Documentation produit
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
Voir PDF

Authentification

April 16, 2026
Contributeur: 
C C

Pour maximiser la sécurité de votre environnement, vous devez sécuriser les connexions entre l’application Citrix Workspace et les ressources que vous publiez. Vous pouvez configurer différents types d’authentification pour votre application Citrix Workspace, notamment l’authentification pass-through de domaine, la carte à puce et l’authentification pass-through Kerberos.

Authentification pass-through de domaine

L’authentification unique vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops™ et Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops) sans avoir à vous réauthentifier.

  • Lorsque vous vous connectez à l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront, ainsi que les applications et les bureaux et les paramètres du menu Démarrer. Après avoir configuré l’authentification unique, vous pouvez vous connecter à l’application Citrix Workspace et lancer des sessions d’applications et de bureaux virtuels sans avoir à saisir à nouveau vos informations d’identification.

Tous les navigateurs web vous obligent à configurer l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO). Pour plus d’informations sur la configuration de l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO), consultez Configurer l’authentification unique avec Citrix Gateway.

Vous pouvez configurer l’authentification unique lors d’une nouvelle installation ou d’une mise à niveau, en utilisant l’une des options suivantes :

  • Interface de ligne de commande
    • Interface graphique

Configurer l’authentification unique lors d’une nouvelle installation

Pour configurer l’authentification unique lors d’une nouvelle installation, procédez comme suit :

  1. Configuration sur StoreFront.
  2. Configurez les services de confiance XML sur le Delivery Controller.
  3. Modifiez les paramètres d’Internet Explorer.
  4. Installez l’application Citrix Workspace avec l’authentification unique.

Configurer l’authentification unique sur StoreFront

L’authentification unique vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS à partir du même domaine sans avoir à vous réauthentifier pour chaque application ou bureau.

Lorsque vous ajoutez un magasin à l’aide de l’utilitaire Storebrowse, vos informations d’identification sont transmises via le serveur Citrix Gateway, ainsi que les applications et les bureaux énumérés pour vous, y compris les paramètres de votre menu Démarrer. Après avoir configuré l’authentification unique, vous pouvez ajouter le magasin, énumérer vos applications et bureaux, et lancer les ressources requises sans avoir à saisir vos informations d’identification plusieurs fois.

Selon le déploiement de Citrix Virtual Apps and Desktops, l’authentification unique peut être configurée sur StoreFront à l’aide de la console de gestion.

Utilisez le tableau suivant pour les différents cas d’utilisation et leur configuration respective :

Cas d’utilisation Détails de la configuration Informations supplémentaires
SSON configuré sur StoreFront Lancez Citrix Studio, accédez à Magasins > Gérer les méthodes d’authentification - Magasin > activez Authentification pass-through de domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec l’authentification unique, elle bascule automatiquement la méthode d’authentification de Authentification pass-through de domaine à Nom d’utilisateur et mot de passe, si disponible.
Lorsque l’espace de travail web est requis Lancez Magasins > Sites Workspace pour le Web > Gérer les méthodes d’authentification - Magasin > activez Authentification pass-through de domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec l’authentification unique, elle bascule automatiquement la méthode d’authentification de Authentification pass-through de domaine à Nom d’utilisateur et mot de passe, si disponible.

Configurer l’authentification unique avec Citrix Gateway

Vous activez l’authentification unique avec Citrix Gateway à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur, et sélectionnez la stratégie Authentification unique pour Citrix Gateway.
  3. Sélectionnez Activé.
  4. Cliquez sur Appliquer et OK.
  5. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer les services de confiance XML sur le Delivery Controller

Sur Citrix Virtual Apps and Desktops et Citrix DaaS™, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
<!--NeedCopy-->

Modifier les paramètres d’Internet Explorer

  1. Ajoutez le serveur StoreFront à la liste des sites de confiance à l’aide d’Internet Explorer. Pour ajouter :
    1. Lancez Options Internet depuis le Panneau de configuration.

    2. Cliquez sur Sécurité > Internet local et cliquez sur Sites.

      La fenêtre Intranet local apparaît.

    3. Sélectionnez Avancé.
    4. Ajoutez l’URL du FQDN de StoreFront avec les protocoles HTTP ou HTTPS appropriés.
    5. Cliquez sur Appliquer et OK.
  2. Modifiez les paramètres d’Authentification utilisateur dans Internet Explorer. Pour modifier :
    1. Lancez Options Internet depuis le Panneau de configuration.
    2. Cliquez sur l’onglet Sécurité > Sites de confiance.
    3. Cliquez sur Niveau personnalisé. La fenêtre Paramètres de sécurité – Zone Sites de confiance apparaît.

    4. Dans le volet Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.

      Authentification utilisateur

    5. Cliquez sur Appliquer et OK.

Configurer l’authentification unique à l’aide de l’interface de ligne de commande

Installez l’application Citrix Workspace avec le commutateur /includeSSON et redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Remarque :

Lorsque vous installez l’application Citrix Workspace pour Windows sans le composant d’authentification unique, la mise à niveau vers la dernière version de l’application Citrix Workspace avec le commutateur /includeSSON n’est pas prise en charge.

Configurer l’authentification unique à l’aide de l’interface graphique

  1. Localisez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Double-cliquez sur CitrixWorkspaceApp.exe pour lancer le programme d’installation.
  3. Dans l’assistant Installation de l’authentification unique, sélectionnez l’option Activer l’authentification unique.
  4. Cliquez sur Suivant et suivez les invites pour terminer l’installation.

Vous pouvez maintenant vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans saisir les informations d’identification de l’utilisateur.

-  ### Configurer l'authentification unique sur Workspace pour le Web

Vous pouvez configurer l’authentification unique sur Workspace pour le Web à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration GPO de Workspace pour le Web en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composant Citrix > Citrix Workspace > Authentification utilisateur.
  3. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
  4. Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour le Web d’utiliser vos informations d’identification de connexion pour l’authentification sur le serveur distant.
  5. Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA®. Cette option contourne toute restriction d’authentification et permet aux informations d’identification de passer sur toutes les connexions.
  6. Cliquez sur Appliquer et OK.
  7. Redémarrez Workspace pour le Web pour que les modifications prennent effet.

Vérifiez que l’authentification unique est activée en lançant le Gestionnaire des tâches et en vérifiant si le processus ssonsvr.exe est en cours d’exécution.

Configurer l’authentification unique à l’aide d’Active Directory

Suivez les étapes ci-dessous pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez réaliser l’authentification unique sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.

-  1.  Téléchargez et placez le fichier d'installation de l'application Citrix Workspace ([CitrixWorkspaceApp.exe](https://www.citrix.com/downloads/workspace-app/windows/workspace-app-for-windows-latest.html)) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l'application Citrix Workspace.

  1. Obtenez le modèle CheckAndDeployWorkspacePerMachineStartupScript.bat à partir de la page Téléchargement de l’application Citrix Workspace pour Windows.

  2. Modifiez le contenu pour refléter l’emplacement et la version de CitrixWorkspaceApp.exe.

  3. Dans la console Gestion des stratégies de groupe Active Directory, tapez CheckAndDeployWorkspacePerMachineStartupScript.bat comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory.

  4. Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajouter/Supprimer des modèles pour ajouter le fichier receiver.adml.

  5. Après avoir ajouté le modèle receiver.adml, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur. Pour plus d’informations sur l’ajout des fichiers de modèle, consultez le modèle d’administration d’objet de stratégie de groupe.

  6. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.

  7. Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.

  8. Redémarrez la machine pour que les modifications prennent effet.

Configurer l’authentification unique sur StoreFront

Configuration de StoreFront

  1. Lancez Citrix Studio sur le serveur StoreFront et sélectionnez Magasins > Gérer les méthodes d’authentification - Magasin.
  2. Sélectionnez Authentification pass-through de domaine.

Texte alternatif

Jetons d’authentification

Les jetons d’authentification sont chiffrés et stockés sur le disque local afin que vous n’ayez pas à ressaisir vos informations d’identification lorsque votre système ou votre session redémarre. L’application Citrix Workspace offre une option pour désactiver le stockage des jetons d’authentification sur le disque local.

Pour une sécurité renforcée, nous proposons désormais une stratégie d’objet de stratégie de groupe (GPO) pour configurer le stockage des jetons d’authentification.

-  > **Remarque&nbsp;:**
-  > > Cette configuration s'applique uniquement aux déploiements cloud.

Pour désactiver le stockage des jetons d’authentification à l’aide de la stratégie d’objet de stratégie de groupe (GPO) :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > SelfService.

  3. Dans la stratégie Stocker les jetons d’authentification, sélectionnez l’une des options suivantes :

    • Activé : Indique que les jetons d’authentification sont stockés sur le disque. Par défaut, cette option est définie sur Activé.
    • Désactivé : Indique que les jetons d’authentification ne sont pas stockés sur le disque. Ressaisissez vos informations d’identification lorsque votre système ou votre session redémarre.
  4. Cliquez sur Appliquer et OK.

À partir de la version 2106, l’application Citrix Workspace offre une autre option pour désactiver le stockage des jetons d’authentification sur le disque local. Outre la configuration GPO existante, vous pouvez également désactiver le stockage des jetons d’authentification sur le disque local à l’aide du service de configuration globale des applications.

Dans le service de configuration globale des applications, définissez l’attribut Store Authentication Tokens sur False.

Vérificateur de configuration

Le vérificateur de configuration vous permet d’exécuter un test pour vérifier si l’authentification unique est correctement configurée. Le test s’exécute sur différents points de contrôle de la configuration de l’authentification unique et affiche les résultats de la configuration.

  1. Cliquez avec le bouton droit sur l’icône de l’application Citrix Workspace dans la zone de notification et cliquez sur Préférences avancées. La boîte de dialogue Préférences avancées s’affiche.
    1. Cliquez sur Vérificateur de configuration. La fenêtre Vérificateur de configuration Citrix s’affiche.

    Vérificateur de configuration

  1. Sélectionnez SSONChecker dans le volet Sélectionner.
  2. Cliquez sur Exécuter. Une barre de progression s’affiche, indiquant l’état du test.

La fenêtre Vérificateur de configuration comporte les colonnes suivantes :

  1. État : Affiche le résultat d’un test sur un point de contrôle spécifique.

    • Une coche verte indique que le point de contrôle spécifique est correctement configuré.
    • Un « I » bleu indique des informations sur le point de contrôle.
    • Un « X » rouge indique que le point de contrôle spécifique n’est pas correctement configuré.
  2. Fournisseur : Affiche le nom du module sur lequel le test est exécuté. Dans ce cas, l’authentification unique.
  3. Suite : Indique la catégorie du test. Par exemple, Installation.
  4. Test : Indique le nom du test spécifique exécuté.
  5. Détails : Fournit des informations supplémentaires sur le test, en cas de réussite et d’échec.

L’utilisateur obtient plus d’informations sur chaque point de contrôle et les résultats correspondants.

Les tests suivants sont effectués :

  1. Installé avec l’authentification unique.
  2. Capture des informations d’identification de connexion.
  3. Enregistrement du fournisseur réseau : Le résultat du test d’enregistrement du fournisseur réseau affiche une coche verte uniquement lorsque « Citrix Single Sign-on » est défini comme premier dans la liste des fournisseurs réseau. Si « Citrix Single Sign-on » apparaît ailleurs dans la liste, le résultat du test d’enregistrement du fournisseur réseau apparaît avec un « I » bleu et des informations supplémentaires.
    1. Le processus d’authentification unique est en cours d’exécution.
        1. Stratégie de groupe : Par défaut, cette stratégie est configurée sur le client.
        1. Paramètres Internet pour les zones de sécurité : Assurez-vous d’ajouter l’URL du service Store/XenApp à la liste des zones de sécurité dans les options Internet. Si les zones de sécurité sont configurées via une stratégie de groupe, toute modification de la stratégie nécessite la réouverture de la fenêtre Préférences avancées pour que les modifications prennent effet et pour afficher l’état correct du test.
  1. Méthode d’authentification pour StoreFront.

Remarque :

  • Si vous accédez à Workspace pour le Web, les résultats du test ne sont pas applicables.
  • Si l’application Citrix Workspace est configurée avec plusieurs magasins, le test de la méthode d’authentification s’exécute sur tous les magasins configurés.
  • Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format de rapport par défaut est .txt.

Masquer l’option Vérificateur de configuration de la fenêtre Préférences avancées

    1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.
    1. Accédez à Composants Citrix > Citrix Workspace > Self Service > DisableConfigChecker.
    1. Cliquez sur Activé pour masquer l’option Vérificateur de configuration de la fenêtre Préférences avancées.
        1. Cliquez sur Appliquer et OK.
        1. Exécutez la commande gpupdate /force.

Limitation :

Le vérificateur de configuration n’inclut pas le point de contrôle pour la configuration des requêtes d’approbation envoyées au service XML sur les serveurs Citrix Virtual Apps and Desktops.

  • Test de balise

  • L’application Citrix Workspace vous permet d’effectuer un test de balise à l’aide du vérificateur de balise, disponible dans l’utilitaire Configuration Checker. Le test de balise permet de confirmer si la balise (ping.citrix.com) est accessible. Ce test de diagnostic aide à éliminer l’une des nombreuses causes possibles d’énumération lente des ressources, à savoir l’indisponibilité de la balise. Pour exécuter le test, cliquez avec le bouton droit de la souris sur l’application Citrix Workspace dans la zone de notification et sélectionnez Préférences avancées > Configuration Checker. Sélectionnez l’option Beacon checker dans la liste des tests et cliquez sur Exécuter.

Les résultats du test peuvent être l’un des suivants :

  • Accessible – L’application Citrix Workspace peut contacter la balise avec succès.
  • Non accessible – L’application Citrix Workspace ne peut pas contacter la balise.
  • Partiellement accessible – L’application Citrix Workspace peut contacter la balise par intermittence.

Remarque :

  • Les résultats du test ne s’appliquent pas à Workspace pour le Web.
  • Les résultats du test peuvent être enregistrés sous forme de rapports. Le format par défaut du rapport est .txt.

  • Authentification pass-through de domaine avec Kerberos

Ce sujet s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows et StoreFront, Citrix Virtual Apps and Desktops, et Citrix DaaS.

L’application Citrix Workspace prend en charge Kerberos pour l’authentification pass-through de domaine pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses dans l’authentification Windows intégrée (IWA).

Lorsqu’il est activé, Kerberos authentifie l’application Citrix Workspace sans mot de passe. Par conséquent, il empêche les attaques de type cheval de Troie sur le périphérique utilisateur qui tentent d’obtenir l’accès aux mots de passe. Les utilisateurs peuvent se connecter en utilisant n’importe quelle méthode d’authentification et accéder aux ressources publiées, par exemple, un authentificateur biométrique tel qu’un lecteur d’empreintes digitales.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS configurés pour l’authentification par carte à puce, l’application Citrix Workspace :

    1. Capture le code PIN de la carte à puce pendant l’authentification unique.
    1. Utilise l’IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à votre application Citrix Workspace des informations sur les Citrix Virtual Apps and Desktops et Citrix DaaS disponibles.

  • Remarque

  • Activez Kerberos pour éviter une invite de code PIN supplémentaire. Si l’authentification Kerberos n’est pas utilisée, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

    1. Le moteur HDX (précédemment appelé client ICA) transmet le code PIN de la carte à puce au VDA pour connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops et Citrix DaaS fournissent ensuite les ressources demandées.

  • Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, vérifiez que la configuration Kerberos est conforme aux points suivants.

  • Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs qui appartiennent aux mêmes domaines Windows Server ou à des domaines de confiance. Les serveurs sont approuvés pour la délégation, une option que vous configurez via l’outil de gestion Utilisateurs et ordinateurs Active Directory.
  • Kerberos doit être activé à la fois sur le domaine et sur Citrix Virtual Apps and Desktops et Citrix DaaS. Pour une sécurité renforcée et pour vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non-Kerberos sur le domaine.

  • La connexion Kerberos n’est pas disponible pour les connexions Remote Desktop Services configurées pour utiliser l’authentification de base, toujours utiliser les informations de connexion spécifiées, ou toujours demander un mot de passe.

  • Avertissement

    Une utilisation incorrecte de l’éditeur du Registre peut entraîner de graves problèmes pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre pourront être résolus. Utilisez l’éditeur du Registre à vos propres risques. Assurez-vous de sauvegarder le Registre avant de le modifier.

Authentification pass-through de domaine avec Kerberos pour une utilisation avec des cartes à puce

Avant de continuer, consultez la section Sécuriser votre déploiement dans la documentation de Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

  • /includeSSON

    Cette option installe le composant d’authentification unique sur l’ordinateur joint au domaine, permettant à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de l’IWA (Kerberos). Le composant d’authentification unique stocke le code PIN de la carte à puce, utilisé par le moteur HDX lorsqu’il transfère le matériel et les informations d’identification de la carte à puce vers Citrix Virtual Apps and Desktops et Citrix DaaS. Citrix Virtual Apps and Desktops et Citrix DaaS sélectionnent automatiquement un certificat de la carte à puce et obtiennent le code PIN du moteur HDX.

    Une option associée, ENABLE_SSON, est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer l’authentification unique sur un appareil, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Choisissez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux
    1. Sélectionnez Activer l’authentification pass-through.
    1. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

    Activer l'authentification pass-through

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through de domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous avez également des clients non joints au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation des cartes à puce avec StoreFront, consultez Configurer le service d’authentification dans la documentation de StoreFront.

Prise en charge de l’accès conditionnel avec Azure Active Directory

L’accès conditionnel est un outil utilisé par Azure Active Directory pour appliquer les stratégies organisationnelles. Les administrateurs Workspace peuvent configurer et appliquer des stratégies d’accès conditionnel Azure Active Directory pour les utilisateurs s’authentifiant auprès de l’application Citrix Workspace. La machine Windows exécutant l’application Citrix Workspace doit avoir la version 92 ou ultérieure du runtime Microsoft Edge WebView2 installée.

Pour des détails complets et des instructions sur la configuration des stratégies d’accès conditionnel avec Azure Active Directory, consultez la documentation sur l’accès conditionnel Azure AD.

Remarque :

Cette fonctionnalité est prise en charge uniquement sur les déploiements Workspace (Cloud).

Autres méthodes d’authentification à Citrix Workspace

Vous pouvez configurer les mécanismes d’authentification suivants avec l’application Citrix Workspace. Pour que ces mécanismes d’authentification fonctionnent comme prévu, la machine Windows exécutant l’application Citrix Workspace doit avoir la version 92 ou ultérieure du runtime Microsoft Edge WebView2 installée.

  1. Authentification basée sur Windows Hello – Pour des instructions sur la configuration de l’authentification basée sur Windows Hello, consultez Configurer les paramètres de stratégie Windows Hello Entreprise - Approbation de certificat.

Remarque :

L’authentification basée sur Windows Hello avec transmission de domaine n’est pas prise en charge.

  1. Authentification basée sur les clés de sécurité FIDO2 – Les clés de sécurité FIDO2 offrent aux employés de l’entreprise un moyen transparent de s’authentifier sans saisir de nom d’utilisateur ni de mot de passe. Vous pouvez configurer l’authentification basée sur les clés de sécurité FIDO2 pour Citrix Workspace. Si vous souhaitez que vos utilisateurs s’authentifient auprès de Citrix Workspace avec leur compte Azure AD à l’aide d’une clé de sécurité FIDO2, consultez Activer la connexion sans mot de passe avec une clé de sécurité.
  2. Vous pouvez également configurer l’authentification unique (SSO) à l’application Citrix Workspace à partir de machines jointes à Microsoft Azure Active Directory (AAD) avec AAD comme fournisseur d’identité. Pour plus de détails sur la configuration des services de domaine Azure Active Directory, consultez Configuration des services de domaine Azure Active Directory. Pour plus d’informations sur la connexion d’Azure Active Directory à Citrix Cloud, consultez Connecter Azure Active Directory à Citrix Cloud.

Carte à puce

L’application Citrix Workspace pour Windows prend en charge les authentifications par carte à puce suivantes :

  • Authentification Pass-through (authentification unique) - L’authentification Pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs se connectent à l’application Citrix Workspace. L’application Citrix Workspace utilise les informations d’identification capturées comme suit :

    • Les utilisateurs de périphériques joints à un domaine qui se connectent à l’application Citrix Workspace à l’aide de la carte à puce peuvent démarrer des bureaux virtuels et des applications sans avoir à se réauthentifier.
    • L’application Citrix Workspace exécutée sur des périphériques non joints à un domaine avec les informations d’identification de la carte à puce doit saisir à nouveau ses informations d’identification pour démarrer un bureau virtuel ou une application.

    L’authentification Pass-through nécessite une configuration à la fois sur StoreFront et sur l’application Citrix Workspace.

  • Authentification bimodale - L’authentification bimodale offre aux utilisateurs le choix entre l’utilisation d’une carte à puce et la saisie du nom d’utilisateur et du mot de passe. Cette fonctionnalité est efficace lorsque vous ne pouvez pas utiliser la carte à puce. Par exemple, le certificat de connexion a expiré. Des magasins dédiés doivent être configurés par site pour permettre l’authentification bimodale, en utilisant la méthode DisableCtrlAltDel définie sur False pour autoriser les cartes à puce. L’authentification bimodale nécessite une configuration StoreFront.

    Grâce à l’authentification bimodale, l’administrateur StoreFront peut autoriser l’authentification par nom d’utilisateur et mot de passe ainsi que l’authentification par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.

  • Plusieurs certificats - Plusieurs certificats peuvent être utilisés pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsque vous insérez une carte à puce dans un lecteur de carte, les certificats s’appliquent à toutes les applications exécutées sur le périphérique utilisateur, y compris l’application Citrix Workspace.

  • Authentification par certificat client - L’authentification par certificat client nécessite une configuration de Citrix Gateway et de StoreFront.

    • Pour accéder à StoreFront via Citrix Gateway, vous devez vous réauthentifier après avoir retiré la carte à puce.
    • Lorsque la configuration SSL de Citrix Gateway est définie sur Authentification obligatoire par certificat client, l’opération est plus sécurisée. Cependant, l’authentification obligatoire par certificat client n’est pas compatible avec l’authentification bimodale.

  • Sessions à double saut - Si un double saut est requis, une connexion est établie entre l’application Citrix Workspace et le bureau virtuel de l’utilisateur.

  • Applications compatibles avec les cartes à puce - Les applications compatibles avec les cartes à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer ou de chiffrer numériquement des documents disponibles dans les sessions d’applications et de bureaux virtuels.

Limitations :

  • Les certificats doivent être stockés sur la carte à puce et non sur le périphérique utilisateur.
  • L’application Citrix Workspace n’enregistre pas le choix du certificat utilisateur, mais stocke le code PIN lorsqu’il est configuré. Le code PIN est mis en cache dans la mémoire non paginée uniquement pendant la session utilisateur et n’est pas stocké sur le disque.
  • L’application Citrix Workspace ne se reconnecte pas à une session lorsqu’une carte à puce est insérée.
  • Lorsqu’elle est configurée pour l’authentification par carte à puce, l’application Citrix Workspace ne prend pas en charge l’authentification unique (SSO) de réseau privé virtuel (VPN) ni le pré-lancement de session. Pour utiliser un VPN avec l’authentification par carte à puce, installez le plug-in Citrix Gateway. Connectez-vous via une page Web à l’aide de leurs cartes à puce et de leurs codes PIN pour vous authentifier à chaque étape. L’authentification Pass-through à StoreFront avec le plug-in Citrix Gateway n’est pas disponible pour les utilisateurs de cartes à puce.
  • Les communications du programme de mise à jour de l’application Citrix Workspace avec citrix.com et le serveur de merchandising ne sont pas compatibles avec l’authentification par carte à puce sur Citrix Gateway.

Avertissement

Certaines configurations nécessitent des modifications du registre. L’utilisation incorrecte de l’éditeur de registre peut entraîner des problèmes qui pourraient nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’éditeur de registre pourront être résolus. Assurez-vous de sauvegarder le registre avant de le modifier.

Pour activer l’authentification unique pour l’authentification par carte à puce :

Pour configurer l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante lors de l’installation :

  • ENABLE_SSON=Yes

    L’authentification unique est un autre terme pour l’authentification pass-through. L’activation de ce paramètre empêche l’application Citrix Workspace d’afficher une deuxième invite pour un code PIN.

  • Dans l’Éditeur du Registre, accédez au chemin suivant et définissez la chaîne SSONCheckEnabled sur False si vous n’avez pas installé le composant d’authentification unique.

    HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de vérifier le composant d’authentification unique et permet à l’application Citrix Workspace de s’authentifier auprès de StoreFront.

Pour activer l’authentification par carte à puce auprès de StoreFront au lieu de Kerberos, installez l’application Citrix Workspace pour Windows avec les options de ligne de commande suivantes :

  • /includeSSON installe l’authentification unique (pass-through). Active la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through basée sur le domaine.

  • Si l’utilisateur se connecte au point de terminaison avec une méthode d’authentification différente, par exemple, un nom d’utilisateur et un mot de passe, la ligne de commande est la suivante :

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Ce type d’authentification empêche la capture des informations d’identification au moment de la connexion et permet à l’application Citrix Workspace de stocker le code PIN lors de la connexion à l’application Citrix Workspace.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through. Selon la configuration et les paramètres de sécurité, sélectionnez Autoriser l’authentification pass-through pour toutes les options ICA pour que l’authentification pass-through fonctionne.

Pour configurer StoreFront :

  • Lorsque vous configurez le service d’authentification, cochez la case Carte à puce.

Pour plus d’informations sur l’utilisation des cartes à puce avec StoreFront, consultez Configurer le service d’authentification dans la documentation de StoreFront.

Pour activer les appareils utilisateur pour l’utilisation de cartes à puce :

  1. Importez le certificat racine de l’autorité de certification dans le magasin de clés de l’appareil.
  2. Installez le middleware cryptographique de votre fournisseur.
  3. Installez et configurez l’application Citrix Workspace.

Pour modifier la façon dont les certificats sont sélectionnés :

Par défaut, si plusieurs certificats sont valides, l’application Citrix Workspace invite l’utilisateur à choisir un certificat dans la liste. Vous pouvez plutôt configurer l’application Citrix Workspace pour qu’elle utilise le certificat par défaut (selon le fournisseur de carte à puce) ou le certificat avec la date d’expiration la plus récente. S’il n’y a pas de certificats de connexion valides, l’utilisateur est averti et a la possibilité d’utiliser une autre méthode de connexion si disponible.

Un certificat valide doit présenter toutes les caractéristiques suivantes :

  • L’heure actuelle de l’horloge de l’ordinateur local se situe dans la période de validité du certificat.
  • La clé publique du Sujet doit utiliser l’algorithme RSA et avoir une longueur de clé de 1024 bits, 2048 bits ou 4096 bits.
  • L’utilisation de la clé doit inclure la signature numérique.
  • Le nom alternatif du sujet (Subject Alternative Name) doit inclure le nom d’utilisateur principal (UPN).
  • L’utilisation améliorée de la clé doit inclure la connexion par carte à puce et l’authentification client, ou toutes les utilisations de la clé.
  • L’une des autorités de certification de la chaîne d’émetteurs du certificat doit correspondre à l’un des noms distinctifs (DN) autorisés envoyés par le serveur lors de la négociation TLS.

Modifiez la façon dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :

  • Sur la ligne de commande de l’application Citrix Workspace, spécifiez l’option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }.

    Prompt est la valeur par défaut. Pour SmartCardDefault ou LatestExpiry, si plusieurs certificats répondent aux critères, l’application Citrix Workspace invite l’utilisateur à choisir un certificat.

  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager : CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

Les valeurs définies dans HKEY_CURRENT_USER ont priorité sur les valeurs dans HKEY_LOCAL_MACHINE afin d’aider au mieux l’utilisateur à sélectionner un certificat.

Pour utiliser les invites de code PIN CSP :

Par défaut, les invites de code PIN présentées aux utilisateurs sont fournies par l’application Citrix Workspace pour Windows plutôt que par le fournisseur de services cryptographiques (CSP) de la carte à puce. L’application Citrix Workspace invite les utilisateurs à saisir un code PIN lorsque cela est nécessaire, puis transmet le code PIN au CSP de la carte à puce. Si votre site ou votre carte à puce a des exigences de sécurité plus strictes, telles que l’interdiction de la mise en cache du code PIN par processus ou par session, vous pouvez configurer l’application Citrix Workspace pour qu’elle utilise les composants CSP afin de gérer la saisie du code PIN, y compris l’invite de code PIN.

Modifiez la manière dont la saisie du code PIN est gérée en utilisant l’une des méthodes suivantes :

  • Sur la ligne de commande de l’application Citrix Workspace, spécifiez l’option AM_SMARTCARDPINENTRY=CSP.
  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager : SmartCardPINEntry=CSP.

Modifications de la prise en charge et du retrait des cartes à puce

Une session Citrix Virtual Apps se déconnecte lorsque vous retirez la carte à puce. Si l’application Citrix Workspace est configurée avec la carte à puce comme méthode d’authentification, configurez la stratégie correspondante sur l’application Citrix Workspace pour Windows afin d’appliquer la déconnexion de la session Citrix Virtual Apps. L’utilisateur reste connecté à la session de l’application Citrix Workspace.

Limitation :

Lorsque vous vous connectez au site de l’application Citrix Workspace à l’aide de l’authentification par carte à puce, le nom d’utilisateur s’affiche comme Connecté.

Carte à puce rapide

La carte à puce rapide est une amélioration par rapport à la redirection de carte à puce HDX basée sur PC/SC existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des environnements WAN à latence élevée.

Les cartes à puce rapides sont prises en charge uniquement sur les VDA Windows.

Pour activer la connexion par carte à puce rapide sur l’application Citrix Workspace :

La connexion par carte à puce rapide est activée par défaut sur le VDA et désactivée par défaut sur l’application Citrix Workspace. Pour activer la connexion par carte à puce rapide, incluez le paramètre suivant dans le fichier default.ica du site StoreFront associé :

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace :

Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace, supprimez le paramètre SmartCardCryptographicRedirection du fichier default.ica du site StoreFront associé.

Pour plus d’informations, consultez cartes à puce.

Authentification silencieuse pour Citrix Workspace

L’application Citrix Workspace introduit une stratégie d’objet de stratégie de groupe (GPO) pour activer l’authentification silencieuse pour Citrix Workspace. Cette stratégie permet à l’application Citrix Workspace de se connecter automatiquement à Citrix Workspace au démarrage du système. Utilisez cette stratégie uniquement lorsque le passthrough de domaine (authentification unique) est configuré pour Citrix Workspace sur les appareils joints au domaine.

Pour que cette stratégie fonctionne, les critères suivants doivent être remplis :

  • L’authentification unique doit être activée.
  • La clé SelfServiceMode doit être définie sur Off dans l’Éditeur du Registre.

Activation de l’authentification silencieuse :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Self Service.
  3. Cliquez sur la stratégie Authentification silencieuse pour Citrix Workspace et définissez-la sur Activée.
  4. Cliquez sur Appliquer et OK.
Authentification
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.