Citrix Endpoint Management

Certificats et authentification

Plusieurs composants jouent un rôle dans le processus d’authentification lors des opérations Endpoint Management :

  • Endpoint Management : le serveur Endpoint Management vous permet de définir la sécurité liée à l’inscription ainsi que l’expérience d’inscription. Les options d’intégration des utilisateurs comprennent :
    • Inscription ouverte à tous ou sur invitation seulement.
    • Authentification à deux facteurs ou à trois facteurs obligatoire. Dans les propriétés du client Endpoint Management, vous pouvez activer l’authentification par code PIN Citrix et configurer la complexité et le délai d’expiration du code PIN.
  • Citrix Gateway : Citrix Gateway fournit une expiration pour les sessions SSL micro VPN. Citrix Gateway assure aussi la sécurité en transit sur le réseau et vous permet de définir l’expérience d’authentification utilisée chaque fois qu’un utilisateur accède à une application.
  • Secure Hub : Secure Hub fonctionne avec Endpoint Management au cours des opérations d’inscription. Secure Hub est l’entité basée sur un appareil qui communique avec Citrix Gateway : lorsqu’une session expire, Secure Hub obtient un ticket d’authentification de Citrix Gateway et transmet le ticket aux applications MDX. Citrix vous recommande le certificate pinning, qui empêche les attaques « man-in-the-middle ». Pour de plus amples informations, consultez cette section dans l’article Secure Hub : Certificate pinning.

    Secure Hub gère également le conteneur de sécurité MDX : Secure Hub force les stratégies, crée une session avec Citrix Gateway lors de l’expiration d’une application et définit le délai d’expiration MDX et l’authentification. Secure Hub est également responsable de la détection des appareils jailbreakés, des contrôles de géolocalisation et de toute autre stratégie que vous appliquez.

  • Stratégies MDX : les stratégies MDX créent l’espace de stockage sécurisé sur l’appareil. Les stratégies MDX redirigent les connexions micro VPN vers Citrix Gateway et appliquent les restrictions du mode déconnecté ainsi que les stratégies de client, telles que les délais d’expiration.

Pour de plus amples informations sur la configuration de l’authentification, y compris une vue d’ensemble des méthodes d’authentification à un et deux facteurs, veuillez consulter l’article Authentification du manuel de déploiement.

Dans Endpoint Management, les certificats permettent d’établir des connexions sécurisées et d’authentifier les utilisateurs. Pour plus d’informations sur la configuration, consultez les articles suivants :

Certificats

Endpoint Management génère un certificat SSL auto-signé lors de l’installation afin de sécuriser les communications sur le serveur. Remplacez le certificat SSL avec un certificat SSL approuvé provenant d’une autorité de certification reconnue.

Endpoint Management utilise également son propre service d’infrastructure de clé publique (PKI) ou obtient les certificats de l’autorité de certification pour les certificats clients. Tous les produits Citrix prennent en charge les caractères génériques et les certificats SAN. Pour la plupart des déploiements, vous n’aurez besoin que deux caractères génériques ou certificats SAN.

L’authentification du certificat client offre une couche de sécurité supplémentaire pour les applications mobiles et permet aux utilisateurs d’accéder de manière transparente aux applications HDX. Lorsque l’authentification du certificat client est configurée, les utilisateurs entrent leur code PIN Citrix pour accéder aux applications Endpoint Management avec l’authentification unique. Le code secret Citrix simplifie également l’expérience utilisateur pour l’authentification. Le code PIN Citrix est utilisé pour sécuriser un certificat client ou enregistrement des informations d’identification Active Directory localement sur leur appareil.

Pour inscrire et gérer des appareils iOS avec Endpoint Management, configurez et créez un certificat Apple Push Notification Service (APNS). Pour connaître les étapes à suivre, consultez la section Certificats APNs.

Le tableau suivant illustre le format et le type du certificat pour chaque composant Endpoint Management :

Composant Endpoint Management Format du certificat Type de certificat requis
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Root (Citrix Gateway convertit automatiquement un fichier PFX vers PEM.)
Endpoint Management .p12 (.pfx sur les ordinateurs Windows) SSL, SAML, APN (Endpoint Management génère également une PKI complète au cours du processus d’installation.) Important : Endpoint Management ne prend pas en charge les certificats avec une extension .pem. Pour utiliser un certificat .pem, divisez le fichier .pem en un certificat et une clé et importez-les dans le serveur Endpoint Management.
StoreFront PFX (PKCS #12) SSL, racine

Endpoint Management prend en charge les certificats clients de 4096 et 2048 bits.

Pour Citrix Gateway et Endpoint Management, Citrix recommande d’obtenir les certificats de serveur à partir d’une autorité de certification publique, comme Verisign, Thawte ou DigiCert. Vous pouvez créer une demande de signature de certificat (CSR) à partir de Citrix Gateway ou de l’utilitaire de configuration Endpoint Management. Lorsque vous créez la CSR, envoyez-la à l’autorité de certification pour signature. Lorsque l’autorité de certification renvoie le certificat signé, vous pouvez l’installer sur Citrix Gateway ou Endpoint Management.

Important :

conditions requises pour les certificats de confiance dans iOS, iPadOS et macOS

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176.

Apple réduit la durée de vie maximale autorisée des certificats de serveur TLS. Cette modification concerne uniquement les certificats de serveur émis après septembre 2020. Consultez la publication Apple, https://support.apple.com/en-us/HT211025.

Authentification par fournisseur d’identité

Vous pouvez configurer un fournisseur d’identité (IdP) via Citrix Cloud pour inscrire et gérer les machines utilisateur.

Cas d’utilisation pris en charge pour les fournisseurs d’identité :

  • Azure Active Directory via Citrix Cloud
    • L’intégration de Workspace est facultative
    • Citrix Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • Android ancienne version (DA)
    • Les fonctionnalités d’inscription automatique telles que le programme de déploiement Apple ne sont actuellement pas prises en charge
  • Okta via Citrix Cloud
    • L’intégration de Workspace est facultative
    • Citrix Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • Android ancienne version (DA)
    • Les fonctionnalités d’inscription automatique telles que le programme de déploiement Apple ne sont actuellement pas prises en charge
  • Instance Citrix Gateway locale via Citrix Cloud
    • Citrix Gateway configuré pour l’authentification par certificat
    • iOS pour les inscriptions MDM+MAM et MDM
    • Android ancienne version (DA)
    • Les fonctionnalités d’inscription automatique telles que le programme de déploiement Apple ne sont actuellement pas prises en charge
Certificats et authentification