Espaces de travail sécurisés

En tant qu’administrateur, vous pouvez exiger que vos abonnés (utilisateurs finaux) s’authentifient auprès de leurs espaces de travail à l’aide de l’une des méthodes d’authentification suivantes :

  • Active Directory
  • Active Directory + jeton
  • Azure Active Directory
  • Citrix Gateway
  • Okta

Ces options d’authentification sont disponibles pour tous les services Citrix Cloud, y compris le contrôle d’accès.

Le contrôle d’accès est une fonctionnalité qui permet aux utilisateurs finaux d’accéder aux applications SaaS, Web et virtuelles avec une expérience d’authentification unique (SSO).

Modifier les méthodes d’authentification

Modifiez la façon dont les abonnés s’authentifient auprès de leur espace de travail dans Configuration de l’espace de travail > Authentification > Authentification de l’espace de travail.

Paramètres d'authentification à l'espace de travail

Important :

Le changement de mode d’authentification peut prendre jusqu’à cinq minutes et entraîne une interruption pour vos abonnés pendant cette période. Citrix recommande de modifier les méthodes d’authentification uniquement pendant les périodes de faible utilisation. Si vous avez des abonnés connectés à Citrix Workspace à l’aide d’un navigateur ou d’une application Citrix Workspace, veuillez leur indiquer de fermer le navigateur ou de quitter l’application. Après avoir attendu environ cinq minutes, ils peuvent se reconnecter à l’aide de la nouvelle méthode d’authentification.

Active Directory

Par défaut, Citrix Cloud utilise Active Directory pour gérer l’authentification des abonnés aux espaces de travail. L’utilisation d’Active Directory nécessite l’installation d’au moins deux Citrix Cloud Connector dans le domaine Active Directory local. Pour plus d’informations sur l’installation du Cloud Connector, consultez la section Installation de Cloud Connector.

Active Directory + jeton

Pour plus de sécurité, Citrix Workspace prend en charge un jeton en tant que deuxième facteur d’authentification en plus de la connexion Active Directory.

Lorsque vous utilisez l’authentification Active Directory + jeton, Workspace invite tous les abonnés lors de chaque connexion à entrer un jeton à partir de leur appareil inscrit. Les abonnés peuvent inscrire leurs appareils en suivant les étapes de la section Enregistrer les appareils pour l’authentification à deux facteurs. Actuellement, les abonnés ne peuvent inscrire qu’un seul appareil à la fois.

L’authentification Active Directory + jeton répond aux exigences suivantes :

  • Une connexion entre Active Directory et Citrix Cloud, avec au moins deux Cloud Connectors installés dans votre environnement local. Pour consulter la configuration requise et les instructions, voir Connecter Active Directory à Citrix Cloud.
  • Dans la console Citrix Cloud, authentification Active Directory + jeton activée sur la page Gestion des identités et des accès. Pour de plus amples informations, consultez Activer l’authentification Active Directory + jeton.
  • Les abonnés doivent avoir accès à la messagerie électronique pour inscrire des appareils.
  • Lors de la première connexion à Workspace, les abonnés suivent les invites pour télécharger l’application Citrix SSO. L’application Citrix SSO génère un mot de passe unique sur un appareil inscrit toutes les 30 secondes.

Réinscrire des appareils

Si un abonné n’a plus son appareil inscrit ou doit le réinscrire (par exemple, après avoir effacé tout le contenu de l’appareil), Workspace propose les options suivantes :

  • Les abonnés peuvent réinscrire leurs appareils en utilisant le même processus d’inscription décrit à la section Enregistrer les appareils pour l’authentification à deux facteurs. Étant donné que les abonnés ne peuvent inscrire qu’un seul appareil à la fois, l’inscription d’un nouvel appareil ou la réinscription d’un appareil existant supprime l’enregistrement précédent de l’appareil. Message signalant que l'appareil a été supprimé

  • Les administrateurs peuvent rechercher des abonnés par nom Active Directory et réinitialiser leur appareil. Pour ce faire, accédez à Gestion des identités et des accès > Récupération. Onglet Récupération Lors de la prochaine connexion à Workspace, l’abonné suit les étapes effectuées lors de la première inscription décrites dans la section Enregistrer les appareils pour l’authentification à deux facteurs.

Azure Active Directory

L’utilisation d’Azure Active Directory (AD) pour gérer l’authentification des abonnés aux espaces de travail satisfait aux exigences suivantes :

  • Azure AD avec un utilisateur disposant d’autorisations d’administrateur général.
  • Un Citrix Cloud Connector installé dans le domaine Active Directory local. La machine doit également être jointe au domaine qui se synchronise avec Azure AD.
  • VDA version 7.15.2000 LTSR CU VDA ou version actuelle 7.18 ou supérieure.
  • Une connexion entre Azure AD et Citrix Cloud. Pour de plus amples informations, consultez la section Connecter Azure Active Directory à Citrix Cloud. Lors de la synchronisation de votre Active Directory avec Azure AD, les entrées UPN et SID doivent être incluses dans la synchronisation. Si ces entrées ne sont pas synchronisées, certains flux de travail échoueront dans Citrix Workspace.

Avertissement :

  • Si vous utilisez Azure AD, ne modifiez pas le Registre comme décrit dans l’article CTX225819. Cette modification peut entraîner l’échec du lancement de sessions pour les utilisateurs Azure AD.
  • L’ajout d’un groupe en tant que membre d’un autre groupe (imbrication) n’est pas pris en charge pour l’authentification fédérée à l’aide d’Azure AD. Si vous affectez un groupe imbriqué à un catalogue, les membres de ce groupe ne peuvent pas accéder aux applications du catalogue.

Après l’activation de l’authentification Azure AD :

  • Gérer les utilisateurs et les groupes d’utilisateurs à l’aide de la bibliothèque de Citrix Cloud : utilisez uniquement la bibliothèque de Citrix Cloud pour gérer les utilisateurs et les groupes d’utilisateurs. (Ne spécifiez pas d’utilisateurs et de groupes d’utilisateurs lors de la création ou de la modification de groupes de mise à disposition.)
  • Sécurité accrue : les utilisateurs sont invités à se reconnecter lorsqu’ils lancent une application ou un bureau. Ceci est intentionnel et offre plus de sécurité, car les informations de mot de passe circulent directement de l’appareil de l’utilisateur vers le VDA qui héberge la session.
  • Expérience de connexion : les utilisateurs ont une expérience de connexion différente dans Azure AD. La sélection de l’authentification Azure AD fournit une connexion fédérée et non SSO. Les utilisateurs se connectent à l’espace de travail à partir d’une page de connexion Azure, toutefois, ils peuvent être amenés à s’authentifier une seconde fois lors de l’ouverture d’une application ou d’un bureau à partir de Citrix Virtual Apps and Desktops Service. Pour obtenir l’authentification unique et empêcher une deuxième invite d’ouverture de session, vous devez activer le Service d’authentification fédérée de Citrix dans Citrix Cloud. Consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix pour de plus amples informations.

    Vous pouvez personnaliser l’expérience de connexion pour Azure AD. Pour de plus amples informations, consultez le documentation Microsoft. Les personnalisations de connexion (logo) effectuées dans la configuration de Workspace n’affectent pas l’expérience de connexion d’Azure AD.

Le diagramme suivant montre la séquence de l’authentification Azure AD.

Diagramme de la séquence d'authentification Azure AD

Citrix Gateway

Citrix Workspace prend en charge l’utilisation d’une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour gérer l’authentification des abonnés sur les espaces de travail.

L’authentification Citrix Gateway a les conditions requises suivantes :

  • Une connexion entre votre Active Directory et Citrix Cloud. Pour consulter la configuration requise et les instructions, voir Connecter Active Directory à Citrix Cloud.
  • Les abonnés doivent être des utilisateurs Active Directory pour pouvoir se connecter à leurs espaces de travail.
  • Si vous configurez une fédération, vos utilisateurs AD doivent être synchronisés avec le fournisseur de fédération. Citrix Cloud requiert les attributs AD pour permettre à vos utilisateurs de se connecter correctement.
  • une passerelle Citrix Gateway locale :
    • Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure
    • Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure
  • L’authentification Citrix Gateway est activée sur la page Gestion des identités et des accès. Cette action génère l’ID client, le secret et l’URL de redirection nécessaires pour créer la connexion entre Citrix Cloud et votre passerelle Gateway locale.
  • Sur Gateway, une stratégie d’authentification de fournisseur d’identité OAuth est configurée à l’aide de l’ID client, du secret et de l’URL de redirection générés.

Pour de plus amples informations, consultez Connecter une passerelle Citrix Gateway locale en tant que fournisseur d’identité à Citrix Cloud.

Expérience de l’abonné avec Citrix Gateway

Lorsque l’authentification avec Citrix Gateway est activée, le flux de travail est le suivant pour les abonnés :

  1. L’abonné accède à l’URL de Workspace dans son navigateur ou lance l’application Workspace.
  2. L’abonné est redirigé vers la page d’ouverture de session Citrix Gateway et est authentifié à l’aide de toute méthode configurée sur Gateway (par exemple, RADIUS MFA, carte à puce, fédération, stratégies d’accès conditionnel, etc.). Vous pouvez personnaliser la page d’ouverture de session Gateway afin qu’elle ressemble à la page de connexion Workspace à l’aide des étapes décrites à la section CTX258331.
  3. Une fois que l’authentification a réussi, l’espace de travail de l’abonné apparaît.

Okta

Citrix Workspace prend en charge l’utilisation d’Okta en tant que fournisseur d’identité pour gérer l’authentification des abonnés sur les espaces de travail.

L’authentification Okta a les exigences suivantes :

  • Une connexion entre votre Active Directory local et votre organisation Okta.
  • Une application Web Okta OIDC configurée pour une utilisation avec Citrix Cloud. Pour connecter Citrix Cloud à votre organisation Okta, vous devez fournir l’ID client et le secret client associés à cette application.
  • Une connexion entre votre domaine Active Directory local et Citrix Cloud, avec l’authentification Okta activée sur la page Gestion des identités et des accès.

Pour de plus amples informations, consultez Connecter Okta en tant que fournisseur d’identité à Citrix Cloud.

Après avoir activé l’authentification Okta, les abonnés ont une expérience de connexion différente. La sélection de l’authentification Okta fournit une connexion fédérée, et non une authentification unique. Les abonnés se connectent à l’espace de travail à partir d’une page de connexion Okta, toutefois, ils peuvent être amenés à s’authentifier une seconde fois lors de l’ouverture d’une application ou d’un bureau à partir de Citrix Virtual Apps and Desktops Service. Pour activer l’authentification unique et empêcher une deuxième invite d’ouverture de session, vous devez utiliser le Service d’authentification fédérée Citrix avec Citrix Cloud. Consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix pour de plus amples informations.

Expérience de l’abonné avec Okta

Lorsque l’authentification avec Okta est activée, le flux de travail est le suivant pour les abonnés :

  1. L’abonné accède à l’URL de Workspace dans son navigateur ou lance l’application Workspace.
  2. L’abonné est redirigé vers la page de connexion Okta et est authentifié à l’aide de la méthode configurée dans Okta (par exemple, authentification multifacteur, stratégies d’accès conditionnel, etc.).
  3. Une fois que l’authentification a réussi, l’espace de travail de l’abonné apparaît.

Remarque :

L’activation de l’authentification Okta fournit une connexion fédérée, et non une authentification unique. Les abonnés se connectent aux espaces de travail à partir d’une page de connexion Okta, toutefois, ils peuvent être amenés à s’authentifier une seconde fois lors de l’ouverture d’une application ou d’un bureau à partir de Citrix Virtual Apps and Desktops Service. Pour activer l’authentification unique et empêcher une deuxième invite d’ouverture de session, vous devez utiliser le Service d’authentification fédérée Citrix avec Citrix Cloud. Consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix pour de plus amples informations.

Service d’authentification fédérée de Citrix (Technical Preview)

Citrix Workspace prend en charge l’utilisation du Service d’authentification fédérée Citrix (FAS) pour fournir l’authentification unique aux applications et bureaux virtuels. Les abonnés qui se connectent à leurs espaces de travail via Azure AD n’entrent leurs informations d’identification qu’une seule fois pour accéder à leurs applications et bureaux.

Remarque :

L’utilisation du Service d’authentification fédérée avec Citrix Cloud est actuellement à la version Technical Preview. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans les environnements de test.

L’utilisation de FAS avec Workspace présente les conditions suivantes :

  • Un serveur FAS configuré comme décrit dans la section Exigences de la documentation du produit FAS.
  • Une connexion entre votre serveur FAS et Citrix Cloud. Cette connexion est créée via l’option Connect to Citrix Cloud dans le programme d’installation FAS. Si votre serveur FAS existant est plus ancien que la version 10, vous pouvez télécharger le dernier logiciel FAS à partir de Citrix et mettre à niveau le serveur avant de créer cette connexion. Lorsque vous créez la connexion, vous sélectionnez l’emplacement de ressources dans lequel vous souhaitez que votre serveur FAS réside. L’authentification unique est active pour les abonnés uniquement dans les emplacements de ressources où les serveurs FAS sont présents.
  • Une connexion entre votre domaine Active Directory local et Citrix Cloud, avec FAS activé dans la configuration de l’espace de travail.

Pour plus d’informations sur l’utilisation de FAS avec Citrix Cloud, reportez-vous à la section Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix.

Expérience de déconnexion de l’abonné

Important :

Si Citrix Workspace expire dans le navigateur en raison d’une inactivité, les abonnés restent connectés à Azure AD. Ce comportement est conçu pour empêcher l’expiration d’un Citrix Workspace ce qui entraînerait la fermeture d’autres applications Azure AD.

Pour fermer Citrix Workspace, utilisez Paramètres > Déconnexion. Cette option met fin au processus de déconnexion de l’espace de travail et d’Azure AD. Si les abonnés ferment le navigateur au lieu d’utiliser l’option Déconnexion, ils peuvent rester connectés à Azure AD.