Déploiements de cartes à puce
Les types de déploiements de cartes à puce suivants sont pris en charge par cette version du produit et par les environnements mixtes contenant cette version. D’autres configurations peuvent fonctionner mais ne sont pas prises en charge.
| Type | Connectivité StoreFront™ |
|---|---|
| Ordinateurs locaux joints au domaine | Connecté directement |
| Accès à distance depuis des ordinateurs joints au domaine | Connecté via Citrix Gateway |
| Ordinateurs non joints au domaine | Connecté directement |
| Accès à distance depuis des ordinateurs non joints au domaine | Connecté via Citrix Gateway |
| Ordinateurs non joints au domaine et clients légers accédant au site Desktop Appliance | Connecté via les sites Desktop Appliance |
| Ordinateurs joints au domaine et clients légers accédant à StoreFront via l’URL des services XenApp® | Connecté via les URL des services XenApp |
Les types de déploiement sont définis par les caractéristiques du périphérique utilisateur auquel le lecteur de carte à puce est connecté :
- Si le périphérique est joint à un domaine ou non joint à un domaine.
- Comment le périphérique est connecté à StoreFront.
- Quel logiciel est utilisé pour afficher les bureaux et applications virtuels.
De plus, des applications compatibles avec les cartes à puce, telles que Microsoft Word et Microsoft Excel, peuvent être utilisées dans ces déploiements. Ces applications permettent aux utilisateurs de signer ou de chiffrer numériquement des documents.
Authentification bimodale
Dans la mesure du possible pour chacun de ces déploiements, Receiver prend en charge l’authentification bimodale en offrant à l’utilisateur le choix entre l’utilisation d’une carte à puce et la saisie de son nom d’utilisateur et de son mot de passe. Ceci est utile si la carte à puce ne peut pas être utilisée (par exemple, l’utilisateur l’a oubliée à la maison ou le certificat de connexion a expiré).
Étant donné que les utilisateurs de périphériques non joints à un domaine se connectent directement à Receiver pour Windows, vous pouvez leur permettre de revenir à l’authentification explicite. Si vous configurez l’authentification bimodale, les utilisateurs sont initialement invités à se connecter à l’aide de leurs cartes à puce et de leurs codes PIN, mais ont la possibilité de sélectionner l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce.
Si vous déployez Citrix Gateway, les utilisateurs se connectent à leurs périphériques et sont invités par Receiver pour Windows à s’authentifier auprès de Citrix Gateway. Cela s’applique aux périphériques joints à un domaine et non joints à un domaine. Les utilisateurs peuvent se connecter à Citrix Gateway en utilisant leurs cartes à puce et leurs codes PIN, ou avec des informations d’identification explicites. Cela vous permet de fournir aux utilisateurs une authentification bimodale pour les connexions à Citrix Gateway. Configurez l’authentification pass-through de Citrix Gateway vers StoreFront et déléguez la validation des informations d’identification à Citrix Gateway pour les utilisateurs de cartes à puce afin que les utilisateurs soient authentifiés silencieusement auprès de StoreFront.
Considérations relatives aux forêts Active Directory multiples
Dans un environnement Citrix, les cartes à puce sont prises en charge au sein d’une seule forêt. Les connexions par carte à puce entre forêts nécessitent une approbation de forêt bidirectionnelle directe pour tous les comptes d’utilisateur. Les déploiements multi-forêts plus complexes impliquant des cartes à puce (c’est-à-dire où les approbations sont unidirectionnelles ou de types différents) ne sont pas pris en charge.
Vous pouvez utiliser des cartes à puce dans un environnement Citrix qui inclut des bureaux à distance. Cette fonctionnalité peut être installée localement (sur le périphérique utilisateur auquel la carte à puce est connectée) ou à distance (sur le bureau à distance auquel le périphérique utilisateur se connecte).
Stratégie de suppression de carte à puce
La stratégie de suppression de carte à puce définie sur le produit détermine ce qui se passe si vous retirez la carte à puce du lecteur pendant une session. La stratégie de suppression de carte à puce est configurée et gérée par le système d’exploitation Windows.
| Paramètre de stratégie | Comportement du bureau |
|---|---|
| Aucune action | Aucune action. |
| Verrouiller le poste de travail | La session de bureau est déconnectée et le bureau virtuel est verrouillé. |
| Forcer la fermeture de session | L’utilisateur est forcé de se déconnecter. Si la connexion réseau est perdue et que ce paramètre est activé, la session peut être fermée et l’utilisateur peut perdre des données. |
| Déconnecter s’il s’agit d’une session des services Terminal Server distante | La session est déconnectée et le bureau virtuel est verrouillé. |
Vérification de la révocation de certificat
Si la vérification de la révocation de certificat est activée et qu’un utilisateur insère une carte à puce avec un certificat non valide dans un lecteur de carte, l’utilisateur ne peut pas s’authentifier ni accéder au bureau ou à l’application liée au certificat. Par exemple, si le certificat non valide est utilisé pour le déchiffrement d’e-mails, l’e-mail reste chiffré. Si d’autres certificats sur la carte, tels que ceux utilisés pour l’authentification, sont toujours valides, ces fonctions restent actives.
Exemple de déploiement : ordinateurs joints à un domaine
Ce déploiement implique des périphériques utilisateur joints à un domaine qui exécutent Desktop Viewer et se connectent directement à StoreFront.
Un utilisateur se connecte à un appareil à l’aide d’une carte à puce et d’un code PIN. Receiver authentifie l’utilisateur auprès d’un serveur StoreFront à l’aide de l’authentification Windows intégrée (IWA). StoreFront transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps ou Citrix Virtual Desktops. Lorsque l’utilisateur démarre un bureau virtuel ou une application, il n’est pas invité à saisir à nouveau un code PIN car la fonction d’authentification unique est configurée sur Receiver.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Exemple de déploiement : accès à distance depuis des ordinateurs joints à un domaine
Ce déploiement implique des périphériques utilisateur joints à un domaine qui exécutent le Desktop Viewer et se connectent à StoreFront via Citrix Gateway/Access Gateway.
Un utilisateur se connecte à un appareil à l’aide d’une carte à puce et d’un code PIN, puis se connecte à nouveau à Citrix Gateway/Access Gateway. Cette deuxième connexion peut se faire soit avec la carte à puce et le code PIN, soit avec un nom d’utilisateur et un mot de passe, car Receiver permet l’authentification bimodale dans ce déploiement.
L’utilisateur est automatiquement connecté à StoreFront, qui transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps™ ou Citrix Virtual Desktops. Lorsque l’utilisateur démarre un bureau virtuel ou une application, il n’est pas invité à saisir à nouveau un code PIN car la fonction d’authentification unique est configurée sur Receiver.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Exemple de déploiement : ordinateurs non joints à un domaine
Ce déploiement implique des périphériques utilisateur non joints à un domaine qui exécutent le Desktop Viewer et se connectent directement à StoreFront.
Un utilisateur se connecte à un appareil. Généralement, l’utilisateur saisit un nom d’utilisateur et un mot de passe, mais comme l’appareil n’est pas joint à un domaine, les informations d’identification pour cette connexion sont facultatives. L’authentification bimodale étant possible dans ce déploiement, Receiver invite l’utilisateur à saisir soit une carte à puce et un code PIN, soit un nom d’utilisateur et un mot de passe. Receiver s’authentifie ensuite auprès de StoreFront.
StoreFront transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps ou Citrix Virtual Desktops. Lorsque l’utilisateur démarre un bureau virtuel ou une application, il est invité à saisir à nouveau un code PIN car la fonction d’authentification unique n’est pas disponible dans ce déploiement.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Exemple de déploiement : accès à distance depuis des ordinateurs non joints à un domaine
Ce déploiement implique des périphériques utilisateur non joints à un domaine qui exécutent le Desktop Viewer et se connectent directement à StoreFront.
Un utilisateur se connecte à un périphérique. Généralement, l’utilisateur saisit un nom d’utilisateur et un mot de passe, mais comme le périphérique n’est pas joint à un domaine, les informations d’identification pour cette connexion sont facultatives. Étant donné que l’authentification bimodale est possible dans ce déploiement, Receiver invite l’utilisateur à fournir soit une carte à puce et un code PIN, soit un nom d’utilisateur et un mot de passe. Receiver s’authentifie ensuite auprès de StoreFront.
StoreFront transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps ou Citrix Virtual Desktops. Lorsque l’utilisateur démarre un bureau virtuel ou une application, il est invité à saisir à nouveau un code PIN, car la fonction d’authentification unique n’est pas disponible dans ce déploiement.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Exemple de déploiement : ordinateurs non joints à un domaine et clients légers accédant au site Desktop Appliance
Ce déploiement implique des périphériques utilisateur non joints à un domaine qui peuvent exécuter le Desktop Lock et se connecter à StoreFront via les sites Desktop Appliance.
Le Desktop Lock est un composant distinct fourni avec Citrix Virtual Apps, Citrix Virtual Desktops et VDI-in-a-Box. Il s’agit d’une alternative au Desktop Viewer et il est principalement conçu pour les ordinateurs Windows réaffectés et les clients légers Windows. Le Desktop Lock remplace l’interpréteur de commandes Windows et le Gestionnaire des tâches sur ces périphériques utilisateur, empêchant les utilisateurs d’accéder aux périphériques sous-jacents. Avec le Desktop Lock, les utilisateurs peuvent accéder aux bureaux des machines Windows Server et aux bureaux des machines Windows Desktop. L’installation du Desktop Lock est facultative.
Un utilisateur se connecte à un périphérique avec une carte à puce. Si Desktop Lock est en cours d’exécution sur le périphérique, celui-ci est configuré pour lancer un site Desktop Appliance via Internet Explorer exécuté en mode Kiosque. Un contrôle ActiveX sur le site invite l’utilisateur à saisir un code PIN et l’envoie à StoreFront. StoreFront transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps ou Citrix Virtual Desktops. Le premier bureau disponible dans la liste alphabétique d’un groupe de bureaux attribué démarre.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Exemple de déploiement : ordinateurs joints à un domaine et clients légers accédant à StoreFront via l’URL des services XenApp
Ce déploiement implique des périphériques utilisateur joints à un domaine qui exécutent le Desktop Lock et se connectent à StoreFront via les URL des services XenApp.
Le Desktop Lock est un composant distinct fourni avec Citrix Virtual Apps, Citrix Virtual Desktops et VDI-in-a-Box. Il s’agit d’une alternative au Desktop Viewer et il est principalement conçu pour les ordinateurs Windows réaffectés et les clients légers Windows. Le Desktop Lock remplace l’interpréteur de commandes Windows et le Gestionnaire des tâches sur ces périphériques utilisateur, empêchant les utilisateurs d’accéder aux périphériques sous-jacents. Avec le Desktop Lock, les utilisateurs peuvent accéder aux bureaux des machines Windows Server et aux bureaux des machines Windows Desktop. L’installation du Desktop Lock est facultative.
Un utilisateur se connecte à un appareil à l’aide d’une carte à puce et d’un code PIN. Si Desktop Lock est en cours d’exécution sur l’appareil, il authentifie l’utilisateur auprès d’un serveur StoreFront à l’aide de l’authentification Windows intégrée (IWA). StoreFront transmet les identificateurs de sécurité utilisateur (SID) à Citrix Virtual Apps ou Citrix Virtual Desktops. Lorsque l’utilisateur démarre un bureau virtuel, il n’est plus invité à saisir un code PIN car la fonction d’authentification unique est configurée sur Receiver.
Ce déploiement peut être étendu à un double-saut avec l’ajout d’un deuxième serveur StoreFront et d’un serveur hébergeant des applications. Un Receiver depuis le bureau virtuel s’authentifie auprès du deuxième serveur StoreFront. Toute méthode d’authentification peut être utilisée pour cette deuxième connexion. La configuration présentée pour le premier saut peut être réutilisée dans le deuxième saut ou utilisée uniquement dans le deuxième saut.
Dans cet article
- Authentification bimodale
- Considérations relatives aux forêts Active Directory multiples
- Stratégie de suppression de carte à puce
- Vérification de la révocation de certificat
- Exemple de déploiement : ordinateurs joints à un domaine
- Exemple de déploiement : accès à distance depuis des ordinateurs joints à un domaine
- Exemple de déploiement : ordinateurs non joints à un domaine
- Exemple de déploiement : accès à distance depuis des ordinateurs non joints à un domaine
- Exemple de déploiement : ordinateurs non joints à un domaine et clients légers accédant au site Desktop Appliance
- Exemple de déploiement : ordinateurs joints à un domaine et clients légers accédant à StoreFront via l’URL des services XenApp