Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix (Technical Preview)

Remarque :

L’utilisation du Service d’authentification fédérée avec Citrix Cloud est actuellement à la version Technical Preview. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans des environnements de test ou des environnements de production limités.

Le Service d’authentification fédérée (FAS) de Citrix prend en charge l’authentification unique auprès des applications et bureaux virtuels dans Citrix Workspace. Dans chaque emplacement de ressources, vous pouvez connecter plusieurs serveurs FAS à Citrix Cloud à des fins d’équilibrage de charge et de basculement. Vous pouvez utiliser le même serveur FAS pour l’authentification locale et Citrix Cloud à l’aide d’une configuration de règle appropriée.

Flux de requêtes du serveur FAS avec Citrix Cloud

Les abonnés qui se connectent à leurs espaces de travail via Azure AD n’entrent leurs informations d’identification qu’une seule fois pour accéder à leurs applications et bureaux. Lorsque les abonnés lancent une application ou un bureau virtuel dans leur espace de travail, Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources que le VDA en cours de lancement. Citrix Cloud contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur stocké sur le serveur FAS. Pour authentifier l’abonné, le VDA se connecte au FAS et présente le ticket.

Important :

  • Lorsque vous activez l’authentification unique via FAS, l’authentification unique est active uniquement dans les emplacements de ressources où vous avez connecté des serveurs FAS. S’il n’y a pas de serveur FAS dans un emplacement de ressources, l’authentification unique n’est pas active pour les ressources de cet emplacement.
  • Lorsque vous activez FAS dans votre emplacement de ressources, le service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Pour obtenir une vue d’ensemble du service d’authentification fédérée pour Citrix Workspace, visionnez la vidéo Tech Insight :

Service d'authentification fédérée Citrix pour Citrix Workspace

Exigences

Serveur FAS

Pour connaître la configuration complète requise pour le serveur FAS, reportez-vous à la section Configuration système requise de la documentation produit de FAS.

Si vous ne disposez pas déjà d’un serveur FAS dans votre environnement Virtual Apps and Desktops local ou si vous souhaitez mettre à niveau un serveur FAS existant, reportez-vous à Installer et configurer FAS dans cet article.

Si la version de votre serveur FAS existant est 10.0 ou une version ultérieure, passez à la section Connecter un serveur FAS à Citrix Cloud.

Citrix Workspace

Le service Virtual Apps and Desktops doit être provisionné et activé dans Workspace. Par défaut, Virtual Apps and Desktops Service est activé dans Configuration de l’espace de travail une fois que vous êtes abonné au service. Toutefois, le service nécessite que vous déployiez des Citrix Cloud Connector pour permettre à Citrix Cloud de communiquer avec votre environnement local.

Cloud Connector

Citrix Cloud Connector permet la communication entre votre emplacement de ressources (où réside le serveur FAS) et Citrix Cloud. Vous devez disposer d’au moins deux serveurs sur lesquels installer le logiciel Cloud Connector pour garantir une haute disponibilité. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Les serveurs doivent répondre à la configuration système décrite dans la section Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs ; ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être joints au domaine sur lequel réside votre serveur FAS.

Pour plus d’informations sur le déploiement de Cloud Connectors, reportez-vous aux articles suivants :

Installer et configurer FAS

Installez et configurez un ou plusieurs serveurs FAS si :

  • Vous ne disposez pas encore de serveur FAS dans votre environnement local.
  • Votre serveur FAS existant est plus ancien que la version 10.0 et vous souhaitez le mettre à niveau sur place afin de vous connecter à Citrix Cloud.

Si la version de votre serveur FAS existant est 10.0 ou une version ultérieure, passez à la section Connecter un serveur FAS à Citrix Cloud.

Important :

Lorsque vous activez l’authentification unique via FAS, l’authentification unique est active uniquement dans les emplacements de ressources où vous avez connecté des serveurs FAS. S’il n’y a pas de serveur FAS dans un emplacement de ressources, l’authentification unique n’est pas active pour les abonnés d’un espace de travail qui se connectent via cet emplacement de ressources.

Instructions pour l’installation et la configuration d’un serveur FAS

L’installation et la configuration d’un serveur FAS suivent le même processus que celui décrit dans la documentation FAS, avec les exceptions suivantes :

  • Les étapes de configuration pour StoreFront ou le Delivery Controller ne sont pas requises.
  • La console d’administration FAS peut être différente de celle décrite dans la documentation produit FAS. Cependant, la fonctionnalité est la même.
  • La console d’administration FAS ne vous oblige pas à spécifier le serveur FAS que vous souhaitez connecter. Elle effectue une connexion au service FAS local par défaut. Si nécessaire, vous pouvez vous connecter à un service distant à l’aide de Se connecter à un autre serveur en haut à droite de la console.

Pour installer et configurer un serveur FAS, effectuez les tâches suivantes :

  1. Téléchargez et installez la dernière version du logiciel serveur FAS à partir de Citrix.
  2. Configurez les règles FAS. Boîte de dialogue Règles du serveur FAS

    Lorsque vous configurez une règle FAS, vous pouvez spécifier les serveurs StoreFront qui sont autorisés à utiliser la règle. Toutefois, lorsqu’une règle est utilisée avec Citrix Cloud, les autorisations d’accès StoreFront sont ignorées. Vous pouvez utiliser la même règle avec Citrix Cloud et avec un déploiement StoreFront local. Les autorisations d’accès StoreFront sont toujours appliquées lorsque la règle est utilisée par un StoreFront local. Si vous utilisez le serveur FAS uniquement avec Citrix Cloud, vous n’avez pas besoin d’effectuer cette tâche.

  3. Configurez la stratégie de groupe même si vous utilisez votre déploiement FAS avec Citrix Cloud uniquement. Boîte de dialogue Stratégie de groupe du serveur FAS avec adresse DNS

    L’ordre des adresses DNS de vos serveurs FAS dans la liste doit être cohérent :

    • VDA
    • Serveurs StoreFront (le cas échéant)
    • Serveurs FAS

    En effet, le VDA utilise un index (entier) dans la liste pour localiser le serveur FAS choisi pour un lancement d’application ou de bureau virtuel.

Télécharger le logiciel FAS

La dernière version du logiciel FAS est disponible sur le site Web Téléchargements de Citrix à l’adresse https://www.citrix.com/downloads/citrix-cloud/betas-and-tech-previews/federated-authentication-service–fas-.html.

Pour accéder à la page de téléchargements du service d’authentification fédérée à partir de la console Citrix Cloud :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Sélectionnez la vignette Serveurs FAS, puis cliquez sur Télécharger. Page Emplacements des ressources avec la vignette du serveur FAS en surbrillance Écran de téléchargement FAS

Après le téléchargement, vous pouvez lancer le programme d’installation et suivre l’assistant pour configurer les règles FAS et les stratégies de groupe et vous connecter à Citrix Cloud.

Connecter un serveur FAS à Citrix Cloud

Cette section suppose que votre serveur FAS existant est installé et configuré comme décrit dans la documentation FAS.

  1. Dans le programme d’installation FAS, assurez-vous que l’onglet Installation initiale est sélectionné. Programme d'installation FAS avec bouton Connexion en surbrillance
  2. Dans Connexion à Citrix Cloud, sélectionnez Connexion.
  3. Lorsque vous y êtes invité, connectez-vous à Citrix Cloud, sélectionnez le compte client, le cas échéant, ainsi que l’emplacement de ressources où vous souhaitez connecter le serveur FAS.

Une fois l’installation terminée, Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Page Emplacements des ressources avec serveur FAS ajouté

Si la page Emplacements des ressources est déjà chargée dans votre navigateur, actualisez-la pour afficher le serveur FAS enregistré.

Activer l’authentification fédérée pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Authentification.
  2. Cliquez sur Activer FAS. Cette modification peut prendre jusqu’à cinq minutes pour être appliquée aux sessions des abonnés.

Page Configuration de l'espace de travail avec le bouton Activer FAS mis en surbrillance

Ensuite, le service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Page Configuration de l'espace de travail avec FAS activé

Lorsque les abonnés se connectent à leur espace de travail et lancent une application ou un bureau virtuel dans le même emplacement de ressources que le serveur FAS, l’application ou le bureau démarre sans demander d’informations d’identification.

Remarque :

Si un serveur FAS est en panne ou en mode maintenance, le lancement de l’application réussit, mais l’authentification unique n’est pas active. Les abonnés sont invités à fournir leurs informations d’identification AD pour accéder à chaque application ou bureau.

Supprimer un serveur FAS

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Recherchez l’emplacement des ressources à gérer, puis sélectionnez la vignette Serveurs FAS.
  3. Recherchez le serveur FAS que vous souhaitez supprimer, cliquez sur le bouton représentant des points de suspension, puis sélectionnez Supprimer serveur FAS. Menu de la commande Supprimer serveur FAS
  4. Sur la console d’administration FAS (sur votre serveur FAS local), dans Se connecter à Citrix Cloud, sélectionnez Désactiver. Vous pouvez également désinstaller FAS. Console d'administration FAS avec commande Désactiver en surbrillance

Résolution des problèmes

Si le serveur FAS n’est pas disponible, un message d’avertissement s’affiche sur la page Serveurs FAS.

Page de la console Serveurs FAS

Pour établir un diagnostic du problème, ouvrez la console d’administration FAS sur votre serveur FAS local et inspectez l’état. Par exemple, ici, le serveur FAS n’est pas présent dans l’objet de stratégie de groupe du serveur FAS :

Serveur FAS non disponible dans la console d'administration du serveur FAS

Si la console d’administration FAS indique que le serveur fonctionne correctement, mais qu’il existe toujours des problèmes d’ouverture de session VDA, consultez leguide de dépannage FAS.

Aide et support supplémentaires

Pour obtenir de l’aide, poser des questions ou fournir des commentaires sur l’authentification fédérée pour les espaces de travail, rendez-vous sur le Forum d’assistance du service d’authentification fédérée pour Workspace (Technical Preview) pour discuter avec les experts Citrix et d’autres membres de la communauté Citrix Cloud.

Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix (Technical Preview)