Authentification

Authentification du certificat client

Important :

  • Lorsque StoreFront est utilisé, l’application Citrix Workspace prend en charge :
    • Citrix Access Gateway Enterprise Edition version 9.3
    • NetScaler Gateway versions 10.x à 11.0
    • Citrix Gateway version 11.1 et versions ultérieures
  • L’application Citrix Workspace pour iOS prend en charge l’authentification du certificat client.
  • Seules les éditions 9.x et 10.x (et les versions ultérieures) d’Access Gateway Enterprise prennent en charge l’authentification du certificat client.
  • Les types d’authentification double doivent être CERT et LDAP.
  • L’application Citrix Workspace prend également en charge l’authentification facultative du certificat client.
  • Seuls les certificats P12 sont pris en charge.

Les utilisateurs qui se connectent sur un serveur virtuel Citrix Gateway peuvent également être authentifiés en fonction des attributs du certificat client qui est présenté au serveur virtuel. L’authentification du certificat client peut également être utilisée avec un autre type d’authentification, à savoir LDAP, afin de fournir une authentification double.

Les administrateurs peuvent authentifier les utilisateurs en fonction des attributs de certificat côté client comme suit :

  • L’authentification du client est activée sur le serveur virtuel.
  • Le serveur virtuel demande un certificat client.
  • Vous devez lier un certificat racine au serveur virtuel sur Citrix Gateway.

Lorsque les utilisateurs se connectent au serveur virtuel Citrix Gateway, après l’authentification, ils peuvent extraire le nom d’utilisateur et les informations sur le domaine à partir du champ SubjectAltName:OtherName:MicrosoftUniversalPrincipalName du certificat. Elles sont au format « nomutilisateur@domaine ».

Lorsque l’utilisateur extrait le nom d’utilisateur et le domaine avec succès et fournit les autres informations requises, telles que le mot de passe, l’authentification est réussie. Si l’utilisateur ne fournit pas un certificat et des informations d’identification valides, ou si l’extraction du nom d’utilisateur/domaine échoue, l’authentification échoue.

Vous pouvez authentifier les utilisateurs en fonction du certificat client en définissant le type d’authentification par défaut de manière à utiliser le certificat client. Vous pouvez également créer une action de certificat dont la tâche est de définir les opérations à réaliser durant l’authentification basée sur un certificat client SSL.

Pour configurer la batterie XenApp

Créez une batterie XenApp pour appareils mobiles dans la console Citrix Virtual Apps ou la console Interface Web. La console dépend de la version de Citrix Virtual Apps que vous avez installée.

L’application Citrix Workspace utilise une batterie XenApp pour obtenir des informations sur les applications auxquelles un utilisateur est autorisé à accéder. Les mêmes informations sont partagées avec les applications qui s’exécutent sur l’appareil. Cette méthode est similaire à la manière dont vous utilisez l’Interface Web pour les connexions Citrix Virtual Apps SSL traditionnelles pour lesquelles vous pouvez configurer une instance Citrix Gateway.

Configurez la batterie XenApp pour l’application Citrix Workspace pour appareils mobiles afin de prendre en charge les connexions en provenance de Citrix Gateway comme suit :

  1. Dans la batterie XenApp, sélectionnez Gérer l’accès client sécurisé > Modifier les paramètres d’accès au client sécurisé.
  2. Dans Méthode d’accès, choisissez Passerelle directe.
  3. Entrez le nom de domaine complet de l’appliance Citrix Gateway.
  4. Entrez les informations de Secure Ticket Authority (STA).

Pour configurer l’appliance Citrix Gateway

Pour l’authentification du certificat client, configurez Citrix Gateway avec l’authentification à deux facteurs à l’aide des stratégies d’authentification Cert et LDAP. Pour configurer l’appliance Citrix Gateway :

  1. Créez une stratégie de session sur Citrix Gateway de manière à autoriser les connexions Citrix Virtual Apps entrantes provenant de l’application Citrix Workspace. Spécifiez l’emplacement de la batterie XenApp que vous venez de créer.

    • Créez une stratégie de session pour identifier l’application Citrix Workspace comme étant à l’origine de la connexion. Lorsque vous créez la stratégie de session, configurez l’expression suivante et choisissez Match All Expressions comme opérateur pour l’expression :

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • Dans la configuration de profil associé pour la stratégie de session, sur l’onglet Security, définissez Default Authorization sur Allow.

      Sur l’onglet Published Applications, s’il ne s’agit pas d’un paramètre global (vous avez coché la case Override Global), assurez-vous que le champ ICA Proxy est défini sur la valeur ON.

      Dans le champ Address de l’Interface Web, entrez l’URL, y compris le fichier config.xml de la batterie XenApp utilisée par les utilisateurs de l’appareil, par exemple :

      • /XenAppServerName/Citrix/PNAgent/config.xml ou
      • /XenAppServerName/CustomPath/config.xml.
    • Associez la stratégie de session à un serveur virtuel.

    • Créez des stratégies d’authentification pour Cert et LDAP.

    • Associez les stratégies d’authentification au serveur virtuel.

    • Configurez le serveur virtuel pour demander des certificats clients lors de la négociation TLS. Pour ce faire, accédez à Certificate, ouvrez SSL Parameters > Client Authentication et définissez Client Certificate sur Mandatory.

    Important :

    Si le certificat de serveur utilisé sur Citrix Gateway fait partie d’une chaîne de certificats, par exemple un certificat intermédiaire, installez les certificats sur Citrix Gateway. Pour de plus amples informations sur l’installation de certificats, consultez la documentation de Citrix Gateway.

Pour configurer l’appareil mobile

Si l’authentification du certificat client est activée sur Citrix Gateway, les utilisateurs sont authentifiés en fonction de certains attributs du certificat client. Après l’authentification, vous pouvez extraire le nom d’utilisateur et le domaine du certificat. Vous pouvez appliquer des stratégies spécifiques à chaque utilisateur.

  1. À partir de l’application Citrix Workspace, ouvrez Compte, et dans le champ Serveur, entrez le nom de domaine complet de votre serveur Citrix Gateway. For example, GatewayClientCertificateServer.organization.com. L’application Citrix Workspace détecte automatiquement que le certificat client est requis.
  2. Deux choix se présentent à l’utilisateur : il peut soit installer un nouveau certificat, soit en sélectionner un dans la liste des certificats déjà installés. Pour l’authentification par certificat client iOS, téléchargez et installez le certificat uniquement à partir de l’application Citrix Workspace.
  3. Une fois que vous avez sélectionné un certificat valide, les champs de nom d’utilisateur et de domaine de l’écran de connexion sont préremplis à l’aide du nom d’utilisateur du certificat. L’utilisateur peut saisir d’autres informations, y compris le mot de passe.
  4. Si l’authentification du certificat client est définie sur Facultative, les utilisateurs peuvent ignorer la sélection du certificat en appuyant sur Précédent dans la page des certificats. Dans ce cas, l’application Citrix Workspace établit la connexion et affiche l’écran d’ouverture de session.
  5. Une fois la connexion initiale effectuée, les utilisateurs peuvent lancer des applications sans avoir à fournir de nouveau le certificat. L’application Citrix Workspace stocke le certificat du compte et l’utilise automatiquement lors des ouvertures de session suivantes.

Cartes à puce

L’application Citrix Workspace prend en charge les cartes à puce SITHS pour les connexions dans les sessions uniquement.

Si vous utilisez des périphériques Citrix Gateway certifiés FIPS, configurez vos systèmes afin de refuser les renégociations SSL. Pour de plus amples informations, consultez l’article CTX123680 du centre de connaissances.

Les configurations et produits suivants sont pris en charge :

  • Lecteurs pris en charge :
    • Precise Biometrics Tactivo pour iPad Mini Firmware version 3.8.0
    • Precise Biometrics Tactivo pour iPad (4ème génération) et Tactivo pour iPad (3ème génération) et iPad 2 Firmware version 3.8.0
    • Lecteurs de carte à puce BaiMobile® 301MP et 301MP-L
    • Lecteur USB Thursby PKard
    • Lecteur USB Feitian iR301
  • Middleware de carte à puce VDA pris en charge
    • ActiveIdentity
  • Cartes à puce prises en charge :
    • Cartes PIV
    • Cartes CAC
  • Configurations prises en charge :
    • Authentification par carte à puce à Citrix Gateway avec StoreFront 2.x et XenDesktop 7.x ou versions supérieures ou XenApp 6.5 ou versions supérieures.

Pour configurer l’application Citrix Workspace pour accéder aux applications

  1. Si vous souhaitez configurer l’application Citrix Workspace automatiquement pour accéder aux applications lors de la création d’un compte, dans le champ Adresse, entrez l’URL correspondante de votre magasin. Par exemple :

    • storefront.organisation.com
    • netscalervserver.organization.com
  2. Sélectionnez l’option Utiliser carte à puce si vous utilisez une carte à puce pour l’authentification.

Remarque :

Les ouvertures de session sur le magasin sont valides pour environ une heure. Une fois cette période écoulée, les utilisateurs doivent de nouveau ouvrir une session pour actualiser ou lancer d’autres applications.

Authentification RSA SecurID

L’application Citrix Workspace prend en charge l’authentification RSA SecurID pour les configurations de Secure Web Gateway. Les configurations sont effectuées via l’Interface Web et sont appliquées à toutes les configurations Citrix Gateway.

Schéma d’URL requis pour le jeton logiciel sur l’application Citrix Workspace pour iOS : le jeton logiciel RSA SecurID utilisé par l’application Citrix Workspace enregistre uniquement le schéma d’URL com.citrix.securid.

Si les utilisateurs ont installé l’application Citrix Workspace et RSA SecurID sur leur appareil iOS, ils doivent sélectionner le schéma d’URL com.citrix.securid pour importer RSA SecurID Software Authenticator (jeton logiciel) sur l’application Citrix Workspace de leur appareil.

Pour importer un jeton logiciel RSA SecurID

Pour utiliser un jeton logiciel RSA avec l’application Citrix Workspace, en tant qu’administrateur, assurez-vous que les utilisateurs suivent :

  • la stratégie concernant la longueur du code PIN ;
  • le type de code PIN (numérique uniquement et alphanumérique) ;
  • les limites liées à la réutilisation du code PIN.

Une fois que l’utilisateur s’est authentifié auprès du serveur RSA, il ne doit configurer le code PIN qu’une seule fois. Après la vérification du code PIN, il est également authentifié auprès du serveur StoreFront. Après toutes les vérifications, l’application Workspace affiche les applications et bureaux disponibles et publiés.

Pour utiliser un jeton logiciel RSA

  1. Importez le jeton logiciel RSA qui vous a été fourni par votre organisation.

  2. À partir de l’e-mail contenant votre fichier SecurID, sélectionnez Ouvrir dans Workspace en tant que destination d’importation. Une fois le jeton logiciel importé, l’application Citrix Workspace s’ouvre automatiquement.

  3. Si votre organisation vous a fourni un mot de passe pour l’importation, entrez-le et cliquez sur OK. Après avoir cliqué sur OK, un message vous indiquera que le jeton a été importé avec succès.

  4. Fermez le message d’importation et cliquez sur Ajouter un compte dans l’application Citrix Workspace.

  5. Entrez l’adresse URL du magasin fournie par votre organisation et cliquez sur Suivant.

  6. Sur l’écran Ouvrir session, entrez vos informations d’identification : nom d’utilisateur, mot de passe et domaine. Pour le champ de code PIN, entrez 0000, sauf si votre organisation vous a fourni un code PIN par défaut différent. Le code PIN 0000 est le code RSA par défaut, mais il est possible que votre organisation l’ait modifié pour se conformer à ses stratégies de sécurité.

  7. Dans le coin supérieur gauche, cliquez sur Ouvrir session. Un message apparaît pour créer un code PIN.

  8. Entrez un code PIN composé de 4 à 8 chiffres et cliquez sur OK. Un message apparaît pour vérifier votre nouveau code PIN.
  9. Entrez à nouveau votre code PIN et cliquez sur OK. Vous pouvez désormais accéder à vos applications et bureaux.

Code de jeton suivant

L’application Citrix Workspace prend en charge la fonctionnalité de code de jeton suivant lorsque vous configurez Citrix Gateway avec l’authentification RSA SecurID. Si vous entrez trois mots de passe incorrects, un message d’erreur s’affiche sur le plug-in Citrix Gateway. Pour vous connecter, attendez le jeton suivant. Le serveur RSA peut être configuré pour désactiver un compte utilisateur si un utilisateur se connecte un certain nombre de fois à l’aide d’un mot de passe incorrect.

Informations d’identification dérivées

La prise en charge des informations d’identification dérivées Purebred est disponible dans l’application Citrix Workspace. Lorsqu’ils se connectent à un magasin qui autorise les informations d’identification dérivées, les utilisateurs peuvent se connecter à l’application Citrix Workspace à l’aide d’une carte à puce virtuelle. Cette fonctionnalité est prise en charge uniquement sur les déploiements sur site.

Remarque :

Citrix Virtual Apps and Desktops 7 1808 ou version ultérieure est nécessaire pour utiliser cette fonctionnalité.

Pour activer les informations d’identification dérivées dans l’application Citrix Workspace :

  1. Accédez à Paramètres > Avancé > Informations d’identification dérivées.
  2. Tapez sur Utiliser informations d’identification dérivées.

Pour créer une carte à puce virtuelle à utiliser avec les informations d’identification dérivées :

  1. Dans Paramètres > Avancé > Informations d’identification dérivées, tapez sur Ajouter nouvelle carte à puce virtuelle.
  2. Modifiez le nom de la carte à puce virtuelle.
  3. Entrez un code PIN à 8 chiffres uniquement et confirmez.
  4. Touchez Next.
  5. Sous Certificat d’authentification, tapez sur Importer le certificat…
  6. Le sélecteur de documents s’affiche. Tapez sur Parcourir.
  7. Sous Emplacements, sélectionnez Chaîne de clé Purebred.
  8. Sélectionnez le certificat d’authentification approprié dans la liste.
  9. Tapez sur Importer la clé.
  10. Répétez les étapes 5 à 9 pour le certificat de signature numérique et le certificat de chiffrement, si vous le souhaitez.
  11. Appuyez sur Enregistrer.

Vous pouvez importer jusqu’à trois certificats pour votre carte à puce virtuelle. Le certificat d’authentification est requis pour que la carte à puce virtuelle fonctionne correctement. Le certificat de chiffrement et le certificat de signature numérique peuvent être ajoutés pour une utilisation dans une session VDA.

Remarque :

Lors de la connexion à une session HDX, la carte à puce virtuelle créée est redirigée vers la session.

Limitations connues

  • Les utilisateurs ne peuvent avoir qu’une seule carte active à la fois.
  • Une fois qu’une carte à puce virtuelle est créée, elle ne peut pas être modifiée. Supprimez et créez une carte.
  • Un code PIN peut être saisi incorrectement 10 fois. Après la dixième tentative, la carte à puce virtuelle est supprimée.
  • Lorsque vous sélectionnez des informations d’identification dérivées, la carte à puce virtuelle remplace une carte à puce physique.

Authentification nFactor

Prise en charge de l’authentification multifacteur (nFactor)

L’authentification multifacteur améliore la sécurité d’une application en exigeant des utilisateurs qu’ils fournissent plusieurs preuves d’identification pour y accéder. L’authentification multifacteur rend les étapes d’authentification et les formulaires de collecte d’informations d’identification associés configurables par l’administrateur.

L’application Citrix Workspace native peut prendre en charge ce protocole en s’appuyant sur le support de formulaires de connexion déjà mis en œuvre pour StoreFront. La page de connexion Web pour les serveurs virtuels Citrix Gateway et Traffic Manager utilise également ce protocole.

Pour plus d’informations, consultez Authentification SAMLet Authentification multifacteur (nFactor).

Limitations :

  • Lorsque nFactor est activé, vous ne pouvez pas utiliser d’authentification biométrique telle que Touch ID et Face ID.
  • L’authentification basée sur certificats n’est pas prise en charge.

Prise en charge de la stratégie d’authentification nFactor Advanced

Nous prenons désormais en charge l’authentification basée sur les certificats sur l’application Citrix Workspace lorsqu’elle est configurée via des stratégies d’authentification nFactor Advanced sur Citrix Gateway. L’authentification nFactor permet de configurer des schémas multifacteurs flexibles et agiles.

Chaîne agent-utilisateur :

Par défaut, la chaîne agent-utilisateur utilisée lors de l’authentification nFactor inclut désormais l’identifiant de l’application Citrix Workspace.

Chaîne agent-utilisateur actuelle, par exemple, Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0

est remplacée par

Nouvelle chaîne agent-utilisateur, par exemple, Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0/CitrixReceiver/22.1.0 iOS/15.2 CitrixReceiver-iPhone X1Class CWACapable 302RedirectionCapable CFNetwork Darwin

Cette modification s’applique uniquement aux déploiements locaux.

Remarque :

Les informations relatives à la version ou au modèle de l’appareil peuvent varier en fonction de l’environnement.

Authentification