Authentification

Pour maximiser la sécurité de votre environnement, les connexions entre l’application Citrix Workspace et les ressources que vous publiez doivent être protégées. Vous pouvez configurer plusieurs types d’authentification pour votre application Citrix Workspace, y compris l’authentification pass-through au domaine, par carte à puce et pass-through Kerberos.

Authentification pass-through au domaine

Single Sign-on vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops sans procéder à une nouvelle authentification.

Lorsque vous ouvrez une session sur l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront avec les applications et bureaux énumérés et les paramètres du menu Démarrer. Après avoir configuré Single Sign-on, vous pouvez ouvrir une session sur l’application Citrix Workspace et lancer des sessions Citrix Virtual Apps and Desktops sans ressaisir vos informations d’identification.

Remarque :

Single Sign-On n’est pas pris en charge si l’application Citrix Workspace est connectée à Citrix Virtual Apps and Desktops à l’aide de Citrix Gateway.

Vous pouvez configurer l’authentification Single Sign-On lors d’une nouvelle installation ou d’une mise à niveau, à l’aide de l’une des options suivantes :

  • Interface de ligne de commande
  • Interface utilisateur graphique

Configurer l’authentification Single Sign-On lors d’une nouvelle installation

Procédez comme suit pour configurer l’authentification Single Sign-On lors d’une nouvelle installation de l’application Citrix Workspace :

  1. Configuration sur StoreFront ou l’interface Web.
  2. Configurez les services d’approbation XML sur le Delivery Controller.
  3. Modifiez les paramètres d’Internet Explorer.
  4. Installez l’application Citrix Workspace avec Single Sign-On.

Configurer Single Sign-On sur StoreFront ou l’interface Web

Selon le déploiement Citrix Virtual Apps and Desktops, l’authentification Single Sign-On peut être configurée sur StoreFront ou l’interface Web à l’aide de la console de gestion.

Utilisez le tableau ci-dessous pour différents cas d’utilisation et la configuration associée :

Cas d’utilisation Détails de la configuration Informations supplémentaires
SSON configuré sur StoreFront ou l’interface Web Lancez Citrix Studio, accédez à Magasin > Gérer les méthodes d’authentification > activez Authentification pass-through au domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de Authentification pass-through au domaine vers Nom d’utilisateur et mot de passe, le cas échéant.
Lorsque Workspace pour Web est requis Lancez Magasin > Workspace pour Web > Gérer les méthodes d’authentification > activez Authentification pass-through au domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de l’authentification pass-through au domaine vers Nom d’utilisateur et mot de passe, le cas échéant.
Lorsque StoreFront n’est pas configuré Si l’interface Web est configurée sur un serveur Citrix Virtual Apps and Desktops, lancez le site XenApp Services > Méthodes d’authentification > activez Pass-through. Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de Pass-through vers Explicite, le cas échéant.

Configurer Single Sign-on avec Citrix Gateway

Vous pouvez activer Single Sign-On avec Citrix Gateway via le modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur.
  3. Sélectionnez la stratégie Single Sign-on pour Citrix Gateway.
  4. Sélectionnez Activé.
  5. Cliquez sur Appliquer, puis sur OK.
  6. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer les services d’approbation XML sur le Delivery Controller

Sur Citrix Virtual Apps and Desktops, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :

asnp Citrix* Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modifier les paramètres d’Internet Explorer

  1. Ajoutez le serveur StoreFront à la liste de sites de confiance à l’aide d’Internet Explorer. Pour ce faire :
    1. Démarrez Internet Explorer.
    2. Sélectionnez Outils > Options Internet > Sécurité > Internet Local et cliquez sur Sites. La fenêtre Intranet Local s’affiche.
    3. Sélectionnez Avancé.
    4. Ajoutez l’adresse URL de StoreFront ou le nom de domaine complet de l’Interface Web avec les protocoles HTTP ou HTTPS appropriés.
    5. Cliquez sur Appliquer, puis sur OK.
  2. Modifiez les paramètres Authentification utilisateur dans Internet Explorer. Pour ce faire :
    1. Démarrez Internet Explorer.
    2. Dans Options Internet > Sécurité, sélectionnez Sites de confiance.
    3. Cliquez sur Personnaliser le niveau. La fenêtre Paramètres de sécurité – Zone Sites de confiance s’affiche.
    4. Dans le panneau Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuel.

    Authentification utilisateur

Configurer Single Sign-on à l’aide de l’interface de ligne de commande

Installez l’application Citrix Workspace pour Windows avec le commutateur /includeSSON et redémarrez-la pour que les modifications prennent effet.

Remarque :

Si l’application Citrix Workspace pour Windows a été installée sans le composant Single Sign-on, la mise à niveau vers la dernière version de l’application Citrix Workspace avec le commutateur /includeSSON n’est pas prise en charge.

Configurer Single Sign-on à l’aide de l’interface utilisateur graphique

  1. Accédez au fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Cliquez deux fois sur CitrixWorkspaceApp.exe pour lancer le programme d’installation.
  3. Dans l’assistant d’installation Activer l’authentification unique, sélectionnez l’option Activer l’authentification unique.
  4. Cliquez sur Suivant pour terminer l’installation.

Vous pouvez maintenant vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans fournir d’informations d’identification utilisateur.

Configurer Single Sign-on sur Citrix Workspace pour Web

Vous pouvez configurer Single Sign-on sur Workspace pour Web à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de Workspace pour Web en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Workspace pour Windows > Authentification utilisateur.
  3. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
  4. Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour Web d’utiliser vos informations d’identification d’ouverture de session pour l’authentification sur le serveur distant.
  5. Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA. Cette option ignore toute restriction d’authentification et autorise le transfert des informations d’identification sur toutes les connexions.
  6. Cliquez sur Appliquer, puis sur OK.
  7. Redémarrez Workspace pour Web pour que les modifications prennent effet.

Vérifiez que Single Sign-on est activé. Pour cela, démarrez le gestionnaire des tâches et vérifiez si le processus ssonsvr.exe est en cours d’exécution.

Configurer Single Sign-on à l’aide d’Active Directory

Procédez comme suit pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez obtenir l’authentification Single Sign-on sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.

  1. Téléchargez et placez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l’application Citrix Workspace.

  2. Obtenez le CheckAndDeployWorkspacePerMachineStartupScript.batmodèle à partir de la page Téléchargement de l’application Citrix Workspace pour Windows.

  3. Modifiez le contenu pour refléter l’emplacement et la version de CitrixWorkspaceApp.exe.

  4. Dans la console Gestion des stratégies de groupe Active Directory, entrez CheckAndDeployWorkspacePerMachineStartupScript.bat comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory.

  5. Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajout/Suppression de modèles pour ajouter le fichier icaclient.adm.

  6. Après avoir ajouté le modèle icaclient.adm, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur.

  7. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.

  8. Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.

  9. Redémarrez la machine pour que les modifications prennent effet.

Configurer Single Sign-On sur StoreFront et l’interface Web

Configuration du StoreFront

Ouvrez Citrix Studio sur le serveur StoreFront et sélectionnez Authentification -> Ajouter/supprimer des méthodes d’authentification. Sélectionnez Authentification pass-through au domaine.

alt_text

Outil d’analyse de la configuration

L’Outil d’analyse de la configuration vous permet d’exécuter un test pour vous assurer que Single Sign-On est correctement configuré. Le test est exécuté sur les différents points de contrôle de la configuration de l’authentification unique et affiche les résultats de la configuration.

  1. Cliquez avec le bouton droit de la souris sur l’icône de l’application Citrix Workspace dans la zone de notification et cliquez sur Préférences avancées. La boîte de dialogue Préférences avancées s’affiche.
  2. Cliquez sur Outil d’analyse de la configuration. La fenêtre Outil d’analyse de la configuration s’affiche.

    Outil d'analyse de la configuration

  3. Sélectionnez SSONChecker dans le volet Sélectionner.
  4. Cliquez sur Exécuter. Une barre de progression apparaît, affichant l’état du test.

La fenêtre Outil d’analyse de la configuration comporte les colonnes suivantes :

  1. État : affiche le résultat d’un test sur un point de contrôle.

    • Une coche verte indique que le point de contrôle est correctement configuré.
    • Un I bleu indique des informations sur le point de contrôle.
    • Un X rouge indique que le point de contrôle n’est pas configuré correctement.
  2. Fournisseur : affiche le nom du module sur lequel le test est exécuté. Dans ce cas, Single Sign-on.
  3. Suite : indique la catégorie du test. Par exemple, Installation.
  4. Test : indique le nom du test qui est exécuté.
  5. Détails : fournit des informations supplémentaires sur le test, indépendamment de la réussite ou de l’échec.

L’utilisateur dispose de plus d’informations sur chaque point de contrôle et les résultats correspondants.

Les tests suivants sont effectués :

  1. Installé avec Single Sign-on
  2. Capture des informations d’identification d’ouverture de session
  3. Enregistrement du fournisseur réseau : le résultat du test pour l’enregistrement du fournisseur de réseau affiche une coche verte uniquement si « Citrix Single Sign-On » est défini en tant que premier élément dans la liste des fournisseurs de réseau. Si Citrix Single Sign-On s’affiche ailleurs dans la liste, le résultat de test pour l’inscription du fournisseur réseau s’affiche avec un I bleu et des informations supplémentaires.
  4. Processus de Single Sign-On en cours d’exécution
  5. Stratégie de groupe : par défaut, cette stratégie est configurée sur le client.
  6. Paramètres Internet pour les zones de sécurité : assurez-vous que vous ajoutez le magasin/l’adresse URL du service XenApp à la liste des zones de sécurité dans les Options Internet. Si les zones de sécurité sont configurées via une stratégie de groupe, toute modification de la stratégie requiert que la fenêtre Préférences avancées soit rouverte pour que les modifications soient prises en compte et pour afficher l’état correct du test.
  7. Méthode d’authentification pour l’Interface Web ou StoreFront.

Remarque :

  • Si vous accédez à Workspace pour Web, les résultats du test ne sont pas applicables.
  • Si l’application Citrix Workspace est configurée avec plusieurs magasins, le test de la méthode d’authentification est exécuté sur tous les magasins configurés.
  • Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.

Masquer l’outil d’analyse de la configuration dans la fenêtre Préférences avancées

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Accédez à Composants Citrix > Workspace pour Windows > Libre-service > DisableConfigChecker.
  3. Cliquez sur Activé pour masquer l’option Outil d’analyse de la configuration dans la fenêtre Préférences avancées.
  4. Cliquez sur Appliquer, puis sur OK.
  5. Exécutez la commande gpupdate /force.

Limitation :

L’outil d’analyse de la configuration ne comprend pas le point de contrôle pour la configuration de l’option Faire confiance aux requêtes envoyées au service XML sur les serveurs Citrix Virtual Apps and Desktops.

Test de balise

L’application Citrix Workspace vous permet d’effectuer un test de balise à l’aide du contrôleur de balises disponible dans l’outil d’analyse de la configuration. Un test de balise permet de vérifier si la balise (ping.citrix.com) est accessible. Ce test de diagnostic permet d’écarter l’une des nombreuses causes possibles d’une énumération lente des données, à savoir l’indisponibilité de la balise. Pour exécuter le test, cliquez avec le bouton droit de la souris sur l’application Citrix Workspace dans la zone de notification et sélectionnez Préférences avancées > Outil d’analyse de la configuration. Sélectionnez Contrôleur de balises dans la liste de tests et cliquez sur Exécuter.

Les résultats du test peuvent être les suivants :

  • Accessible : la balise peut contacter l’application Citrix Workspace.
  • Inaccessible : l’application Citrix Workspace ne peut pas contacter la balise.
  • Partiellement accessible : l’application Citrix Workspace peut contacter la balise par intermittence.

Remarque :

  • Les résultats du test ne s’appliquent pas à Workspace pour Web.
  • Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.

Authentification pass-through au domaine avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows, StoreFront et Citrix Virtual Apps and Desktops.

L’application Citrix Workspace prend en charge l’authentification pass-through au domaine Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).

Lorsque l’authentification Kerberos est activée, Kerberos gère l’authentification sans mots de passe pour l’application Citrix Workspace, ce qui évite les attaques de type cheval de Troie destinées à obtenir les mots de passe sur la machine utilisateur. Les utilisateurs peuvent ouvrir une session avec la méthode d’authentification de leur choix et accéder aux ressources publiées. Par exemple, un système d’authentification biométrique tel qu’un lecteur d’empreinte digitale peut être utilisé.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront et Citrix Virtual Apps and Desktops configurés pour l’authentification par carte à puce, l’application Citrix Workspace effectue les opérations suivantes :

  1. capture le code PIN de la carte à puce pendant le processus Single Sign-on ;
  2. utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à l’application Workspace les informations relatives à la disponibilité de Citrix Virtual Apps and Desktops.

    Remarque

    Activez Kerberos pour éviter l’affichage d’invites de saisie de code PIN supplémentaires. Si vous n’utilisez pas l’authentification Kerberos, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

  3. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA afin de connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops fournit ensuite les ressources demandées.

Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, assurez-vous que la configuration de Kerberos respecte les critères suivants.

  • Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs appartenant aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs doivent également être approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
  • Kerberos doit être activé sur le domaine et dans Citrix Virtual Apps and Desktops. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non Kerberos sur le domaine.
  • L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser les informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.

Avertissement

Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à sauvegarder le registre avant de le modifier.

Authentification pass-through au domaine avec Kerberos en vue de l’utilisation avec des cartes à puce

Avant de poursuivre, consultez les informations relatives aux cartes à puce dans la section Sécuriser votre déploiement de la documentation Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

  • /includeSSON

    Cette option installe le composant Single Sign-on sur l’ordinateur appartenant au domaine, ce qui permet à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant Single Sign-on mémorise le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX pour transmettre à distance le matériel et les informations d’identification de la carte à puce à Citrix Virtual Apps and Desktops. Citrix Virtual Apps and Desktops sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.

    L’option associée ENABLE\_SSON est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer Single Sign-on sur une machine, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sélectionnez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through.
  4. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

    Activer l'authentification pass-through

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Cartes à puce

L’application Citrix Workspace pour Windows prend en charge l’authentification par carte à puce suivante :

  • Authentification pass-through (Single Sign-On) : l’authentification pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace. Citrix Workspace utilise les informations d’identification capturées comme suit :

    • Les utilisateurs dont les machines appartiennent au domaine qui ouvrent une session sur l’application Citrix Workspace avec des informations d’identification de carte à puce peuvent démarrer des applications et des bureaux virtuels sans procéder à une nouvelle authentification.
    • L’application Citrix Workspace qui s’exécute sur des machines n’appartenant pas au domaine avec des informations d’identification de carte à puce doivent de nouveau entrer leurs informations d’identification pour démarrer une application ou un bureau virtuel.

    L’authentification pass-through requiert une configuration sur StoreFront et l’application Citrix Workspace.

  • Authentification bimodale : avec l’authentification bimodale, les utilisateurs peuvent choisir d’utiliser une carte à puce ou d’entrer leurs nom d’utilisateur et mot de passe. Cette fonctionnalité est utile lorsque vous ne pouvez pas utiliser de carte à puce. Par exemple, le certificat d’ouverture de session a expiré. Des magasins dédiés doivent être configurés pour chaque site pour permettre l’authentification bimodale et la méthode DisableCtrlAltDel doit être définie sur False pour autoriser les cartes à puce. L’authentification bimodale requiert la configuration de StoreFront.

    L’authentification bimodale permet à l’administrateur StoreFront de proposer à l’utilisateur à la fois l’authentification par nom d’utilisateur et mot de passe et par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.

  • Certificats multiples : de multiples certificats peuvent être disponibles pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsque vous insérez une carte à puce dans un lecteur de cartes, les certificats s’appliquent à toutes les applications qui s’exécutent sur la machine utilisateur, y compris l’application Citrix Workspace.

  • Authentification du certificat client : l’authentification du certificat client requiert la configuration de Citrix Gateway et de StoreFront.

    • Pour accéder à StoreFront via Citrix Gateway, vous devrez peut-être vous ré-authentifier après le retrait d’une carte à puce.
    • Lorsque la configuration SSL de Citrix Gateway est définie sur authentification du certificat client obligatoire, la sécurité des opérations est garantie. Toutefois, l’authentification du certificat client obligatoire n’est pas compatible avec l’authentification bimodale.
  • Sessions double hop : si une session double hop est nécessaire, une connexion est établie entre l’application Citrix Workspace et le bureau virtuel de l’utilisateur. Les déploiements qui prennent en charge le double-hop sont décrits dans la documentation Citrix Virtual Apps and Desktops.

  • Applications activées pour carte à puce : les applications activées pour carte à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer numériquement ou de crypter des documents disponibles dans les sessions Citrix Virtual Apps and Desktops.

Limitations :

  • Les certificats doivent être stockés sur une carte à puce et non sur la machine utilisateur.
  • L’application Citrix Workspace n’enregistre pas le choix de certificat de l’utilisateur, mais mémorise le code PIN lors de la configuration. Le code PIN est mis en cache dans la mémoire non paginée uniquement pendant la session utilisateur et n’est pas stocké sur le disque.
  • L’application Citrix Workspace ne reconnecte pas une session lorsqu’une carte à puce est insérée.
  • Lorsqu’elle est configurée pour utiliser l’authentification par carte à puce, l’application Citrix Workspace ne prend pas en charge l’authentification unique avec réseau privé virtuel (VPN) ou le pré-lancement de session. Pour utiliser un VPN avec l’authentification par carte à puce, installez Citrix Gateway Plug-in, ouvrez une session via une page Web et utilisez vos cartes à puce et codes PIN pour vous authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.
  • Les communications du programme de mise à jour de l’application Citrix Workspace avec citrix.com et Merchandising Server ne sont pas compatibles avec l’authentification par carte à puce sur Citrix Gateway.

Avertissement

Certaines configurations nécessitent des modifications du registre. Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Veillez à sauvegarder le registre avant de le modifier.

Pour activer le Single Sign-On (SSO) pour l’authentification par carte à puce :

Pour configurer l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante lors de l’installation :

  • ENABLE\_SSON=Yes

    L’authentification pass-through est également appelée Single Sign-On (SSO). L’activation de ce paramètre empêche l’application Citrix Workspace d’afficher une seconde invite de saisie du code PIN.

  • Définissez SSONCheckEnabled sur false si le composant Single Sign-on n’est pas installé. La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de rechercher le composant Single Sign-on, ce qui permet à Citrix Workspace de s’authentifier auprès de StoreFront.

    HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Pour activer l’authentification par carte à puce sur StoreFront au lieu de Kerberos, installez l’application Citrix Workspace pour Windows à l’aide des options de ligne de commande suivantes.

  • /includeSSON installe l’authentification Single Sign-On (authentification pass-through). Permet la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through au domaine.

  • Si l’utilisateur ouvre une session sur le point de terminaison avec une méthode autre que la carte à puce pour l’authentification de l’application Citrix Workspace pour Windows (par exemple, le nom d’utilisateur et le mot de passe), la ligne de commande est la suivante :

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Aucune information d’identification n’est capturée lors de l’ouverture de session et l’application Citrix Workspace peut mémoriser le code PIN lors de l’ouverture de session sur l’application Citrix Workspace.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Rendez-vous sur Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, sélectionnez l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.

Pour configurer StoreFront :

  • Lorsque vous configurez le service d’authentification, sélectionnez la case à cocher Carte à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Pour activer l’utilisation de cartes à puce sur les machines utilisateur :

  1. Importez le certificat racine d’autorité de certification dans le keystore de la machine.
  2. Installez les logiciels intermédiaires de chiffrement du fournisseur de services.
  3. Installez et configurez l’application Citrix Workspace.

Pour modifier la façon dont les certificats sont sélectionnés :

Par défaut, si plusieurs certificats sont valides, l’application Citrix Workspace invite l’utilisateur à en choisir un dans la liste. Vous pouvez également configurer l’application Citrix Workspace pour qu’elle utilise le certificat par défaut (celui du fournisseur de carte à puce) ou le certificat présentant la date d’expiration la plus éloignée. S’il n’existe aucun certificat valide, l’utilisateur en est notifié et il a la possibilité d’utiliser une autre méthode d’ouverture de session, le cas échéant.

Un certificat valide doit présenter ces caractéristiques :

  • L’heure actuelle de l’horloge sur l’ordinateur doit se situer dans la période de validité du certificat.
  • La clé publique du sujet doit utiliser l’algorithme RSA et présenter une longueur de 1 024, 2 048 ou 4 096 bits.
  • L’utilisation de la clé doit contenir une signature numérique.
  • L’autre nom du sujet doit contenir le nom d’utilisateur principal (UPN).
  • L’utilisation améliorée de la clé doit contenir l’ouverture de session par carte à puce et l’authentification client, ou toute utilisation de clé.
  • L’une des autorités de certification sur la chaîne de l’émetteur du certificat doit correspondre à l’un des noms uniques autorisés (DN) envoyé par le serveur dans la négociation TLS.

Modifiez la manière dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } sur la ligne de commande de l’application Citrix Workspace.

    Prompt est la valeur par défaut. Pour SmartCardDefault ou LatestExpiry, si plusieurs certificats répondent aux critères, l’application Citrix Workspace invite l’utilisateur à choisir un certificat.

  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_CURRENT_USER or HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager : CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }.

Les valeurs définies dans HKEY_CURRENT_USER sont prioritaires sur les valeurs définies dans HKEY_LOCAL_MACHINE afin d’aider l’utilisateur à sélectionner un certificat.

Pour utiliser des invites de code PIN CSP :

Par défaut, les invites de saisie du code PIN sont fournies par l’application Citrix Workspace pour Windows plutôt que par le fournisseur de service cryptographique (CSP) de la carte à puce. L’application Citrix Workspace invite les utilisateurs à entrer un code PIN lorsque cela est requis et transmet le code PIN au CSP de la carte à puce. Si votre site ou votre carte à puce impose des mesures de sécurité plus strictes, telles que la désactivation de la mise en cache du code PIN par processus ou par session, vous pouvez configurer l’application Citrix Workspace pour qu’elle utilise à la place les composants du CSP pour gérer la saisie du code PIN, y compris l’invite de saisie du code PIN.

Modifiez la manière dont la saisie du code PIN est traitée en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM\_SMARTCARDPINENTRY=CSP sur la ligne de commande de l’application Citrix Workspace.
  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP.

Authentification par carte à puce pour l’interface Web

Si l’application Citrix Workspace pour Windows a été installée avec un composant SSON, l’authentification pass-through est activée par défaut, même si l’authentification pass-through par code PIN pour carte à puce n’est pas activée sur le site PNAgent XenApp, le paramètre pass-through comme méthode d’authentification ne sera plus valide. L’écran ci-dessous montre comment activer la carte à puce comme méthode d’authentification lorsque l’application Citrix Workspace est configurée correctement avec SSON.

Utilisez la stratégie de retrait de carte à puce pour contrôler le comportement de retrait de la carte à puce lorsqu’un utilisateur s’authentifie auprès du site PNAgent de l’Interface Web Citrix 5.4.

Lorsque cette stratégie est activée, l’utilisateur est déconnecté de la session Citrix Virtual Apps si la carte à puce a été retirée de la machine cliente. Toutefois, l’utilisateur est toujours connecté à l’application Citrix Workspace.

Pour que cette stratégie soit appliquée, la stratégie de retrait de carte à puce doit être définie dans le site XenApp Services de l’Interface Web. Les paramètres se trouvent sur l’Interface Web 5.4, Site XenApp Services > Authentification unique avec carte à puce > Activer l’itinérance > Fermer les sessions lors du retrait d’une carte à puce.

Lorsque la stratégie de retrait de carte à puce est désactivée, la session Citrix Virtual Apps de l’utilisateur est déconnectée si la carte à puce est retirée de la machine cliente. Le retrait de la carte à puce sur le site XenApp Services de l’interface Web n’a aucun effet.

Remarque :

Il existe des stratégies distinctes pour les clients 32 bits et 64 bits. Pour les machines 32 bits, le nom de la stratégie est Stratégie de retrait de carte à puce (machine 32 bits) et pour les machines 64 bits, le nom de la stratégie est Stratégie de retrait de carte à puce (machine 64 bits).

alt_text

Modifications de la prise en charge et du retrait des cartes à puce

Tenez compte de ce qui suit lors de l’ouverture de session sur un site PNAgent XenApp 6.5 :

  • L’ouverture de session par carte à puce est prise en charge pour les connexions au site PNAgent.
  • La stratégie de retrait de carte à puce a été modifiée sur le site PNAgent :

Une session Citrix Virtual Apps est fermée lorsque la carte à puce est retirée : si le site PNAgent est configuré avec l’authentification par carte à puce, la stratégie correspondante doit être configurée sur l’application Citrix Workspace pour Windows pour appliquer la fermeture de session de Citrix Virtual Apps. Activez l’itinérance pour l’authentification par carte à puce sur le site PNAgent XenApp et activez la stratégie de retrait de carte à puce, qui déconnecte Citrix Virtual Apps de la session de l’application Citrix Workspace. L’utilisateur reste connecté à la session de l’application Citrix Workspace.

Limitation :

Lorsque vous ouvrez une session sur le site PNAgent à l’aide de l’authentification par carte à puce, le nom d’utilisateur est affiché comme Session ouverte.