Citrix Endpoint Management

Authentification avec Okta via Citrix Cloud

Endpoint Management prend en charge l’authentification avec les informations d’identification Okta via Citrix Cloud. Cette méthode d’authentification est disponible pour les utilisateurs qui s’inscrivent via l’application Citrix Secure Hub. Endpoint Management utilise le service Citrix Cloud, fournisseur d’identité Citrix, pour se fédérer avec Okta. Pour activer l’authentification Endpoint Management avec Okta via Citrix Cloud, contactez votre représentant de l’assistance Citrix.

Citrix recommande d’utiliser le fournisseur d’identité Citrix plutôt qu’une connexion directe à Okta.

Endpoint Management prend en charge l’authentification avec Okta pour les plates-formes suivantes :

  • Appareils iOS
  • Appareils Android Enterprise (version préliminaire), pour BYOD et modes entièrement gérés
  • Appareils Android qui s’exécutent dans l’ancien mode d’administration des appareils

L’authentification avec Okta via Citrix Cloud présente les limitations suivantes :

  • Non disponible pour les comptes locaux Endpoint Management.
  • Ne prend pas en charge l’authentification via Okta pour les invitations d’inscription. Si vous envoyez une invitation d’inscription contenant une adresse URL d’inscription aux utilisateurs, les utilisateurs s’authentifient via LDAP au lieu d’Okta.

Conditions préalables pour l’authentification avec Okta

  • Informations d’identification utilisateur Okta
  • Compte Citrix Cloud avec Citrix Cloud Connector installé pour la synchronisation des services d’annuaire
  • Citrix Gateway. Citrix vous recommande d’activer l’authentification basée sur des certificats pour une expérience d’authentification unique complète. Si vous utilisez l’authentification LDAP sur Citrix Gateway pour l’inscription MAM, les utilisateurs finaux bénéficient d’une double invite d’authentification lors de l’inscription. Pour de plus amples informations, consultez la section Authentification certificat client ou certificat + domaine.
  • Secure Hub
  • Dans les profils d’inscription pour Android Enterprise, définissez Autoriser les utilisateurs à décliner la gestion des appareils sur Désactivé. Si les utilisateurs déclinent la gestion des appareils, ils ne peuvent pas s’inscrire à l’aide d’un fournisseur d’identité pour s’authentifier. Pour de plus amples informations, consultez la section Sécurité de l’inscription.

Le reste de cet article décrit comment configurer cette fonctionnalité. Les étapes générales sont les suivantes :

  1. Configurer Citrix Cloud pour utiliser Okta en tant que fournisseur d’identité
  2. Configurez Identité Citrix en tant que type de fournisseur d’identité pour Endpoint Management.

Une fois cette configuration effectuée, les utilisateurs Secure Hub qui sont associés à un domaine peuvent utiliser Secure Hub pour se connecter à l’aide de leurs informations d’identification Okta. Secure Hub utilise l’authentification de certificat client pour les appareils MAM.

Configurer Citrix Cloud pour utiliser Okta en tant que fournisseur d’identité

Pour configurer Okta dans Citrix Cloud, consultez l’article Citrix Cloud Connecter Okta en tant que fournisseur d’identité à Citrix Cloud. Si Workspace est activé pour Endpoint Management, cet article contient également des étapes pour la configuration d’Okta comme méthode d’authentification pour Citrix Workspace.

Configurer Identité Citrix en tant que type de fournisseur d’identité pour Endpoint Management

Après avoir configuré Azure Active Directory dans Citrix Cloud, configurez Endpoint Management comme suit.

  1. Dans la console Endpoint Management, accédez à Paramètres > Fournisseur d’identité (IdP), puis cliquez sur Ajouter.

  2. Dans la page Fournisseur d’identité (IdP), configurez les éléments suivants :

    Écran de configuration IdP

    • Nom IdP : entrez un nom unique pour identifier la connexion de fournisseur d’identité que vous créez.
    • Type de fournisseur d’identité : choisissez Plate-forme d’identité Citrix.
    • Domaine d’authentification : sélectionnez le domaine de Citrix Cloud. Si vous ne savez pas lequel choisir, votre domaine apparaît sur la page Citrix Cloud Gestion des identités et des accès > Authentification.
  3. Cliquez sur Suivant. Dans la page Utilisation des revendications IdP, configurez les éléments suivants :

    Écran de configuration IdP

    • Type d’identificateur d’utilisateur : ce champ est défini sur userPrincipalName. Assurez-vous de configurer tous les utilisateurs avec le même identifiant dans votre répertoire Active Directory local et dans Okta. Endpoint Management utilise cet identifiant pour mapper les utilisateurs du fournisseur d’identité avec les utilisateurs Active Directory locaux.
    • Chaîne d’identificateur d’utilisateur : ce champ est renseigné automatiquement.

Flux d’authentification Secure Hub

Une fois que Endpoint Management est configuré pour utiliser Identité Citrix en tant que fournisseur d’identité, le flux de l’authentification de Secure Hub est comme suit pour un appareil qui est inscrit via Secure Hub :

  1. Un utilisateur démarre Secure Hub.
  2. Secure Hub transmet la demande d’authentification à Identité Citrix, qui transmet la demande à Azure Active Directory.
  3. L’utilisateur tape son nom d’utilisateur et son mot de passe.
  4. Azure Active Directory valide l’utilisateur et envoie un code à Identité Citrix.
  5. Identité Citrix envoie le code à Secure Hub, qui envoie le code à Endpoint Management Server.
  6. Endpoint Management obtient un jeton d’identification en utilisant le code et le secret, puis valide les informations utilisateur contenues dans le jeton d’identification. Endpoint Management renvoie un ID de session.