Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Voir PDF

Configurer l’authentification par carte à puce pour Web Studio

March 18, 2026
Contributeur: 
C

Cet article décrit les étapes nécessaires pour configurer et activer l’authentification par carte à puce pour Web Studio :

Étape 1 : Installer le pilote de carte à puce

Étape 2 : Émettre des certificats pour les utilisateurs de carte à puce

Étape 3 : Inscrire des certificats pour les utilisateurs de carte à puce

Étape 4 : Configurer les serveurs IIS de Web Studio

Étape 5 (Facultatif) : Configurer les délégations d’authentification pour Web Studio

Étape 6 : Activer l’authentification par carte à puce pour Web Studio

Remarque :

L’authentification par carte à puce est prise en charge uniquement pour les utilisateurs du même domaine Active Directory que les serveurs Web Studio.

Étape 1 : Installer le pilote de carte à puce

Installez le pilote de carte à puce sur les machines suivantes :

  • Contrôleurs de domaine où le service de certificat est installé.
  • Serveurs Web Studio
  • Machines que les utilisateurs finaux utilisent pour accéder à Web Studio
  • Machines que vous utilisez pour inscrire des certificats pour les utilisateurs de carte à puce

Les pilotes de carte à puce varient selon les fournisseurs. Par exemple, si vous utilisez du matériel de carte à puce fourni par ITS, téléchargez les pilotes SaftNet depuis https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Étape 2 : Émettre des certificats pour les utilisateurs de carte à puce

Remarque :

Les étapes suivantes sont fournies à titre d’exemple pour vous guider tout au long du processus.

Sur votre contrôleur de domaine, suivez ces étapes pour effectuer la tâche :

  1. Accédez à votre contrôleur de domaine et ouvrez Autorité de certification.

    Démarrer l'autorité de certification

  2. Dupliquez le modèle Agent d’inscription. Les étapes détaillées sont les suivantes :

    1. Cliquez avec le bouton droit sur Modèles de certificats et sélectionnez Gérer.

      Gérer les modèles de certificats

    2. Cliquez avec le bouton droit sur Agent d’inscription et sélectionnez Dupliquer le modèle.

    3. Dans l’onglet Nom du sujet, assurez-vous que l’option Inclure l’e-mail dans le nom du sujet n’est pas sélectionnée.

      Modèles de certificats > Nom du sujet

    4. Dans l’onglet Cryptographie, sélectionnez Microsoft Base Smart Card Crypto Provider, puis cliquez sur OK. Un modèle nommé Copie de l’agent d’inscription apparaît dans la liste Modèles de certificats.

      Modèles de certificats > Cryptographie

  3. Émettez des certificats pour les cartes à puce. Les étapes détaillées sont les suivantes :
    1. Cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Nouveau > Modèle à émettre.
    2. Sélectionnez Copie de l’agent d’inscription et Utilisateur de carte à puce.
    3. Cliquez sur OK.

Étape 3 : Inscrire des certificats pour les utilisateurs de carte à puce

Remarque :

Les étapes suivantes sont fournies à titre d’exemple pour vous guider tout au long du processus.

Sur une machine Windows physique jointe à un domaine, suivez ces étapes pour inscrire des certificats pour chaque carte à puce :

  1. Préparez une machine Windows physique jointe à un domaine pour l’inscription :
    1. Assurez-vous que le pilote de carte à puce est installé.
    2. Insérez une carte à puce dans la machine.
    3. Connectez-vous à la machine à l’aide du compte utilisateur que vous souhaitez attribuer à la carte à puce.
  2. Ajoutez le composant logiciel enfichable Certificats à la machine que vous avez préparée à l’étape 1. Les étapes détaillées sont les suivantes :
    1. Ouvrez mmc.
    2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables qui apparaît, sélectionnez Certificats, puis cliquez sur Ajouter >.
    4. Dans la boîte de dialogue qui apparaît, sélectionnez Mon compte d’utilisateur et cliquez sur Terminer.

    5. Cliquez sur OK.

      Ajouter un certificat

  3. Demandez de nouveaux certificats pour le composant logiciel enfichable Certificats. Les étapes détaillées sont les suivantes :

    1. Accédez à Certificats - Utilisateur actuel > Personnel, cliquez avec le bouton droit sur Certificats, puis sélectionnez Toutes les tâches > Demander un nouveau certificat.

      Demander un nouveau certificat

    2. Dans la boîte de dialogue Demander des certificats qui apparaît, sélectionnez Copie de l’agent d’inscription et Utilisateur de carte à puce.

      Gérer les modèles de certificats

    3. Dans la boîte de dialogue ci-dessus, cliquez sur Détails pour Utilisateur de carte à puce, puis cliquez sur Propriétés. La boîte de dialogue Propriétés du certificat apparaît.

      Demander un nouveau certificat > propriétés

    4. Dans l’onglet Clé privée, développez Fournisseur de services cryptographiques, désélectionnez Microsoft Strong Cryptographic Provider (Chiffrement), sélectionnez uniquement Microsoft Base Smart Card Crypto Provider (Chiffrement), puis cliquez sur OK.
    5. Cliquez sur Inscrire.

    6. Dans la boîte de dialogue Sécurité Windows qui apparaît, entrez le code PIN de la carte à puce et cliquez sur OK. Une fois l’inscription terminée, cliquez sur Terminer.

      Inscrire un certificat

Après une inscription réussie, deux certificats apparaissent sous Certificats - Utilisateur actuel -> Personnel -> Certificats, comme illustré dans la capture d’écran suivante. Gérer les modèles de certificats

Étape 4 : Configurer les serveurs IIS de Web Studio

Sur chaque serveur Web Studio, suivez ces étapes pour configurer IIS pour l’authentification par carte à puce :

  1. Activez l’Authentification par mappage de certificat client pour la machine Web Studio.

    L’élément <clientCertificateMappingAuthentication> n’est pas disponible dans l’installation par défaut d’IIS 7 et versions ultérieures. Pour plus d’informations sur l’installation et l’activation, consultez cet article Microsoft.

  2. Démarrez le Gestionnaire des services Internet (IIS) sur la machine Web Studio.
  3. Activez l’Authentification par certificat client Active Directory pour la machine. Les étapes détaillées sont les suivantes :
    1. Sélectionnez la machine dans le volet gauche et double-cliquez sur Authentification.

IIS > Auth

  1. Activez l’authentification par certificat client Active Directory.

    IIS > activer l'authentification par certificat client AC

  2. Configurez le module Web Studio Backend pour un protocole HTTPS plus sécurisé avec authentification par certificat client :

    1. Accédez à Sites > le nom du site IIS où Web Studio est installé (ID du site = 1, par défaut, Default Web Site) > Studio > Backend > Smartcard, puis double-cliquez sur Paramètres SSL dans la section IIS.

      IIS backend module smartcard SSL

    2. Sélectionnez Exiger pour les certificats clients.

      IIS server backend smartcard ssl required

    3. Retournez à Sites > le nom du site IIS où Web Studio est installé (ID du site = 1, par défaut, Default Web Site) > Studio > Backend > Smartcard, puis double-cliquez sur Éditeur de configuration dans la section IIS.

      IIS > Éditeur de configuration

    4. Assurez-vous que /clientCertificateMappingAuthentication est activé.

      activer l'authentification client

  3. (Windows 2022 uniquement) Désactivez TLS 1.3 sur TCP. Les étapes détaillées sont les suivantes :

    1. Accédez à Sites > le nom du site IIS où Web Studio est installé (ID du site = 1, par défaut, Default Web Site).
    2. Cliquez sur Modifier le site > Liaison.

    3. Dans la boîte de dialogue Liaisons de site qui apparaît, sélectionnez l’enregistrement https, puis cliquez sur Modifier.

      Windows 2022 uniquement https modifier

    4. Dans la boîte de dialogue Modifier la liaison de site qui apparaît, sélectionnez Désactiver TLS 1.3 sur TCP, puis cliquez sur OK.

      Windows 2022 uniquement https modifier désactivé

Bon à savoir :

Web Studio Backend est un module de Web Studio qui fournit les fonctions suivantes :

  • Authentification par carte à puce.
  • Récupération des jetons de porteur FMA du service d’orchestration à l’aide de l’authentification Windows intégrée.

Étape 5 (Facultatif) Configurer les délégations d’authentification pour Web Studio

Lorsque Web Studio et les Delivery Controllers sont installés sur des serveurs différents, vous devez configurer des délégations pour chaque serveur Web Studio vers les Delivery Controllers pour les services HOST et HTTPS.

Suivez ces étapes pour effectuer la tâche pour chaque serveur Web Studio :

  1. Importer le certificat HTTPS d’orchestration du Delivery Controller™
  2. Configurer la délégation pour le serveur Web Studio
  3. (Facultatif) Configurer la délégation pour le compte de service du serveur IIS de Web Studio

Importer le certificat HTTPS d’orchestration du Delivery Controller

Sur le serveur Web Studio, importez le certificat HTTPS d’orchestration du Delivery Controller dans les Autorités de certification racines de confiance. Les étapes détaillées sont les suivantes :

  1. Démarrez Paramètres > Gérer les certificats d’ordinateur.

  2. Cliquez avec le bouton droit sur Autorités de certification racines de confiance > Certificats et sélectionnez Toutes les tâches > Importer.

    Importer le certificat DDC

  3. Suivez les instructions à l’écran pour importer le certificat HTTPS d’orchestration du Delivery Controller.

Configurer la délégation pour le serveur Web Studio

Sur le contrôleur de domaine, configurez la délégation pour le serveur Web Studio vers le Delivery Controller pour les services HOST et HTTP. Suivez ces étapes pour effectuer la tâche :

  1. Sur le contrôleur de domaine, démarrez le Centre d’administration Active Directory.
  2. Localisez le compte d’ordinateur du serveur Web Studio pour lequel vous souhaitez configurer la délégation (par exemple, Dan002).

  3. Cliquez avec le bouton droit sur le compte, sélectionnez Propriétés, puis suivez les étapes suivantes :

    configurer la délégation pour le serveur studio

    1. Accédez à l’onglet Délégation.

      entrer la configuration de la délégation

    2. Sélectionnez Faire confiance à cet utilisateur pour la délégation aux services spécifiés uniquement > Utiliser n’importe quel protocole d’authentification.
    3. Cliquez sur Ajouter pour spécifier les services auxquels ce compte d’ordinateur peut être délégué.
    4. Dans la boîte de dialogue Ajouter un service qui apparaît, cliquez sur Ajouter des utilisateurs ou des ordinateurs pour localiser le nom d’ordinateur du Delivery Controller (par exemple, Dan001).
    5. Sélectionnez les services HOST et HTTP, puis cliquez sur OK.

Les résultats de la configuration sont affichés dans la capture d’écran suivante. gérer les modèles de certificat

(Facultatif) Configurer la délégation pour le compte de service du serveur IIS de Web Studio

Si vous avez configuré un compte de service pour le serveur IIS de Web Studio, vous devez également configurer la délégation pour ce compte de service vers le Delivery Controller pour les services HOST et HTTP. Une fois cette délégation établie, le serveur Web Studio peut utiliser son compte de service pour usurper l’identité de l’utilisateur actuel de la carte à puce afin d’accéder au Delivery Controller pour les services HOST et HTTP. Suivez ces étapes pour terminer la configuration :

  1. Sur le contrôleur de domaine, démarrez le Centre d’administration Active Directory.
  2. Localisez le compte d’utilisateur du serveur IIS de Web Studio (compte de service) pour lequel vous souhaitez configurer la délégation (par exemple, svr-stud-002).
  3. Cliquez avec le bouton droit sur le compte et sélectionnez Propriétés.
  4. Suivez la procédure décrite à l’étape 3 de Configurer la délégation pour le serveur Web Studio pour déléguer le compte de service du serveur IIS de Web Studio au Delivery Controller pour les services HOST et HTTP.

Les résultats de la configuration sont affichés dans la capture d’écran suivante.

gérer les modèles de certificat

Étape 6 : Activer l’authentification par carte à puce pour Web Studio

Suivez ces étapes pour activer l’authentification par carte à puce pour Web Studio :

  1. Connectez-vous à Web Studio et sélectionnez Paramètres dans le volet gauche.
  2. Sélectionnez Authentification par carte à puce ou Informations d’identification de domaine ou authentification par carte à puce selon vos besoins.

  3. Cliquez sur Appliquer.

    gérer les modèles de certificat

Configurer l’authentification par carte à puce pour Web Studio
March 18, 2026
Contributeur: 
C
March 18, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.