Authentification pass-through au domaine pour Citrix Workspace en utilisant Azure Active Directory en tant que fournisseur d’identité

Vous pouvez implémenter l’authentification unique (SSO ou Single Sign-On) à Citrix Workspace à l’aide d’Azure Active Directory (AAD) en tant que fournisseur d’identité avec des points de terminaison/machines virtuelles joints au domaine, hybrides et inscrits auprès de Azure AD.

Avec cette configuration, vous pouvez également utiliser Windows Hello pour l’authentification unique à Citrix Workspace à l’aide de points de terminaison inscrits auprès de AAD.

  • Vous pouvez vous authentifier auprès de l’application Citrix Workspace via Windows Hello.
  • Authentification basée sur FIDO2 avec l’application Citrix Workspace.
  • Authentification unique (SSO) à l’application Citrix Workspace à partir de machines jointes à Microsoft AAD (AAD en tant que fournisseur d’identité). Accès conditionnel avec AAD.

Pour utiliser l’authentification unique sur les applications et les bureaux virtuels, vous pouvez déployer FAS ou configurer l’application Citrix Workspace comme suit.

Remarque :

Vous pouvez utiliser l’authentification unique pour les ressources Citrix Workspace uniquement avec Windows Hello. Toutefois, vous êtes invité à saisir un nom d’utilisateur et un mot de passe lorsque vous accédez à vos applications et bureaux virtuels publiés. Pour résoudre ce problème, vous pouvez déployer FAS et SSO sur des applications et des bureaux virtuels.

Pré-requis :

  1. Connectez Azure Active Directory à Citrix Cloud. Pour plus d’informations, consultez Connecter Azure Active Directory à Citrix Cloud dans la documentation Citrix Cloud.
  2. Activez l’authentification Azure AD pour l’accès aux espaces de travail. Pour plus d’informations, consultez Activer l’authentification Azure AD pour les espaces de travail dans la documentation Citrix Cloud.

Pour utiliser l’authentification unique avec Citrix Workspace, procédez comme suit :

  1. Configurez l’application Citrix Workspace avec includeSSON
  2. Désactivez l’attribut prompt=login dans Citrix Cloud.
  3. Configurez l’authentification unique Azure Active Directory avec Azure Active Directory Connect.

Configurer l’application Citrix Workspace pour prendre en charge l’authentification unique

Pré-requis :

  • Citrix Workspace version 2109 ou supérieure.

Remarque :

Si vous utilisez FAS pour l’authentification unique, la configuration de Citrix Workspace n’est pas nécessaire.

  1. Installez l’application Citrix Workspace depuis la ligne de commande administrative avec l’option includeSSON :

    CitrixWorkspaceApp.exe /includeSSON

  2. Déconnectez-vous du client Windows et connectez-vous pour démarrer le serveur SSON.
  3. Cliquez sur Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur pour modifier l’objet de stratégie de groupe Citrix Workspace et autoriser Nom d’utilisateur et mot de passe locaux.

    Remarque :

    Ces stratégies peuvent être transmises à l’appareil client via Active Directory. Cette étape est requise uniquement lors de l’accès à Citrix Workspace depuis le navigateur Web.

  4. Activez le paramètre comme indiqué sur la capture d’écran.

    Authentification de l'utilisateur

  5. Ajoutez les sites de confiance suivants via l’objet de stratégie de groupe :

    • https://aadg.windows.net.nsatc.net
    • https://autologon.microsoftazuread-sso.com
    • https://xxxtenantxxx.cloud.com : URL de l’espace de travail

Ajout d'un site de confiance

Désactiver le paramètre prompt=login dans Citrix Cloud

Par défaut, prompt=login est activé pour Citrix Workspace, ce qui force l’authentification même si l’utilisateur a choisi de rester connecté ou si l’appareil est joint à Azure AD.

Contactez le support technique Citrix pour désactiver le paramètre prompt=login dans votre Citrix Workspace afin d’utiliser l’authentification unique. Pour plus d’informations, consultez l’article du centre de connaissances Citrix CTX253779.

Configurer l’authentification unique Azure Active Directory avec Azure Active Directory Connect

  • Si vous installez Azure Active Directory Connect pour la première fois, sur la page Connexion utilisateur, sélectionnez Authentification directe comme méthode de connexion. Pour plus d’informations, consultez Authentification directe Azure Active Directory : Démarrage rapide dans la documentation Microsoft.
  • Si Microsoft Azure Active Directory Connect existe :

    1. Sélectionnez la tâche Modifier la connexion utilisateur et cliquez sur Suivant.
    2. Sélectionnez Authentification unique comme méthode de connexion.

Remarque :

Vous pouvez ignorer cette étape si l’appareil client est joint à Azure AD ou hybride. Si l’appareil est joint à AD, l’authentification unique au domaine fonctionne avec l’authentification Kerberos.

Authentification pass-through au domaine pour Citrix Workspace en utilisant Azure Active Directory en tant que fournisseur d’identité