Notification Push pour OTP

Citrix Gateway prend en charge les notifications push pour OTP. Les utilisateurs n’ont pas besoin d’entrer manuellement l’OTP reçu sur leurs appareils enregistrés pour se connecter à Citrix Gateway. Les administrateurs peuvent configurer Citrix Gateway de sorte que les notifications de connexion soient envoyées aux appareils enregistrés des utilisateurs à l’aide des services de notification push. Lorsque les utilisateurs reçoivent la notification, ils doivent simplement appuyer sur Autoriser sur la notification pour se connecter à Citrix Gateway. Lorsque la passerelle reçoit un accusé de réception de la part de l’utilisateur, elle identifie la source de la demande et envoie une réponse à cette connexion de navigateur.

Si la réponse de notification n’est pas reçue dans le délai d’expiration (30 secondes), les utilisateurs sont redirigés vers la page de connexion de Citrix Gateway. Les utilisateurs peuvent ensuite entrer l’OTP manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré.

Les administrateurs peuvent faire de l’authentification par notification push l’authentification par défaut en utilisant les schémas de connexion créés pour les notifications push.

Important :

La fonctionnalité de notification push est disponible avec une licence Citrix ADC Premium Edition.

Avantages des notifications push

• Les notifications push fournissent un mécanisme d’authentification multifacteur plus sécurisé. L’authentification auprès de Citrix Gateway échoue tant que l’utilisateur n’a pas approuvé la tentative de connexion.
• La notification Push est facile à administrer et à utiliser. Les utilisateurs doivent télécharger et installer l’application mobile Citrix SSO qui ne nécessite aucune assistance d’administrateur.
• Les utilisateurs n’ont pas besoin de copier ou de mémoriser le code. Ils doivent simplement appuyer sur l’appareil pour s’authentifier.
• Les utilisateurs peuvent enregistrer plusieurs appareils.

Fonctionnement des notifications push

Le flux de travail de notification push peut être classé en deux catégories :

• Enregistrement de l’appareil
• Connexion de l’utilisateur final

Conditions préalables à l’utilisation de la notification push

• Terminez le processus d’intégration de Citrix Cloud.

  1. Créez un compte d’entreprise Citrix Cloud ou rejoignez un compte existant. Pour obtenir des processus détaillés et des instructions sur la façon de procéder, consultez la section Inscription à Citrix Cloud.

  2. Connectez-vous https://citrix.cloud.comà et sélectionnez le client.

  3. Dans Menu, sélectionnez Identity and Access Management, puis accédez à l’onglet API Access pour créer un client pour le compte.

  4. Copiez l’ID, le secret et l’ID client. L’ID et le secret sont nécessaires pour configurer le service push dans Citrix ADC en tant que « ClientID » et « ClientSecret » respectivement.

Important :

• Les mêmes informations d’identification d’API peuvent être utilisées sur plusieurs centres de données.
• Les appliances Citrix ADC locales doivent être en mesure de résoudre les adresses de serveur mfa.cloud.com et trust.citrixworkspacesapi.net et sont accessibles depuis l’appliance. Cela permet de s’assurer qu’il n’y a pas de pare-feu ou de blocage d’adresse IP pour ces serveurs sur le port 443.

• Téléchargez l’application mobile Citrix SSO sur l’App Store et le Play Store pour les appareils iOS et Android respectivement. La notification push est prise en charge sur iOS à partir de la version 1.1.13 sur Android à partir de la version 2.3.5.

• Vérifiez les points suivants pour Active Directory.

  • La longueur minimale des attributs doit être d’au moins 256 caractères.
  • Le type d’attribut doit être « DirectoryString », par exemple UserParameters. Ces attributs peuvent contenir des valeurs de chaîne.
  • Le type de chaîne d’attribut doit être Unicode, si le nom de l’appareil est en caractères non anglais.
  • L’administrateur LDAP Citrix ADC doit disposer d’un accès en écriture à l’attribut AD sélectionné.
  • Citrix ADC et la machine cliente doivent être synchronisés avec un serveur de temps réseau commun.

Configuration des notifications Push

Voici les étapes de haut niveau qui doivent être effectuées pour utiliser la fonctionnalité de notification push.

• L’administrateur Citrix Gateway doit configurer l’interface pour gérer et valider les utilisateurs.

  1. Configurez un service Push.

  2. Configurez Citrix Gateway pour la gestion OTP et la connexion de l’utilisateur final.

     Les utilisateurs doivent enregistrer leurs appareils auprès de la passerelle pour se connecter à Citrix Gateway.

  3. Enregistrez votre appareil auprès de Citrix Gateway.

  4. Connectez-vous à Citrix Gateway.

Créer un service Push

1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > Service push, puis cliquez sur Ajouter.

2. Dans la zone Nom, saisissez le nom du service Push.

3. Dans ID client, entrez l’identité unique de la partie de confiance pour communiquer avec le serveur Push Citrix dans le cloud.

4. Dans Client Secret, entrez le secret unique de la partie de confiance pour communiquer avec le serveur Push Citrix dans le cloud.

5. Dans ID client, entrez l’ID client ou le nom du compte dans le cloud qui est utilisé pour créer la paire ID client et secret client.

Important

La version TLS 1.2 est requise pour le service push. Pour plus d’informations, reportez-vous à la section Détails de configuration TLS 1.2.

Configurer Citrix Gateway pour la gestion OTP et la connexion de l’utilisateur final

Suivez les étapes suivantes pour la gestion OTP et la connexion de l’utilisateur final.

• Créer un schéma de connexion pour la gestion OTP
• Configuration du serveur virtuel d’authentification, d’autorisation et d’audit
• Configuration de serveurs virtuels VPN ou d’équilibrage de charge
• Configuration de l’étiquette de stratégie
• Créer un schéma de connexion pour la connexion de l’utilisateur final

Pour plus de détails sur la configuration, voir Prise en charge OTP native.

Important : Pour les notifications push, les administrateurs doivent configurer explicitement les éléments suivants :

• Créez un service Push.
• Lors de la création d’un schéma de connexion pour la gestion OTP, sélectionnez le schéma de connexion SingleAuthManageOTP.xml ou équivalent selon vos besoins.
• Lors de la création d’un schéma de connexion pour la connexion de l’utilisateur final, sélectionnez le schéma de connexion DualAuthOrPush.xml ou équivalent selon les besoins.

Enregistrez votre appareil auprès de Citrix Gateway

Les utilisateurs doivent enregistrer leurs appareils auprès de Citrix Gateway pour utiliser la fonctionnalité de notification push.

1. Dans votre navigateur Web, accédez au nom de domaine complet Citrix Gateway et ajoutez le suffixe /manageotp au nom de domaine complet.

   La page d’authentification est chargée. Exemple : https://gateway.company.com/manageotp

2. Connectez-vous à l’aide de vos informations d’identification LDAP ou des mécanismes d’authentification à deux facteurs appropriés, le cas échéant.

   

3. Cliquez sur Ajouter appareil.

4. Entrez un nom pour votre appareil, puis cliquez sur OK.

   Un code QR s’affiche sur la page du navigateur Citrix Gateway.

   

5. Scannez ce code QR à l’aide de l’application Citrix SSO depuis l’appareil à enregistrer.

   Citrix SSO valide le code QR, puis s’enregistre auprès de la passerelle pour recevoir des notifications push. S’il n’y a pas d’erreur dans le processus d’inscription, le jeton est correctement ajouté à la page des jetons de mot de passe.

   Important :

   La connexion échoue si vous entrez manuellement la clé secrète fournie dans le code QR.

   

6. S’il n’y a pas d’autres appareils à ajouter/gérer, déconnectez-vous à l’aide de la liste située dans le coin supérieur droit de la page.

Test de l’authentification par mot de passe unique

1. Pour tester l’OTP, cliquez sur votre appareil dans la liste, puis cliquez sur Test.

2. Saisissez le code OTP que vous avez reçu sur votre appareil, puis cliquez sur OK.

   Le message de vérification OTP réussi s’affiche.

3. Déconnectez-vous en utilisant la liste en haut à droite de la page.

Remarque : Vous pouvez utiliser le portail de gestion OTP à tout moment pour tester l’authentification, supprimer des appareils enregistrés ou enregistrer d’autres appareils.

Connectez-vous à Citrix Gateway

Après avoir enregistré leurs appareils auprès de Citrix Gateway, les utilisateurs peuvent utiliser la fonctionnalité de notification push pour l’authentification.

1. Accédez à la page d’authentification Citrix Gateway (par exemple : https://gateway.company.com)

   Vous êtes invité à entrer uniquement vos informations d’identification LDAP en fonction de la configuration du schéma de connexion.

   

2. Saisissez votre nom d’utilisateur et votre mot de passe LDAP, puis sélectionnez Soumettre.

   Une notification est envoyée sur votre appareil enregistré.

   Remarque : Si vous souhaitez entrer manuellement l’OTP, vous devez sélectionner Cliquer pour saisir manuellement le code OTP et entrer l’OTP dans le champ TOTP .

3. Ouvrez l’application Citrix SSO sur votre appareil enregistré et appuyez sur Autoriser.

   

   Remarque :

   • Sur un appareil iOS, vous êtes invité à saisir Touch-ID/Face-ID/Passcode comme facteur supplémentaire d’authentification.

   • Le serveur d’authentification attend la réponse de notification du serveur push jusqu’à ce que le délai d’expiration configuré expire. Après l’expiration du délai, Citrix Gateway affiche la page de connexion. Les utilisateurs peuvent ensuite entrer l’OTP manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré. En fonction de l’option que vous avez sélectionnée, la passerelle valide l’OTP que vous avez saisi ou renvoie la notification sur votre appareil enregistré.

   

   • Aucune notification n’est envoyée à votre appareil enregistré concernant un échec de connexion.

Conditions de panne

• L’enregistrement de l’appareil peut échouer dans les cas suivants.
  • Le certificat de serveur n’est peut-être pas approuvé par la machine de l’utilisateur final.
  • Citrix Gateway utilisé pour s’inscrire à OTP n’est pas accessible par le client.
• Les notifications peuvent échouer dans les cas suivants.
  • La machine utilisateur n’est pas connectée à Internet
  • Les notifications sur la machine utilisateur sont bloquées
  • L’utilisateur n’approuve pas la notification sur l’appareil

Dans ces cas, le serveur d’authentification attend l’expiration du délai d’expiration configuré. Après l’expiration du délai, Citrix Gateway affiche une page de connexion avec les options permettant de saisir manuellement l’OTP ou de renvoyer la notification sur votre appareil enregistré. En fonction de l’option sélectionnée, une validation supplémentaire se produit.

Journaux d’échec

Les journaux suivants sont attendus lorsque le service Push OTP n’est pas accessible.

• Échec de la notification Push lorsque la machine utilisateur n’est pas connectée à Internet - Push : échec de la préparation de la demande Push à “client name” pour le service Push.
• Journal d’échec de l’enregistrement des appareils - Push : Aucun appareil n’est enregistré pour envoyer une demande Push au cloud pour “client name”.
• Dans le cas où l’utilisateur n’accepte pas le push - Push : La réponse n’est pas vue du client, pour “user name”, vérifier les options de nouvelles tentatives.

Comportement de l’application Citrix SSO sur iOS — points à noter

Raccourcis de notification

L’application Citrix SSO iOS inclut la prise en charge des notifications exploitables afin d’améliorer l’expérience utilisateur. Une fois qu’une notification est reçue sur un appareil iOS, et si l’appareil est verrouillé ou si l’application Citrix SSO n’est pas au premier plan, les utilisateurs peuvent utiliser les raccourcis intégrés à la notification pour approuver ou refuser la demande de connexion.

Pour accéder aux raccourcis de notification, les utilisateurs doivent soit forcer le toucher (3D touch), soit appuyer longuement sur la notification en fonction du matériel de l’appareil. La sélection de l’action Autoriser le raccourci envoie une demande de connexion à Citrix ADC. Selon la façon dont la stratégie d’authentification est configurée sur le serveur virtuel d’authentification, d’autorisation et d’audit ;

• La demande de connexion peut être envoyée en arrière-plan sans qu’il soit nécessaire de lancer l’application au premier plan ou de déverrouiller l’appareil.
• L’application peut demander un code Touch-ID/Face-ID/Passcode comme facteur supplémentaire, auquel cas l’application est lancée au premier plan.

Suppression des jetons de mot de passe de Citrix SSO

1. Pour supprimer un jeton de mot de passe enregistré pour le push dans l’application Citrix SSO, les utilisateurs doivent effectuer les opérations suivantes :

2. Désenregistrez (supprimez) l’appareil iOS/Android sur la passerelle. Le code QR permettant de supprimer l’enregistrement de l’appareil apparaît.
3. Ouvrez l’application Citrix SSO et appuyez sur le bouton d’informations du jeton de mot de passe à supprimer.
4. Appuyez sur Supprimer le jeton et scannez le code QR.

Remarque :

• Si le code QR est valide, le jeton est correctement supprimé de l’application Citrix SSO.
• Les utilisateurs peuvent appuyer sur Forcer la suppression pour supprimer un jeton de mot de passe sans avoir à scanner le code QR si l’appareil est déjà supprimé de la passerelle. La suppression forcée peut faire en sorte que l’appareil continue de recevoir des notifications si l’appareil n’a pas été supprimé de Citrix Gateway.