Authentification

Carte à puce

L’application Citrix Workspace pour ChromeOS prend en charge les lecteurs de carte à puce USB avec StoreFront. Vous pouvez utiliser des cartes à puce aux fins suivantes :

  • Authentification par carte à puce à l’application Citrix Workspace.
  • Applications publiées prenant en charge les cartes à puce pour accéder aux lecteurs de carte à puce locaux.
  • Cartes à puce pour la signature de documents et d’e-mails. Par exemple, Microsoft Word et Outlook lancés dans les sessions ICA.

Cartes à puce prises en charge (avec lecteurs de cartes à puce USB) :

  • PIV (Personal Identity Verification)
  • CAC (Common Access Cards)

Logiciels requis

  • StoreFront versions 3.6 ou supérieures
  • XenDesktop 7.6 ou version ultérieure
  • XenApp 6.5 ou version ultérieure
  • Citrix Virtual Apps and Desktops 1808 ou version ultérieure
  • Application Citrix Workspace 1808 ou version ultérieure

Important :

  • Pour l’authentification par carte à puce à StoreFront 3.5 ou version antérieure, vous avez besoin d’un script personnalisé pour activer l’authentification par carte à puce. Contactez l’assistance Citrix pour obtenir de l’aide.

  • Pour accéder aux dernières informations sur les versions prises en charge, consultez les étapes du cycle de vie pour l’application Citrix Workspace et Citrix Virtual Apps and Desktops.

Prérequis pour la configuration de l’appareil

  • Google Smart Card Connector est une application qui interagit avec les lecteurs de cartes à puce USB de l’appareil. L’application de connecteur divulgue les API Personal Computer Smart Card (PCSC) Lite à d’autres applications, y compris l’application Citrix Workspace.

  • Les fournisseurs de certificats sont les applications intermédiaires écrites par les fournisseurs qui interagissent avec le connecteur de carte à puce. Les applications intermédiaires accèdent au lecteur de carte à puce, lisent les certificats et fournissent des certificats de carte à puce à ChromeOS.

    Les applications intermédiaires implémentent également la fonctionnalité de signature à l’aide d’invites de saisie du code PIN. Par exemple, CACKey.

    Pour plus d’informations, consultez Déployer des cartes à puce sur ChromeOS.

  • Lorsque vous configurez l’authentification par carte à puce sur StoreFront, l’application Citrix Workspace demande à ChromeOS de fournir des certificats clients sur la carte à puce. ChromeOS présente les certificats qu’il a reçus des fournisseurs. Les invites de saisie du code PIN indiquent l’authentification.

    L’application Citrix Workspace possède une liste approuvée de systèmes d’exploitation autorisés pour l’authentification par carte à puce. StoreFront 3.6 et versions ultérieures approuvent également ChromeOS. Pour les versions antérieures de StoreFront, vous pouvez utiliser un script personnalisé pour autoriser l’authentification par carte à puce sur ChromeOS. Contactez le support technique Citrix pour obtenir un script personnalisé.

  • L’application Citrix Workspace ne contrôle pas le flux d’authentification par carte à puce avec StoreFront. Toutefois, dans certains cas, StoreFront peut vous demander de fermer le navigateur pour effacer les cookies.

    Pour effacer tous les cookies et recharger l’URL du magasin, cliquez sur le bouton de rechargement dans l’application Citrix Workspace pour ChromeOS.

    Parfois, pour effacer tous les cookies, vous pouvez vous déconnecter de l’appareil ChromeOS.

  • Lorsque vous tentez de lancer une session de bureau ou d’application, l’application Citrix Workspace n’utilise pas la redirection de carte à puce. Au lieu de cela, elle interagit avec l’application de connecteur de carte à puce pour les API PC/SC lite.

    Les invites de saisie du code PIN requises pour la connexion à Windows apparaissent au cours de la session. Ici, les fournisseurs de certificats n’ont aucun rôle. L’application Citrix Workspace gère les activités dans la session telles que le double saut ou la signature d’e-mails.

Limites relatives aux cartes à puce

  • Lorsque vous retirez la carte à puce de l’appareil ChromeOS, le certificat de carte à puce est mis en cache. Ce comportement est un problème connu qui existe dans Google Chrome. Redémarrez l’appareil ChromeOS pour effacer le cache.
  • Lorsque l’application Citrix Workspace pour ChromeOS est reconditionnée, en tant qu’administrateur, obtenez l’approbation AppID auprès de Google. Cela confirme que l’application du connecteur de carte à puce est approuvée.
  • Seul un lecteur de carte à puce est pris en charge à la fois.
  • Les cartes à puce virtuelles et les cartes à puce rapides ne sont pas prises en charge.
  • Les cartes à puce ne sont pas prises en charge sur Citrix Workspace (cloud).

Pour configurer la prise en charge de carte à puce sur votre appareil ChromeOS

  1. Installez l’application de connecteur de carte à puce. L’application de carte à puce est requise pour la prise en charge de la carte PCSC (Personal Computer Smart Card) sur l’appareil ChromeOS. Cette application lit la carte à puce à l’aide de l’interface USB. Vous pouvez installer cette application depuis le site Web de Chrome.

  2. Installez l’application middleware. Une application intermédiaire est requise en tant qu’interface de communication avec la carte à puce et les autres certificats clients. Par exemple, Charismathics ou CACkey :

    • Pour installer l’extension de carte à puce Charismathics ou CACKey, reportez-vous aux instructions du site Web de Chrome.

    • Pour de plus amples informations sur les applications middleware et l’authentification par carte à puce, reportez-vous au site de support de Google.

  3. Configuration de l’authentification par carte à puce avec :

    • Citrix Gateway
    • Console de gestion StoreFront

    Pour plus d’informations, consultez Configuration de l’authentification par carte à puce et Configuration du service d’authentification dans la documentation de Citrix Gateway.

Authentification SAML

Pour configurer le Single Sign-On :

  1. Configurez le fournisseur d’identité (IdP) tiers pour l’authentification SAML s’il n’est pas déjà configuré. Par exemple, ADFS 2.0.

    Pour obtenir davantage d’informations, veuillez consulter l’article CTX133919 du centre de connaissances.

  2. Configurez le Single Sign-On avec Google Apps à l’aide du fournisseur d’identité SAML. La configuration permet aux utilisateurs d’appliquer une identité tierce afin d’utiliser les applications Google au lieu du compte Google Enterprise.

    Pour de plus amples informations, consultez l’article Configurer l’authentification unique pour les comptes Google gérés faisant appel à des fournisseurs d’identité tiers sur le Centre d’aide de Google.

  3. Configurez les appareils Chrome pour qu’ils se connectent via le fournisseur d’identité SAML. La configuration permet aux utilisateurs de se connecter à des appareils Chrome à l’aide d’un fournisseur d’identité tiers.

    Pour de plus amples informations, consultez l’article Configurer l’authentification unique SAML sur les appareils Chrome sur le Centre d’aide Google.

  4. Configurez Citrix Gateway pour vous connecter via le fournisseur d’identité SAML. La configuration permet aux utilisateurs de se connecter à Citrix Gateway à l’aide d’un fournisseur d’identité tiers.

    Pour plus d’informations, consultez la section Configuring SAML Authentication.

  5. Configurez Citrix Virtual Apps and Desktops pour l’authentification fédérée afin d’autoriser la connexion aux sessions Citrix Virtual Apps and Desktops à l’aide de certificats générés dynamiquement. Vous pouvez effectuer cette action après la connexion SAML au lieu de saisir un nom d’utilisateur et un mot de passe.

    Pour plus d’informations, consultez la section Service d’authentification fédérée.

  6. Installez et configurez le SSO SAML pour l’extension d’application Chrome sur les appareils Chrome. Pour de plus amples informations, consultez le site Web de Google. Cette extension récupère les cookies SAML depuis le navigateur et les communique à l’application Citrix Workspace. Cette extension doit être configurée avec la stratégie suivante pour permettre à Citrix Workspace d’obtenir les cookies SAML.

    Si vous reconditionnez l’application Citrix Workspace pour ChromeOS, changez l’appId correctement. Changez également le domaine au profit du domaine IdP SAML de votre entreprise.

    {
        "whitelist" : {
            "Value" : [
                {
                "appId" : "haiffjcadagjlijoggckpgfnoeiflnem",
                "domain" : "saml.yourcompany.com"
                }
            ]
         }
    }
    <!--NeedCopy-->
    
  7. Configurez Citrix Workspace de manière à utiliser Citrix Gateway configuré pour la connexion SAML. La configuration permet aux utilisateurs d’utiliser Citrix Gateway configuré pour la connexion SAML. Pour de plus amples informations sur la configuration de ChromeOS, consultez l’article CTX141844 du centre de connaissances.

Authentification