Espaces de travail sécurisés

En tant qu’administrateur, vous pouvez exiger que vos abonnés s’authentifient auprès de leurs espaces de travail à l’aide de l’une des méthodes d’authentification suivantes :

  • Active Directory (AD)
  • Active Directory + jeton
  • Azure Active Directory (AAD)
  • Citrix Gateway
  • Okta
  • SAML 2.0

Ces options d’authentification sont disponibles pour tous les services Citrix Cloud.

Citrix Workspace prend aussi en charge l’utilisation du Service d’authentification fédérée Citrix (FAS) pour fournir l’authentification unique (SSO) à DaaS. Lorsque l’authentification unique est utilisée avec FAS, les abonnés n’ont plus besoin de s’authentifier auprès de DaaS une fois qu’ils sont connectés à leurs espaces de travail à l’aide d’une méthode d’authentification fédérée. Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix.

Choisir ou modifier les méthodes d’authentification

Après avoir configuré vos fournisseurs d’identité, vous pouvez choisir ou modifier le mode d’authentification des abonnés auprès de leur espace de travail dans Configuration de l’espace de travail > Authentification > Authentification de l’espace de travail.

Paramètres d'authentification à l'espace de travail

Important :

Le changement de mode d’authentification peut prendre jusqu’à cinq minutes et entraîne une interruption pour vos abonnés pendant cette période. Citrix recommande d’effectuer ces modifications uniquement pendant les périodes de faible utilisation. Si vous avez des abonnés connectés à Citrix Workspace à l’aide d’un navigateur ou d’une application Citrix Workspace, veuillez leur indiquer de fermer le navigateur ou de quitter l’application. Après avoir attendu environ cinq minutes, ils peuvent se reconnecter à l’aide de la nouvelle méthode d’authentification.

Active Directory (AD)

Par défaut, Citrix Cloud utilise Active Directory (AD) pour gérer l’authentification des abonnés aux espaces de travail.

Pour utiliser AD, vous devez disposer d’au moins deux Citrix Cloud Connector installés dans le domaine AD local. Pour plus d’informations sur l’installation de Cloud Connector, consultez Installation de Cloud Connector.

Active Directory (AD) + jeton

Pour plus de sécurité, Citrix Workspace prend en charge un jeton temporel en tant que deuxième facteur d’authentification pour la connexion AD.

Pour chaque connexion, Workspace invite les abonnés à entrer un jeton provenant d’une application d’authentification sur leur appareil inscrit. Avant de se connecter, les abonnés doivent inscrire leur appareil auprès d’une application d’authentification qui respecte la norme TOTP (mot de passe à usage unique temporaire), telle que Citrix SSO. Actuellement, les abonnés ne peuvent inscrire qu’un seul appareil à la fois.

Configuration requise pour AD + jeton

L’authentification Active Directory + jeton répond aux exigences suivantes :

  • Une connexion entre Active Directory et Citrix Cloud, avec au moins deux Cloud Connectors installés dans votre environnement local. Pour connaître les exigences et les instructions, consultez Connecter Active Directory à Citrix Cloud.
  • Authentification Active Directory + jeton activée sur la page Gestion des identités et des accès. Pour plus d’informations, consultez Activer l’authentification Active Directory + jeton.
  • Accès des abonnés à la messagerie électronique pour inscrire des appareils.
  • Appareil sur lequel télécharger l’application d’authentification.

Première inscription

Les abonnés peuvent inscrire leurs appareils en utilisant le processus d’inscription décrit à la section Enregistrer les appareils pour l’authentification à deux facteurs.

Lors de la première connexion à Workspace, les abonnés suivent les invites pour télécharger l’application Citrix SSO. L’application Citrix SSO génère un mot de passe unique sur un appareil inscrit toutes les 30 secondes.

Important :

Pendant le processus d’inscription de l’appareil, les abonnés reçoivent un e-mail contenant un code de vérification temporaire. Ce code temporaire est utilisé uniquement pour inscrire l’appareil de l’abonné. L’utilisation de ce code temporaire comme jeton pour se connecter à Citrix Workspace avec l’authentification à deux facteurs n’est pas prise en charge. Seuls les codes de vérification générés à partir d’une application d’authentification sur un appareil inscrit sont pris en charge pour l’authentification à deux facteurs.

Réinscrire un appareil

Si un abonné n’a plus son appareil inscrit ou doit le réinscrire (par exemple, après avoir effacé le contenu de l’appareil), Workspace propose les options suivantes :

  • Les abonnés peuvent réinscrire leurs appareils en utilisant le même processus d’inscription décrit à la section Enregistrer les appareils pour l’authentification à deux facteurs. Étant donné que les abonnés ne peuvent inscrire qu’un seul appareil à la fois, l’inscription d’un nouvel appareil ou la réinscription d’un appareil existant supprime l’enregistrement précédent de l’appareil.

    Message signalant que l'appareil a été supprimé

  • Les administrateurs peuvent rechercher des abonnés par nom Active Directory et réinitialiser leur appareil. Pour ce faire, accédez à Gestion des identités et des accès > Récupération. Lors de la prochaine connexion à Workspace, l’abonné suit les étapes effectuées lors de la première inscription.

    Onglet Récupération

Azure Active Directory

L’utilisation d’Azure Active Directory (AD) pour gérer l’authentification des abonnés aux espaces de travail satisfait aux exigences suivantes :

  • Azure AD avec un utilisateur disposant d’autorisations d’administrateur général. Pour plus d’informations sur les applications Azure AD et les autorisations utilisées par Citrix Cloud, consultez Autorisations Azure Active Directory pour Citrix Cloud.
  • Un Citrix Cloud Connector installé dans le domaine Active Directory local. La machine doit également être jointe au domaine qui se synchronise avec Azure AD.
  • VDA version 7.15.2000 LTSR CU VDA ou version actuelle 7.18 ou supérieure.
  • Une connexion entre Azure AD et Citrix Cloud. Pour de plus amples informations, consultez la section Connecter Azure Active Directory à Citrix Cloud.

Lors de la synchronisation de votre Active Directory avec Azure AD, les entrées UPN et SID doivent être incluses dans la synchronisation. Si ces entrées ne sont pas synchronisées, certains workflows échoueront dans Citrix Workspace.

Avertissement :

  • Si vous utilisez Azure AD, ne modifiez pas le Registre comme décrit dans l’article CTX225819. Cette modification peut entraîner l’échec du lancement de sessions pour les utilisateurs Azure AD.
  • L’ajout d’un groupe en tant que membre d’un autre groupe (imbrication) n’est pas pris en charge pour l’authentification fédérée à l’aide d’Azure AD. Si vous affectez un groupe imbriqué à un catalogue, les membres de ce groupe ne peuvent pas accéder aux applications du catalogue.

Après l’activation de l’authentification Azure AD :

  • Gérer les utilisateurs et les groupes d’utilisateurs à l’aide de la bibliothèque de Citrix Cloud : utilisez uniquement la bibliothèque de Citrix Cloud pour gérer les utilisateurs et les groupes d’utilisateurs. Ne spécifiez pas d’utilisateurs et de groupes d’utilisateurs lors de la création ou de la modification de groupes de mise à disposition.
  • Sécurité accrue : pour plus de sécurité, les utilisateurs sont invités à se reconnecter lorsqu’ils lancent une application ou un bureau. Les informations de mot de passe circulent directement de l’appareil de l’utilisateur vers le VDA qui héberge la session.
  • Expérience de connexion : l’authentification Azure AD fournit une connexion fédérée, et non une authentification unique (SSO). Les abonnés se connectent à partir d’une page de connexion Azure et devront peut-être s’authentifier à nouveau lors de l’ouverture de Citrix DaaS.

Pour l’authentification unique (SSO), activez le Service d’authentification fédérée Citrix dans Citrix Cloud. Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix.

Vous pouvez personnaliser l’expérience de connexion pour Azure AD. Pour de plus amples informations, veuillez consulter la documentation Microsoft. Les personnalisations de connexion (logo) effectuées dans la configuration de Workspace n’affectent pas l’expérience de connexion d’Azure AD.

Le diagramme suivant montre la séquence de l’authentification Azure AD.

Diagramme de la séquence d'authentification Azure AD

Citrix Gateway

Citrix Workspace prend en charge l’utilisation d’une passerelle Citrix Gateway locale en tant que fournisseur d’identité pour gérer l’authentification des abonnés sur les espaces de travail.

Configuration requise pour Citrix Gateway

L’authentification Citrix Gateway a les conditions requises suivantes :

  • Une connexion entre votre Active Directory et Citrix Cloud. Pour connaître les exigences et les instructions, consultez Connecter Active Directory à Citrix Cloud.
  • Les abonnés doivent être des utilisateurs Active Directory pour pouvoir se connecter à leurs espaces de travail.
  • Si vous configurez une fédération, vos utilisateurs AD doivent être synchronisés avec le fournisseur de fédération. Citrix Cloud requiert les attributs AD pour permettre aux utilisateurs de se connecter correctement.
  • une passerelle Citrix Gateway locale :
    • Citrix Gateway 12.1 54.13 Édition Advanced ou ultérieure
    • Citrix Gateway 13.0 41.20 Édition Advanced ou ultérieure
  • L’authentification Citrix Gateway est activée sur la page Gestion des identités et des accès. Cette action génère l’ID client, le secret et l’URL de redirection nécessaires pour créer la connexion entre Citrix Cloud et votre passerelle Gateway locale.
  • Sur Gateway, une stratégie d’authentification de fournisseur d’identité OAuth est configurée à l’aide de l’ID client, du secret et de l’URL de redirection générés.

Pour plus d’informations, consultez Connecter une passerelle Citrix Gateway locale en tant que fournisseur d’identité à Citrix Cloud.

Expérience de l’abonné avec Citrix Gateway

Lorsque l’authentification avec Citrix Gateway est activée, le flux de travail est le suivant pour les abonnés :

  1. L’abonné accède à l’URL de Workspace dans son navigateur ou lance l’application Workspace.
  2. L’abonné est redirigé vers la page d’ouverture de session Citrix Gateway et est authentifié à l’aide de toute méthode configurée sur Gateway, par exemple, MFA, fédération, stratégies d’accès conditionnel, etc. Vous pouvez personnaliser la page d’ouverture de session Gateway afin qu’elle ressemble à la page de connexion Workspace à l’aide des étapes décrites à la section CTX258331.
  3. Une fois que l’authentification a réussi, l’espace de travail de l’abonné apparaît.

Okta

Citrix Workspace prend en charge l’utilisation d’Okta en tant que fournisseur d’identité pour gérer l’authentification des abonnés sur les espaces de travail.

Configuration requise pour Okta

L’authentification Okta a les exigences suivantes :

  • Une connexion entre votre Active Directory local et votre organisation Okta.
  • Une application Web Okta OIDC configurée pour une utilisation avec Citrix Cloud. Pour connecter Citrix Cloud à votre organisation Okta, vous devez fournir l’ID client et la clé secrète client associés à cette application.
  • Une connexion entre votre domaine Active Directory local et Citrix Cloud, avec l’authentification Okta activée sur la page Gestion des identités et des accès.

Pour plus d’informations, consultez Connecter Okta en tant que fournisseur d’identité à Citrix Cloud.

Expérience de l’abonné avec Okta

Lorsque l’authentification avec Okta est activée, le flux de travail est le suivant pour les abonnés :

  1. L’abonné accède à l’URL de Workspace dans son navigateur ou lance l’application Workspace.
  2. L’abonné est redirigé vers la page de connexion Okta et est authentifié à l’aide de la méthode configurée dans Okta (par exemple, authentification multifacteur, stratégies d’accès conditionnel, etc.).
  3. Une fois que l’authentification a réussi, l’espace de travail de l’abonné apparaît.

L’authentification Okta fournit une connexion fédérée, et non une authentification unique (SSO). Les abonnés se connectent à l’espace de travail à partir d’une page de connexion Okta et devront peut-être s’authentifier à nouveau lors de l’ouverture de Citrix DaaS. Pour l’authentification unique (SSO), activez le Service d’authentification fédérée Citrix dans Citrix Cloud. Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix.

SAML 2.0

Citrix Workspace prend en charge l’utilisation de SAML 2.0 pour gérer l’irtual Apps and Desktoauthentification des abonnés sur les espaces de travail. Vous pouvez utiliser le fournisseur SAML de votre choix, à condition qu’il prenne en charge SAML 2.0.

Configuration requise pour SAML 2.0

L’utilisation de l’authentification SAML exige les conditions suivantes :

  • Fournisseur SAML prenant en charge SAML 2.0
  • Domaine Active Directory local
  • Deux Cloud Connector déployés sur un emplacement de ressources et associés à votre domaine AD local
  • Intégration AD avec votre fournisseur SAML

Pour plus d’informations sur la configuration de l’authentification SAML pour les espaces de travail, consultez la section Connecter SAML en tant que fournisseur d’identité à Citrix Cloud.

Expérience de l’abonné avec SAML 2.0

  1. L’abonné accède à l’URL de Workspace dans son navigateur ou lance l’application Citrix Workspace.
  2. L’abonné est redirigé vers la page de connexion du fournisseur d’identité SAML pour son organisation. L’abonné s’authentifie avec le mécanisme configuré pour le fournisseur d’identité SAML, tel que l’authentification multifacteur ou les stratégies d’accès conditionnel.
  3. Une fois que l’authentification a réussi, l’espace de travail de l’abonné apparaît.

Service d’authentification fédérée (FAS) de Citrix

Citrix Workspace prend en charge l’utilisation du Service d’authentification fédérée Citrix (FAS) pour fournir l’authentification unique (SSO) à DaaS. Sans FAS, les abonnés utilisant un fournisseur d’identité fédéré sont invités à entrer leurs informations d’identification plusieurs fois pour accéder à DaaS.

Pour plus d’informations, consultez la section Service d’authentification fédérée Citrix (FAS).

Expérience de déconnexion de l’abonné

Utilisez Paramètres > Déconnexion pour terminer le processus de déconnexion depuis Workspace et Azure AD. Si les abonnés ferment le navigateur au lieu d’utiliser l’option Déconnexion, ils peuvent rester connectés à Azure AD.

Important :

Si Citrix Workspace expire dans le navigateur en raison d’une inactivité, les abonnés restent connectés à Azure AD. Cela empêche l’expiration d’une application Citrix Workspace ce qui entraînerait la fermeture d’autres applications Azure AD.

Espaces de travail sécurisés