Authentification

Pour maximiser la sécurité de votre environnement, vous devez sécuriser les connexions entre l’application Citrix Workspace et les ressources que vous publiez. Vous pouvez configurer plusieurs types d’authentification pour votre application Citrix Workspace, y compris l’authentification pass-through au domaine, par carte à puce et pass-through Kerberos.

Authentification pass-through au domaine

Single Sign-On vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops sans procéder à une nouvelle authentification.

Lorsque vous ouvrez une session sur l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront avec les applications et bureaux énumérés et les paramètres du menu Démarrer. Après avoir configuré Single Sign-On, vous pouvez ouvrir une session sur l’application Citrix Workspace et lancer des sessions Citrix Virtual Apps and Desktops sans ressaisir vos informations d’identification.

Tous les navigateurs Web requièrent la configuration de l’authentification unique à l’aide du modèle d’administration de l’objet de stratégie de groupe (GPO). Pour plus d’informations sur la configuration de l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe, reportez-vous à la section Configurer Single Sign-on avec Citrix Gateway.

Vous pouvez configurer l’authentification Single Sign-On lors d’une nouvelle installation ou d’une mise à niveau, à l’aide de l’une des options suivantes :

  • Interface de ligne de commande
  • GUI

Configurer l’authentification Single Sign-On lors d’une nouvelle installation

Pour configurer l’authentification Single Sign-On lors d’une nouvelle installation, suivez les étapes suivantes :

  1. Configuration sur StoreFront.
  2. Configurez les services d’approbation XML sur le Delivery Controller.
  3. Modifiez les paramètres d’Internet Explorer.
  4. Installez l’application Citrix Workspace avec Single Sign-On.

Configurer l’authentification unique sur StoreFront

Single Sign-on vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops mis à disposition par ce domaine sans procéder à une nouvelle authentification pour chaque application ou bureau. Lorsque vous ajoutez un magasin à l’aide de l’utilitaire Storebrowse, vos informations d’identification sont transmises au serveur Citrix Gateway avec les applications et les bureaux énumérés pour vous, y compris les paramètres du menu Démarrer. Après avoir configuré Single Sign-on, vous pouvez ajouter le magasin, énumérer vos applications et bureaux et lancer les ressources nécessaires sans saisir à plusieurs reprises vos informations d’identification.

Selon le déploiement Citrix Virtual Apps and Desktops, l’authentification Single Sign-On peut être configurée sur StoreFront à l’aide de la console de gestion.

Utilisez le tableau ci-dessous pour différents cas d’utilisation et la configuration associée :

Cas d’utilisation Détails de la configuration Informations supplémentaires
SSON configuré sur StoreFront Lancez Citrix Studio, accédez à Magasin > Gérer les méthodes d’authentification > activez Authentification pass-through au domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de l’authentification pass-through au domaine à Nom d’utilisateur et mot de passe, le cas échéant.
Lorsque Workspace pour Web est requis Lancez Magasin > Workspace pour Web > Gérer les méthodes d’authentification > activez Authentification pass-through au domaine. Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de l’authentification pass-through au domaine à Nom d’utilisateur et mot de passe, le cas échéant.

Configurer Single Sign-on avec Citrix Gateway

Vous pouvez activer Single Sign-On avec Citrix Gateway via le modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur.
  3. Sélectionnez la stratégie Single Sign-on pour Citrix Gateway.
  4. Sélectionnez Activé.
  5. Cliquez sur Appliquer et OK.
  6. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer les services d’approbation XML sur le Delivery Controller

Sur Citrix Virtual Apps and Desktops, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :

asnp Citrix* Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modifier les paramètres d’Internet Explorer

  1. Ajoutez le serveur StoreFront à la liste de sites de confiance à l’aide d’Internet Explorer. Pour ce faire :
    1. Lancez Options Internet à partir du panneau de configuration.
    2. Cliquez sur Sécurité > Internet local, puis sur Sites.

      La fenêtre Intranet Local s’affiche.

    3. Sélectionnez Avancé.
    4. Ajoutez l’adresse URL ou le nom de domaine complet de StoreFront avec les protocoles HTTP ou HTTPS appropriés.
    5. Cliquez sur Appliquer et OK.
  2. Modifiez les paramètres Authentification utilisateur dans Internet Explorer. Pour ce faire :
    1. Lancez Options Internet à partir du panneau de configuration.
    2. Cliquez sur l’onglet Sécurité > Sites de confiance.
    3. Cliquez sur Personnaliser le niveau. La fenêtre Paramètres de sécurité – Zone Sites de confiance s’affiche.
    4. Dans le panneau Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuel.

      Authentification utilisateur

    5. Cliquez sur Appliquer et OK.

Configurer Single Sign-On à l’aide de l’interface de ligne de commande

Installez l’application Citrix Workspace avec le commutateur /includeSSON et redémarrez-la pour que les modifications prennent effet.

Remarque :

Si l’application Citrix Workspace pour Windows a été installée sans le composant Single Sign-on, la mise à niveau vers la dernière version de l’application Citrix Workspace avec le commutateur /includeSSON n’est pas prise en charge.

Configurer Single Sign-on à l’aide de l’interface utilisateur graphique

  1. Accédez au fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe).
  2. Cliquez deux fois sur CitrixWorkspaceApp.exe pour lancer le programme d’installation.
  3. Dans l’assistant d’installation Activer l’authentification unique, sélectionnez l’option Activer l’authentification unique.
  4. Cliquez sur Suivant et suivez les invites pour terminer l’installation.

Vous pouvez maintenant vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans fournir d’informations d’identification utilisateur.

Configurer Single Sign-on sur Citrix Workspace pour Web

Vous pouvez configurer Single Sign-on sur Workspace pour Web à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de Workspace pour Web en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur.
  3. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
  4. Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour Web d’utiliser vos informations d’identification d’ouverture de session pour l’authentification sur le serveur distant.
  5. Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA. Cette option ignore toute restriction d’authentification et autorise le transfert des informations d’identification sur toutes les connexions.
  6. Cliquez sur Appliquer et OK.
  7. Redémarrez Workspace pour Web pour que les modifications prennent effet.

Vérifiez que Single Sign-on est activé. Pour cela, démarrez le gestionnaire des tâches et vérifiez si le processus ssonsvr.exe est en cours d’exécution.

Configurer Single Sign-on à l’aide d’Active Directory

Procédez comme suit pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez obtenir l’authentification Single Sign-on sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.

  1. Téléchargez et placez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l’application Citrix Workspace.

  2. Obtenez le CheckAndDeployWorkspacePerMachineStartupScript.batmodèle à partir de la page Téléchargement de l’application Citrix Workspace pour Windows.

  3. Modifiez le contenu pour refléter l’emplacement et la version de CitrixWorkspaceApp.exe.

  4. Dans la console Gestion des stratégies de groupe Active Directory, entrez CheckAndDeployWorkspacePerMachineStartupScript.bat comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory.

  5. Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajout/Suppression de modèles pour ajouter le fichier receiver.adml.

  6. Après avoir ajouté le modèle receiver.adml, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur. Pour plus d’informations sur l’ajout de fichiers de modèle, consultez la section Modèle d’administration d’objet de stratégie de groupe.

  7. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.

  8. Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.

  9. Redémarrez la machine pour que les modifications prennent effet.

Configurer l’authentification unique sur StoreFront

Configuration du StoreFront

Ouvrez Citrix Studio sur le serveur StoreFront et sélectionnez Authentification -> Ajouter/supprimer des méthodes d’authentification. Sélectionnez Authentification pass-through au domaine.

alt_text

Jetons d’authentification

Les jetons d’authentification sont chiffrés et stockés sur le disque local, de sorte que vous n’avez pas besoin de saisir à nouveau vos informations d’identification lorsque votre système ou votre session redémarre. L’application Citrix Workspace offre une option permettant de désactiver le stockage des jetons d’authentification sur le disque local.

Pour une sécurité renforcée, nous fournissons maintenant une stratégie Objet de stratégie de groupe (GPO) pour configurer le stockage de jetons d’authentification.

Remarque :

Cette configuration ne s’applique qu’aux déploiements dans le cloud.

Pour désactiver le stockage des jetons d’authentification à l’aide de la stratégie Objet de stratégie de groupe (GPO) :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Self-Service.
  3. Dans la stratégie Stocker les jetons d’authentification, sélectionnez l’une des options suivantes :

    • Activé : indique que les jetons d’authentification sont stockés sur le disque. Option par défaut.
    • Désactivé : indique que les jetons d’authentification ne sont pas stockés sur le disque. Vous devez saisir à nouveau vos informations d’identification lorsque votre système ou votre session redémarre.
  4. Cliquez sur Appliquer et OK.

À compter de la version 2106, l’application Citrix Workspace offre une option supplémentaire permettant de désactiver le stockage des jetons d’authentification sur le disque local. En plus de la configuration d’objet de stratégie de groupe existante, vous pouvez également désactiver le stockage de jetons d’authentification sur le disque local à l’aide du Global App Configuration Service.

Dans Global App Configuration Service, définissez l’attribut Store Authentication Tokens sur False.

Pour plus d’informations, consultez la documentation Global App Configuration Service .

Outil d’analyse de la configuration

L’Outil d’analyse de la configuration vous permet d’exécuter un test pour vous assurer que Single Sign-On est correctement configuré. Le test est exécuté sur les différents points de contrôle de la configuration de l’authentification Single Sign-On et affiche les résultats de la configuration.

  1. Cliquez avec le bouton droit de la souris sur l’icône de l’application Citrix Workspace dans la zone de notification et cliquez sur Préférences avancées. La boîte de dialogue Préférences avancées s’affiche.
  2. Cliquez sur Outil d’analyse de la configuration. La fenêtre Outil d’analyse de la configuration s’affiche.

    Outil d'analyse de la configuration

  3. Sélectionnez SSONChecker dans le volet Sélectionner.
  4. Cliquez sur Exécuter. Une barre de progression apparaît, affichant l’état du test.

La fenêtre Outil d’analyse de la configuration comporte les colonnes suivantes :

  1. État : affiche le résultat d’un test sur un point de contrôle.

    • Une coche verte indique que le point de contrôle est correctement configuré.
    • Un I bleu indique des informations sur le point de contrôle.
    • Un X rouge indique que le point de contrôle n’est pas configuré correctement.
  2. Fournisseur : affiche le nom du module sur lequel le test est exécuté. Dans ce cas, Single Sign-on.
  3. Suite : indique la catégorie du test. Par exemple, Installation.
  4. Test : indique le nom du test qui est exécuté.
  5. Détails : fournit des informations supplémentaires sur le test, indépendamment de la réussite ou de l’échec.

L’utilisateur dispose de plus d’informations sur chaque point de contrôle et les résultats correspondants.

Les tests suivants sont effectués :

  1. Installé avec Single Sign-on.
  2. Capture des informations d’identification d’ouverture de session.
  3. Enregistrement du fournisseur réseau : le résultat du test pour l’enregistrement du fournisseur de réseau affiche une coche verte uniquement si « Citrix Single Sign-On » est défini en tant que premier élément dans la liste des fournisseurs de réseau. Si Citrix Single Sign-On s’affiche ailleurs dans la liste, le résultat de test pour l’inscription du fournisseur réseau s’affiche avec un I bleu et des informations supplémentaires.
  4. Processus de Single Sign-On en cours d’exécution.
  5. Stratégie de groupe : par défaut, cette stratégie est configurée sur le client.
  6. Paramètres Internet pour les zones de sécurité : assurez-vous que vous ajoutez le magasin/l’adresse URL du service XenApp à la liste des zones de sécurité dans les Options Internet. Si les zones de sécurité sont configurées via une stratégie de groupe, toute modification de la stratégie requiert que la fenêtre Préférences avancées soit rouverte pour que les modifications soient prises en compte et pour afficher l’état correct du test.
  7. Méthode d’authentification pour StoreFront.

Remarque :

  • Si vous accédez à Workspace pour Web, les résultats du test ne sont pas applicables.
  • Si l’application Citrix Workspace est configurée avec plusieurs magasins, le test de la méthode d’authentification est exécuté sur tous les magasins configurés.
  • Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.

Masquer l’outil d’analyse de la configuration dans la fenêtre Préférences avancées

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Accédez à Composants Citrix > Citrix Workspace > Libre-service > DisableConfigChecker.
  3. Cliquez sur Activé pour masquer l’option Outil d’analyse de la configuration dans la fenêtre Préférences avancées.
  4. Cliquez sur Appliquer et OK.
  5. Exécutez la commande gpupdate /force.

Limitation :

L’outil d’analyse de la configuration ne comprend pas le point de contrôle pour la configuration de l’option Faire confiance aux requêtes envoyées au service XML sur les serveurs Citrix Virtual Apps and Desktops.

Test de balise

L’application Citrix Workspace vous permet d’effectuer un test de balise à l’aide du contrôleur de balises disponible dans l’outil d’analyse de la configuration. Un test de balise permet de vérifier si la balise (ping.citrix.com) est accessible. Ce test de diagnostic permet d’écarter l’une des nombreuses causes possibles d’une énumération lente des données, à savoir l’indisponibilité de la balise. Pour exécuter le test, cliquez avec le bouton droit de la souris sur l’application Citrix Workspace dans la zone de notification et sélectionnez Préférences avancées > Outil d’analyse de la configuration. Sélectionnez Contrôleur de balises dans la liste de tests et cliquez sur Exécuter.

Les résultats du test peuvent être les suivants :

  • Accessible : la balise peut contacter l’application Citrix Workspace.
  • Inaccessible : l’application Citrix Workspace ne peut pas contacter la balise.
  • Partiellement accessible : l’application Citrix Workspace peut contacter la balise par intermittence.

Remarque :

  • Les résultats du test ne s’appliquent pas à Workspace pour Web.
  • Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.

Authentification pass-through au domaine avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows, StoreFront et Citrix Virtual Apps and Desktops.

L’application Citrix Workspace prend en charge l’authentification pass-through au domaine Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).

Lorsque l’authentification Kerberos est activée, Kerberos gère l’authentification sans mots de passe pour l’application Citrix Workspace, ce qui évite les attaques de type cheval de Troie destinées à obtenir les mots de passe sur la machine utilisateur. Les utilisateurs peuvent ouvrir une session avec la méthode d’authentification de leur choix et accéder aux ressources publiées. Par exemple, un système d’authentification biométrique tel qu’un lecteur d’empreinte digitale peut être utilisé.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront et Citrix Virtual Apps and Desktops configurés pour l’authentification par carte à puce, l’application Citrix Workspace effectue les opérations suivantes :

  1. capture le code PIN de la carte à puce pendant le processus Single Sign-on.
  2. utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à l’application Workspace les informations relatives à la disponibilité de Citrix Virtual Apps and Desktops.

    Remarque

    Activez Kerberos pour éviter l’affichage d’invites de saisie de code PIN supplémentaires. Si vous n’utilisez pas l’authentification Kerberos, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

  3. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA afin de connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops fournit ensuite les ressources demandées.

Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, assurez-vous que la configuration de Kerberos respecte les critères suivants.

  • Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs appartenant aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs doivent également être approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
  • Kerberos doit être activé sur le domaine et dans Citrix Virtual Apps and Desktops. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non Kerberos sur le domaine.
  • L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser les informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.

Avertissement

Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de l’Éditeur du Registre. Veillez à sauvegarder le registre avant de le modifier.

Authentification pass-through au domaine avec Kerberos en vue de l’utilisation avec des cartes à puce

Avant de poursuivre, consultez les informations relatives aux cartes à puce dans la section Sécuriser votre déploiement de la documentation Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

  • /includeSSON

    Cette option installe le composant Single Sign-on sur l’ordinateur appartenant au domaine, ce qui permet à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant Single Sign-on mémorise le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX pour transmettre à distance le matériel et les informations d’identification de la carte à puce à Citrix Virtual Apps and Desktops. Citrix Virtual Apps and Desktops sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.

    L’option associée ENABLE_SSON est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer Single Sign-on sur une machine, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sélectionnez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through.
  4. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

    Activer l'authentification pass-through

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Prise en charge de l’accès conditionnel avec Azure Active Directory

L’accès conditionnel est un outil utilisé par Azure Active Directory pour appliquer les stratégies d’organisation. Les administrateurs de Workspace peuvent configurer et appliquer les stratégies d’accès conditionnel Azure Active Directory pour les utilisateurs qui s’authentifient auprès de l’application Citrix Workspace. Microsoft Edge WebView2 Runtime version 92 ou ultérieure doit être installé sur la machine Windows exécutant l’application Workspace.

Pour obtenir plus de détails et des instructions sur la configuration des stratégies d’accès conditionnel avec Azure Active Directory, consultez la documentation Azure AD relative à l’accès conditionnel sur docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/.

Remarque :

Cette fonctionnalité est prise en charge uniquement sur les déploiements Workspace (Cloud).

Autres méthodes d’authentification auprès de Citrix Workspace

Vous pouvez configurer les mécanismes d’authentification suivants avec l’application Citrix Workspace. Pour que les mécanismes d’authentification suivants fonctionnent comme prévu, Microsoft Edge WebView2 Runtime version 92 ou version ultérieure doit être installé sur la machine Windows exécutant l’application Workspace.

  1. Authentification basée sur Windows Hello : pour obtenir des instructions sur la configuration de l’authentification basée sur Windows Hello, consultez la section Configurer les paramètres de Windows Hello Entreprise - Certificat d’autorisation (docs.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings).
  2. Authentification basée sur les clés de sécurité FIDO2 : les clés de sécurité FIDO2 permettent aux employés de l’entreprise de s’authentifier sans entrer de nom d’utilisateur ou de mot de passe. Vous pouvez configurer l’authentification basée sur les clés de sécurité FIDO2 sur Citrix Workspace. Si vous souhaitez que vos utilisateurs s’authentifient auprès de Citrix Workspace avec leur compte Azure AD à l’aide d’une clé de sécurité FIDO2, consultez la section Activer la connexion par clé de sécurité sans mot de passe (docs.microsoft.com/fr-fr/azure/active-directory/authentication/howto-authentication-passwordless-security-key).
  3. Vous pouvez également configurer l’authentification unique (SSO) auprès de l’application Citrix Workspace à partir de machines Azure Active Directory (AAD) jointes avec AAD en tant que fournisseur d’identité. Pour de plus amples informations sur la configuration d’Azure Active Directory Domain Services, consultez Présentation d’Azure Active Directory Domain Services sur docs.microsoft.com/fr-fr/azure/active-directory-domain-services/overview. Pour plus d’informations sur la façon de connecter Azure Active Directory à Citrix Cloud, consultez la section Connecter Azure Active Directory à Citrix Cloud.

Carte à puce

L’application Citrix Workspace pour Windows prend en charge l’authentification par carte à puce suivante :

  • Authentification pass-through (Single Sign-On) : l’authentification pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace. Citrix Workspace utilise les informations d’identification capturées comme suit :

    • Les utilisateurs dont les machines appartiennent au domaine qui ouvrent une session sur l’application Citrix Workspace à l’aide de la de carte à puce peuvent démarrer des applications et des bureaux virtuels sans avoir à se réauthentifier.
    • L’application Citrix Workspace qui s’exécute sur des machines n’appartenant pas au domaine avec des informations d’identification de carte à puce doivent de nouveau entrer leurs informations d’identification pour démarrer une application ou un bureau virtuel.

    L’authentification pass-through requiert une configuration sur StoreFront et l’application Citrix Workspace.

  • Authentification bimodale : avec l’authentification bimodale, les utilisateurs peuvent choisir d’utiliser une carte à puce ou d’entrer leurs nom d’utilisateur et mot de passe. Cette fonctionnalité est utile lorsque vous ne pouvez pas utiliser de carte à puce. Par exemple, le certificat d’ouverture de session a expiré. Des magasins dédiés doivent être configurés pour chaque site pour permettre l’authentification bimodale et la méthode DisableCtrlAltDel doit être définie sur False pour autoriser les cartes à puce. L’authentification bimodale requiert la configuration de StoreFront.

    L’authentification bimodale permet à l’administrateur StoreFront de proposer à l’utilisateur à la fois l’authentification par nom d’utilisateur et mot de passe et par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.

  • Certificats multiples : de multiples certificats peuvent être utilisés pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsque vous insérez une carte à puce dans un lecteur de cartes, les certificats s’appliquent à toutes les applications qui s’exécutent sur la machine utilisateur, y compris l’application Citrix Workspace.

  • Authentification du certificat client : l’authentification du certificat client requiert la configuration de Citrix Gateway et de StoreFront.

    • Pour accéder à StoreFront via Citrix Gateway, vous devez vous ré-authentifier après le retrait de la carte à puce.
    • Lorsque la configuration SSL de Citrix Gateway est définie sur authentification du certificat client obligatoire, la sécurité des opérations est garantie. Toutefois, l’authentification du certificat client obligatoire n’est pas compatible avec l’authentification bimodale.
  • Sessions double hop : si une session double hop est nécessaire, une connexion est établie entre l’application Citrix Workspace et le bureau virtuel de l’utilisateur.

  • Applications activées pour carte à puce : les applications activées pour carte à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer numériquement ou de crypter des documents disponibles dans les sessions Citrix Virtual Apps and Desktops.

Limitations :

  • Les certificats doivent être stockés sur une carte à puce et non sur la machine utilisateur.
  • L’application Citrix Workspace n’enregistre pas le choix de certificat de l’utilisateur, mais mémorise le code PIN lors de la configuration. Le code PIN est mis en cache dans la mémoire non paginée uniquement pendant la session utilisateur et n’est pas stocké sur le disque.
  • L’application Citrix Workspace ne reconnecte pas une session lorsqu’une carte à puce est insérée.
  • Lorsqu’elle est configurée pour utiliser l’authentification par carte à puce, l’application Citrix Workspace ne prend pas en charge l’authentification unique avec réseau privé virtuel (VPN) ou le pré-lancement de session. Pour utiliser un VPN avec l’authentification par carte à puce, installez Citrix Gateway Plug-in, ouvrez une session via une page Web et utilisez vos cartes à puce et codes PIN pour vous authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.
  • Les communications du programme de mise à jour de l’application Citrix Workspace avec citrix.com et Merchandising Server ne sont pas compatibles avec l’authentification par carte à puce sur Citrix Gateway.

Avertissement

Certaines configurations nécessitent des modifications du registre. Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Veillez à sauvegarder le registre avant de le modifier.

Pour activer le Single Sign-On (SSO) pour l’authentification par carte à puce :

Pour configurer l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante lors de l’installation :

  • ENABLE_SSON=Yes

    L’authentification pass-through est également appelée Single Sign-On (SSO). L’activation de ce paramètre empêche l’application Citrix Workspace d’afficher une seconde invite de saisie du code PIN.

  • Dans l’Éditeur du Registre, accédez au chemin suivant et définissez la chaîne SSONCheckEnabled sur False si le composant d’authentification unique n’est pas installé.

    HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de rechercher le composant Single Sign-on, ce qui permet à Citrix Workspace de s’authentifier auprès de StoreFront.

Pour activer l’authentification par carte à puce sur StoreFront au lieu de Kerberos, installez l’application Citrix Workspace pour Windows à l’aide des options de ligne de commande suivantes.

  • /includeSSON installe l’authentification Single Sign-On (authentification pass-through). Permet la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through au domaine.

  • Si l’utilisateur ouvre une session sur le point de terminaison avec une méthode autre que la carte à puce pour l’authentification de l’application Citrix Workspace pour Windows (par exemple, le nom d’utilisateur et le mot de passe), la ligne de commande est la suivante :

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Aucune information d’identification n’est capturée lors de l’ouverture de session et l’application Citrix Workspace peut mémoriser le code PIN lors de l’ouverture de session sur l’application Citrix Workspace.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Rendez-vous sur Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, sélectionnez l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.

Pour configurer StoreFront :

  • Lorsque vous configurez le service d’authentification, sélectionnez la case à cocher Carte à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Pour activer l’utilisation de cartes à puce sur les machines utilisateur :

  1. Importez le certificat racine d’autorité de certification dans le keystore de la machine.
  2. Installez les logiciels intermédiaires de chiffrement du fournisseur de services.
  3. Installez et configurez l’application Citrix Workspace.

Pour modifier la façon dont les certificats sont sélectionnés :

Par défaut, si plusieurs certificats sont valides, l’application Citrix Workspace invite l’utilisateur à en choisir un dans la liste. Vous pouvez également configurer l’application Citrix Workspace pour qu’elle utilise le certificat par défaut (celui du fournisseur de carte à puce) ou le certificat présentant la date d’expiration la plus éloignée. S’il n’existe aucun certificat valide, l’utilisateur en est notifié et il a la possibilité d’utiliser une autre méthode d’ouverture de session, le cas échéant.

Un certificat valide doit présenter ces caractéristiques :

  • L’heure actuelle de l’horloge sur l’ordinateur doit se situer dans la période de validité du certificat.
  • La clé publique du sujet doit utiliser l’algorithme RSA et présenter une longueur de 1 024, 2 048 ou 4 096 bits.
  • L’utilisation de la clé doit contenir une signature numérique.
  • L’autre nom du sujet doit contenir le nom d’utilisateur principal (UPN).
  • L’utilisation améliorée de la clé doit contenir l’ouverture de session par carte à puce et l’authentification client, ou toute utilisation de clé.
  • L’une des autorités de certification sur la chaîne de l’émetteur du certificat doit correspondre à l’un des noms uniques autorisés (DN) envoyé par le serveur dans la négociation TLS.

Modifiez la manière dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } sur la ligne de commande de l’application Citrix Workspace.

    Prompt est la valeur par défaut. Pour SmartCardDefault ou LatestExpiry, si plusieurs certificats répondent aux critères, l’application Citrix Workspace invite l’utilisateur à choisir un certificat.

  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }.

Les valeurs définies dans la HKEY_CURRENT_USER ont priorité sur les valeurs définies dans la HKEY_LOCAL_MACHINE afin d’aider l’utilisateur à sélectionner un certificat.

Pour utiliser des invites de code PIN CSP :

Par défaut, les invites de saisie du code PIN sont fournies par l’application Citrix Workspace pour Windows plutôt que par le fournisseur de service cryptographique (CSP) de la carte à puce. L’application Citrix Workspace invite les utilisateurs à entrer un code PIN lorsque cela est requis et transmet le code PIN au CSP de la carte à puce. Si votre site ou votre carte à puce impose des mesures de sécurité plus strictes, telles que la désactivation de la mise en cache du code PIN par processus ou par session, vous pouvez configurer l’application Citrix Workspace pour qu’elle utilise à la place les composants du CSP pour gérer la saisie du code PIN, y compris l’invite de saisie du code PIN.

Modifiez la manière dont la saisie du code PIN est traitée en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM_SMARTCARDPINENTRY=CSP sur la ligne de commande de l’application Citrix Workspace.
  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager : SmartCardPINEntry=CSP.

Modifications de la prise en charge et du retrait des cartes à puce

Une session Citrix Virtual Apps est fermée lorsque la carte à puce est retirée : si l’application Citrix Workspace est configuré avec l’authentification par carte à puce, la stratégie correspondante doit être configurée sur l’application Citrix Workspace pour Windows pour appliquer la fermeture de session de Citrix Virtual Apps. L’utilisateur reste connecté à la session de l’application Citrix Workspace.

Limitation :

Lorsque vous ouvrez une session sur l’application Citrix Workspace à l’aide de l’authentification par carte à puce, le nom d’utilisateur est affiché comme Session ouverte.

Carte à puce rapide

La carte à puce rapide constitue une amélioration par rapport à la redirection de carte à puce PC/SC HDX existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des environnements WAN à latence élevée.

Les cartes à puce rapides ne sont prises en charge que sur Linux VDA.

Pour activer une connexion par carte à puce rapide sur l’application Citrix Workspace :

La connexion par carte à puce rapide est activée par défaut sur le VDA et désactivée par défaut sur l’application Citrix Workspace. Pour activer une connexion par carte à puce rapide, incluez le paramètre suivant dans le fichier default.ica du site StoreFront associé :

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace :

Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace, supprimez le paramètre SmartCardCryptographicRedirection du fichier default.ica du site StoreFront associé.

Pour de plus amples informations, consultez la section Cartes à puce.

Authentification silencieuse pour Citrix Workspace

L’application Citrix Workspace introduit une stratégie d’objet de stratégie de groupe (GPO) pour activer l’authentification silencieuse pour Citrix Workspace. Cette stratégie permet à l’application Citrix Workspace de se connecter automatiquement à Citrix Workspace au démarrage du système. Utilisez cette stratégie uniquement lorsque le pass-through au domaine (authentification unique) est configuré pour Citrix Workspace sur des appareils joints à un domaine.

Pour que cette stratégie fonctionne, les critères suivants doivent être respectés :

  • L’authentification unique doit être activée.
  • La clé SelfServiceMode doit être définie sur Off dans l’éditeur du Registre.

Activation de l’authentification silencieuse :

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Libre-service.
  3. Cliquez sur la stratégie Authentification silencieuse pour Citrix Workspace et définissez la valeur sur Activé.
  4. Cliquez sur Appliquer et OK.