Authentification

Authentification du certificat client

Important :

  • Lors de l’utilisation de StoreFront, l’application Citrix Workspace pour iOS prend en charge Citrix Access Gateway Enterprise Edition version 9.3 et ultérieure, et NetScaler Gateway jusqu’à la version 11.
  • L’authentification du certificat client est prise en charge par l’application Citrix Workspace pour iOS.
  • Seules les éditions 9.x et 10.x (et les versions ultérieures) d’Access Gateway Enterprise prennent en charge l’authentification du certificat client.
  • Les types d’authentification double doivent être CERT et LDAP.
  • L’application Citrix Workspace pour iOS prend également en charge l’authentification facultative du certificat client.
  • Seuls les certificats P12 sont pris en charge.

Les utilisateurs qui ouvrent une session sur un serveur virtuel Citrix Gateway peuvent également être authentifiés en fonction des attributs du certificat client qui est présenté au serveur virtuel. L’authentification du certificat client peut également être utilisée avec un autre type d’authentification, à savoir LDAP, afin de fournir une authentification double.

Pour authentifier les utilisateurs en fonction des attributs du certificat du côté client, l’authentification du client doit être activée sur le serveur virtuel et le certificat client doit être demandé. Vous devez lier un certificat racine au serveur virtuel sur Citrix Gateway.

Lorsque les utilisateurs ouvrent une session sur le serveur virtuel Citrix Gateway, après l’authentification, les informations sur le nom d’utilisateur et le domaine sont extraites à partir du champ spécifié du certificat. Ces informations doivent figurer dans le champ SubjectAltName:OtherName:MicrosoftUniversalPrincipalName du certificat. Elles sont au format « nomd’utilisateur@domaine ». Si le nom d’utilisateur et le domaine sont extraits avec succès, et que l’utilisateur fournit les autres informations requises (par exemple un mot de passe), l’utilisateur est authentifié. Si l’utilisateur ne fournit pas un certificat et des informations d’identification valides, ou si l’extraction du nom d’utilisateur/domaine échoue, l’authentification échoue.

Vous pouvez authentifier les utilisateurs en fonction du certificat client en définissant le type d’authentification par défaut de manière à utiliser le certificat client. Vous pouvez également créer une action de certificat dont la tâche est de définir les opérations à réaliser durant l’authentification basée sur un certificat client SSL.

Pour configurer le site XenApp Services

Si vous n’avez pas encore créé de site XenApp Services, créez-en un pour les appareils mobiles dans la console Citrix Virtual Apps ou la console Interface Web (en fonction de la version de Citrix Virtual Apps que vous avez installée).

L’application Citrix Workspace pour iOS pour appareils mobiles utilise un site XenApp Services pour obtenir des informations sur les applications auxquelles un utilisateur est autorisé à accéder et les présenter à l’application exécutée sur l’appareil. Ce processus est similaire à la manière dont vous utilisez l’Interface Web pour les connexions Citrix Virtual Apps SSL traditionnelles pour lesquelles un Citrix Gateway peut être configuré.

Configurez le site XenApp Services pour l’application Citrix Workspace pour iOS pour appareils mobiles afin de prendre en charge les connexions en provenance de Citrix Gateway.

  1. Dans le site XenApp Services, sélectionnez Gérer l’accès client sécurisé > Modifier les paramètres d’accès au client sécurisé.
  2. Dans Méthode d’accès, choisissez Passerelle directe.
  3. Entrez le nom de domaine complet de l’appliance Citrix Gateway.
  4. Entrez les informations de Secure Ticket Authority (STA).

Pour configurer l’appliance Citrix Gateway

Pour l’authentification du certificat client, configurez Citrix Gateway avec l’authentification à deux facteurs à l’aide de deux stratégies d’authentification : Cert et LDAP.

  1. Créez une stratégie de session sur Citrix Gateway de manière à autoriser les connexions Citrix Virtual Apps entrantes provenant de l’application Citrix Workspace pour iOS, et spécifiez l’emplacement du site XenApp Services que vous venez de créer.
    • Créez une stratégie de session pour identifier l’application Citrix Workspace pour iOS pour appareils mobiles comme étant à l’origine de la connexion. Lors de la création de la stratégie de session, configurez l’expression suivante et sélectionnez Match All Expressions en tant qu’opérateur de l’expression :

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • Dans la configuration de profil associé pour la stratégie de session, sur l’onglet Security, définissez Default Authorization sur Allow.

      Sur l’onglet Published Applications, s’il ne s’agit pas d’un paramètre global (vous avez coché la case Override Global), assurez-vous que la valeur ON est attribuée au champ ICA Proxy.

      Dans le champ Web Interface Address, entrez l’adresse URL, y compris le fichier config.xml pour le site XenApp Services que les utilisateurs de l’appareil utilisent, telle que //XenAppServerName/Citrix/PNAgent/config.xml ou /XenAppServerName/CustomPath/config.xml.

    • Associez la stratégie de session à un serveur virtuel.

    • Créez des stratégies d’authentification pour Cert et LDAP.

    • Associez les stratégies d’authentification au serveur virtuel.

    • Configurez le serveur virtuel afin de demander des certificats clients dans la négociation TLS (sur l’onglet Certificate, ouvrez SSL Parameters, et pour Client Authentication, définissez Client Certificate sur Mandatory. Important : si le certificat de serveur utilisé sur Citrix Gateway fait partie d’une chaîne de certificats (avec un certificat intermédiaire), assurez-vous que les certificats intermédiaires sont également installés sur Citrix Gateway. Pour de plus amples informations sur l’installation de certificats, consultez la documentation de Citrix Gateway.

Pour configurer l’appareil mobile

Si l’authentification du certificat client est activée sur Citrix Gateway, les utilisateurs sont authentifiés en fonction de certains attributs du certificat client. Une fois l’authentification terminée, le nom d’utilisateur et le domaine sont extraits du certificat et les stratégies spécifiées pour cet utilisateur sont appliquées.

  1. À partir de l’application Citrix Workspace pour iOS, ouvrez Compte, et dans le champ Serveur, entrez le nom de domaine complet de votre serveur Citrix Gateway, tel que ServeurCertificatClientGateway.organisation.com. L’application Citrix Workspace pour iOS détecte automatiquement que le certificat client est requis.
  2. Deux choix se présentent à l’utilisateur : il peut soit installer un nouveau certificat, soit en sélectionner un dans la liste des certificats déjà installés. Pour l’authentification du certificat client iOS, le certificat doit uniquement être téléchargé et installé par l’application Citrix Workspace pour iOS.
  3. Après avoir sélectionné un certificat valide, les champs nom d’utilisateur et domaine de l’écran d’ouverture de session sont renseignés avec le nom d’utilisateur provenant du certificat, et l’utilisateur entre les informations restantes, y compris le mot de passe.
  4. Si l’authentification du certificat client est définie sur Facultative, les utilisateurs peuvent ignorer la sélection du certificat en appuyant sur Précédent dans la page des certificats. Dans ce cas, l’application Citrix Workspace pour iOS établit la connexion et affiche l’écran d’ouverture de session.
  5. Ceci fait, les utilisateurs peuvent lancer des applications sans avoir à fournir de nouveau le certificat. L’application Citrix Workspace pour iOS stocke le certificat du compte et l’utilise automatiquement lors des ouvertures de session suivantes.

Cartes à puce

L’application Citrix Workspace pour iOS prend en charge les cartes à puce SITHS pour les connexions dans les sessions uniquement.

Si vous utilisez des périphériques Citrix Gateway certifiés FIPS, configurez vos systèmes afin de refuser les renégociations SSL. Pour plus de détails, consultez How to configure the -denySSLReneg parameter.

Les configurations et produits suivants sont pris en charge :

  • Lecteurs pris en charge :
    • Precise Biometrics Tactivo pour iPad Mini Firmware version 3.8.0
    • Precise Biometrics Tactivo pour iPad (4ème génération) et Tactivo pour iPad (3ème génération) et iPad 2 Firmware version 3.8.0
    • Lecteurs de carte à puce BaiMobile® 301MP et 301MP-L Middleware de carte à puce VDA pris en charge
    • ActiveIdentity
  • Cartes à puce prises en charge :
    • Cartes PIV
    • Cartes CAC
  • Configurations prises en charge :
    • Authentification par carte à puce à Citrix Gateway avec StoreFront 2.x et XenDesktop 7.x ou versions supérieures ou XenApp 6.5 ou versions supérieures.

Authentification RSA SecurID

L’authentification RSA SecurID pour l’application Citrix Workspace pour iOS est prise en charge pour les configurations Secure Web Gateway (via l’Interface Web uniquement) et toutes les configurations Citrix Gateway.

Schéma d’URL requis pour le jeton logiciel sur l’application Citrix Workspace pour iOS : le jeton logiciel RSA SecurID utilisé par l’application Citrix Workspace pour iOS enregistre uniquement le schéma d’URL com.citrix.securid.

Si les utilisateurs ont installé l’application Citrix Workspace pour iOS et RSA SecurID sur leur appareil iOS, ils doivent sélectionner le schéma d’URL « com.citrix.securid » pour importer RSA SecurID Software Authenticator (jeton logiciel) sur l’application Citrix Workspace pour iOS de leur appareil.

Pour importer un jeton logiciel RSA SecurID

Pour utiliser un jeton logiciel RSA avec l’application Citrix Workspace pour iOS, demandez à vos utilisateurs de suivre cette procédure.

Les stratégies de longueur du code PIN, de type de code PIN (numérique uniquement, alphanumérique), et de réutilisations du code PIN sont spécifiées sur le serveur d’administration RSA.

Vos utilisateurs ne doivent effectuer cette opération qu’une seule fois, après s’être authentifiés avec succès auprès du serveur RSA. Après vérification de leur code PIN, ils sont également authentifiés auprès du serveur StoreFront, et ce dernier présente les applications et bureaux publiés disponibles.

Pour utiliser un jeton logiciel RSA

  1. Importez le jeton logiciel RSA qui vous a été fourni par votre organisation.

  2. À partir de l’e-mail contenant votre fichier SecurID, sélectionnez Ouvrir dans Workspace en tant que destination d’importation. Une fois le jeton logiciel importé, l’application Citrix Workspace pour iOS s’ouvre automatiquement.

  3. Si votre organisation vous a fourni un mot de passe pour l’importation, entrez-le et cliquez sur OK. Après avoir cliqué sur OK, un message vous indiquera que le jeton a été importé avec succès.

  4. Fermez le message d’importation et cliquez sur Ajouter un compte dans l’application Citrix Workspace pour iOS.

  5. Entrez l’adresse URL du magasin fournie par votre organisation et cliquez sur Suivant.

  6. Sur l’écran Ouvrir session, entrez vos informations d’identification : nom d’utilisateur, mot de passe et domaine. Pour le champ de code PIN, entrez 0000, sauf si votre organisation vous a fourni un code PIN par défaut différent. (Le code PIN 0000 est le code RSA par défaut, mais il est possible que votre organisation l’ait modifié pour se conformer à ses stratégies de sécurité.)

  7. Dans le coin supérieur gauche, cliquez sur Ouvrir session. Lorsque vous cliquez sur le bouton Ouvrir session, vous êtes invité à créer un nouveau code PIN.

  8. Entrez un code PIN comprenant de 4 à 8 chiffres et cliquez sur OK.

  9. Vous êtes ensuite invité à vérifier votre nouveau code PIN. Retapez votre code PIN, puis cliquez sur OK. Après avoir cliqué sur OK, vous pourrez accéder à vos applications et à vos bureaux.

Code de jeton suivant

Si vous configurez Citrix Gateway pour utiliser l’authentification RSA SecurID, l’application Citrix Workspace pour iOS prend en charge le code de jeton suivant. Lorsque cette fonctionnalité est activée et qu’un utilisateur entre un mot de passe incorrect à trois reprises (valeur par défaut), Citrix Gateway Plug-in invite l’utilisateur à attendre que le jeton suivant soit actif avant d’ouvrir une session. Le serveur RSA peut être configuré pour désactiver un compte utilisateur si un utilisateur se connecte un certain nombre de fois à l’aide d’un mot de passe incorrect.

Informations d’identification dérivées

La prise en charge des informations d’identification dérivées Purebred est disponible dans l’application Citrix Workspace pour iOS. Lorsqu’ils se connectent à un magasin qui autorise les informations d’identification dérivées, les utilisateurs peuvent se connecter à l’application Citrix Workspace pour iOS à l’aide d’une carte à puce virtuelle. Cette fonctionnalité est prise en charge uniquement sur les déploiements sur site.

Remarque :

Citrix Virtual Apps and Desktops 7 1808 ou version ultérieure est nécessaire pour utiliser cette fonctionnalité.

Pour activer les informations d’identification dérivées dans l’application Citrix Workspace pour iOS :

  1. Accédez à Paramètres > Avancé > Informations d’identification dérivées.
  2. Tapez sur Utiliser informations d’identification dérivées.

Ensuite, pour créer une carte à puce virtuelle à utiliser avec les informations d’identification dérivées :

  1. Dans Paramètres > Avancé > Informations d’identification dérivées, tapez sur Ajouter nouvelle carte à puce virtuelle.
  2. Modifiez le nom de la carte à puce virtuelle.
  3. Entrez un code PIN à 8 chiffres uniquement et confirmez.
  4. Appuyez sur Suivant.
  5. Sous Certificat d’authentification, tapez sur Importer le certificat…
  6. Le sélecteur de documents s’affiche. Tapez sur Parcourir.
  7. Sous Emplacements, sélectionnez Chaîne de clé Purebred.
  8. Sélectionnez le certificat d’authentification souhaité dans la liste.
  9. Tapez sur Importer la clé.
  10. Répétez les étapes 5 à 9 pour le certificat de signature numérique et le certificat de chiffrement, si vous le souhaitez.
  11. Touchez Enregistrer.

Vous pouvez importer jusqu’à trois certificats pour votre carte à puce virtuelle. Le certificat d’authentification est requis pour que la carte à puce virtuelle fonctionne correctement. Le certificat de cryptage et le certificat de signature numérique peuvent être ajoutés pour une utilisation dans une session VDA.

Remarque :

Lors de la connexion à une session HDX, la carte à puce virtuelle créée est redirigée vers la session.

Limitations connues

  • Les utilisateurs ne peuvent avoir qu’une seule carte active à la fois.
  • Une fois qu’une carte à puce virtuelle est créée, elle ne peut pas être modifiée. Pour apporter des modifications à la carte à puce virtuelle, les utilisateurs doivent la supprimer et créer une nouvelle carte.
  • Un code PIN peut être saisi incorrectement 10 fois. Après la 10ème tentative, la carte à puce virtuelle est supprimée.
  • Lorsque les informations d’identification dérivées sont sélectionnées, la carte à puce virtuelle créée remplace une carte à puce physique lorsqu’une carte à puce est nécessaire dans une session.