Authentification unique avec Azure Active Directory

Endpoint Management prend en charge l’authentification unique avec les informations d’identification Azure Active Directory dans les scénarios suivants :

  • Inscription utilisateur via Citrix Secure Hub (Android ou iOS)
  • Pour le rôle utilisateur RBAC, authentification auprès du portail en libre-service Endpoint Management
  • Authentification administrateur auprès de la console Endpoint Management
  • Pour Endpoint Management, authentification administrateur auprès de l’API publique pour les Services REST à l’aide d’un jeton récupéré via l’API Citrix Cloud.
  • Pour de plus amples informations, consultez la section 3.3.2 Login (Cloud Credentials) du PDF Public API for REST Services.

Endpoint Management utilise le service Citrix Cloud appelé Plate-forme d’identité Citrix pour se fédérer avec Azure Active Directory. La Plate-forme d’identité Citrix est un service de fournisseur d’identité.

Pour configurer ce service, vous devez configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité. Ensuite, configurez Plate-forme d’identité Citrix en tant que type de fournisseur d’identité pour Endpoint Management. Les utilisateurs peuvent ensuite se connecter à Secure Hub avec leurs informations d’identification Azure Active Directory. Secure Hub utilise l’authentification de certificat client pour les appareils MAM.

Citrix recommande d’utiliser Plate-forme d’identité Citrix plutôt qu’une connexion directe à Azure Active Directory.

Prérequis pour l’authentification unique avec Azure Active Directory

  • Citrix Gateway, configuré pour l’authentification par certificat
  • Secure Hub 10.7.20 (version minimum)
  • Informations d’identification utilisateur Azure Active Directory

Configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité

Pour configurer Azure Active Directory dans Citrix Cloud :

  1. Accédez à https://citrix.cloud.com et connectez-vous à votre compte Citrix Cloud.

  2. Dans le menu Citrix Cloud, accédez à la page Gestion des identités et des accès et connectez-vous à Azure Active Directory.

    Écran Citrix Cloud

  3. Entrez votre URL de connexion administrateur, puis cliquez sur Connecter.

    Écran Citrix Cloud

  4. Une fois que vous vous êtes connecté, votre compte Azure Active Directory se connecte à Citrix Cloud. La page Gestion des identités et des accès > Authentification indique les comptes à utiliser pour vous connecter à vos comptes Citrix Cloud et Azure AD.

    Écran Citrix Cloud

Configurer Plate-forme d’identité Citrix en tant que type de fournisseur d’identité pour Endpoint Management

Après avoir configuré Azure Active Directory dans Citrix Cloud, configurez Endpoint Management comme suit.

  1. Dans la console Endpoint Management, accédez à Paramètres > Fournisseur d’identité (IDP), puis cliquez sur Ajouter.

  2. Dans la page Fournisseur d’identité (IDP), configurez les éléments suivants :

    Écran de configuration IDP

    • Nom IdP : entrez un nom unique pour identifier la connexion de fournisseur d’identité que vous créez.
    • Type de fournisseur d’identité : choisissez Plate-forme d’identité Citrix.
    • Domaine d’authentification : sélectionnez le domaine de Citrix Cloud. Si vous ne savez pas lequel choisir, votre domaine apparaît sur la page Citrix Cloud Gestion des identités et des accès > Authentification.
  3. Cliquez sur Suivant. Dans la page Utilisation des revendications IdP, configurez les éléments suivants :

    Écran de configuration IDP

    • Type d’identificateur d’utilisateur : ce champ est défini sur userPrincipalName.
    • Chaîne d’identificateur d’utilisateur : ce champ est renseigné automatiquement.
  4. Cliquez sur Suivant, vérifiez la page Résumé, puis cliquez sur Enregistrer.

    Les utilisateurs de Secure Hub, de la console Endpoint Management et du portail en libre-service peuvent maintenant se connecter avec leurs informations d’identification Azure Active Directory.

Flux de l’authentification administrateur et utilisateur de Endpoint Management

L’écran de connexion de la console Endpoint Management et du portail en libre-service Endpoint Management comprend le lien Se connecter avec les informations d’identification de mon entreprise.

Connexion Endpoint Management

Cliquez sur ce lien pour entrer vos informations d’identification Azure Active Directory. Une fois la première authentification validée, Endpoint Management ne vous demande plus de vous connecter pour les accès ultérieurs.

Si vous vous connectez à la console ou au portail en libre-service Endpoint Management à partir d’appareils joints au domaine, cliquez sur le lien Se connecter avec les informations d’identification de mon entreprise : Endpoint Management offre une expérience d’authentification unique. Aucune invite d’authentification n’apparaît.

Flux d’authentification Secure Hub

Une fois que Endpoint Management est configuré pour utiliser la Plate-forme d’identité Citrix en tant que fournisseur d’identité, le flux de l’authentification de Secure Hub est comme suit pour un appareil qui est inscrit via Secure Hub :

  1. Un utilisateur démarre Secure Hub.
  2. Secure Hub transmet la demande d’authentification à la Plate-forme d’identité Citrix, qui transmet la demande à Azure Active Directory.
  3. L’utilisateur tape son nom d’utilisateur et son mot de passe.
  4. Azure Active Directory valide l’utilisateur et envoie un code à la Plate-forme d’identité Citrix.
  5. La Plate-forme d’identité Citrix envoie le code à Secure Hub, qui envoie le code à Endpoint Management Server.
  6. Endpoint Management obtient un jeton d’identification en utilisant le code et le secret, puis valide les informations utilisateur contenues dans le jeton d’identification. Endpoint Management renvoie un ID de session.

Les utilisateurs d’appareils appartenant au domaine peuvent utiliser leurs informations d’identification Azure Active Directory pour une expérience d’authentification unique. Pour les comptes locaux Endpoint Management, l’authentification unique n’est pas disponible.