Matrice d’accès pass-through de domaine
Si vous utilisez Citrix Workspace et souhaitez réaliser un accès pass-through de domaine, les tableaux des sous-sections décrivent les différents scénarios et si vous pouvez ou non réaliser un accès pass-through de domaine pour chaque scénario.
-
Les différents éléments d’en-tête dans les tableaux et les informations supplémentaires sur ces éléments sont les suivants :
- Point de terminaison joint à : Indique l’annuaire auquel le point de terminaison est joint. L’annuaire fournit un contrôle d’accès aux ressources sur site. Il peut s’agir d’Active Directory (AD) sur site, d’Azure Active Directory (AAD) ou d’un environnement hybride.
- Fournisseur d’identité (IdP) : Entité utilisée pour fournir des services d’authentification à Citrix Workspace. Il vous permet de vous connecter aux ressources.
- Federated Authentication Service (FAS) : Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Citrix Federated Authentication Service.
- Virtual Delivery Agent (VDA) : Pour plus d’informations, consultez Installer des VDA.
- VDA joint à : Indique l’annuaire auquel le périphérique VDA est joint. Pour plus d’informations, consultez Gestion des identités et des accès.
- Authentification unique (SSO) vers Citrix Workspace/VDA : La valeur Oui ou Non indique si l’accès pass-through de domaine vers Citrix Workspace ou VDA est pris en charge.
- Application Citrix Workspace : Pour réaliser l’authentification unique, consultez Configurer l’authentification unique lors d’une nouvelle installation dans l’authentification pass-through de domaine ou Accès pass-through de domaine amélioré pour l’authentification unique.
Remarque :
Vous pourriez avoir besoin de la dernière version de l’application Citrix Workspace pour bénéficier de la prise en charge de l’accès pass-through de domaine pour certains des scénarios suivants.
Prise en charge de l’accès pass-through de domaine pour Citrix Workspace
| Point de terminaison joint à | IdP | VDA joint à | SSO vers Citrix Workspace | SSO vers VDA | Documentation |
|---|---|---|---|---|---|
| AD | Citrix Gateway sur site | AD | Oui | Application Citrix Workspace/FAS | Accès pass-through de domaine vers Citrix Workspace à l’aide de Citrix Gateway sur site comme fournisseur d’identité. |
| AD | Authentification adaptative | AD | Oui | Application Citrix Workspace/FAS | Pour configurer l’authentification adaptative, consultez Service d’authentification adaptative et suivez les instructions de Accès pass-through de domaine vers Citrix Workspace à l’aide de Citrix Gateway sur site comme fournisseur d’identité. |
| AD | Citrix Gateway fédéré à un autre IdP (AAD/Okta) | AD | Oui | Application Citrix Workspace/FAS | Configurez l’IdP à l’aide de Configurer l’authentification unique SAML et reportez-vous à la documentation de l’IdP utilisé pour configurer l’accès pass-through de domaine. |
| AD | Okta | AD | Oui | Application Citrix Workspace/FAS | Accès pass-through de domaine vers Citrix Workspace à l’aide d’Okta comme fournisseur d’identité. |
| AD/Hybride joint | AAD (AD avec AAD Connect) | AD | Oui | Application Citrix Workspace/FAS | Accès pass-through de domaine vers Citrix Workspace à l’aide d’Azure Active Directory comme fournisseur d’identité. |
| AD | Tout IdP basé sur SAML (ex. ADFS) | AD | Oui | Application Citrix Workspace/FAS | Consultez Connecter SAML en tant que fournisseur d’identité à Citrix Cloud et reportez-vous à la documentation de l’IdP utilisé pour configurer l’accès pass-through de domaine. |
| AD | AD | AD | Non | Non pris en charge | NA |
| AD | AD+OTP | AD | Non | Non pris en charge | NA |
| AD | AAD | AAD | Non | Non pris en charge | NA |
| AAD | AAD sans AD sur site | AD | Oui | FAS | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique vers l’espace de travail. L’authentification unique vers VDA est prise en charge via FAS. Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Citrix Federated Authentication Service. |
| AAD | AAD | AAD | Oui | L’utilisateur doit saisir ses informations d’identification. | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique vers l’espace de travail. L’authentification unique vers VDA n’est pas prise en charge. |
| Non joint au domaine | IdP qui prend en charge l’authentification sans mot de passe - lien | AD | Non | FAS | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique vers l’espace de travail. L’authentification unique vers VDA est prise en charge via FAS. Pour plus d’informations, consultez Autres méthodes d’authentification à Citrix Workspace. |
Remarques :
- Le client doit être joignable à l’AD pour que Kerberos fonctionne.
- Citrix Single Sign-on (SSONSVR.exe) ne fonctionne qu’avec le nom d’utilisateur ou le mot de passe sur le client. Si l’utilisateur utilise Windows Hello pour se connecter, FAS est requis ou utilisez Accès pass-through de domaine amélioré pour l’authentification unique.
- L’authentification pourrait ne pas être entièrement silencieuse dans le cloud si LLT est activé ou si la politique d’acceptation de l’utilisateur final est configurée.
- Il est recommandé de configurer FAS car il s’applique aux plateformes non-Windows.
À partir de la version 2503 de l’application Citrix Workspace™ pour Windows, le système installe SSON par défaut en mode dormant. Vous pouvez activer SSON après l’installation à l’aide de la stratégie d’objet de stratégie de groupe (GPO). Pour l’activer, accédez à Authentification de l’utilisateur > Nom d’utilisateur et mot de passe locaux et cochez la case Activer l’authentification pass-through.
Remarque :
Vous devez redémarrer le système après avoir mis à jour la stratégie GPO pour que le paramètre SSON prenne effet.
Prise en charge de l’accès pass-through de domaine pour StoreFront
| Point de terminaison joint à | IdP | VDA joint à | SSO vers Citrix Workspace | SSO vers VDA | Documentation |
|---|---|---|---|---|---|
| AD | StoreFront | AD | Oui | Application Citrix Workspace/FAS | Authentification pass-through de domaine |
| AD/Hybride joint/Windows Hello Entreprise | StoreFront | AD | Oui(1) | Application Citrix Workspace/FAS(2) | Authentification pass-through de domaine et Activer l’authentification unique pour les espaces de travail avec Citrix Federated Authentication Service. |
| AD | Citrix Gateway - Authentification avancée | AD | Oui | Application Citrix Workspace/FAS(3) | |
| AD | Citrix Gateway - Authentification de base | AD | Oui | Application Citrix Workspace(4) | Authentification pass-through de domaine. |
Remarques :
Utilisez Accès pass-through de domaine amélioré pour l’authentification unique ou, dans l’éditeur de registre, accédez au chemin suivant et définissez la chaîne
SSONCheckEnabledsurFalsesi vous n’avez pas installé le composant d’authentification unique.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de vérifier le composant d’authentification unique et permet à l’application Citrix Workspace de s’authentifier auprès de StoreFront.
- Si vous utilisez Windows Hello pour vous connecter, FAS et une configuration du registre sont requis pour activer l’authentification unique (SSO).
- Le client doit être joignable par l’AD car il utilise Kerberos.
- Fonctionne même si le client n’est pas joignable par l’AD. N’utilise pas Kerberos.