Authentification transparente de domaine vers Citrix Workspace à l’aide d’Azure Active Directory comme fournisseur d’identité
Vous pouvez implémenter l’authentification unique (SSO) vers Citrix Workspace en utilisant Azure Active Directory (AAD) comme fournisseur d’identité avec des points de terminaison/machines virtuelles joints à un domaine, hybrides et inscrits à Azure AD.
-
Avec cette configuration, vous pouvez également utiliser Windows Hello pour l’authentification unique vers Citrix Workspace à l’aide de points de terminaison inscrits à AAD.
- Vous pouvez vous authentifier à l’application Citrix Workspace à l’aide de Windows Hello.
- Authentification basée sur FIDO2 avec l’application Citrix Workspace.
- Authentification unique à l’application Citrix Workspace à partir de machines jointes à Microsoft AAD (AAD comme IdP) et accès conditionnel avec AAD.
Pour réaliser l’authentification unique vers les applications et bureaux virtuels, vous pouvez soit déployer FAS, soit configurer l’application Citrix Workspace comme suit.
Remarque :
Vous pouvez réaliser l’authentification unique aux ressources Citrix Workspace uniquement lorsque vous utilisez Windows Hello. Cependant, il vous est demandé un nom d’utilisateur et un mot de passe lors de l’accès à vos applications et bureaux virtuels publiés. Pour résoudre cette invite, vous pouvez déployer FAS et l’authentification unique vers les applications et bureaux virtuels.
Conditions préalables :
- Connectez Azure Active Directory à Citrix Cloud. Pour plus d’informations, consultez Connecter Azure Active Directory à Citrix Cloud dans la documentation Citrix Cloud.
-
- Activez l’authentification Azure AD pour accéder à l’espace de travail. Pour plus d’informations, consultez Activer l’authentification Azure AD pour les espaces de travail dans la documentation Citrix Cloud.
-
Pour réaliser l’authentification unique vers Citrix Workspace :
- Configurez l’application Citrix Workspace avec includeSSON.
- Désactivez l’attribut
prompt=logindans Citrix Cloud. - Configurez l’authentification transparente Azure Active Directory avec Azure Active Directory Connect.
Configurer l’application Citrix Workspace pour prendre en charge l’authentification unique
Conditions préalables :
- Citrix Workspace version 2109 ou ultérieure.
- > **Remarque :**
- >
- > Si vous utilisez FAS pour l'authentification unique, la configuration de Citrix Workspace n'est pas nécessaire.
-
Installez l’application Citrix Workspace à partir de la ligne de commande administrative avec l’option
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Déconnectez-vous du client Windows et connectez-vous pour démarrer le serveur SSON.
-
Cliquez sur Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur pour modifier la GPO de Citrix Workspace afin d’autoriser le nom d’utilisateur et mot de passe local.
Remarque :
Ces stratégies peuvent être déployées sur le périphérique client via Active Directory. Cette étape est requise uniquement lors de l’accès à Citrix Workspace depuis le navigateur web.
-
Activez le paramètre comme indiqué dans la capture d’écran.
-
Ajoutez les sites de confiance suivants via GPO :
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: URL de l’espace de travail
Remarque :
L’authentification unique pour AAD est désactivée lorsque le registre AllowSSOForEdgeWebview dans
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzleest défini sur false.
Désactiver le paramètre prompt=login dans Citrix Cloud
Par défaut, prompt=login est activé pour Citrix Workspace, ce qui force l’authentification même si l’utilisateur a choisi de rester connecté ou si l’appareil est joint à Azure AD.
Vous pouvez désactiver prompt=login dans votre compte Citrix Cloud. Accédez à Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions et désactivez le bouton bascule.
Pour plus d’informations, consultez l’article du Centre de connaissances CTX253779.
Remarque :
Sur les appareils joints à AAD ou joints à AAD hybride, si AAD est utilisé comme IdP pour Workspace, l’application Citrix Workspace ne demande pas d’informations d’identification. Les utilisateurs peuvent se connecter automatiquement à l’aide de leur compte professionnel ou scolaire.
Pour permettre aux utilisateurs de se connecter avec un compte différent, définissez le registre suivant sur false.
Créez et ajoutez une chaîne de registre REG_SZ nommée AllowSSOForEdgeWebview sous
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleouComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzleet définissez sa valeur sur False. Alternativement, si les utilisateurs se déconnectent de l’application Citrix Workspace, ils peuvent se connecter avec un compte différent lors de la prochaine connexion.
Configurer l’authentification transparente Azure Active Directory avec Azure Active Directory Connect
- Si vous installez Azure Active Directory Connect pour la première fois, sur la page Connexion utilisateur, sélectionnez Authentification transparente comme méthode de connexion. Pour plus d’informations, consultez Authentification transparente Azure Active Directory : Démarrage rapide dans la documentation Microsoft.
-
Si Microsoft Azure Active Directory Connect existe :
- Sélectionnez la tâche Modifier la connexion utilisateur et cliquez sur Suivant.
- Sélectionnez Authentification transparente comme méthode de connexion.
Remarque :
Vous pouvez ignorer cette étape si le périphérique client est joint à Azure AD ou joint en mode hybride. Si le périphérique est joint à AD, l’authentification transparente de domaine fonctionne à l’aide de l’authentification Kerberos.