Prise en charge de nFactor pour l’application Citrix SSO sur iOS et l’agent Citrix Secure Access sur macOS

L’authentification multi-facteurs (nFactor) améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. Les administrateurs peuvent configurer différents facteurs d’authentification, notamment le certificat client, LDAP, RADIUS, OAuth, SAML, etc. Ces facteurs d’authentification peuvent être configurés dans n’importe quel ordre en fonction des besoins de l’organisation.

L’application Citrix SSO sur iOS et l’agent Citrix Secure Access sur macOS prennent en charge les protocoles d’authentification suivants :

  • nFactor — Le protocole nFactor est utilisé lorsqu’un serveur virtuel d’authentification est lié au serveur virtuel VPN sur la passerelle. Étant donné que l’ordre des facteurs d’authentification est dynamique, le client utilise une instance de navigateur rendue dans le contexte de l’application pour présenter l’interface graphique d’authentification.

  • Classique  : le protocole classique est le protocole de secours par défaut utilisé si les stratégies d’authentification classiques sont configurées sur le serveur virtuel VPN de la passerelle. Le protocole classique est le protocole de secours si NFactor échoue pour des méthodes d’authentification spécifiques telles que NAC.

  • Plateforme d’identité Citrix  : le protocole Citrix Identity Platform est utilisé lors de l’authentification auprès de CloudGateway ou de Gateway Service et nécessite une inscription MDM auprès de Citrix Cloud.

Le tableau suivant récapitule les différentes méthodes d’authentification prises en charge par chaque protocole.

Méthode d’authentification nFactor Classique IdP Citrix
Cert Client Prise en charge Prise en charge Non pris en charge
LDAP Prise en charge Prise en charge Non pris en charge
Stockage local Prise en charge Prise en charge Non pris en charge
RADIUS Prise en charge Non pris en charge Non pris en charge
SAML Prise en charge Non pris en charge Non pris en charge
OAuth Prise en charge Non pris en charge Non pris en charge
TACACS Prise en charge Non pris en charge Non pris en charge
WebAuth Prise en charge Non pris en charge Non pris en charge
Négocier Prise en charge Non pris en charge Non pris en charge
EPA Prise en charge Prise en charge Non pris en charge
NAC Non pris en charge Prise en charge Non pris en charge
StoreFront Non pris en charge Non pris en charge Non pris en charge
ADAL Non pris en charge Non pris en charge Non pris en charge
DS-AUTH Non pris en charge Non pris en charge Prise en charge

Configuration NFactor

Pour plus d’informations sur la configuration de NFactor, reportez-vous à la section Configuration de l’authentification NFactor.

Important :

pour utiliser le protocole nFactor avec l’application Citrix SSO sur iOS et l’agent Citrix Secure Access sur macOS, la version locale recommandée de Citrix Gateway est 12.1.50.xx et versions ultérieures.

Limitations

  • Les stratégies d’authentification spécifiques aux appareils mobiles, telles que NAC (contrôle d’accès réseau), exigent que le client envoie un identificateur d’appareil signé dans le cadre de l’authentification avec Citrix Gateway. L’identificateur d’appareil signé est une clé secrète rotative qui identifie de manière unique un appareil mobile inscrit dans un environnement MDM. Cette clé est intégrée dans un profil VPN géré par un serveur MDM. Il n’est peut-être pas possible d’injecter cette clé dans le contexte WebView. Si le NAC est activé sur un profil VPN MDM, l’application Citrix SSO sur iOS et l’agent Citrix Secure Access sur macOS reviennent automatiquement au protocole d’authentification classique.

  • Vous ne pouvez pas configurer la vérification NAC avec Intune pour macOS, car Intune ne fournit pas d’option permettant d’activer NAC pour macOS contrairement à iOS.

Prise en charge de nFactor pour l’application Citrix SSO sur iOS et l’agent Citrix Secure Access sur macOS