Notification push pour OTP

Citrix Gateway prend en charge les notifications push pour OTP. Les utilisateurs n’ont pas besoin d’entrer manuellement l’OTP reçu sur leurs périphériques enregistrés pour se connecter à Citrix Gateway. Les administrateurs peuvent configurer Citrix Gateway de sorte que les notifications de connexion soient envoyées aux périphériques enregistrés des utilisateurs à l’aide des services de notification push. Lorsque les utilisateurs reçoivent la notification, ils doivent simplement appuyer sur Autoriser la notification pour se connecter à Citrix Gateway. Lorsque la Gateway reçoit un accusé de réception de l’utilisateur, elle identifie la source de la demande et envoie une réponse à cette connexion de navigateur.

Si la réponse de notification n’est pas reçue dans le délai d’expiration (30 secondes), les utilisateurs sont redirigés vers la page de connexion Citrix Gateway. Les utilisateurs peuvent ensuite entrer manuellement l’OTP ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré.

Les administrateurs peuvent faire de l’authentification par notification push l’authentification par défaut en utilisant les schémas de connexion créés pour la notification push.

Important : La fonctionnalité de notification push est disponible avec une licence Citrix ADC Premium Edition.

Avantages des notifications push

  • Les notifications push fournissent un mécanisme d’authentification multifacteur plus sécurisé. L’authentification vers Citrix Gateway ne réussit pas tant que l’utilisateur n’a pas approuvé la tentative de connexion.
  • La notification push est facile à administrer et à utiliser. Les utilisateurs doivent télécharger et installer l’application mobile Citrix SSO qui ne nécessite aucune assistance d’administrateur.
  • Les utilisateurs n’ont pas à copier ou à se souvenir du code. Ils doivent simplement taper sur l’appareil pour être authentifiés.
  • Les utilisateurs peuvent enregistrer plusieurs appareils.

Fonctionnement des notifications push

Le workflow de notification push peut être classé en deux catégories :

  • Enregistrement de l’appareil
  • Connexion de l’utilisateur final

Workflow

Conditions préalables à l’utilisation de la notification push

  • Terminez le processus d’intégration de Citrix Cloud.

    1. Créez un compte d’entreprise Citrix Cloud ou rejoignez un compte existant. Pour obtenir des procédures détaillées et des instructions sur la procédure à suivre, consultez S’inscrire à Citrix Cloud.

    2. Connectez-vous àhttps://citrix.cloud.comet sélectionnez le client.

    3. Dans Menu, sélectionnez Gestion des identités et des accès, puis accédez à l’onglet Accès aux API pour créer un client pour le compte.

    4. Copiez l’ID, le secret et l’ID client. L’ID et le secret sont requis pour configurer le service push dans Citrix ADC en tant que « ClientID » et « ClientSecret » respectivement.

Important :

  • Les mêmes informations d’identification d’API peuvent être utilisées sur plusieurs centres de données.
  • Sur site, les appliances Citrix ADC doivent être en mesure de résoudre les adresses de serveur mfa.cloud.com et trust.citrixworkspacesapi.net et sont accessibles à partir de l’appliance. Ceci permet de s’assurer qu’il n’y a pas de pare-feu ou de blocs d’adresses IP pour ces serveurs sur le port 443.
  • Téléchargez l’application mobile Citrix SSO depuis l’App Store et le Play Store pour les appareils iOS et Android respectivement. La notification push est prise en charge sur iOS à partir de la version 1.1.13 sur Android à partir de 2.3.5.

  • Assurez-vous de ce qui suit pour Active Directory.

    • La longueur minimale de l’attribut doit être d’au moins 256 caractères.
    • Le type d’attribut doit être ‘DirectoryString’ tel que UserParameters. Ces attributs peuvent contenir des valeurs de chaîne.
    • Le type de chaîne d’attribut doit être Unicode, si le nom de périphérique est en caractères non anglais.
    • L’administrateur LDAP Citrix ADC doit disposer d’un accès en écriture à l’attribut AD sélectionné.
    • Citrix ADC et l’ordinateur client doivent être synchronisés avec un serveur de temps réseau commun.

Configuration des notifications push

Voici les étapes de haut niveau qui doivent être effectuées pour utiliser la fonctionnalité de notification push.

  • L’administrateur Citrix Gateway doit configurer l’interface pour gérer et valider les utilisateurs.

    1. Configurez un service push.

    2. Configurez Citrix Gateway pour la gestion OTP et la connexion de l’utilisateur final.

      Les utilisateurs doivent enregistrer leurs appareils auprès de la passerelle pour se connecter à Citrix Gateway.

    3. Enregistrez votre appareil auprès de Citrix Gateway.

    4. Connectez-vous à Citrix Gateway.

Créer un service push

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > Service push, puis cliquez sur Ajouter.

  2. Dans Nom, entrez le nom du service push.

  3. Dans ID client, entrez l’identité unique de la partie de confiance pour communiquer avec le serveur Citrix Push dans le cloud.

  4. Dans Client Secret, entrez le secret unique de la partie de confiance pour communiquer avec le serveur Citrix Push dans le cloud.

  5. Dans Identifiant client, entrez l’ID client ou le nom du compte dans le cloud utilisé pour créer la paire ID client et Client Secret.

Configurer Citrix Gateway pour la gestion OTP et la connexion de l’utilisateur final

Suivez les étapes suivantes pour la gestion de l’OTP et la connexion de l’utilisateur final.

  • Créer un schéma de connexion pour la gestion OTP
  • Configurer l’authentification, l’autorisation et l’audit du serveur virtuel
  • Configurer VPN ou serveurs virtuels d’équilibrage de charge
  • Configurer l’étiquette de stratégie
  • Créer un schéma de connexion pour la connexion de l’utilisateur final

Pour plus d’informations sur la configuration, reportez-vous à la section Prise en charge de l’OTP natif.

Important : Pour les notifications push, les administrateurs doivent configurer explicitement les éléments suivants :

  • Créez un service push.
  • Lors de la création d’un schéma de connexion pour la gestion OTP, sélectionnez le schéma de connexion SingleAuthManageOTP.xml ou l’équivalent selon les besoins.
  • Lors de la création d’un schéma de connexion pour la connexion de l’utilisateur final, sélectionnez le schéma de connexion DualAuthorPush.xml ou l’équivalent selon les besoins.

Enregistrez votre appareil avec Citrix Gateway

Les utilisateurs doivent enregistrer leurs appareils auprès de Citrix Gateway pour utiliser la fonctionnalité de notification push.

  1. Dans votre navigateur Web, accédez à votre nom de domaine complet Citrix Gateway et suffixe /manageotp jusqu’au nom de domaine complet.

    Cette opération charge la page d’authentification. Exemple : https://gateway.company.com/manageotp

  2. Connectez-vous à l’aide de vos informations d’identification LDAP ou des mécanismes d’authentification à deux facteurs appropriés, selon les besoins.

    Login

  3. Cliquez sur Ajouter appareil.

  4. Entrez un nom pour votre appareil, puis cliquez sur OK.

    Un code QR s’affiche sur la page du navigateur Citrix Gateway.

    Scanner

  5. Scannez ce code QR à l’aide de l’application Citrix SSO à partir de l’appareil à enregistrer.

    Citrix SSO valide le code QR, puis s’enregistre auprès de Gateway pour les notifications push. S’il n’y a pas d’erreurs dans le processus d’enregistrement, le jeton est ajouté avec succès à la page des jetons de mot de passe.

    Jeton

  6. S’il n’y a pas de périphériques supplémentaires pour ajouter/gérer la déconnexion à l’aide de la liste située dans le coin supérieur droit de la page.

Tester l’authentification par mot de passe unique

  1. Pour tester l’OTP, cliquez sur votre appareil dans la liste, puis cliquez sur Tester.

  2. Entrez l’OTP que vous avez reçu sur votre appareil et cliquez sur Aller.

    Le message de vérification OTP réussie s’affiche.

  3. Déconnectez-vous à l’aide de la liste située dans le coin supérieur droit de la page.

Remarque : vous pouvez utiliser le portail de gestion OTP à tout moment pour tester l’authentification, supprimer des périphériques enregistrés ou enregistrer d’autres périphériques.

Se connecter à Citrix Gateway

Après avoir enregistré leurs appareils auprès de Citrix Gateway, les utilisateurs peuvent utiliser la fonctionnalité de notification push pour l’authentification.

  1. Accédez à votre page d’authentification Citrix Gateway (par exemple :https://gateway.company.com)

    Vous êtes invité à entrer uniquement vos informations d’identification LDAP en fonction de la configuration du schéma de connexion.

    Jeton

  2. Entrez votre nom d’utilisateur et votre mot de passe LDAP, puis sélectionnez Soumettre.

    Une notification est envoyée à votre appareil enregistré.

    Remarque : Si vous souhaitez saisir manuellement l’OTP, vous devez sélectionner Cliquez pour entrer manuellement OTP et entrer l’OTP dans le champ TOTP.

  3. Ouvrez l’application Citrix SSO sur votre appareil enregistré et appuyez sur Autoriser.

    Autoriser

    Remarque :

    • Le serveur d’authentification attend la réponse de notification du serveur push jusqu’à ce que le délai d’expiration configuré expire. Après le délai d’expiration, Citrix Gateway affiche la page de connexion. Les utilisateurs peuvent ensuite entrer manuellement l’OTP ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur l’appareil enregistré. En fonction de l’option sélectionnée, Gateway valide l’OTP que vous avez entré ou renvoie la notification sur votre appareil enregistré.

    Repli

    • Aucune notification n’est envoyée à votre appareil enregistré concernant l’échec de connexion.

Conditions de défaillance

  • L’enregistrement de l’appareil peut échouer dans les cas suivants.
    • Le certificat de serveur peut ne pas être approuvé par la machine de l’utilisateur final.
    • Citrix Gateway utilisé pour s’inscrire à OTP n’est pas accessible par le client.
  • Les notifications peuvent échouer dans les cas suivants.
    • L’appareil utilisateur n’est pas connecté à Internet
    • Les notifications sur la machine utilisateur sont bloquées
    • L’utilisateur n’approuve pas la notification sur l’appareil

Dans ce cas, le serveur d’authentification attend l’expiration du délai d’expiration configuré. Après le délai d’expiration, Citrix Gateway affiche une page de connexion avec les options permettant de saisir manuellement l’OTP ou de renvoyer la notification à nouveau sur votre périphérique enregistré. En fonction de l’option sélectionnée, une validation supplémentaire se produit.

Comportement de l’application Citrix SSO sur iOS — points à noter

Raccourcis de notification

L’application iOS Citrix SSO inclut la prise en charge des notifications exploitables pour améliorer l’expérience utilisateur. Une fois qu’une notification est reçue sur un appareil iOS, et si le périphérique est verrouillé ou si l’application Citrix SSO n’est pas au premier plan, les utilisateurs peuvent utiliser les raccourcis intégrés dans la notification pour approuver ou refuser la demande de connexion.

Pour accéder aux raccourcis de notification, les utilisateurs doivent soit forcer la touche (3D touch), soit appuyer longuement sur la notification en fonction du matériel de l’appareil. La sélection de l’action Autoriser le raccourci envoie une demande de connexion à Citrix ADC. En fonction de la configuration de la stratégie d’authentification sur le serveur virtuel d’authentification, d’autorisation et d’audit ;

  • La demande de connexion peut être envoyée en arrière-plan sans avoir besoin de lancer l’application au premier plan ou de déverrouiller l’appareil.
  • L’application peut demander à Touch-ID/face-ID/Passcode comme facteur supplémentaire auquel cas l’application est lancée au premier plan.

Raccourci

Suppression de jetons de mot de passe de Citrix SSO

  1. Pour supprimer un jeton de mot de passe enregistré pour push dans l’application Citrix SSO, les utilisateurs doivent effectuer les opérations suivantes :

  2. Désinscrire (supprimer) l’appareil iOS/Android sur la Gateway. Le code QR pour supprimer l’enregistrement de l’appareil apparaît.
  3. Ouvrez l’application Citrix SSO et appuyez sur le bouton d’information du jeton de mot de passe à supprimer.
  4. Appuyez sur Supprimer le jeton et scannez le code QR.

Note :

  • Si le code QR est valide, le jeton est supprimé avec succès de l’application Citrix SSO.
  • Les utilisateurs peuvent appuyer sur Forcer la suppression pour supprimer un jeton de mot de passe sans avoir à scanner le code QR si l’appareil est déjà retiré de la Gateway. La suppression forcée peut faire en sorte que l’appareil continue de recevoir des notifications si celui-ci n’a pas été supprimé de Citrix Gateway.

Supprimer le jeton