poste de travail.

    Définir la stratégie d'activation pour la collection sur Activé par l'utilisateur est recommandé si vous prévoyez de configurer un flux d'approbation.

  14. Cliquez sur Enregistrer.
    La collection est créée et apparaît dans la page Collection des applications virtuelles. Les ressources de la collection ne sont pas encore synchronisées.
  15. Pour synchroniser les ressources de la collection avec VMware Identity Manager, cliquez sur Synchroniser dans la page Collection d'applications virtuelles.
    Chaque fois qu'une modification est apportée à des ressources ou des droits dans Citrix, une synchronisation est requise pour propager les modifications à VMware Identity Manager.
    Note : La fonction de groupe d'utilisateurs anonymes du produit Citrix n'est pas prise en charge par VMware Identity Manager.

Résultats

Les ressources publiées Citrix et les droits correspondants sont synchronisés avec VMware Identity Manager.

Que faire ensuite

Si vous avez sélectionné l’option Utiliser StoreFront, modifiez les paramètres de la plage réseau et, dans le champ Hôte URL d’accès client dans la section XenApp, entrez la même URL que celle que vous avez entrée dans le champ URL StoreFront.