Passerelle de domaine améliorée pour l’authentification unique
La passerelle de domaine améliorée pour l’authentification unique utilise Kerberos pour activer l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lors de l’utilisation de périphériques clients joints à Active Directory (AD) et de Citrix StoreFront.
Remarque :
Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.
Cette fonctionnalité remplace la fonctionnalité d’authentification pass-through héritée basée sur le service d’authentification unique Citrix (ssonsvr.exe).
Si vous utilisez les versions suivantes de l’application Citrix Workspace et du VDA, cette fonctionnalité ne sera pas prise en charge sur Windows 11 :
- VDA : 2308, 2311, 2402
- Application Citrix Workspace : 2309, 2309.1, 2311, 2402
Exigences système
- Plan de contrôle
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 ou version ultérieure
- Agent de livraison virtuel
- Windows : version 2308 ou ultérieure
> **Remarque :**
>
> Si vous utilisez les versions 2308 à 2402 de l'Agent de livraison virtuel, cette fonctionnalité n'est pas prise en charge sur Windows 11. La version 2407 ou ultérieure prend en charge cette fonctionnalité sur Windows 11.
- Application Citrix Workspace™
- Application Citrix Workspace pour Windows 2309 ou version ultérieure
- > **Remarque :**
- >
- > Si vous utilisez les versions 2309 à 2402 de l'application Citrix Workspace, cette fonctionnalité n'est pas prise en charge sur Windows 11. La version 2405.10 ou ultérieure prend en charge cette fonctionnalité sur Windows 11.
- Périphérique client
- Joint au domaine Active Directory
- Windows 10 64 bits
- Windows 11 64 bits
- Hôtes de session multi-session :
- Windows Server 2019
- Windows Server 2022
- Windows 10 Entreprise multi-session 22H2
- Windows 11 Entreprise multi-session 22H2 ou version ultérieure
- Hôtes de session mono-session :
- Windows 10 version 22H2
- Windows 11 version 22H2 ou version ultérieure
Remarque :
- Le périphérique client doit avoir une connectivité directe aux contrôleurs de domaine. Si le périphérique est en dehors du réseau, l’authentification unique n’est pas prise en charge.
Configuration de StoreFront™
Vous devez activer l’authentification pass-through de domaine pour le magasin et son site web correspondant.
Effectuez les étapes suivantes pour activer la passerelle de domaine pour le magasin :
- Ouvrez la console de gestion StoreFront.
-
Accédez à Store > Manage Authentication methods. La fenêtre Manage Authentication Methods - Web apparaît.
-
Cochez la case Domain pass-through.
- Cliquez sur OK.
Effectuez les étapes suivantes pour activer la passerelle de domaine pour le site web :
- Ouvrez la console de gestion StoreFront.
- Ouvrez l’onglet Stores > Receiver for Websites > Manage Receiver for Web Sites > Configure > Authentication Methods. La fenêtre Edit Receiver for Web site - /Citrix/Web apparaît.
-
Cochez la case Domain pass-through.
- Cliquez sur OK.
Configuration de la stratégie Citrix
Vous devez activer le paramètre à l’aide de la stratégie Citrix :
-
- Accédez à Citrix Studio ou à la console web.
-
- Cliquez sur Policies > Create Policy. La boîte de dialogue Create Policy apparaît.
- Recherchez la stratégie Enhanced domain pass-through for single sign-on. La boîte de dialogue Edit Settings apparaît.
-
Sélectionnez l’option Allowed pour activer la stratégie Enhanced domain pass-through for single sign-on.
- Cliquez sur OK.
Configuration de l’hôte de session
Après avoir activé la fonctionnalité Enhanced domain pass-through for single sign on à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou une GPO :
- Accédez à
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation. -
Activez le paramètre Remote host allows delegation of non-exportable credentials.
- Redémarrez l’hôte de session pour que le paramètre prenne effet.
Remarque :
Le paramètre Remote host allows delegation of non-exportable credentials n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de session au lieu d’utiliser une GPO, vous devez ajouter la valeur de registre suivante :
Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Type de valeur : DWORD
- Nom de la valeur : DisableRestrictedAdmin
- Données de la valeur : 0
Configuration du périphérique client
Vous devez effectuer les opérations suivantes sur le périphérique client :
- Activer la passerelle de domaine améliorée pour l’authentification unique
- Faire confiance au site StoreFront
Activer la passerelle de domaine améliorée pour l’authentification unique
Vous devez activer la fonctionnalité Enhanced domain pass-through for single sign on sur le périphérique client. Vous pouvez le faire via une stratégie locale ou une GPO.
- Accédez à
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication. -
Activez le paramètre Enhanced Domain pass-through for single sign-on.
- Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.
Faire confiance au site StoreFront
Vous devez vous assurer que votre URL StoreFront est approuvée par les périphériques clients. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site de confiance. Vous pouvez le faire via une stratégie locale ou une GPO.
- Accédez à la page
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security. -
Activez le paramètre Site to Zone Assignment List et ajoutez les URL appropriées ainsi que l’affectation de zone correspondante.
-
Activez le paramètre Logon options et définissez-le sur Automatic logon avec le nom d’utilisateur et le mot de passe actuels.
