Configuration de l’authentification par carte à puce

L’application Citrix Workspace pour Windows prend en charge l’authentification par carte à puce suivante :

  • Authentification pass-through (Single Sign-On) : l’authentification pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace. Citrix Workspace utilise les informations d’identification capturées comme suit :

    • Les utilisateurs dont les machines appartiennent au domaine qui ouvrent une session sur l’application Citrix Workspace avec des informations d’identification de carte à puce peuvent démarrer des applications et des bureaux virtuels sans procéder à une nouvelle authentification.
    • L’application Citrix Workspace qui s’exécute sur des machines n’appartenant pas au domaine avec des informations d’identification de carte à puce doivent de nouveau entrer leurs informations d’identification pour démarrer une application ou un bureau virtuel.

L’authentification pass-through requiert une configuration sur StoreFront et l’application Citrix Workspace.

  • Authentification bimodale : avec l’authentification bimodale, les utilisateurs peuvent choisir d’utiliser une carte à puce ou d’entrer leurs nom d’utilisateur et mot de passe. Cette fonctionnalité est utile lorsque vous ne pouvez pas utiliser de carte à puce, par exemple, lorsque le certificat d’ouverture de session a expiré. Des magasins dédiés doivent être configurés pour chaque site pour permettre l’authentification bimodale et la méthode DisableCtrlAltDel doit être définie sur False pour autoriser les cartes à puce. L’authentification bimodale requiert la configuration de StoreFront. Si Citrix Gateway est présent dans la solution, une configuration est également nécessaire.

    L’authentification bimodale permet à l’administrateur StoreFront de proposer à l’utilisateur à la fois l’authentification par nom d’utilisateur et mot de passe et par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.

  • Certificats multiples : de multiples certificats peuvent être disponibles pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsque vous insérez une carte à puce dans un lecteur de cartes, les certificats s’appliquent à toutes les applications qui s’exécutent sur la machine utilisateur, y compris l’application Citrix Workspace.

  • Authentification du certificat client : l’authentification du certificat client requiert la configuration de Citrix Gateway et de StoreFront.

    • Pour accéder à StoreFront via Citrix Gateway, vous devrez peut-être vous ré-authentifier après le retrait d’une carte à puce.
    • Lorsque la configuration SSL de Citrix Gateway est définie sur authentification du certificat client obligatoire, la sécurité des opérations est garantie. Toutefois, l’authentification du certificat client obligatoire n’est pas compatible avec l’authentification bimodale.
  • Sessions double hop : si une session double hop est nécessaire, une connexion est établie entre l’application Citrix Workspace et le bureau virtuel de l’utilisateur. Les déploiements qui prennent en charge le double-hop sont décrits dans la documentation Citrix Virtual Apps and Desktops.

  • Applications activées pour carte à puce : les applications activées pour carte à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer numériquement ou de crypter des documents disponibles dans les sessions Citrix Virtual Apps and Desktops.

Limitations

  • Les certificats doivent être stockés sur une carte à puce et non sur la machine utilisateur.
  • L’application Citrix Workspace n’enregistre pas le choix de certificat de l’utilisateur, mais mémorise le code PIN lors de la configuration. Le code PIN est mis en cache dans la mémoire non paginée uniquement pendant la session utilisateur et n’est pas stocké sur le disque.
  • L’application Citrix Workspace ne reconnecte pas une session lorsqu’une carte à puce est insérée.
  • Lorsqu’elle est configurée pour utiliser l’authentification par carte à puce, l’application Citrix Workspace ne prend pas en charge l’authentification unique avec réseau privé virtuel (VPN) ou le pré-lancement de session. Pour utiliser un VPN avec l’authentification par carte à puce, installez Citrix Gateway Plug-in, ouvrez une session via une page Web et utilisez vos cartes à puce et codes PIN pour vous authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.
  • Les communications du programme de mise à jour de l’application Citrix Workspace avec citrix.com et Merchandising Server ne sont pas compatibles avec l’authentification par carte à puce sur Citrix Gateway.

Avertissement

Certaines configurations nécessitent des modifications du registre. Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Veillez à sauvegarder le registre avant de le modifier.

Pour activer Single Sign-On pour l’authentification par carte à puce

Pour configurer l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante lors de l’installation :

  • ENABLE\_SSON=Yes

    L’authentification pass-through est également appelée Single Sign-On (SSO). L’activation de ce paramètre empêche l’application Citrix Workspace d’afficher une seconde invite de saisie du code PIN.

  • Définissez SSONCheckEnabled sur false si le composant Single Sign-on n’est pas installé. La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de rechercher le composant Single Sign-on, ce qui permet à Citrix Workspace de s’authentifier auprès de StoreFront.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Pour activer l’authentification par carte à puce sur StoreFront au lieu de Kerberos, installez l’application Citrix Workspace pour Windows à l’aide des options de ligne de commande ci-dessous.

  • /includeSSON installe l’authentification Single Sign-On (pass-through). Permet la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through au domaine.

  • Si l’utilisateur ouvre une session sur le point de terminaison avec une méthode autre que la carte à puce pour l’authentification de l’application Citrix Workspace pour Windows (par exemple, le nom d’utilisateur et le mot de passe), la ligne de commande est la suivante :

/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Aucune information d’identification n’est capturée lors de l’ouverture de session et l’application Citrix Workspace peut mémoriser le code PIN lors de l’ouverture de session sur l’application Citrix Workspace.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Rendez-vous sur Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
  3. Sélectionnez Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, sélectionnez l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.

Pour configurer StoreFront :

  • Lorsque vous configurez le service d’authentification, sélectionnez la case à cocher Carte à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Pour activer l’utilisation de cartes à puce sur les machines utilisateur

  1. Importez le certificat racine d’autorité de certification dans le keystore de la machine.
  2. Installez les logiciels intermédiaires de chiffrement du fournisseur de services.
  3. Installez et configurez l’application Citrix Workspace.

Pour modifier la façon dont les certificats sont sélectionnés

Par défaut, si plusieurs certificats sont valides, l’application Citrix Workspace invite l’utilisateur à en choisir un dans la liste. Vous pouvez également configurer l’application Citrix Workspace pour qu’elle utilise le certificat par défaut (celui du fournisseur de carte à puce) ou le certificat présentant la date d’expiration la plus éloignée. S’il n’existe aucun certificat valide, l’utilisateur en est notifié et il a la possibilité d’utiliser une autre méthode d’ouverture de session, le cas échéant.

Un certificat valide doit présenter ces caractéristiques :

  • L’heure actuelle de l’horloge sur l’ordinateur doit se situer dans la période de validité du certificat.
  • La clé publique du sujet doit utiliser l’algorithme RSA et présenter une longueur de 1 024, 2 048 ou 4 096 bits.
  • L’utilisation de la clé doit contenir une signature numérique.
  • L’autre nom du sujet doit contenir le nom d’utilisateur principal (UPN).
  • L’utilisation améliorée de la clé doit contenir l’ouverture de session par carte à puce et l’authentification client, ou toute utilisation de clé.
  • L’une des autorités de certification sur la chaîne de l’émetteur du certificat doit correspondre à l’un des noms uniques autorisés (DN) envoyé par le serveur dans la négociation TLS.

Modifiez la manière dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } sur la ligne de commande de l’application Citrix Workspace.

    Prompt est la valeur par défaut. Pour SmartCardDefault ou LatestExpiry, si plusieurs certificats répondent aux critères, l’application Citrix Workspace invite l’utilisateur à choisir un certificat.

  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_CURRENT_USER or HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager : CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

Les valeurs définies dans HKEY_CURRENT_USER sont prioritaires sur les valeurs définies dans HKEY_LOCAL_MACHINE afin d’aider l’utilisateur à sélectionner un certificat.

Pour utiliser des invites de code PIN CSP

Par défaut, les invites de saisie du code PIN sont fournies par l’application Citrix Workspace pour Windows plutôt que par le fournisseur de service cryptographique (CSP) de la carte à puce. L’application Citrix Workspace invite les utilisateurs à entrer un code PIN lorsque cela est requis et transmet le code PIN au CSP de la carte à puce. Si votre site ou votre carte à puce impose des mesures de sécurité plus strictes, telles que la désactivation de la mise en cache du code PIN par processus ou par session, vous pouvez configurer l’application Citrix Workspace pour qu’elle utilise à la place les composants du CSP pour gérer la saisie du code PIN, y compris l’invite de saisie du code PIN.

Modifiez la manière dont la saisie du code PIN est traitée en utilisant l’une des méthodes suivantes :

  • Spécifiez l’option AM\_SMARTCARDPINENTRY=CSP sur la ligne de commande de l’application Citrix Workspace.
  • Ajoutez la valeur de clé suivante à la clé de registre HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP.