Citrix Endpoint Management

Certificats et authentification

Plusieurs composants jouent un rôle dans le processus d’authentification lors des opérations Endpoint Management :

  • Endpoint Management : le serveur Endpoint Management vous permet de définir la sécurité liée à l’inscription ainsi que l’expérience d’inscription. Les options d’intégration des utilisateurs comprennent :
    • Inscription ouverte à tous ou sur invitation seulement.
    • Authentification à deux facteurs ou à trois facteurs obligatoire. Les propriétés du client Endpoint Management vous permettent d’activer l’authentification par code PIN Citrix et de configurer la complexité et l’expiration du code PIN.
  • Citrix Gateway : Citrix Gateway fournit une expiration pour les sessions SSL micro VPN. Citrix Gateway assure aussi la sécurité en transit sur le réseau et vous permet de définir l’expérience d’authentification utilisée chaque fois qu’un utilisateur accède à une application.
  • Secure Hub : Secure Hub fonctionne avec Endpoint Management au cours des opérations d’inscription. Secure Hub est l’entité basée sur un appareil qui communique avec Citrix Gateway : lorsqu’une session expire, Secure Hub obtient un ticket d’authentification de Citrix Gateway et transmet le ticket aux applications MDX. Citrix vous recommande le certificate pinning, qui empêche les attaques « man-in-the-middle ». Pour de plus amples informations, consultez cette section dans l’article Secure Hub : Certificate pinning.

    Secure Hub gère également le conteneur de sécurité MDX : Secure Hub force les stratégies, crée une session avec Citrix Gateway lors de l’expiration d’une application et définit le délai d’expiration MDX et l’authentification. Secure Hub est également responsable de la détection des appareils jailbreakés, des contrôles de géolocalisation et de toute autre stratégie que vous appliquez.

  • Stratégies MDX : les stratégies MDX créent l’espace de stockage sécurisé sur l’appareil. Les stratégies MDX redirigent les connexions micro VPN vers Citrix Gateway et appliquent les restrictions du mode déconnecté ainsi que les stratégies de client, telles que les délais d’expiration.

Citrix Endpoint Management authentifie les utilisateurs auprès de leurs ressources à l’aide des méthodes d’authentification suivantes :

  • Gestion des appareils mobiles (MDM)
    • Fournisseurs d’identité (IdP) hébergés sur le cloud
    • LDAP (Lightweight Directory Access Protocol)
      • URL d’invitation + PIN
      • Authentification à deux facteurs
  • Gestion des applications mobiles (MAM)
    • LDAP
    • Certificat
    • L’authentification MAM par jeton de sécurité requiert Citrix Gateway.

Pour plus d’informations sur la configuration, consultez les articles suivants :

Certificats

Endpoint Management génère un certificat SSL auto-signé lors de l’installation afin de sécuriser les communications sur le serveur. Remplacez le certificat SSL avec un certificat SSL approuvé provenant d’une autorité de certification reconnue.

Endpoint Management utilise également son propre service d’infrastructure de clé publique (PKI) ou obtient les certificats de l’autorité de certification pour les certificats clients. Tous les produits Citrix prennent en charge les caractères génériques et les certificats SAN. Pour la plupart des déploiements, vous n’aurez besoin que deux caractères génériques ou certificats SAN.

L’authentification du certificat client offre une couche de sécurité supplémentaire pour les applications mobiles et permet aux utilisateurs d’accéder de manière transparente aux applications HDX. Lorsque l’authentification du certificat client est configurée, les utilisateurs entrent leur code PIN Citrix pour accéder aux applications Endpoint Management avec l’authentification unique. Le code secret Citrix simplifie également l’expérience utilisateur pour l’authentification. Le code PIN Citrix est utilisé pour sécuriser un certificat client ou enregistrement des informations d’identification Active Directory localement sur leur appareil.

Pour inscrire et gérer des appareils iOS avec Endpoint Management, configurez et créez un certificat Apple Push Notification Service (APNS). Ces étapes sont décrites sous Certificats APNS.

Le tableau suivant illustre le format et le type du certificat pour chaque composant Endpoint Management :

Composant Endpoint Management Format du certificat Type de certificat requis
Citrix Gateway PEM (BASE64), PFX (PKCS #12) SSL, Root (Citrix Gateway convertit automatiquement un fichier PFX vers PEM.)
Endpoint Management .p12 (.pfx sur les ordinateurs Windows) SSL, SAML, APN (Endpoint Management génère également une PKI complète au cours du processus d’installation.) Important : Endpoint Management ne prend pas en charge les certificats avec une extension .pem. Pour utiliser un certificat .pem, divisez le fichier .pem en un certificat et une clé et importez-les dans le serveur Endpoint Management.
StoreFront PFX (PKCS #12) SSL, racine

Endpoint Management prend en charge les certificats clients de 4096 et 2048 bits.

Pour Citrix Gateway et Endpoint Management, Citrix recommande d’obtenir les certificats de serveur à partir d’une autorité de certification publique, comme Verisign, Thawte ou DigiCert. Vous pouvez créer une demande de signature de certificat (CSR) à partir de Citrix Gateway ou de l’utilitaire de configuration Endpoint Management. Lorsque vous créez la CSR, envoyez-la à l’autorité de certification pour signature. Lorsque l’autorité de certification renvoie le certificat signé, vous pouvez l’installer sur Citrix Gateway ou Endpoint Management.

Important :

conditions requises pour les certificats de confiance dans iOS, iPadOS et macOS

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176.

Apple réduit la durée de vie maximale autorisée des certificats de serveur TLS. Cette modification concerne uniquement les certificats de serveur émis après septembre 2020. Consultez la publication Apple, https://support.apple.com/en-us/HT211025.

Authentification LDAP

Endpoint Management prend en charge l’authentification basée sur domaine pour un ou plusieurs annuaires, qui sont compatibles avec le protocole LDAP (Lightweight Directory Access Protocol). LDAP est un protocole logiciel qui permet d’accéder à des informations sur les groupes, les comptes utilisateur et les propriétés associées. Pour de plus amples informations, consultez la section Domaine ou domaine + authentification par jeton de sécurité.

Authentification par fournisseur d’identité

Vous pouvez configurer un fournisseur d’identité (IdP) via Citrix Cloud pour inscrire et gérer les machines utilisateur.

Cas d’utilisation pris en charge pour les fournisseurs d’identité :

  • Azure Active Directory via Citrix Cloud
    • L’intégration de Workspace est facultative
    • Citrix Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • iOS et macOS pour les inscriptions dans Apple Business Manager
    • Android ancienne version (DA)

    Les fonctionnalités d’inscription automatique telles que Apple School Manager ne sont actuellement pas prises en charge.

  • Okta via Citrix Cloud
    • L’intégration de Workspace est facultative
    • Citrix Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • iOS et macOS pour les inscriptions dans Apple Business Manager
    • Android ancienne version (DA)

    Les fonctionnalités d’inscription automatique telles que Apple School Manager ne sont actuellement pas prises en charge.

  • Instance Citrix Gateway locale via Citrix Cloud
    • Citrix Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • Android ancienne version (DA) Les fonctionnalités d’inscription automatique telles que le programme de déploiement Apple ne sont actuellement pas prises en charge

Authentification avec fournisseur d’identité sans Cloud Connector (version préliminaire)

Cette fonctionnalité est disponible en tant que version préliminaire publique. Pour activer cette fonctionnalité, contactez votre représentant Citrix.

Endpoint Management prend en charge la configuration de fournisseurs d’identité (IdP), tels que Azure AD et Okta, en tant que méthodes d’authentification. Cette fonctionnalité, maintenant en version préliminaire, vous permet de configurer des IDP sans utiliser de Cloud Connector. Vous pouvez également gérer l’accès aux ressources utilisateur via ces IdP. En utilisant un fournisseur d’identité pour gérer l’accès, vous pouvez mieux intégrer des services cloud tels qu’Office 365 et réduire le besoin de ressources locales.

Endpoint Management nécessite toujours un Cloud Connector pour les éléments suivants :

  • LDAP
  • Serveur PKI
  • Requêtes DNS internes
  • Citrix Virtual Apps

Pour établir des communications entre Endpoint Management et un fournisseur d’identité hébergé dans le cloud sans Cloud Connector, vous devez configurer l’identité Citrix en tant que type de fournisseur d’identité pour Endpoint Management. Toutefois, les services qui nécessitent un Cloud Connector, mentionnés précédemment, ne sont pas disponibles.

Si vous avez déjà configuré LDAP, l’utilisation de cette fonctionnalité crée un environnement hybride dans lequel LDAP fait office de solution de secours pour l’appartenance à un groupe et les recherches d’utilisateurs et de groupes. Si LDAP n’est pas configuré, vous devez entièrement compter sur le fournisseur d’identité.

Après avoir terminé cette configuration, vous ne pouvez pas ajouter de paramètres LDAP dans Endpoint Management. Si LDAP est configuré et que vous ajoutez un fournisseur d’identité, Endpoint Management synchronise les informations spécifiques au fournisseur d’identité depuis vos groupes Active Directory vers la base de données Endpoint Management. Lorsque vous déployez des stratégies, des applications et des médias auprès des utilisateurs, seuls les groupes de fournisseur d’identité reçoivent ces ressources.

Conditions préalables

Il existe deux ensembles de conditions préalables à prendre en compte en fonction de votre configuration Endpoint Management actuelle :

Avec LDAP

  • Les groupes d’utilisateurs dans Active Directory doivent correspondre aux groupes d’utilisateurs dans Azure Active Directory ou Okta.
  • Les noms d’utilisateur et les adresses e-mail d’Active Directory doivent correspondre aux informations d’Azure Active Directory ou d’Okta.
  • Compte Citrix Cloud avec Citrix Cloud Connector installé pour la synchronisation des services d’annuaire
  • Citrix Gateway. Citrix vous recommande d’activer l’authentification basée sur des certificats pour une expérience d’authentification unique complète. Si vous utilisez l’authentification LDAP sur Citrix Gateway pour l’inscription MAM, les utilisateurs finaux bénéficient d’une double invite d’authentification lors de l’inscription. Pour de plus amples informations, consultez Authentification certificat client ou certificat + domaine.
  • Synchronisez les SID Active Directory vers les IdP respectifs. Les SID Azure AD et Active Directory ou les SID Okta et Active Directory doivent correspondre pour que les groupes de mise à disposition fonctionnent correctement.
  • Dans Azure AD ou Okta, créez un groupe nommé Administrateurs pour l’identité Citrix afin de vous connecter à votre fournisseur d’identité.
  • Si plusieurs LDAP sont synchronisés sur un IdP, définissez la propriété de serveur contextuel global ldap.set.gc.rootcontext sur True. Cette propriété garantit que le Cloud Connector recherche tous les domaines parent et enfant.
  • Si vos domaines LDAP et IdP ne correspondent pas, ajoutez l’alias de domaine IdP approprié à la configuration LDAP.

Sans LDAP

  • Dans Azure AD ou Okta, créez un groupe nommé Administrateurs pour l’identité Citrix afin de vous connecter à votre fournisseur d’identité.

Configuration

Pour configurer Azure AD ou Okta en tant que fournisseur d’identité via Citrix Cloud et le configurer pour Endpoint Management, suivez l’un de ces articles ou les deux :

Synchronisation Active Directory

Si vous avez configuré des groupes Active Directory, Endpoint Management synchronise les informations spécifiques au fournisseur d’identité depuis ces groupes vers la base de données Endpoint Management une fois que vous avez configuré un fournisseur d’identité. Pour afficher l’état du processus de synchronisation, accédez à Paramètres > Fournisseur d’identité. L’un des états suivants apparaît sous Synchronisation d’annuaire.

  • Vide : Endpoint Management n’est pas configuré pour gérer ce fournisseur d’identité. Vérifiez la configuration de votre fournisseur d’identité.
  • Terminé : le processus de synchronisation s’est terminé avec succès. Endpoint Management peut désormais gérer les ressources de ce fournisseur d’identité.
  • En cours : le processus de synchronisation est en cours. Si votre base de données contient de nombreux groupes d’utilisateurs, Endpoint Management peut mettre plus de temps à synchroniser les informations de fournisseur d’identité pour vos groupes Active Directory.
  • Erreur : une erreur s’est produite durant la synchronisation. Ce problème peut se produire si votre fournisseur d’identité est déconnecté ou qu’un Cloud Connector ne fonctionne pas correctement pour le moment. Utilisez les journaux de débogage pour résoudre le problème ou essayez d’ajouter à nouveau les paramètres du fournisseur d’identité.

Une fois la synchronisation terminée, vous pouvez ajouter des groupes IdP en tant qu’attributions à votre groupe de mise à disposition dans Configurer > Groupes de mise à disposition > Attributions. Lorsque vous sélectionnez un domaine pour l’attribution d’un groupe de mise à disposition, choisissez le fournisseur d’identité que vous avez configuré avant d’effectuer une recherche. Pour de plus amples informations, consultez la section Ajouter un groupe de mise à disposition.

Vous pouvez également appliquer des autorisations RBAC à des groupes IdP. Pour de plus amples informations, consultez la section Utiliser la fonctionnalité RBAC.

Attentes pour les configurations existantes

Après avoir activé et configuré cette fonctionnalité, vous pouvez vous attendre à ce que votre installation existante ressemble à ce qui suit :

  • Les groupes de mise à disposition existants et les attributions et autorisations RBAC existants ne sont pas affectés. Les utilisateurs disposent du même accès et reçoivent les mêmes ressources qu’avant la configuration de cette fonctionnalité.
  • Les identificateurs d’objets de tout groupe Active Directory synchronisé avec Endpoint Management sont automatiquement renseignés depuis les IdP.
  • Les appareils inscrits existants ne sont pas affectés tant que les informations utilisateur sont synchronisées avec le fournisseur d’identité. Lorsque les informations utilisateur ne sont pas synchronisées avec le fournisseur d’identité :
    • Si vous avez configuré LDAP, les appareils inscrits pour des utilisateurs non synchronisés avec le fournisseur d’identité peuvent toujours s’authentifier via LDAP.
    • Si LDAP n’est pas configuré, les appareils inscrits pour des utilisateurs non synchronisés avec le fournisseur d’identité ne parviennent pas à s’actualiser ou à se reconnecter.
  • Pour les utilisateurs figurant sur le fournisseur d’identité, Endpoint Management détermine leur appartenance à un groupe en fonction des informations du fournisseur d’identité.

Supprimer un annuaire compatible LDAP

Vous pouvez supprimer les profils LDAP dont vous n’avez plus besoin. Par exemple, les profils LDAP sans utilisateurs ou groupes utilisés par Endpoint Management.

  1. Dans la liste des profils LDAP, sélectionnez l’annuaire que vous souhaitez supprimer.

    Vous pouvez supprimer plusieurs propriétés en sélectionnant la case à cocher en regard de chaque propriété.

  2. Cliquez sur Supprimer. Dans la boîte de dialogue de confirmation, choisissez l’une des options suivantes :

    Boîte de dialogue de confirmation de suppression

    • Cliquez sur Supprimer pour supprimer toutes les informations d’utilisateurs et de groupes de l’annuaire LDAP sélectionné. Si vous configurez Azure AD ou Okta en tant que fournisseur d’identité via Citrix Cloud, cette opération vous permet de supprimer le domaine LDAP par défaut.

    • Cliquez sur Garder synchronisé pour supprimer toutes les informations d’utilisateurs et de groupes qui ne sont pas synchronisées avec un fournisseur d’identité. Endpoint Management conserve uniquement les utilisateurs et les groupes synchronisés avec un fournisseur d’identité. Toutes les machines utilisateur, groupes de mise à disposition et autorisations RBAC liées à ce LDAP sont liées au fournisseur d’identité. Si votre base de données contient de nombreux groupes d’utilisateurs, Endpoint Management mettra peut-être plus de temps à mapper les objets Active Directory au fournisseur d’identité. Cette opération se produit en arrière-plan.

Supprimer un fournisseur d’identité

Pour arrêter d’utiliser un fournisseur d’identité ou modifier le type de fournisseur d’identité, vous devez supprimer le fournisseur d’identité.

  1. Dans la console Endpoint Management, accédez à Paramètres > Fournisseur d’identité.
  2. Dans le tableau IdP, sélectionnez le fournisseur d’identité.
  3. Cliquez sur Supprimer. Dans une boîte de dialogue de confirmation, cliquez sur Supprimer à nouveau.

Endpoint Management supprime toute information utilisateur ou groupe de la base de données connectée à votre fournisseur d’identité. Endpoint Management supprime également les groupes de mise à disposition ou les attributions RBAC pour ce fournisseur d’identité. Tous les appareils utilisateur inscrits à partir de ce fournisseur d’identité doivent se réinscrire. Après la suppression d’un fournisseur d’identité, vous pouvez configurer un autre type de fournisseur d’identité ou configurer à nouveau LDAP.

Limitations

  • Cette fonctionnalité ne prend pas en charge les appareils qui s’inscrivent via l’application Citrix Workspace.
  • Si vous configurez un fournisseur d’identité, vous ne pouvez pas ajouter de paramètres LDAP dans Endpoint Management.
  • Pour modifier le domaine d’authentification, vous devez supprimer votre fournisseur d’identité.
  • Le portail en libre-service ne prend pas en charge l’authentification avec des fournisseurs d’identité.
  • Si vous synchronisez vos domaines parent et enfant avec le fournisseur d’identité et que ces domaines contiennent des noms de groupe identiques, ces groupes ne peuvent pas être ajoutés à Endpoint Management. Assurez-vous que les noms de vos groupes sont uniques dans tous les domaines.
Certificats et authentification