Scénarios d’invite d’authentification

Plusieurs scénarios invitent les utilisateurs à s’authentifier auprès de Secure Hub en entrant leurs informations d’identification sur leurs appareils.

Les scénarios varient en fonction des facteurs suivants :

  • Votre stratégie d’application MDX et la configuration de la propriété client dans les paramètres de la console Endpoint Management.
  • Si l’authentification se produit hors connexion ou en ligne (l’appareil a besoin d’une connexion réseau à Endpoint Management).

En outre, le type d’informations d’identification que les utilisateurs entrent, telles qu’un mot de passe Active Directory, un code PIN ou code secret Citrix, un mot de passe unique ou une empreinte digitale (appelée Touch ID dans iOS), varie également en fonction du type d’authentification et de la fréquence d’authentification dont vous avez besoin.

Explorons les scénarios qui entrainent une invite d’authentification.

  • Redémarrage de l’appareil : lorsque les utilisateurs redémarrent leur appareil, ils doivent se réauthentifier avec Secure Hub.

  • Inactivité hors connexion (délai d’expiration) : lorsque la stratégie MDX Code secret d’application est activée (valeur par défaut), la propriété de client Endpoint Management appelée Délai d’inactivité entre en vigueur. Le délai d’inactivité déconnecte automatiquement les applications qui utilisent le conteneur sécurisé si aucune activité n’est détectée au-delà d’une certaine période.

Lorsque le Délai d’inactivité expire, les utilisateurs doivent se réauthentifier auprès du conteneur sécurisé sur l’appareil. Si, par exemple, les utilisateurs posent leurs appareils et s’en vont, et que le délai d’inactivité expire, aucun autre utilisateur ne peut se servir de l’appareil pour accéder à des informations confidentielles dans le conteneur. Vous définissez la propriété de client Délai d’inactivité dans la console Endpoint Management. La valeur par défaut est 15 minutes. La combinaison de la stratégie Code secret d’application définie sur Activé et de la propriété client Délai d’inactivité couvre les scénarios de demande d’authentification les plus courants.

  • Déconnexion de Secure Hub :. Lorsque les utilisateurs se déconnectent de Secure Hub, ils doivent se réauthentifier la prochaine fois qu’ils accèdent à Secure Hub ou à toute application MDX, lorsque l’application requiert un code secret comme déterminé par la stratégie MDX Code secret d’application et l’état Délai d’inactivité.

  • Période hors connexion maximale :. Ce scénario est spécifique aux applications individuelles car il est régi par une stratégie MDX par application. La stratégie MDX Période hors connexion maximale dispose d’un paramètre par défaut de 3 jours. Si la durée pendant laquelle une application est autorisée à s’exécuter sans authentification en ligne avec Secure Hub s’écoule, une vérification auprès de Endpoint Management est requise afin de confirmer les droits d’application et d’actualiser les stratégies. Lorsque cette vérification se produit, l’application déclenche Secure Hub afin de procéder à une authentification en ligne. Les utilisateurs doivent se réauthentifier avant de pouvoir accéder à l’application MDX.

Notez la relation entre les stratégies MDX Période hors connexion maximale et Période d’interrogation active :

  • La Période d’interrogation active est l’intervalle durant lequel les applications contactent Endpoint Management pour effectuer des actions de sécurité, telles que le verrouillage et l’effacement d’applications. En outre, l’application recherche également la présence de stratégies d’application mises à jour.
  • Après la recherche de stratégies via la stratégie Période d’interrogation active, le minuteur de la Période hors connexion maximale est remis à zéro.

Les deux interrogations de Endpoint Management, afin de déterminer l’expiration de la Période d’interrogation active et de la Période hors connexion maximale, requièrent un jeton NetScaler Gateway valide sur l’appareil. Si la machine dispose d’un jeton NetScaler Gateway valide, l’application récupère les nouvelles stratégies depuis Endpoint Management sans aucune interruption pour les utilisateurs. Si l’application requiert un jeton NetScaler Gateway, elle vous bascule sur Secure Hub et les utilisateurs voient une invite d’authentification dans Secure Hub.

Sur les appareils Android, les écrans d’activité Secure Hub s’ouvrent directement sur l’écran de l’application en cours. Sur les appareils iOS, toutefois, Secure Hub doit apparaître au premier plan, ce qui déplace temporairement l’application en cours.

Une fois que les utilisateurs ont entré leurs informations d’identification, Secure Hub bascule de nouveau vers l’application d’origine. Si, dans ce cas, vous autorisez la mise en cache des informations d’identification Active Directory ou si vous disposez d’un certificat client configuré, les utilisateurs peuvent saisir un code PIN ou un mot de passe, ou authentification par empreinte digitale. Si vous ne procédez pas de la sorte, les utilisateurs doivent entrer leurs informations d’identification Active Directory complètes.

Le jeton NetScaler peut devenir non valide en raison d’absence d’activité dans la session NetScaler Gateway ou de l’application d’une stratégie d’expiration de session, comme indiqué dans la liste suivante de stratégies NetScaler Gateway. Lorsque les utilisateurs se connectent de nouveau à Secure Hub, ils peuvent continuer à exécuter l’application.

  • Stratégies de session NetScaler Gateway : deux stratégies NetScaler Gateway affectent également quand les utilisateurs sont invités à s’authentifier. Dans ces cas, ils s’authentifient pour créer une session en ligne avec NetScaler pour la connexion à Endpoint Management.

    • Expiration de la session : la session NetScaler pour Endpoint Management est déconnectée si aucune activité réseau n’est détectée pendant la période de temps définie. La valeur par défaut est 30 minutes. Si vous utilisez l’Assistant NetScaler Gateway pour configurer la stratégie, cependant, la valeur par défaut est de 1440 minutes. Les utilisateurs verront alors un message d’authentification les invitant à se reconnecter à leur réseau d’entreprise.
    • Expiration forcée : si cette stratégie est activée, la session NetScaler pour Endpoint Management est déconnectée après écoulement de la période d’expiration forcée. Le délai d’expiration forcé rend la réauthentification obligatoire après une certaine période de temps. Les utilisateurs verront alors un message d’authentification les invitant à se reconnecter à leur réseau d’entreprise lors de la prochaine utilisation. La valeur par défaut est Désactivé. Si vous utilisez l’Assistant NetScaler Gateway pour configurer la stratégie, cependant, la valeur par défaut est de 1440 minutes.

Types d’informations d’identification

La section précédente abordait les circonstances dans lesquelles les utilisateurs sont invités à s’authentifier. Cette section traite des types d’informations d’identification qu’ils doivent entrer. L’authentification est nécessaire au travers de plusieurs méthodes d’authentification pour accéder aux données chiffrées de l’appareil. Pour déverrouiller l’appareil pour la première fois, vous devez déverrouiller le conteneur principal. Une fois que le déverrouillage est terminé et que le conteneur est de nouveau sécurisé, pour accéder de nouveau à l’appareil, vous devez déverrouiller un conteneur secondaire.

Remarque :

Lorsque l’article fait référence à une application gérée, le terme fait référence à une application wrappée par l’outil MDX Toolkit, dans lequel vous avez laissé la stratégie MDX Code secret d’application activée et pour laquelle vous utilisez la propriété de client Délai d’inactivité.

Les conditions qui déterminent les types d’informations d’identification sont les suivantes :

  • Déverrouillage du conteneur principal : un mot de passe Active Directory, un code PIN ou code secret Citrix, un mot de passe unique, Touch ID ou une empreinte digitale est nécessaire pour déverrouiller le conteneur principal.
    • Dans iOS, lorsque les utilisateurs ouvrent Secure Hub ou une application gérée pour la première fois après que l’application est installée sur l’appareil.
    • Dans iOS, lorsque les utilisateurs redémarrent un appareil, puis qu’ils ouvrent Secure Hub.
    • Sur Android, lorsque les utilisateurs ouvrent une application gérée si Secure Hub n’est pas en cours d’exécution.
    • Sur Android, lorsque les utilisateurs redémarrent Secure Hub pour une raison quelconque, y compris le redémarrage d’un appareil.
  • Déverrouillage du conteneur secondaire : l’authentification par empreinte digitale (si elle est configurée), un code PIN ou code secret Citrix ou des informations d’identification Active Directory sont nécessaires pour déverrouiller le conteneur secondaire.
    • Lorsque les utilisateurs ouvrent une application gérée après expiration du délai d’inactivité.
    • Lorsque les utilisateurs se déconnectent de Secure Hub et ouvrent ensuite une application gérée.

Les informations d’identification Active Directory sont requises pour l’une ou l’autre des circonstances de déverrouillage de conteneur lorsque les conditions suivantes sont remplies :

  • Lorsque les utilisateurs modifient le code secret associé à leur compte d’entreprise.
  • Lorsque vous n’avez pas défini les propriétés de client dans la console Endpoint Management pour activer le code PIN Citrix : ENABLE_PASSCODE_AUTH et ENABLE_PASSWORD_CACHING.
  • Lorsque la session NetScaler Gateway prend fin, ce qui se produit dans les conditions suivantes : lorsque le délai d’expiration de la session ou le délai d’expiration forcé expire, si l’appareil ne met pas en cache les informations d’identification ou qu’il ne dispose pas d’un certificat client.

Lorsque l’authentification par empreinte digitale est activée, les utilisateurs peuvent se connecter à l’aide d’une empreinte digitale lorsque l’authentification hors connexion est requise en raison de l’inactivité de l’application. Les utilisateurs doivent toujours entrer un code PIN lorsqu’ils se connectent pour la première fois à Secure Hub et lorsqu’ils redémarrent l’appareil. L’authentification par empreinte digitale est prise en charge sur les appareils iOS 9 et iOS 10.3 et certains appareils Android. Pour plus d’informations sur l’activation de l’authentification par empreinte digitale, veuillez consulter ENABLE_TOUCH_ID_AUTH dans les propriétés clientes.

L’organigramme suivant résume le flux décisionnel qui détermine les informations d’identification qu’un utilisateur doit entrer lorsqu’il est invité à s’authentifier.

Image du diagramme des informations d'identification de l'utilisateur

À propos des basculements d’écran Secure Hub

Une autre situation à considérer est lorsque le basculement d’une application vers Secure Hub et vice versa est requis. Le basculement affiche une notification que les utilisateurs doivent confirmer. L’authentification n’est pas nécessaire lorsque cela se produit. Cette situation se produit après communication avec Endpoint Management, comme indiqué par les stratégies MDX Période hors connexion maximale et Période d’interrogation active, et Endpoint Management détecte les stratégies mises à jour qui ont besoin d’être déployées sur l’appareil via Secure Hub.

Scénarios d’invite d’authentification