Pour configurer des batteries de serveurs Citrix XenApp et XenDesktop dans VMware Identity Manager, vous créez une ou plusieurs collectes d'applications virtuelles sur la page Configuration d'applications virtuelles, qui contiennent des informations de configuration telles que les serveurs Citrix à partir desquels synchroniser les ressources et droits, l'instance d'Integration Broker à utiliser pour la synchronisation et l'authentification unique, le connecteur VMware Identity Manager à utiliser pour la synchronisation et des paramètres administrateur, tels que le client de lancement par défaut.
Vous pouvez ajouter toutes vos batteries de serveurs Citrix dans une collection ou créer plusieurs collections, selon vos besoins. Par exemple, vous pouvez choisir de créer une collection distincte pour chaque batterie de serveurs afin de simplifier la gestion et de répartir la charge de la synchronisation sur plusieurs connecteurs. Ou vous pouvez choisir d'inclure toutes les batteries de serveurs dans une collection pour un environnement de test et d'avoir une autre collection identique pour votre environnement de production.
Avant de configurer des ressources publiées Citrix dans VMware Identity Manager, vérifiez que toutes les conditions préalables sont remplies.
De plus, suivez ces recommandations pour les paramètres de batterie de serveurs Citrix.
Synchronisation des groupes de livraison
Le paramètre Type de livraison d'un groupe de livraison dans Citrix détermine comment VMware Identity Manager synchronise le groupe de livraison.
VMware Identity Manager synchronise un groupe de livraison uniquement si son Type de livraison est défini sur Postes de travail et applications ou Postes de travail uniquement. Si le Type de livraison du groupe de livraison est défini sur Applications uniquement, ses applications sont synchronisées, mais le groupe de livraison lui-même ne l'est pas et il n'apparaît pas dans le catalogue VMware Identity Manager.
Configurez vos groupes de livraison en conséquence.
Dans XenDesktop et XenApp 7.9, si vous utilisez l'option Groupe à visibilité limitée pour limiter les utilisateurs, vérifiez que Groupe à visibilité limitée contient des utilisateurs ou des groupes. S'il ne contient pas d'utilisateurs ou de groupes, la synchronisation à VMware Identity Manager ne fonctionnera pas.
Vérifiez que tous les postes de travail et les applications publiées Citrix d'un site contiennent des utilisateurs valides. Si vous supprimez un utilisateur ou un groupe, vérifiez que vous le supprimez également dans les ressources publiées Citrix.
Vérifiez que les utilisateurs et les groupes ont été attribués au groupe de livraison correct.
Si vous sélectionnez des paramètres pour restreindre les utilisateurs, vérifiez qu'ils incluent des utilisateurs et des groupes.
XenDesktop et XenApp 7.x vous permettent de définir des droits pour tous les utilisateurs authentifiés au niveau du groupe de livraison avec le paramètre « Autoriser n'importe quel utilisateur authentifié à utiliser ce groupe de livraison ». VMware Identity Manager ne prend pas en charge ce paramètre. Pour vous assurer que les utilisateurs disposent des droits corrects dans VMware Identity Manager, définissez des droits explicites pour les utilisateurs et les groupes.
VMware Identity Manager ne prend pas en charge la fonctionnalité de groupe d'utilisateurs anonymes de Citrix.
Note:
XenApp 5.x n'est plus pris en charge. Vous ne pouvez pas mettre à jour ou enregistrer les configurations existantes qui incluent un serveur XenApp 5.x, sauf si vous supprimez le serveur de la configuration. Une fois que vous avez supprimé le serveur 5.x de la configuration et enregistré la configuration, toutes les ressources associées au serveur 5.x seront supprimées du catalogue lors de la prochaine synchronisation. Les utilisateurs pourront exécuter les ressources jusqu'à ce qu'elles soient supprimées du catalogue.
Conditions préalables
Configurez VMware Identity Manager. Pour plus d'informations, consultez les guides Installation et configuration de VMware Identity Manager et Administration de VMware Identity Manager.
Assurez-vous que les utilisateurs et les groupes disposant de droits Citrix ont été synchronisés entre votre annuaire d'entreprise et VMware Identity Manager à l'aide de la synchronisation d'annuaire.
Lors de la création du répertoire, assurez-vous de rendre obligatoire l’attribut userPrincipalName.
Les utilisateurs doivent avoir l'attribut distinguishedName. Si l'attribut n'est pas défini pour un utilisateur, celui-ci n'est pas en mesure d'exécuter des applications et des postes de travail.
Déployez Integration Broker et vérifiez que vous avez respecté les conditions préalables décrites dans la section Conditions préalables à l'intégration de Citrix.
Si vous utilisez un équilibrage de charge devant Integration Broker, notez le nom d'hôte ou l'adresse IP de l'équilibrage de charge pour pouvoir l'utiliser au cours de cette tâche.
Pour utiliser l'option StoreFront, disponible dans VMware Identity Manager 2.9.1 et version ultérieure, vérifiez que les conditions suivantes sont remplies.
Installez la version 2.9.1 ou ultérieure d'Integration Broker.
Assurez-vous que StoreFront est pris en charge par la version de XenApp ou XenDesktop que vous utilisez.
Assurez-vous qu’Integration Broker peut communiquer avec le serveur StoreFront.
Lorsque vous activez StoreFront REST API, Integration Broker communique avec le serveur StoreFront pour générer le fichier ICA.
Dans le serveur StoreFront, si vous configurez des domaines approuvés pour la méthode d'authentification « nom d'utilisateur et mot de passe », assurez-vous d’ajouter les noms de domaine dans le format de nom de domaine complet à la liste « Domaines approuvés ». VMware Identity Manager requiert le nom de domaine complet. Pour plus d'informations, reportez-vous à la section Lancement d'applications et de postes de travail publiés Citrix.
Si votre déploiement Citrix comprend un serveur Citrix NetScaler Gateway et que vous prévoyez de le connecter à la batterie de serveurs Citrix à l'aide de Web Interface SDK, procurez-vous l'URL du serveur STA (Secure Ticket Authority) de Citrix associé au serveur NetScaler Gateway. Voir Obtenir l'URL du serveur STA pour NetScaler Gateway.
Consultez la documentation de Citrix pour votre version de Citrix XenApp ou XenDesktop.
Pour effectuer cette procédure dans VMware Identity Manager, utilisez un rôle d'administrateur qui comprend l'action Gérer des applications de poste de travail dans le service de catalogue.
À la fin de cette procédure, vous êtes redirigé vers la page Plages réseau afin de configurer les noms de domaine complets de l'accès du client. Pour modifier et enregistrer la page Plages réseau, vous devez disposer du rôle Super administrateur. Vous pouvez choisir d'effectuer cette étape séparément.
Procédure
- Connectez-vous à la console VMware Identity Manager.
- Sélectionnez l'onglet .
- Cliquez sur Nouveau.
- Sélectionnez Application publiée Citrix comme type de source.
- Dans le nouvel assistant Citrix XenApp, entrez les informations suivantes sur la page Connecteur et Broker.
Option |
Description |
Nom |
Entrez un nom unique pour la collecte d'applications virtuelles Citrix. |
Connecteur |
Sélectionnez le connecteur à utiliser pour synchroniser cette collecte. Pour sélectionner le connecteur, sélectionnez l'annuaire qui lui est associé. Si vous avez configuré un cluster de connecteurs, toutes les instances de connecteur s'affichent dans la liste Hôte et vous pouvez les organiser dans l'ordre de basculement de cette collecte. Pour réorganiser la liste, cliquez sur les lignes et faites-les glisser vers la position souhaitée.
Important:
Après avoir créé la collecte, vous devez conserver le même annuaire.
|
Synchroniser Integration Broker |
Entrez les informations de connexion de l'instance d'Integration Broker à utiliser pour la synchronisation des ressources dans cette collecte.
Hôte : entrez le nom de domaine complet de l'instance d'Integration Broker. Par exemple, ibserver.exaample.com. Si vous avez configuré un équilibrage de charge devant plusieurs instances d'Integration Broker dédiées à la synchronisation, entrez le nom d'hôte ou l'adresse IP de l'équilibrage de charge.
Port : entrez le numéro de port de l'instance d'Integration Broker ou de l'équilibrage de charge.
Utiliser SSL : pour vous connecter à Integration Broker sur SSL, activez Utiliser SSL, puis copiez et collez le certificat SSL du serveur Integration Broker dans la case Certificat SSL. Entrez toutes les lignes incluant ---BEGIN CERTIFICATE---- et -----END CERTIFICATE----. Le certificat sera utilisé lorsque des ressources de cette collecte d'applications virtuelles seront synchronisées avec VMware Identity Manager.
|
Lancer Integration Broker |
Entrez les informations de connexion de l'instance d'Integration Broker à utiliser pour le traitement des demandes de lancement de cette collecte. Vous devez vous connecter à SSO Integration Broker sur SSL. SSL Integration Broker peut être identique à SSO Integration Broker.
Hôte : entrez le nom de domaine complet de l'instance d'Integration Broker. Par exemple, ibserver.example.com. Si vous avez configuré un équilibrage de charge devant plusieurs instances d'Integration Broker dédiées au lancement, entrez le nom de domaine complet et le numéro de port de l'équilibrage de charge.
Note:
N'utilisez pas l'adresse IP.
Port : entrez le numéro de port de l'instance d'Integration Broker ou de l'équilibrage de charge.
Certificat SSL : copiez et collez le certificat SSL du serveur Integration Broker dans la case Certificat SSL. Entrez toutes les lignes incluant ---BEGIN CERTIFICATE---- et -----END CERTIFICATE----. Le certificat sera utilisé lors du lancement des ressources de cette collecte d'applications virtuelles.
|
- Cliquez sur Suivant.
- Sur la page Batterie de serveurs, cliquez sur Ajouter une batterie de serveurs et entrez vos informations de batterie de serveurs Citrix.
Option |
Description |
Version |
Sélectionnez la version de votre déploiement Citrix XenApp ou XenDesktop : 6.0, 6.5 ou 7.x. |
Serveur |
Cliquez sur Ajouter un serveur et ajoutez le nom de domaine complet de votre serveur Citrix XML (broker XML). Par exemple, xenappserver.example.com. Vous devez ajouter au moins un serveur XML Citrix. Pour ajouter plusieurs serveurs, cliquez sur Ajouter un serveur et ajoutez le serveur. Organisez les serveurs dans l'ordre de basculement. VMware Identity Manager respecte cet ordre de SSO et en cas de basculement. Pour réorganiser la liste, cliquez sur les lignes et faites-les glisser vers la position souhaitée. Pour supprimer un serveur de la liste, cliquez sur l'icône x à droite de la ligne.
Note:
PowerShell Remoting doit être activé sur les brokers XML.
|
Préférence de lancement |
Sélectionnez la méthode de traitement des demandes de lancement par VMware Identity Manager pour les ressources Citrix. Si Citrix StoreFront est déployé, sélectionnez StoreFront. Sinon, sélectionnez Web Interface SDK. Vous devez sélectionner et entrer des informations pour une seule des options. |
StoreFront |
Sélectionnez cette option si vous souhaitez que les ressources Citrix soient lancées à l'aide de Citrix StoreFront REST API. Lorsque cette option est sélectionnée, Integration Broker utilise Citrix StoreFront REST API afin de communiquer avec le serveur StoreFront et de récupérer le fichier ICA.
URL du serveur StoreFront Entrez l’URL du serveur StoreFront dans le format suivant : transportType://storefrontServerFQDN/Citrix/storenameWeb Par exemple, http://xen76.example.com/Citrix/mystoreWeb.
Note:
Il s'agit de l'URL du site Web du serveur StoreFront.
Important:
Ensuite, après avoir créé la collecte d'applications virtuelles, veillez à entrer la même URL dans le champ Hôte de l'URL d'accès du client lorsque vous configurerez les plages de réseau interne de XenApp.
Note:
Après avoir créé et synchronisé la collecte d'applications virtuelles, veillez également à mettre à jour l'URL de l'accès du client pour les plages réseau si vous choisissez de ne pas utiliser l'option StoreFront.
|
Web Interface SDK |
Sélectionnez cette option si vous souhaitez que les ressources Citrix soient lancées à l'aide de Citrix Web Interface SDK. Lorsque cette option est sélectionnée, Integration Broker utilise Citrix Web Interface SDK pour communiquer avec les composants Citrix et récupérer le fichier ICA.
Type de transport Sélectionnez le type de transport utilisé dans votre configuration de serveur Citrix : HTTP, HTTPS ou relais SSL. Il doit correspondre à la configuration de votre serveur Citrix.
Port Entrez le port utilisé dans votre configuration de serveur Citrix. Il doit correspondre à la configuration de votre serveur Citrix.
Port de relais SSL Entrez le port de relais SSL utilisé dans votre configuration de serveur Citrix. Cette option apparaît uniquement si vous sélectionnez relais SSL comme type de transport.
Serveur STA Si votre déploiement de Citrix comprend un serveur NetScaler Gateway, spécifiez le serveur STA (Secure Ticket Authority) qui lui est associé. Le serveur STA permet de contrôler l'accès à un serveur NetScaler Gateway.
Cliquez sur Ajouter un serveur STA et entrez l'URL du serveur STA au format suivant : transporttype://server:port Par exemple : http://staserver.example.com:80 L'URL ne peut contenir que des caractères alphanumériques, des points (.) et des traits d'union (-).
Pour ajouter plusieurs serveurs STA, cliquez sur Ajouter un serveur STA et ajoutez les serveurs.
Organisez les serveurs STA dans l'ordre de basculement. Pour déplacer une ligne, cliquez sur la poignée à gauche de la ligne et faites-la glisser vers l'emplacement souhaité. Pour supprimer un serveur de la liste, cliquez sur l'icône x à droite de la ligne.
|
- Cliquez sur Suivant.
- Sur la page Configuration, entrez les informations suivantes.
Option |
Description |
Fréquence de synchronisation |
Sélectionnez la fréquence souhaitée de synchronisation des ressources dans la collecte de la batterie de serveurs Citrix vers VMware Identity Manager. Vous pouvez configurer une planification de synchronisation automatique ou choisir de les synchroniser manuellement. Pour définir une planification, sélectionnez l'intervalle (quotidien ou hebdomadaire, par exemple) et sélectionnez l'heure de la journée à laquelle exécuter la synchronisation. Si vous sélectionnez Manuel, vous devez cliquer sur Synchronisation sur la page Collectes d'applications virtuelles après avoir configuré la collecte, et chaque fois qu'une modification est apportée à vos ressources ou droits Citrix. |
Synchroniser les applications en double |
Définissez cette option sur Non si vous voulez éviter que les applications en double soient synchronisées depuis plusieurs serveurs. Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources sont configurées sur tous ces centres de données. La définition de cette option sur Non empêche la duplication des applications et des postes de travail dans votre catalogue VMware Identity Manager. |
Synchroniser des catégories à partir de batteries de serveurs |
Activez cette option pour synchroniser des catégories des serveurs Citrix vers VMware Identity Manager. |
Stratégie d'activation |
Sélectionnez le mode de disponibilité des ressources de cette collecte aux utilisateurs du portail et de l'application Workspace ONE. Si vous prévoyez de configurer un flux d'approbation, sélectionnez Activé par l'utilisateur. Sinon, sélectionnez Automatique. Lorsque les options Activé par l'utilisateur et Automatique sont sélectionnées, les ressources sont ajoutées à la page Catalogue. Les utilisateurs peuvent utiliser les ressources de la page Catalogue ou les déplacer vers la page Signets. Toutefois, pour configurer un flux d'approbation pour l'une des applications, vous devez sélectionner Activé par l'utilisateur pour cette application. La stratégie d'activation s'applique à tous les droits des utilisateurs pour toutes les ressources de la collecte. Vous pouvez modifier la stratégie d'activation des utilisateurs ou groupes individuels par ressource, sur la page d'utilisateur ou de groupe de l'onglet Utilisateurs et groupes. |
- Cliquez sur Suivant.
- Sur la page Résumé, vérifiez vos sélections, puis cliquez sur Enregistrer et configurer la plage réseau.
La collecte est créée, mais les ressources de la collecte ne sont pas encore synchronisées. La page Plage réseau s'affiche.
Que faire ensuite
Configurez des plages réseau pour le lancement de ressources. Voir Configuration du lancement de ressources Citrix dans VMware Identity Manager.
Pour synchroniser les ressources et les droits de la collecte des serveurs Citrix vers VMware Identity Manager, sélectionnez la collecte sur la page Collectes d'applications virtuelles et cliquez sur Synchronisation.
Note:
VMware Identity Manager ne prend pas en charge la fonctionnalité de groupe d'utilisateurs anonymes de Citrix.