Configuration de Single Sign-On sur l’application Workspace

Single Sign-On à l’aide d’Azure Active Directory

Cette section explique comment mettre en œuvre l’authentification unique (SSO ou Single Sign-On) à l’aide d’Azure Active Directory (AAD) en tant que fournisseur d’identité avec des charges de travail jointes au domaine dans des points de terminaison hybrides ou inscrits auprès de AAD. Avec cette configuration, vous pouvez vous authentifier auprès de Workspace à l’aide de Windows Hello ou de FIDO2 sur les points de terminaison inscrits à AAD.

Remarque :

Si vous utilisez Windows Hello en tant qu’authentification autonome, vous pouvez obtenir l’authentification unique (SSO) sur l’application Citrix Workspace. Cependant, vous êtes invité à entrer un nom d’utilisateur et un mot de passe lors de l’accès aux applications virtuelles ou aux bureaux publiés. Pour contourner le problème, envisagez de mettre en œuvre le Service d’authentification fédérée (FAS).

Conditions préalables

Configuration

Effectuez les étapes suivantes pour configurer l’authentification unique (SSO) sur votre appareil :

  1. Installez l’application Citrix Workspace à l’aide de la ligne de commande Windows avec l’option includeSSON :

CitrixWorkspaceApp.exe /includeSSON

  1. Redémarrez votre appareil.

  2. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.

  3. Rendez-vous sur Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.

  4. Sélectionnez Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, sélectionnez l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.

  5. Modifiez les paramètres Authentification utilisateur dans Internet Explorer. Pour modifier les paramètres :

    • Ouvrez Propriétés Internet à partir du panneau de configuration.
    • Accédez à Propriétés générales > Intranet local, puis cliquez sur Sites.

    • Dans la fenêtre Intranet local, cliquez sur Avancé > Ajouter aux sites de confiance, ajoutez les sites de confiance suivants, puis cliquez sur Fermer :

      • https://aadg.windows.net.nsatc.net
      • https://autologon.microsoftazuread-sso.com
      • The name of your tenant, for example: https://xxxtenantxxx.cloud.com
  6. Désactivez les invites d’authentification supplémentaires en désactivant l’attribut prompt=login dans votre locataire. Pour plus d’informations, consultez l’article User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers. Vous pouvez contacter le support technique Citrix pour désactiver l’attribut prompt=login dans votre locataire afin de configurer correctement l’authentification unique (SSO).

  7. Activez l’authentification pass-through au domaine sur le client de l’application Citrix Workspace. Pour plus d’informations, consultez la section Authentification pass-through au domaine.

  8. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Single Sign-On à l’aide d’Okta et du Service d’authentification fédérée

Cette section explique comment mettre en œuvre l’authentification unique (SSO ou Single Sign-On) à l’aide d’Okta en tant que fournisseur d’identité avec un appareil joint au domaine et un Service d’authentification fédérée (FAS). Avec cette configuration, vous pouvez vous authentifier auprès de Workspace à l’aide d’Okta pour activer l’authentification unique et empêcher une deuxième invite d’ouverture de session. Pour que ce mécanisme d’authentification fonctionne, vous devez utiliser le Service d’authentification fédérée Citrix avec Citrix Cloud. Pour plus d’informations, consultez la section Connecter le Service d’authentification fédérée Citrix à Citrix Cloud.

Conditions préalables

Configuration

Effectuez les étapes suivantes pour configurer l’authentification unique (SSO) sur votre appareil :

Connecter Citrix Cloud à votre organisation Okta :

  1. Téléchargez et installez l’agent Okta Active Directory. Pour plus d’informations, consultez l’article Install the Okta Active Directory agent.

  2. Connectez-vous à Citrix Cloud sur https://citrix.cloud.com.

  3. Dans le menu Citrix Cloud, sélectionnez Gestion des identités et des accès.

  4. Localisez Okta et sélectionnez Connecter dans le menu des points de suspension.

  5. Dans URL Okta, entrez votre domaine Okta.

  6. Dans Jeton API Okta, entrez le jeton API de votre organisation Okta.

  7. Dans ID client et Clé secrète client, entrez l’ID client et la clé secrète de l’intégration de l’application Web OIDC que vous avez créée précédemment. Pour copier ces valeurs à partir de la console Okta, sélectionnez Applications et recherchez votre application Okta. Sous Informations d’identification du client, utilisez le bouton Copier dans le presse-papiers pour chaque valeur.

  8. Cliquez sur Tester et terminer. Citrix Cloud vérifie vos détails Okta et teste la connexion.

Activer l’authentification Okta pour les espaces de travail :

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail > Authentification.

  2. Sélectionnez Okta. Lorsque vous y êtes invité, sélectionnez Je comprends l’impact sur l’expérience des abonnés.

  3. Cliquez sur Accepter pour accepter la demande d’autorisations.

Activer le Service d’authentification fédérée :

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Authentification.

  2. Cliquez sur Activer FAS. Cette modification peut prendre jusqu’à cinq minutes pour être appliquée aux sessions des abonnés.

Page Configuration de l'espace de travail avec le bouton Activer FAS mis en surbrillance

Ensuite, le Service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Page Configuration de l'espace de travail avec FAS activé

Lorsque les abonnés se connectent à leur espace de travail et lancent une application ou un bureau virtuel dans le même emplacement de ressources que le serveur FAS, l’application ou le bureau démarre sans demander d’informations d’identification.

Remarque :

Si tous les serveurs FAS d’un emplacement de ressources sont en panne ou en mode de maintenance, le lancement de l’application réussit, mais l’authentification unique n’est pas active. Les abonnés sont invités à fournir leurs informations d’identification AD pour accéder à chaque application ou bureau.

Configuration de Single Sign-On sur l’application Workspace