Authentification
-
Dans un déploiement Citrix Endpoint Management, plusieurs considérations entrent en jeu lors de la décision de configurer l’authentification. Cette section décrit les différents facteurs qui affectent l’authentification :
- Les principales stratégies MDX, les propriétés du client Citrix Endpoint Management et les paramètres NetScaler Gateway impliqués dans l’authentification.
- La manière dont ces stratégies, propriétés client et paramètres interagissent.
- Les compromis de chaque choix.
Cet article comprend également trois exemples de configurations recommandées pour des degrés de sécurité croissants.
De manière générale, une sécurité renforcée se traduit par une expérience utilisateur moins optimale, car les utilisateurs doivent s’authentifier plus souvent. La manière dont vous équilibrez ces préoccupations dépend des besoins et des priorités de votre organisation. Passez en revue les trois configurations recommandées pour comprendre l’interaction des différentes options d’authentification.
Modes d’authentification
Authentification en ligne : Permet aux utilisateurs d’accéder au réseau Citrix Endpoint Management. Nécessite une connexion Internet.
Authentification hors ligne : Se produit sur l’appareil. Les utilisateurs déverrouillent le coffre-fort sécurisé et ont un accès hors ligne aux éléments, tels que les e-mails téléchargés, les sites web mis en cache et les notes.
Méthodes d’authentification
LDAP : Vous pouvez configurer une connexion dans Citrix Endpoint Management à un ou plusieurs annuaires conformes au protocole LDAP (Lightweight Directory Access Protocol). Cette méthode est couramment utilisée pour fournir l’authentification unique (SSO) pour les environnements d’entreprise. Vous pouvez opter pour le code PIN Citrix avec la mise en cache du mot de passe Active Directory afin d’améliorer l’expérience utilisateur avec LDAP. En même temps, vous pouvez assurer la sécurité des mots de passe complexes lors de l’inscription, de l’expiration des mots de passe et du verrouillage des comptes.
Pour plus de détails, consultez Authentification de domaine ou de domaine plus jeton de sécurité.
Certificat client : Citrix Endpoint Management peut s’intégrer à des autorités de certification standard de l’industrie pour utiliser les certificats comme seule méthode d’authentification en ligne. Citrix Endpoint Management fournit ce certificat après l’inscription de l’utilisateur, ce qui nécessite soit un mot de passe à usage unique, une URL d’invitation ou des informations d’identification LDAP. Lors de l’utilisation d’un certificat client comme méthode d’authentification principale, un code PIN Citrix est requis dans les environnements de certificat client uniquement pour sécuriser le certificat sur l’appareil.
Citrix Endpoint Management prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une autorité de certification Microsoft, Citrix Endpoint Management utilise NetScaler Gateway pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, déterminez si vous devez configurer le paramètre de liste de révocation de certificats (CRL) de NetScaler Gateway, Activer l’actualisation automatique de la CRL. Cette étape garantit qu’un appareil inscrit uniquement dans MAM ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. Citrix Endpoint Management réémet un nouveau certificat, car il n’empêche pas un utilisateur de générer un certificat utilisateur si celui-ci est révoqué. Ce paramètre augmente la sécurité des entités PKI lorsque la CRL vérifie les entités PKI expirées.
Pour un diagramme montrant le déploiement nécessaire pour l’authentification basée sur les certificats ou l’utilisation de votre autorité de certification (CA) d’entreprise pour émettre des certificats d’appareil, consultez Architecture.
LDAP + Certificat client : Cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur pour Citrix Endpoint Management. L’utilisation de l’authentification LDAP et par certificat client :
- Offre les meilleures possibilités de SSO associées à la sécurité fournie par l’authentification à deux facteurs au niveau de la passerelle NetScaler.
- Fournit une sécurité avec quelque chose que les utilisateurs connaissent (leurs mots de passe Active Directory) et quelque chose qu’ils possèdent (des certificats clients sur leurs appareils).
Citrix Secure Mail peut configurer automatiquement et offrir une expérience utilisateur fluide dès la première utilisation avec l’authentification par certificat client. Cette fonctionnalité nécessite un environnement de serveur d’accès client Exchange correctement configuré.
- Pour une convivialité optimale, vous pouvez combiner l’authentification LDAP et par certificat client avec le code PIN Citrix et la mise en cache des mots de passe Active Directory.
LDAP + Jeton : Cette configuration permet la configuration classique des informations d’identification LDAP, plus un mot de passe à usage unique, en utilisant le protocole RADIUS. Pour une convivialité optimale, vous pouvez combiner cette option avec le code PIN Citrix et la mise en cache des mots de passe Active Directory.
Stratégies, paramètres et propriétés client importants pour l’authentification
Les stratégies, paramètres et propriétés client suivants entrent en jeu avec les trois configurations recommandées ci-dessous :
Stratégies MDX
Code secret de l’application : Si Activé, un code PIN ou un code secret Citrix est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.
Pour configurer le minuteur d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans la console Citrix Endpoint Management, sous Propriétés client dans l’onglet Paramètres. La valeur par défaut est de 15 minutes. Pour désactiver le minuteur d’inactivité, afin qu’une invite de code PIN ou de code secret n’apparaisse qu’au démarrage de l’application, définissez la valeur sur zéro.
Session micro VPN requise : Si Activé, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active pour accéder à l’application sur l’appareil. Si Désactivé, une session active n’est pas requise pour accéder à l’application sur l’appareil. La valeur par défaut est Désactivé.
Période hors ligne maximale (heures) : Définit la période maximale pendant laquelle une application peut s’exécuter sans reconfirmer les droits d’application et sans actualiser les stratégies de Citrix Endpoint Management. Une application iOS récupère les nouvelles stratégies pour les applications MDX de Citrix Endpoint Management sans aucune interruption pour les utilisateurs après avoir rempli les conditions suivantes :
- Vous définissez la période hors ligne maximale et
- Citrix Secure Hub pour iOS dispose d’un jeton NetScaler Gateway valide.
Si Citrix Secure Hub ne dispose pas d’un jeton NetScaler Gateway valide, les utilisateurs doivent s’authentifier via Citrix Secure Hub avant que les stratégies d’application ne puissent être mises à jour. Le jeton NetScaler Gateway peut devenir invalide en raison de l’inactivité de la session NetScaler Gateway ou d’une stratégie de délai d’expiration de session forcée. Lorsque les utilisateurs se connectent à nouveau à Citrix Secure Hub, ils peuvent continuer à exécuter l’application.
Il est rappelé aux utilisateurs de se connecter 30, 15 et 5 minutes avant l’expiration de la période. Après expiration, l’application est verrouillée jusqu’à ce que les utilisateurs se connectent. La valeur par défaut est de 72 heures (3 jours). La période minimale est de 1 heure.
Remarque :
Gardez à l’esprit que dans un scénario où les utilisateurs voyagent souvent et utilisent l’itinérance internationale, la valeur par défaut de 72 heures (3 jours) pourrait être trop courte.
Expiration du ticket des services d’arrière-plan : Période pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Lorsque Citrix Secure Mail se connecte via NetScaler Gateway à un serveur Exchange exécutant ActiveSync, Citrix Endpoint Management émet un jeton. Citrix Secure Mail utilise ce jeton pour se connecter au serveur Exchange interne. Ce paramètre de propriété détermine la durée pendant laquelle Citrix Secure Mail peut utiliser le jeton sans nécessiter un nouveau jeton pour l’authentification et la connexion au serveur Exchange. Lorsque le délai expire, les utilisateurs doivent se connecter à nouveau pour générer un nouveau jeton. La valeur par défaut est de 168 heures (7 jours). Lorsque ce délai expire, les notifications de courrier s’arrêtent.
Période de grâce requise pour la session micro VPN : Détermine le nombre de minutes pendant lesquelles un utilisateur peut utiliser l’application hors ligne jusqu’à ce que la session en ligne soit validée. La valeur par défaut est 0 (aucune période de grâce).
Pour plus d’informations sur les stratégies d’authentification, consultez :
- Si vous utilisez le SDK MAM : Présentation du SDK MAM
- Si vous utilisez le MDX Toolkit : Stratégies MDX de Citrix Endpoint Management pour iOS et Stratégies MDX de Citrix Endpoint Management pour Android
Propriétés client de Citrix Endpoint Management
Remarque :
Les propriétés client sont des paramètres globaux qui s’appliquent à tous les appareils connectés à Citrix Endpoint Management.
Code PIN Citrix : Pour une expérience de connexion simplifiée, vous pouvez choisir d’activer le code PIN Citrix. Avec le code PIN, les utilisateurs n’ont pas à saisir leurs autres informations d’identification à plusieurs reprises, telles que leurs noms d’utilisateur et mots de passe Active Directory. Vous pouvez configurer le code PIN Citrix comme une authentification hors ligne autonome uniquement, ou combiner le code PIN avec la mise en cache du mot de passe Active Directory pour simplifier l’authentification et optimiser la convivialité. Vous configurez le code PIN Citrix dans Paramètres > Client > Propriétés client dans la console Citrix Endpoint Management.
Voici un résumé de quelques propriétés importantes. Pour plus d’informations, consultez Propriétés client.
ENABLE_PASSCODE_AUTH
Nom d’affichage : Activer l’authentification par code PIN Citrix
Cette clé vous permet d’activer la fonctionnalité de code PIN Citrix. Avec le code PIN ou le code d’accès Citrix, les utilisateurs sont invités à définir un code PIN à utiliser à la place de leur mot de passe Active Directory. Activez ce paramètre si ENABLE_PASSWORD_CACHING est activé ou si Citrix Endpoint Management utilise l’authentification par certificat.
Valeurs possibles : true ou false
Valeur par défaut : false
ENABLE_PASSWORD_CACHING
Nom d’affichage : Activer la mise en cache du mot de passe utilisateur
Cette clé vous permet d’autoriser la mise en cache locale du mot de passe Active Directory des utilisateurs sur l’appareil mobile. Lorsque vous définissez cette clé sur true, les utilisateurs sont invités à définir un code PIN ou un code d’accès Citrix. La clé ENABLE_PASSCODE_AUTH doit être définie sur true lorsque vous définissez cette clé sur true.
Valeurs possibles : true ou false
Valeur par défaut : false
PASSCODE_STRENGTH
Nom d’affichage : Exigence de robustesse du code PIN
Cette clé définit la robustesse du code PIN ou du code d’accès Citrix. Lorsque vous modifiez ce paramètre, les utilisateurs sont invités à définir un nouveau code PIN ou code d’accès Citrix la prochaine fois qu’ils sont invités à s’authentifier.
Valeurs possibles : Faible, Moyenne ou Élevée
Valeur par défaut : Moyenne
INACTIVITY_TIMER
Nom d’affichage : Délai d’inactivité
Cette clé définit le temps en minutes pendant lequel les utilisateurs peuvent laisser leurs appareils inactifs, puis accéder à une application sans être invités à saisir un code PIN ou un code d’accès Citrix. Pour activer ce paramètre pour une application MDX, vous devez définir le paramètre Code d’accès de l’application sur Activé. Si le paramètre Code d’accès de l’application est défini sur Désactivé, les utilisateurs sont redirigés vers Citrix Secure Hub pour effectuer une authentification complète. Lorsque vous modifiez ce paramètre, la valeur prend effet la prochaine fois que les utilisateurs sont invités à s’authentifier. La valeur par défaut est de 15 minutes.
ENABLE_TOUCH_ID_AUTH
Nom d’affichage : Activer l’authentification Touch ID
Permet l’utilisation du lecteur d’empreintes digitales (sur iOS uniquement) pour l’authentification hors ligne. L’authentification en ligne nécessite toujours la méthode d’authentification principale.
ENCRYPT_SECRETS_USING_PASSCODE
Nom d’affichage : Chiffrer les secrets à l’aide d’un code d’accès
Cette clé permet de stocker les données sensibles sur l’appareil mobile dans un coffre-fort secret au lieu d’un magasin natif basé sur la plateforme, tel que le trousseau iOS. Cette clé de configuration permet un chiffrement fort des artefacts clés, mais ajoute également une entropie utilisateur (un code PIN aléatoire généré par l’utilisateur que seul l’utilisateur connaît).
Valeurs possibles : true ou false
Valeur par défaut : false
Paramètres de NetScaler Gateway
Délai d’expiration de session : Si vous activez ce paramètre, NetScaler Gateway déconnecte la session si NetScaler Gateway ne détecte aucune activité réseau pendant l’intervalle spécifié. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in NetScaler Gateway, Citrix Secure Hub ou via un navigateur web. La valeur par défaut est 1440 minutes. Si vous définissez cette valeur sur zéro, le paramètre est désactivé.
Délai d’expiration forcé : Si vous activez ce paramètre, NetScaler Gateway déconnecte la session une fois l’intervalle de délai d’expiration écoulé, quelle que soit l’activité de l’utilisateur. Lorsque l’intervalle de délai d’expiration est écoulé, l’utilisateur ne peut prendre aucune mesure pour empêcher la déconnexion. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in NetScaler Gateway, Citrix Secure Hub ou via un navigateur web. Si Citrix Secure Mail utilise STA, un mode spécial de NetScaler Gateway, ce paramètre ne s’applique pas aux sessions Citrix Secure Mail. La valeur par défaut est aucune valeur, ce qui signifie que les sessions sont prolongées pour toute activité.
Pour plus d’informations sur les paramètres de délai d’expiration de NetScaler Gateway, consultez la documentation de NetScaler Gateway.
Pour plus d’informations sur les scénarios qui invitent les utilisateurs à s’authentifier auprès de Citrix Endpoint Management en saisissant leurs informations d’identification sur leurs appareils, consultez Scénarios d’invite d’authentification.
Paramètres de configuration par défaut
Ces paramètres sont les valeurs par défaut fournies par :
- l’assistant NetScaler® pour XenMobile
- le SDK MAM ou le MDX Toolkit
- la console Citrix Endpoint Management
| Paramètre | Où trouver le paramètre | Paramètre par défaut |
|---|---|---|
| Délai d’expiration de session | NetScaler Gateway | 1440 minutes |
| Délai d’expiration forcé | NetScaler Gateway | Aucune valeur (désactivé) |
| Période hors ligne maximale | Stratégies MDX | 72 heures |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures (7 jours) |
| Session micro VPN requise | Stratégies MDX | Désactivé |
| Période de grâce de la session micro VPN requise | Stratégies MDX | 0 |
| Code secret de l’application | Stratégies MDX | Activé |
| Chiffrer les secrets à l’aide d’un code secret | Propriétés du client Citrix Endpoint Management | faux |
| Activer l’authentification par code PIN Citrix | Propriétés du client Citrix Endpoint Management | faux |
| Exigence de force du code PIN | Propriétés du client Citrix Endpoint Management | Moyenne |
| Type de code PIN | Propriétés du client Citrix Endpoint Management | Numérique |
| Activer la mise en cache du mot de passe utilisateur | Propriétés du client Citrix Endpoint Management | faux |
| Minuteur d’inactivité | Propriétés du client Citrix Endpoint Management | 15 |
| Activer l’authentification Touch ID | Propriétés du client Citrix Endpoint Management | faux |
Configurations recommandées
Cette section présente des exemples de trois configurations Citrix Endpoint Management allant de la sécurité la plus faible et de l’expérience utilisateur optimale à la sécurité la plus élevée et à l’expérience utilisateur plus intrusive. Ces exemples vous fournissent des points de référence utiles pour déterminer où vous souhaitez situer votre propre configuration sur l’échelle. La modification de ces paramètres peut vous obliger à modifier d’autres paramètres. Par exemple, la période hors ligne maximale ne doit pas dépasser le délai d’expiration de session.
Sécurité maximale
Cette configuration offre le plus haut niveau de sécurité, mais présente des compromis significatifs en termes de convivialité.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
|---|---|---|---|
| Délai d’expiration de session | NetScaler Gateway | 1440 | Les utilisateurs saisissent leurs informations d’identification Citrix Secure Hub uniquement lorsque l’authentification en ligne est requise, toutes les 24 heures. |
| Délai d’expiration forcé | NetScaler Gateway | Aucune valeur | Les sessions sont prolongées en cas d’activité. |
| Période hors ligne maximale | Stratégies MDX | 23 | Nécessite une actualisation de la stratégie chaque jour. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 72 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session NetScaler Gateway. Pour Citrix Secure Mail, prolonger le délai d’expiration STA au-delà du délai d’expiration de session évite l’arrêt des notifications de courrier. Dans ce cas, Citrix Secure Mail n’invite pas l’utilisateur s’il n’ouvre pas l’application avant l’expiration de la session. |
| Session micro VPN requise | Stratégies MDX | Désactivé | Fournit une connexion réseau valide et une session NetScaler Gateway pour utiliser les applications. |
| Période de grâce de la session micro VPN requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session micro VPN requise). |
| Code secret de l’application | Stratégies MDX | Activé | Exige un code secret pour une application. |
| Chiffrer les secrets à l’aide d’un code secret | Propriétés du client Citrix Endpoint Management | vrai | Une clé dérivée de l’entropie utilisateur protège le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client Citrix Endpoint Management | vrai | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client Citrix Endpoint Management | Forte | Exigences de complexité de mot de passe élevées. |
| Type de code PIN | Propriétés du client Citrix Endpoint Management | Alphanumérique | Le code PIN est une séquence alphanumérique. |
| Activer la mise en cache du mot de passe | Propriétés du client Citrix Endpoint Management | faux | Le mot de passe Active Directory n’est pas mis en cache et un code PIN Citrix est utilisé pour les authentifications hors ligne. |
| Délai d’inactivité | Propriétés du client Citrix Endpoint Management | 15 | Si un utilisateur n’utilise pas les applications MDX ou Citrix Secure Hub pendant cette période, une authentification hors ligne est demandée. |
| Activer l’authentification Touch ID | Propriétés du client Citrix Endpoint Management | faux | Désactive Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Sécurité renforcée
Une approche plus équilibrée, cette configuration exige que les utilisateurs s’authentifient plus souvent (tous les 3 jours au maximum, au lieu de 7) et offre une sécurité renforcée. Le nombre accru d’authentifications verrouille plus souvent le conteneur, assurant la sécurité des données lorsque les appareils ne sont pas utilisés.
| Paramètre | Emplacement du paramètre | Paramètre recommandé | Impact sur le comportement |
| Délai d’expiration de la session | NetScaler Gateway | 4320 | Les utilisateurs saisissent leurs informations d’identification Citrix Secure Hub uniquement lorsqu’une authentification en ligne est requise (tous les 3 jours). |
| Délai d’expiration forcé | NetScaler Gateway | Aucune valeur | Les sessions sont prolongées en cas d’activité. |
| Période hors ligne maximale | Stratégies MDX | 71 | Nécessite une actualisation de la stratégie tous les 3 jours. La différence d’une heure permet l’actualisation avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session NetScaler Gateway. Pour Citrix Secure Mail, prolonger le délai d’expiration STA au-delà du délai d’expiration de la session évite que les notifications de courrier ne s’arrêtent sans avertir l’utilisateur. |
| Session micro VPN requise | Stratégies MDX | Désactivé | Fournit une connexion réseau valide et une session NetScaler Gateway pour utiliser les applications. |
| Période de grâce pour la session micro VPN requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session micro VPN requise). |
| Code d’accès de l’application | Stratégies MDX | Activé | Exige un code d’accès pour une application. |
| Chiffrer les secrets à l’aide d’un code d’accès | Propriétés du client Citrix Endpoint Management | faux | Ne nécessite pas l’entropie de l’utilisateur pour chiffrer le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client Citrix Endpoint Management | vrai | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client Citrix Endpoint Management | Moyenne | Applique des règles de complexité de mot de passe moyennes. |
| Type de code PIN | Propriétés du client Citrix Endpoint Management | Numérique | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client Citrix Endpoint Management | vrai | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Délai d’inactivité | Propriétés du client Citrix Endpoint Management | 30 | Si un utilisateur n’utilise pas les applications MDX ou Citrix Secure Hub pendant cette période, une authentification hors ligne est demandée. |
| Activer l’authentification Touch ID | Propriétés du client Citrix Endpoint Management | true | Active Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Sécurité élevée
Cette configuration, la plus pratique pour les utilisateurs, offre un niveau de sécurité de base.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
| Délai d’expiration de session | NetScaler Gateway | 10080 | Les utilisateurs saisissent leurs informations d’identification Citrix Secure Hub uniquement lorsqu’une authentification en ligne est requise, soit tous les 7 jours. |
| Délai d’expiration forcé | NetScaler Gateway | Aucune valeur | Les sessions sont prolongées en cas d’activité. |
| Période hors ligne maximale | Stratégies MDX | 167 | Nécessite un rafraîchissement de la stratégie chaque semaine (tous les 7 jours). La différence d’une heure permet un rafraîchissement avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 240 | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session NetScaler Gateway. Pour Citrix Secure Mail, un délai d’expiration STA plus long que le délai d’expiration de session évite l’arrêt des notifications de courrier. Dans ce cas, Citrix Secure Mail ne demande pas à l’utilisateur de s’authentifier s’il n’ouvre pas l’application avant l’expiration de la session. |
| session micro VPN requise | Stratégies MDX | Désactivé | Fournit une connexion réseau valide et une session NetScaler Gateway pour utiliser les applications. |
| période de grâce pour la session micro VPN requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session micro VPN requise). |
| Code secret de l’application | Stratégies MDX | Activé | Exige un code secret pour une application. |
| Chiffrer les secrets à l’aide du code secret | Propriétés du client Citrix Endpoint Management | false | Ne nécessite pas l’entropie de l’utilisateur pour chiffrer le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client Citrix Endpoint Management | true | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client Citrix Endpoint Management | Faible | Aucune exigence de complexité de mot de passe |
| Type de code PIN | Propriétés du client Citrix Endpoint Management | Numérique | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client Citrix Endpoint Management | true | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Minuteur d’inactivité | Propriétés du client Citrix Endpoint Management | 90 | Si un utilisateur n’utilise pas les applications MDX ou Citrix Secure Hub pendant cette période, invitez-le à s’authentifier hors ligne. |
| Activer l’authentification Touch ID | Propriétés du client Citrix Endpoint Management | true | Active Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Utilisation de l’authentification renforcée
Certaines applications peuvent nécessiter une authentification renforcée. Par exemple, un facteur d’authentification secondaire, tel qu’un jeton ou des délais d’expiration de session agressifs. Vous contrôlez cette méthode d’authentification via une stratégie MDX. La méthode nécessite également un serveur virtuel distinct pour contrôler les méthodes d’authentification (sur la même appliance NetScaler Gateway ou sur des appliances distinctes).
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
|---|---|---|---|
| Autre NetScaler Gateway | Stratégies MDX | Nécessite le nom de domaine complet (FQDN) et le port de l’appliance NetScaler Gateway secondaire. | Permet une authentification renforcée contrôlée par les stratégies d’authentification et de session de l’appliance NetScaler Gateway secondaire. |
Si un utilisateur ouvre une application qui utilise le NetScaler Gateway alternatif, toutes les autres applications utilisent cette instance NetScaler Gateway pour communiquer avec le réseau interne. La session ne bascule à nouveau vers l’instance NetScaler Gateway à sécurité inférieure que lorsque la session expire de l’instance NetScaler Gateway avec sécurité renforcée.
Exigence de session micro VPN
Pour certaines applications, telles que Citrix Secure Web, vous pouvez vous assurer que les utilisateurs exécutent une application uniquement lorsqu’ils disposent d’une session authentifiée. Cette stratégie applique cette option et accorde une période de grâce afin que les utilisateurs puissent terminer leur travail.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
|---|---|---|---|
| Session micro VPN requise | Stratégies MDX | Activé | Garantit qu’un appareil est en ligne et dispose d’un jeton d’authentification valide. |
| Période de grâce de la session micro VPN requise | Stratégies MDX | 15 | Accorde une période de grâce de 15 minutes avant que l’utilisateur ne puisse plus utiliser les applications |