Notification push pour OTP

Citrix Gateway prend en charge les notifications push pour OTP. Les utilisateurs n’ont pas besoin d’entrer manuellement l’OTP reçu sur leurs appareils enregistrés pour se connecter à Citrix Gateway. Les administrateurs peuvent configurer Citrix Gateway de manière à ce que les notifications de connexion soient envoyées aux périphériques enregistrés des utilisateurs à l’aide des services de notification push. Lorsque les utilisateurs reçoivent la notification, ils doivent simplement appuyer sur Autoriser la notification pour se connecter à Citrix Gateway. Lorsque la passerelle reçoit un accusé de réception de l’utilisateur, elle identifie la source de la demande et envoie une réponse à cette connexion de navigateur.

Si la réponse de notification n’est pas reçue dans le délai d’expiration (30 secondes), les utilisateurs sont redirigés vers la page de connexion Citrix Gateway. Les utilisateurs peuvent ensuite entrer le PTO manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur le périphérique enregistré.

Les administrateurs peuvent faire l’authentification par notification push comme authentification par défaut en utilisant les loginschemas créés pour la notification push.

Important : la fonctionnalité de notification push est disponible avec une licence Citrix ADC Platinum edition.

Avantages des notifications push

  • Les notifications Push fournissent un mécanisme d’authentification multifacteur plus sécurisé. L’authentification à Citrix Gateway n’est pas réussie tant que l’utilisateur n’a pas approuvé la tentative de connexion.
  • La notification push est facile à administrer et à utiliser. Les utilisateurs doivent télécharger et installer l’application mobile Citrix SSO qui ne nécessite aucune assistance administrateur.
  • Les utilisateurs n’ont pas besoin de copier ou de mémoriser le code. Ils doivent simplement taper sur l’appareil pour s’authentifier.
  • Les utilisateurs peuvent enregistrer plusieurs appareils.

Fonctionnement des notifications push

Le workflow de notification push peut être classé en deux catégories :

  • Enregistrement de l’appareil
  • Connexion de l’utilisateur final

Flux de travail

Conditions préalables à l’utilisation de la notification push

  • Terminez le processus d’intégration de Citrix Cloud.

    1. Créez un compte d’entreprise Citrix Cloud ou rejoignez un compte existant. Pour obtenir des processus détaillés et des instructions sur la procédure à suivre, reportez-vous à la section Inscription à Citrix Cloud.

    2. Connectez-voushttps://citrix.cloud.comet sélectionnez le client.

    3. Dans Menu, sélectionnez Gestion des identités et des accès, puis accédez à l’onglet Accès à l’API pour créer un client pour le client.

    4. Copiez l’ID, le secret et l’ID client. L’ID et le secret sont requis pour configurer le service push dans Citrix ADC en tant que’ClientID » et « ClientSecret’respectivement.

Important :

  • Les mêmes informations d’identification d’API peuvent être utilisées sur plusieurs datacenters.
  • Sur site, les appliances Citrix ADC doivent être capables de résoudre les adresses de serveur mfa.cloud.com et trust.citrixworkspacesapi.net et être accessibles à partir de l’appliance. Ceci permet de s’assurer qu’il n’y a pas de pare-feu ou de blocs d’adresses IP pour ces serveurs sur le port 443.
  • Téléchargez l’application mobile Citrix SSO depuis l’App Store et le Play Store pour les appareils iOS et Android respectivement. La notification push est prise en charge sur iOS à partir de la version 1.1.13 sur Android à partir de 2.3.5.

  • Vérifiez ce qui suit pour Active Directory.

    • La longueur minimale de l’attribut doit être d’au moins 256 caractères.
    • Le type d’attribut doit être ‘DirectoryString’ tel que UserParameters. Ces attributs peuvent contenir des valeurs de chaîne.
    • Le type de chaîne d’attribut doit être Unicode, si le nom de périphérique est en caractères non anglais.
    • L’administrateur LDAP Citrix ADC doit disposer d’un accès en écriture à l’attribut AD sélectionné.
    • Citrix ADC et l’ordinateur client doivent être synchronisés avec un serveur de temps réseau commun.

Configuration des notifications Push

Voici les étapes de haut niveau qui doivent être effectuées pour utiliser la fonctionnalité de notification push.

  • L’administrateur Citrix Gateway doit configurer l’interface pour gérer et valider les utilisateurs.

    1. Configurez un service push.

    2. Configurez Citrix Gateway pour la gestion OTP et la connexion utilisateur final.

  • Les utilisateurs doivent enregistrer leurs appareils auprès de la passerelle pour se connecter à Citrix Gateway.

    1. Enregistrez votre appareil auprès de Citrix Gateway.

    2. Connectez-vous à Citrix Gateway.

Créer un service push

1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Stratégies avancées > Actions > Service Push et cliquez sur Ajouter .

2. Dans Nom, entrez le nom du service push.

3. Dans ID client, entrez l’identité unique de la partie de confiance pour communiquer avec le serveur Citrix Push dans le cloud.

4. Dans Client Secret, entrez le secret unique de la partie de confiance pour communiquer avec le serveur Citrix Push dans le cloud.

5. Dans ID client, entrez l’ID client ou le nom du compte dans le nuage qui est utilisé pour créer la paire ID client et secret client.

Configurer Citrix Gateway pour la gestion OTP et la connexion utilisateur final

Suivez les étapes suivantes pour la gestion OTP et la connexion utilisateur final.

  • Créer un schéma de connexion pour la gestion OTP
  • Configurer l’authentification, l’autorisation et l’audit du serveur virtuel
  • Configurer un VPN ou des serveurs virtuels d’équilibrage de charge
  • Configurer l’étiquette de stratégie
  • Créer un schéma de connexion pour la connexion de l’utilisateur final

Pour plus d’informations sur la configuration, reportez-vous à la sectionPrise en charge de l’OTP natif.

Important : pour les notifications push, les administrateurs doivent configurer explicitement les éléments suivants :

  • Créez un service push.
  • Lors de la création du schéma de connexion pour la gestion OTP, sélectionnez le schéma de connexion SingleAuthManageOTP.xml ou l’équivalent selon les besoins.
  • Lors de la création du schéma de connexion pour la connexion de l’utilisateur final, sélectionnez le schéma de connexion DualAuthorpush.xml ou l’équivalent selon les besoins.

Enregistrez votre appareil avec Citrix Gateway

Les utilisateurs doivent enregistrer leurs appareils auprès de Citrix Gateway pour utiliser la fonctionnalité de notification push.

1. Dans votre navigateur Web, accédez à votre nom de domaine complet Citrix Gateway et suffixe /manageotp au nom de domaine complet.

Cette opération charge la page d’authentification. Exemple :https://gateway.company.com/manageotp

2. Connectez-vous à l’aide de vos informations d’identification LDAP ou des mécanismes d’authentification à deux facteurs appropriés, selon les besoins.

Identifiant

3. Cliquez sur Ajouter un périphérique.

4. Entrez un nom pour votre appareil, puis cliquez sur Exécu ter.

Un code QR s’affiche sur la page du navigateur Citrix Gateway.

Scanner

5. Scannez ce code QR à l’aide de l’application Citrix SSO à partir de l’appareil à enregistrer.

Citrix SSO valide le code QR, puis s’enregistre auprès de la passerelle pour les notifications push. S’il n’y a aucune erreur dans le processus d’inscription, le jeton est ajouté avec succès à la page des jetons de mot de passe.

Jeton

6. S’il n’y a pas de périphériques supplémentaires pour ajouter/gérer, déconnectez-vous à l’aide de la liste située dans le coin supérieur droit de la page.

Tester l’authentification par mot de passe unique

1. Pour tester l’OTP, cliquez sur votre appareil dans la liste, puis cliquez sur Tester.

2. Entrez l’OTP que vous avez reçu sur votre appareil et cliquez sur Exécu ter.

Le message de vérification OTP réussie s’affiche.

3. Déconnectez-vous en utilisant la liste située dans le coin supérieur droit de la page.

Remarque : Vous pouvez utiliser le portail de gestion OTP à tout moment pour tester l’authentification, supprimer des périphériques enregistrés ou enregistrer d’autres périphériques.

Connectez-vous à Citrix Gateway

Après avoir enregistré leurs appareils auprès de Citrix Gateway, les utilisateurs peuvent utiliser la fonctionnalité de notification push pour l’authentification.

1. Accédez à votre page d’authentification Citrix Gateway (par exemple :https://gateway.company.com)

Vous êtes invité à entrer uniquement vos informations d’identification LDAP en fonction de la configuration loginschema.

Token2

2. Entrez votre nom d’utilisateur et votre mot de passe LDAP, puis sélectionnez Envoyer.

Une notification est envoyée à votre appareil enregistré.

Remarque : Si vous voulez entrer le fichier OTP manuellement, vous devez sélectionner Cliquez pour entrer OTP manuellement et entrer le fichier OTP dans le champ TOTP .

3. Ouvrez l’application Citrix SSO sur votre appareil enregistré et appuyez sur Autoriser.

Autoriser

Remarque :

  • Le serveur d’authentification attend une réponse de notification de serveur push jusqu’à ce que le délai d’expiration configuré expire. Après le délai d’expiration, Citrix Gateway affiche la page de connexion. Les utilisateurs peuvent ensuite entrer le PTO manuellement ou cliquer sur Renvoyer la notification pour recevoir à nouveau la notification sur le périphérique enregistré. En fonction de l’option sélectionnée, la passerelle valide l’OTP que vous avez entré ou renvoyer la notification sur votre appareil enregistré.

Repli

  • Aucune notification n’est envoyée à votre appareil enregistré concernant l’échec de connexion.

Les images suivantes capturent un exemple d’enregistrement de périphérique et de workflow de notification push.

Flux de travail

Conditions de défaillance

  • L’enregistrement de l’appareil peut échouer dans les cas suivants.
    • Le certificat de serveur peut ne pas être approuvé par le périphérique utilisateur final.
    • Citrix Gateway utilisé pour s’inscrire à OTP n’est pas accessible par le client.
  • Les notifications peuvent échouer dans les cas suivants.
    • L’appareil utilisateur n’est pas connecté à Internet
    • Les notifications sur la machine utilisateur sont bloquées
    • L’utilisateur n’approuve pas la notification sur l’appareil

Dans ces cas, le serveur d’authentification attend l’expiration du délai d’expiration configuré. Après le délai d’expiration, Citrix Gateway affiche une page de connexion avec les options permettant d’entrer manuellement l’OTP ou de renvoyer la notification à nouveau sur votre appareil enregistré. En fonction de l’option sélectionnée, une validation supplémentaire se produit.

Comportement de l’application Citrix SSO sur iOS — points à noter

Raccourcis de notification

L’application Citrix SSO iOS inclut la prise en charge des notifications exploitables pour améliorer l’expérience utilisateur. Une fois qu’une notification est reçue sur un appareil iOS et que l’appareil est verrouillé ou que l’application Citrix SSO n’est pas au premier plan, les utilisateurs peuvent utiliser les raccourcis intégrés à la notification pour approuver ou refuser la demande de connexion.

Pour accéder aux raccourcis de notification, les utilisateurs doivent forcer le toucher (toucher 3D) ou appuyer longuement sur la notification en fonction du matériel de l’appareil. La sélection de l’action Autoriser le raccourci envoie une demande de connexion à Citrix ADC. Selon la façon dont la stratégie d’authentification est configurée sur le serveur virtuel d’authentification, d’autorisation et d’audit ;

  • La demande de connexion peut être envoyée en arrière-plan sans avoir besoin de lancer l’application au premier plan ou de déverrouiller l’appareil.
  • L’application peut demander à Touch-ID/face-ID/Passcode comme facteur supplémentaire auquel cas l’application est lancée au premier plan.

Raccourci

Suppression de jetons de mot de passe de Citrix SSO

1. Pour supprimer un jeton de mot de passe enregistré pour le push dans l’application Citrix SSO, les utilisateurs doivent effectuer les opérations suivantes :

2. Désinscrire (supprimer) le périphérique iOS/Android sur la passerelle. Le code QR pour supprimer l’enregistrement de l’appareil apparaît.

3. Ouvrez l’application Citrix SSO et appuyez sur le bouton info du jeton de mot de passe à supprimer.

4. Appuyez sur Supprimer un jeton et scannez le code QR.**

Remarque :

  • Si le code QR est valide, le jeton est supprimé de l’application Citrix SSO.
  • Les utilisateurs peuvent appuyer sur Forcer la suppression pour supprimer un jeton de mot de passe sans avoir à analyser le code QR si l’appareil est déjà retiré de la passerelle. La suppression forcée peut faire en sorte que le périphérique continue à recevoir des notifications si le périphérique n’a pas été supprimé de Citrix Gateway.

Supprimer un jeton