Citrix Endpoint Management

Certificats et authentification

Plusieurs composants jouent un rôle dans le processus d’authentification lors des opérations Citrix Endpoint Management :

  • Citrix Endpoint Management : le serveur Citrix Endpoint Management vous permet de définir la sécurité liée à l’inscription ainsi que l’expérience d’inscription. Les options d’intégration des utilisateurs comprennent :
    • Inscription ouverte à tous ou sur invitation seulement.
    • Authentification à deux facteurs ou à trois facteurs obligatoire. Les propriétés du client Citrix Endpoint Management vous permettent d’activer l’authentification par code PIN Citrix et de configurer la complexité et l’expiration du code PIN.
  • NetScaler Gateway : NetScaler Gateway fournit un point de terminaison pour les sessions SSL micro VPN. NetScaler Gateway assure aussi la sécurité en transit sur le réseau et vous permet de définir l’expérience d’authentification utilisée chaque fois qu’un utilisateur accède à une application.
  • Citrix Secure Hub : Citrix Secure Hub fonctionne avec Citrix Endpoint Management au cours des opérations d’inscription. Citrix Secure Hub est l’entité basée sur un appareil qui communique avec NetScaler Gateway : lorsqu’une session expire, Citrix Secure Hub obtient un ticket d’authentification de NetScaler Gateway et transmet le ticket aux applications MDX. Citrix vous recommande le certificate pinning, qui empêche les attaques « man-in-the-middle ». Pour de plus amples informations, consultez cette section dans l’article Citrix Secure Hub : Certificate pinning.

    Citrix Secure Hub gère également le conteneur de sécurité MDX : Citrix Secure Hub force les stratégies, crée une session avec NetScaler Gateway lors de l’expiration d’une application et définit le délai d’expiration MDX et l’authentification. Citrix Secure Hub est également responsable de la détection des appareils jailbreakés, des contrôles de géolocalisation et de toute autre stratégie que vous appliquez.

  • Stratégies MDX : les stratégies MDX créent l’espace de stockage sécurisé sur l’appareil. Les stratégies MDX redirigent les connexions micro VPN vers NetScaler Gateway et appliquent les restrictions du mode déconnecté ainsi que les stratégies de client, telles que les délais d’expiration.

Citrix Endpoint Management authentifie les utilisateurs auprès de leurs ressources à l’aide des méthodes d’authentification suivantes :

  • Gestion des appareils mobiles (MDM)
    • Fournisseurs d’identité (IdP) hébergés sur le cloud
    • LDAP (Lightweight Directory Access Protocol)
      • URL d’invitation + PIN
      • Authentification à deux facteurs
  • Gestion des applications mobiles (MAM)
    • LDAP
    • Certificat
    • L’authentification MAM par jeton de sécurité requiert NetScaler Gateway.

Pour plus d’informations sur la configuration, consultez les articles suivants :

Certificats

Citrix Endpoint Management génère un certificat SSL auto-signé lors de l’installation afin de sécuriser les communications sur le serveur. Remplacez le certificat SSL avec un certificat SSL approuvé provenant d’une autorité de certification reconnue.

Citrix Endpoint Management utilise également son propre service d’infrastructure de clé publique (PKI) ou obtient les certificats de l’autorité de certification pour les certificats clients. Tous les produits Citrix prennent en charge les caractères génériques et les certificats SAN. Pour la plupart des déploiements, vous n’aurez besoin que deux caractères génériques ou certificats SAN.

L’authentification du certificat client offre une couche de sécurité supplémentaire pour les applications mobiles et permet aux utilisateurs d’accéder de manière transparente aux applications HDX. Lorsque l’authentification du certificat client est configurée, les utilisateurs entrent leur code PIN Citrix pour accéder aux applications Citrix Endpoint Management avec l’authentification unique. Le code secret Citrix simplifie également l’expérience utilisateur pour l’authentification. Le code PIN Citrix est utilisé pour sécuriser un certificat client ou enregistrement des informations d’identification Active Directory localement sur leur appareil.

Pour inscrire et gérer des appareils iOS avec Citrix Endpoint Management, configurez et créez un certificat Apple Push Notification Service (APNS). Ces étapes sont décrites sous Certificats APNS.

Le tableau suivant illustre le format et le type du certificat pour chaque composant Citrix Endpoint Management :

Composant Citrix Endpoint Management Format du certificat Type de certificat requis
NetScaler Gateway PEM (BASE64), PFX (PKCS #12) SSL, Root (NetScaler Gateway convertit automatiquement un fichier PFX vers PEM.
Citrix Endpoint Management .p12 (.pfx sur les ordinateurs Windows) SSL, SAML, APN (Citrix Endpoint Management génère également une PKI complète au cours du processus d’installation.) Important : Citrix Endpoint Management ne prend pas en charge les certificats avec une extension .pem. Pour utiliser un certificat .pem, divisez le fichier .pem en un certificat et une clé et importez-les dans le serveur Citrix Endpoint Management.
StoreFront PFX (PKCS #12) SSL, racine

Citrix Endpoint Management prend en charge les certificats clients de 4096 et 2048 bits.

Pour NetScaler Gateway et Citrix Endpoint Management, il est recommandé d’obtenir les certificats de serveur à partir d’une autorité de certification publique, comme Verisign, Thawte ou DigiCert. Vous pouvez créer une demande de signature de certificat (CSR) à partir de NetScaler Gateway ou de l’utilitaire de configuration Citrix Endpoint Management. Lorsque vous créez la CSR, envoyez-la à l’autorité de certification pour signature. Lorsque l’autorité de certification renvoie le certificat signé, vous pouvez l’installer sur NetScaler Gateway ou Citrix Endpoint Management.

Important :

conditions requises pour les certificats de confiance dans iOS, iPadOS et macOS

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176.

Apple réduit la durée de vie maximale autorisée des certificats de serveur TLS. Cette modification concerne uniquement les certificats de serveur émis après septembre 2020. Consultez la publication Apple, https://support.apple.com/en-us/HT211025.

Authentification LDAP

Citrix Endpoint Management prend en charge l’authentification basée sur domaine pour un ou plusieurs annuaires, qui sont compatibles avec le protocole LDAP (Lightweight Directory Access Protocol). LDAP est un protocole logiciel qui permet d’accéder à des informations sur les groupes, les comptes utilisateur et les propriétés associées. Pour de plus amples informations, consultez la section Domaine ou domaine + authentification par jeton de sécurité.

Authentification par fournisseur d’identité

Vous pouvez configurer un fournisseur d’identité (IdP) via Citrix Cloud pour inscrire et gérer les machines utilisateur.

Cas d’utilisation pris en charge pour les fournisseurs d’identité :

  • Azure Active Directory via Citrix Cloud
    • L’intégration de Workspace est facultative
    • NetScaler Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • iOS et macOS pour les inscriptions dans Apple Business Manager
    • Android ancienne version (DA)

    Les fonctionnalités d’inscription automatique telles que Apple School Manager ne sont actuellement pas prises en charge.

  • Okta via Citrix Cloud
    • L’intégration de Workspace est facultative
    • NetScaler Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • iOS et macOS pour les inscriptions dans Apple Business Manager
    • Android ancienne version (DA)

    Les fonctionnalités d’inscription automatique telles que Apple School Manager ne sont actuellement pas prises en charge.

  • Instance NetScaler Gateway locale via Citrix Cloud
    • NetScaler Gateway configuré pour l’authentification par certificat
    • Android Enterprise (version préliminaire. Prise en charge du BYOD, des appareils entièrement gérés et des profils d’inscription améliorés)
    • iOS pour les inscriptions MDM+MAM et MDM
    • Android ancienne version (DA) Les fonctionnalités d’inscription automatique telles que le programme de déploiement Apple ne sont actuellement pas prises en charge
Certificats et authentification