Citrix Endpoint Management

Authentification domaine ou domaine + jeton de sécurité

Endpoint Management prend en charge l’authentification basée sur domaine auprès d’un ou plusieurs annuaires, qui sont compatibles avec le protocole LDAP (Lightweight Directory Access Protocol). Vous configurez une connexion dans Endpoint Management à un ou plusieurs répertoires. Endpoint Management utilise la configuration LDAP pour importer des groupes, des comptes d’utilisateurs et des propriétés associées.

Important :

Endpoint Management ne prend pas en charge le passage du mode d’authentification, de l’authentification de domaine à un autre mode d’authentification, une fois que les utilisateurs ont inscrit des appareils dans Endpoint Management.

À propos de LDAP

LDAP est un protocole applicatif indépendant open source qui permet d’accéder et de gérer les services d’informations d’annuaire distribués sur un réseau IP (Internet Protocol). Les services d’informations d’annuaire sont utilisés pour partager des informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications disponibles sur le réseau.

LDAP est couramment utilisé pour fournir une authentification unique (SSO) aux utilisateurs, avec laquelle un seul mot de passe (par utilisateur) est partagé entre plusieurs services. L’authentification unique permet à un utilisateur de se connecter une seule fois au site Web d’une entreprise, pour un accès authentifié à l’intranet de l’entreprise.

Un client démarre une session LDAP en se connectant à un serveur LDAP, appelé DSA (Agent système d’annuaire). Le client envoie une demande d’opération au serveur et le serveur répond avec l’authentification appropriée.

Pour ajouter des connexions LDAP dans Endpoint Management

Vous configurez généralement des connexions LDAP lors de l’intégration à Endpoint Management, comme décrit à la section Configurer LDAP. Si vous avez procédé à l’intégration avant que les écrans affichés dans cette section ne soient disponibles, utilisez les informations de cette section pour ajouter des connexions LDAP.

  1. Dans la console Endpoint Management, accédez à Paramètres > LDAP.

  2. Sous Serveur, cliquez sur LDAP. La page LDAP s’affiche.

    Écran Configuration du LDAP

  3. Sur la page LDAP, cliquez sur Ajouter. La page Ajouter LDAP s’affiche.

    Écran Configuration du LDAP

  4. Pour configurer ces paramètres :

    • Type d’annuaire : dans la liste, cliquez sur le type d’annuaire approprié. La valeur par défaut est Microsoft Active Directory.
    • Serveur principal : entrez le serveur principal utilisé pour LDAP ; vous pouvez entrer l’adresse IP ou le nom de domaine complet (FQDN).
    • Serveur secondaire : éventuellement, si un serveur secondaire a été configuré, entrez l’adresse IP ou le nom de domaine complet du serveur secondaire. Ce serveur est un serveur de basculement utilisé au cas où le serveur principal ne peut pas être contacté.
    • Port : entrez le numéro du port utilisé par le serveur LDAP. Par défaut, le numéro de port est défini sur 389 pour les connexions LDAP non sécurisées. Utilisez le numéro de port 636 pour les connexions LDAP sécurisées, 3268 pour les connexions LDAP non sécurisées Microsoft, ou 3269 pour les connexions LDAP sécurisées Microsoft.
    • Nom de domaine : entrez le nom du domaine.
    • Nom unique de l’utilisateur de base : entrez l’emplacement des utilisateurs dans Active Directory à l’aide d’un identificateur unique. Exemples de syntaxe : ou=users, dc=example ou dc=com.
    • Nom unique du groupe de base : entrez l’emplacement des groupes dans Active Directory. Par exemple, cn=users, dc=domain, dc=netcn=users représente le nom de conteneur des groupes et dc représente le composant de domaine d’Active Directory.
    • ID utilisateur : entrez l’ID de l’utilisateur associé au compte Active Directory.
    • Mot de passe : entrez le mot de passe associé à l’utilisateur.
    • Alias de domaine : entrez un alias pour le nom de domaine. Si vous modifiez le paramètre Alias de domaine après l’inscription, les utilisateurs doivent s’inscrire à nouveau.
    • Limite de verrouillage de Endpoint Management : entrez un nombre compris entre 0 et 999 pour le nombre d’échecs de tentatives d’ouverture de session. Si ce champ est défini sur 0, Endpoint Management ne verrouillera jamais l’utilisateur quel que soit le nombre de tentatives d’ouverture de session infructueuses. La valeur par défaut est 0.

      Envisagez de définir cette limite de verrouillage sur une valeur inférieure à votre stratégie de verrouillage LDAP. Cela permet d’éviter le verrouillage des utilisateurs si Endpoint Management ne parvient pas à s’authentifier auprès du serveur LDAP. Par exemple, si la stratégie de verrouillage LDAP est définie sur 5 tentatives, configurez cette limite de verrouillage sur 4 ou moins.

    • Durée de verrouillage de Endpoint Management : entrez un nombre compris entre 0 et 99 999 représentant le nombre de minutes pendant lesquelles un utilisateur doit patienter après avoir dépassé la limite de verrouillage. Une valeur de 0 signifie que l’utilisateur n’est pas forcé d’attendre après un verrouillage. La valeur par défaut est 1.
    • Port TCP du catalogue global : entrez le numéro de port TCP du serveur du catalogue global. Par défaut, le numéro de port TCP est défini sur 3268 ; pour les connexions SSL, utilisez le numéro de port 3269.
    • Base de recherche du catalogue global : si vous le souhaitez, entrez la valeur de base de recherche globale utilisée pour activer une recherche du catalogue global dans Active Directory. Cette recherche est en supplément de la recherche LDAP standard, dans tout domaine sans avoir à spécifier le nom de domaine.
    • Recherche utilisateur par : sélectionnez le format du nom d’utilisateur ou de l’ID utilisateur utilisé par Endpoint Management pour rechercher des utilisateurs dans ce répertoire. Les utilisateurs saisissent leur nom d’utilisateur ou leur ID d’utilisateur dans ce format lors de leur inscription. Si vous modifiez le paramètre Rechercher utilisateurs par après l’inscription, les utilisateurs doivent s’inscrire à nouveau.

      Si vous choisissez UserPrincipalName, les utilisateurs saisissent un nom d’utilisateur principal (UPN) dans le format suivant :

      • nom d’utilisateur@domaine

      Si vous choisissez SamAccountName, les utilisateurs saisissent un nom SAM (Secure Account Manager) dans l’un des formats suivants :

      • nom d’utilisateur@domaine
      • domaine\nom d’utilisateur
    • Utiliser une connexion sécurisée : indiquez si des connexions sécurisées doivent être utilisées. La valeur par défaut est Non.
  5. Cliquez sur Enregistrer.

Pour supprimer un annuaire compatible LDAP

  1. Dans le tableau LDAP, sélectionnez l’annuaire que vous souhaitez supprimer.

    Vous pouvez sélectionner plusieurs propriétés à supprimer en sélectionnant la case à cocher en regard de chaque propriété.

  2. Cliquez sur Supprimer. Une boîte de dialogue de confirmation s’affiche. Cliquez à nouveau sur Supprimer.

Configurer l’authentification domaine + jeton de sécurité

Vous pouvez configurer Endpoint Management de manière à obliger les utilisateurs à s’authentifier avec leurs informations d’identification LDAP plus un mot de passe à usage unique, à l’aide du protocole RADIUS.

Pour une utilisabilité optimale, vous pouvez combiner cette configuration avec le code PIN Citrix et la mise en cache du mot de passe Active Directory. Avec cette configuration, les utilisateurs n’ont pas à entrer leurs noms d’utilisateur et mots de passe LDAP à plusieurs reprises. Les utilisateurs doivent entrer leurs noms et mots de passe lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.

Configurer les paramètres LDAP

L’utilisation de LDAP pour l’authentification nécessite que vous installiez un certificat SSL d’une autorité de certification sur Endpoint Management. Pour de plus amples informations, consultez Charger des certificats.

  1. Dans Paramètres, cliquez sur LDAP.

  2. Sélectionnez Microsoft Active Directory et cliquez sur Modifier.

    Écran Configuration du LDAP

  3. Vérifiez que le port Port est 636 pour les connexions LDAP sécurisées ou 3269 pour les connexions LDAP sécurisées Microsoft.

  4. Changez Utiliser une connexion sécurisée sur Oui.

    Écran Configuration du LDAP

Configurer les paramètres de Citrix Gateway

Les étapes suivantes supposent que vous avez déjà ajouté une instance Citrix Gateway à Endpoint Management. Pour ajouter une instance Citrix Gateway, consultez la section Citrix Gateway et Endpoint Management.

  1. Dans Paramètres, cliquez sur Citrix Gateway.

  2. Sélectionnez Citrix Gateway, puis cliquez sur Modifier.

  3. Depuis Type d’ouverture de session, sélectionnez Domaine et jeton de sécurité.

Activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur

Pour activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur, accédez à Paramètres > Propriétés du client et sélectionnez ces cases : Activer l’authentification par code PIN Citrix et Activer la mise en cache du mot de passe de l’utilisateur. Pour plus d’informations, veuillez consulter Propriétés du client.

Configurer Citrix Gateway pour l’authentification par jeton de sécurité et domaine

Configurez des profils de sessions Citrix Gateway et des stratégies pour les serveurs virtuels que vous utilisez avec Endpoint Management. Pour plus d’informations, consultez la documentation Citrix Gateway.

Authentification domaine ou domaine + jeton de sécurité