Authentification

À partir de l’application Citrix Workspace 2012, vous pouvez afficher la boîte de dialogue d’authentification dans l’application Citrix Workspace et stocker les détails sur l’écran de connexion. Cela permet d’obtenir d’optimiser l’expérience.

Les jetons d’authentification sont cryptés et stockés afin que vous n’ayez pas besoin de saisir de nouveau les informations d’identification lorsque votre système ou votre session redémarre.

Remarque :

cette amélioration de l’authentification ne s’applique qu’aux déploiements dans le cloud.

Conditions préalables :

Installez la bibliothèque libsecret.

Cette fonction est désactivée par défaut.

Pour activer cette amélioration :

  1. Recherchez le fichier de configuration : $ICAROOT/config/AuthManConfig.xml.
  2. Définissez la valeur AuthManLiteEnabled sur True.

Amélioration de l’authentification pour Storebrowse

Remarque :

À partir de la version 2205, cette fonctionnalité est généralement disponible pour l’application Citrix Workspace.

À partir de la version 2203, la boîte de dialogue d’authentification est présente dans l’application Citrix Workspace et les détails du magasin s’affichent sur l’écran d’ouverture de session pour une meilleure expérience utilisateur. Les jetons d’authentification sont chiffrés et stockés. Ainsi, vous n’avez pas besoin de saisir de nouveau les informations d’identification lorsque votre système ou votre session redémarre.

L’amélioration de l’authentification prend en charge storebrowse pour les opérations suivantes :

  • Storebrowse -E : répertorie les ressources disponibles.
  • Storebrowse -L : lance une connexion à une ressource publiée.
  • Storebrowse -S : dresse la liste des ressources auxquelles vous avez souscrit.
  • Storebrowse -T : met fin à toutes les sessions du magasin spécifié.
  • Storebrowse -Wr : reconnecte les sessions déconnectées mais actives du magasin spécifié. L’option [r] reconnecte toutes les sessions déconnectées.
  • storebrowse -WR : reconnecte les sessions déconnectées mais actives du magasin spécifié. L’option [R] reconnecte toutes les sessions déconnectées et actives.
  • Storebrowse -s : abonne la ressource spécifiée à partir d’un magasin donné.
  • Storebrowse -u : annule l’abonnement de la ressource spécifiée dans un magasin donné.
  • Storebrowse -q : lance une application à l’aide de l’URL directe Cette commande fonctionne uniquement pour les magasins StoreFront.

Remarque :

  • Vous pouvez continuer à utiliser les commandes Storebrowse restantes comme précédemment (en utilisant AuthManagerDaemon).
  • L’amélioration de l’authentification s’applique uniquement aux déploiements dans le cloud.
  • Grâce à cette amélioration, la fonction de connexion permanente est prise en charge.

Amélioration de l’authentification pour la configuration Storebrowse

Par défaut, la fonction d’amélioration de l’authentification est désactivée.

Si gnome-keyring n’est pas disponible, le jeton est stocké dans la mémoire du processus selfservice.

Pour forcer le stockage du jeton en mémoire, désactivez gnome-keyring en suivant les étapes suivantes :

  1. Accédez à /opt/Citrix/ICAClient/config/AuthmanConfig.xml.
  2. Ajouter l’entrée suivante :

    <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
    <!--NeedCopy-->
    

Carte à puce

Pour configurer la prise en charge de carte à puce dans l’application Citrix Workspace pour Linux, vous devez configurer le serveur StoreFront dans la console StoreFront.

L’application Citrix Workspace prend en charge les lecteurs de cartes à puce compatibles avec les pilotes PCSC-Lite et PKCS#11. Par défaut, l’application Citrix Workspace place désormais opensc-pkcs11.so dans l’un des emplacements standards.

L’application Citrix Workspace peut trouver opensc-pkcs11.so dans un emplacement non standard ou un autre pilote PKCS\#11. Vous pouvez stocker l’emplacement respectif en suivant la procédure suivante :

  1. Recherchez le fichier de configuration : $ICAROOT/config/AuthManConfig.xml.
  2. Localisez la ligne <key>PKCS11module</key> et ajoutez l’emplacement du pilote à l’élément <value> qui suit immédiatement la ligne.

    Remarque :

    Si vous entrez un nom de fichier, l’application Citrix Workspace accède à ce fichier dans le répertoire $ICAROOT/PKCS\ #11. Vous pouvez également utiliser un chemin absolu commençant par « / ».

Après avoir supprimé une carte à puce, configurez le comportement de l’application Citrix Workspace en mettant à jour SmartCardRemovalAction en procédant comme suit :

  1. Recherchez le fichier de configuration : $ICAROOT/config/AuthManConfig.xml.
  2. Localisez la ligne <key>SmartCardRemovalAction</key> et ajoutez noaction ou forcelogoff à l’élément <value> qui suit immédiatement la ligne.

Le comportement par défaut est noaction. Aucune action n’est effectuée pour effacer les informations d’identification stockées et les jetons générés lors du retrait de la carte à puce.

L’action forcelogoff efface toutes les informations d’identification et tous les jetons stockés dans StoreFront lors du retrait de la carte à puce.

Activation de la prise en charge des cartes à puce

L’application Citrix Workspace prend en charge divers lecteurs de cartes à puce si la carte à puce est activée à la fois sur le serveur et sur l’application Citrix Workspace.

Vous pouvez utiliser des cartes à puce aux fins suivantes :

  • Authentification d’ouverture de session par carte à puce : vous authentifie auprès des serveurs Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
  • Prise en charge des applications recourant à une carte à puce : permet aux applications publiées recourant à une carte à puce d’accéder aux lecteurs de carte à puce locaux.

Les données de carte à puce sont sensibles en matière de sécurité et doivent être transmises au moyen d’un canal authentifié sécurisé (TLS, par exemple).

Pré-requis de la prise en charge des cartes à puce :

  • Les lecteurs de carte à puce et les applications publiées doivent être conformes aux normes PC/SC de l’industrie.
  • Installez le pilote approprié au lecteur de carte à puce.
  • Installez le package PC/SC Lite.
  • Installez et exécutez le démon pcscd, qui fournit le middleware permettant d’accéder à la carte à puce à l’aide de PC/SC.
  • Sur un système 64 bits, les versions 64 bits et 32 bits du package « libpscslite1 » doivent être présentes.

Pour plus d’informations sur la configuration de la prise en charge des cartes à puce sur vos serveurs, veuillez consulter Cartes à puce dans la documentation de Citrix Virtual Apps and Desktops.

Améliorations apportées à la prise en charge des cartes à puce

Remarque :

Cette fonctionnalité est généralement disponible pour l’application Citrix Workspace.

À compter de la version 2112, l’application Citrix Workspace prend en charge la fonctionnalité Plug and Play pour le lecteur de carte à puce.

Lorsque vous insérez une carte à puce, le lecteur de carte à puce la détecte dans le serveur et le client.

Vous pouvez utiliser la fonctionnalité Plug and Play sur différentes cartes en même temps, et elles seront toutes détectées.

Conditions préalables :

Installez la bibliothèque libpcscd sur le client Linux.

Remarque :

Cette bibliothèque peut être installée par défaut dans les versions récentes de la plupart des distributions Linux. Cependant, il se peut que vous deviez installer la bibliothèque libpcscd dans des versions antérieures de certaines distributions Linux, telles qu’Ubuntu 1604.

Pour désactiver cette amélioration :

  1. Naviguez jusqu’au dossier <ICAROOT>/config/module.ini.
  2. Accédez à la section SmartCard.
  3. Définissez le DriverName= VDSCARD.DLL.

Prise en charge de l’authentification multifacteur (nFactor)

L’authentification multifacteur améliore la sécurité d’une application en exigeant des utilisateurs qu’ils fournissent d’autres preuves d’identification pour y accéder.

L’authentification multifacteur rend les étapes d’authentification et les formulaires de collecte d’informations d’identification associés configurables par l’administrateur.

L’application Citrix Workspace native prend en charge ce protocole en s’appuyant sur le support de formulaires de connexion déjà mis en œuvre pour StoreFront. Les pages de connexion Web pour les serveurs virtuels Citrix Gateway et Traffic Manager utilisent également ce protocole.

Pour de plus amples informations, consultez Authentification SAML et Authentification multifacteur (nFactor) dans la documentation de Citrix ADC.

Authentification