Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix

Le Service d’authentification fédérée (FAS) de Citrix prend en charge l’authentification unique auprès des applications et bureaux virtuels dans Citrix Workspace. Dans chaque emplacement de ressources, vous pouvez connecter plusieurs serveurs FAS à Citrix Cloud à des fins d’équilibrage de charge et de basculement.

Citrix Cloud prend en charge l’utilisation de serveurs FAS dans les scénarios suivants :

  • Serveurs FAS connectés à un seul emplacement de ressources : si vos emplacements de ressources contiennent une infrastructure variée (par exemple, différents emplacements de ressources contiennent différentes forêts Active Directory), vous déployez des serveurs FAS vers le même emplacement de ressources où se trouvent vos VDA. L’authentification unique est active uniquement dans les emplacements de ressources où un ou plusieurs serveurs FAS sont connectés.
  • Serveurs FAS connectés à plusieurs emplacements de ressources : si vous disposez d’une connectivité réseau entre vos emplacements de ressources et qu’ils contiennent une infrastructure similaire (par exemple, ils résident dans une seule forêt AD), vous pouvez connecter vos serveurs FAS à plusieurs emplacements de ressources. L’authentification unique est active pour les abonnés de l’espace de travail qui se connectent à des applications et des bureaux virtuels situés dans ces emplacements de ressources. Dans ce scénario, il n’est pas nécessaire de connecter des serveurs FAS distincts à chaque emplacement de ressources.

    Remarque :

    L’utilisation de FAS avec plusieurs emplacements de ressources est actuellement disponible en tant que fonction Technical Preview. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans des environnements de test ou des environnements de production limités.

Dans les deux scénarios, les abonnés se connectant à leurs espaces de travail via un fournisseur d’identité fédéré (tel qu’Azure AD, Okta, SAML, etc.) ne saisissent leurs informations d’identification qu’une seule fois pour accéder à leurs applications et bureaux.

Lorsque les abonnés lancent une application ou un bureau virtuel, Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources que l’application ou le bureau en cours de lancement. Citrix Cloud contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur stocké sur le serveur FAS. Pour authentifier l’abonné, le VDA se connecte au serveur FAS et présente le ticket.

Vous pouvez utiliser le même serveur FAS pour l’authentification locale et Citrix Cloud à l’aide d’une configuration de règle appropriée.

Flux de requêtes du serveur FAS avec Citrix Cloud

Pour obtenir une vue d’ensemble du service d’authentification fédérée pour Citrix Workspace, visionnez la vidéo Tech Insight :

Service d'authentification fédérée Citrix pour Citrix Workspace

Exigences

Exigences en termes de connectivité

Utilisez la console d’administration FAS pour connecter un serveur FAS à Citrix Cloud. Vous pouvez utiliser cette console pour configurer un serveur FAS local ou distant. Pour activer l’authentification unique pour les espaces de travail avec FAS, la console d’administration FAS et le service FAS accèdent aux adresses suivantes à l’aide du compte de compte de l’utilisateur de la console et du compte de service réseau, respectivement.

  • Console d’administration FAS avec utilisation du compte de l’utilisateur de la console
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Adresses requises par un fournisseur d’identité tiers, si elles sont utilisées dans votre environnement
  • Service FAS avec utilisation du compte de service réseau : *.citrixworkspacesapi.net

Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte de service réseau est configurée en fonction de votre environnement.

Configuration système requise pour FAS

La configuration système décrite dans cette section s’appliquent à tous les serveurs FAS que vous prévoyez de connecter à Citrix Cloud.

Pour connaître la configuration système complète requise pour le serveur FAS, consultez la section Configuration système requise dans la documentation produit de FAS.

Le Service d’authentification fédérée 2003 (version 10.1) ou version ultérieure doit être installé sur les serveurs FAS de votre environnement Citrix Virtual Apps and Desktops local. Pour plus d’informations sur la mise à niveau d’un serveur FAS existant, consultez Installer et configurer dans la documentation produit de FAS. Le même serveur FAS peut être utilisé pour les déploiements Workspace et locaux.

Citrix Workspace

Le service Citrix Virtual Apps and Desktops doit être provisionné et activé dans Workspace. Par défaut, Virtual Apps and Desktops Service est activé dans Configuration de l’espace de travail une fois que vous êtes abonné au service. Toutefois, le service nécessite que vous déployiez des Citrix Cloud Connector pour permettre à Citrix Cloud de communiquer avec votre environnement local.

Cloud Connector

Citrix Cloud Connector permet la communication entre votre emplacement de ressources (où résident les VDA) et Citrix Cloud. Déployez au moins deux Cloud Connector pour garantir une haute disponibilité. Les serveurs sur lesquels vous installez le logiciel Cloud Connector doivent répondre aux exigences suivantes :

  • Configuration système requise, telle que décrite dans Détails techniques sur Cloud Connector
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs ; ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos VDA.

Pour plus d’informations sur le déploiement de Cloud Connectors, reportez-vous aux articles suivants :

Présentation de la configuration

  1. Si vous déployez de nouveaux serveurs FAS, consultez la section Exigences et suivez les instructions décrites dans la section Installer et configurer FAS de cet article.
  2. Connectez votre serveur FAS à Citrix Cloud comme décrit dans la section Connecter un serveur FAS à Citrix Cloud de cet article. L’exécution de cette tâche permet de connecter votre serveur FAS à un seul emplacement de ressources.
  3. Si vous envisagez de connecter votre serveur FAS à plusieurs emplacements de ressources, ajoutez le serveur FAS comme décrit dans la section Ajouter un serveur FAS à plusieurs emplacements de ressources dans cet article.

Installer et configurer FAS

Suivez le processus d’installation et de configuration FAS décrit dans la Documentation du produit FAS. Les étapes de configuration pour StoreFront ou le Delivery Controller ne sont pas requises.

Conseil :

Vous pouvez également télécharger le programme d’installation du Service d’authentification fédérée à partir de la console Citrix Cloud :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Sélectionnez la vignette Serveurs FAS, puis cliquez sur Télécharger.

Connecter les serveurs FAS à Citrix Cloud

Utilisez la console d’administration FAS pour connecter votre serveur FAS à Citrix Cloud, comme décrit dans la section Installer et configurer de la documentation du produit FAS.

Une fois l’étape de configuration Se connecter à Citrix Cloud effectuée, Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Page Emplacements des ressources avec serveur FAS ajouté

Si la page Emplacements des ressources est déjà chargée dans votre navigateur, actualisez-la pour afficher le serveur FAS enregistré.

Ajouter un serveur FAS à plusieurs emplacements de ressources

Cette fonctionnalité est disponible en tant que version préliminaire. Citrix recommande d’utiliser les fonctionnalités Technical Preview uniquement dans des environnements de test ou des environnements de production limités.

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources, puis l’onglet Serveurs FAS.
  2. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension (…) situés à droite de l’entrée, puis sélectionnez Gérer le serveur. Onglet Serveurs FAS avec option de menu Gérer le serveur mise en surbrillance
  3. Sélectionnez Ajouter à un emplacement de ressources, puis sélectionnez les emplacements de ressources souhaités. Boîte de dialogue Gérer les serveurs avec option Ajouter à un emplacement de ressources mise en surbrillance
  4. Sélectionnez Principal ou Secondaire pour spécifier la priorité de basculement du serveur FAS dans chaque emplacement de ressources sélectionné.
  5. Sélectionnez Enregistrer les modifications.

Pour afficher le serveur FAS ajouté, sélectionnez Emplacements des ressources dans le menu Citrix Cloud, puis sélectionnez l’onglet Serveurs FAS. La liste de tous les serveurs FAS pour tous les emplacements de ressources connectés s’affiche. Pour afficher les serveurs FAS associés à un emplacement de ressources spécifique, sélectionnez l’emplacement de ressources dans la liste déroulante.

Modifier la priorité de basculement d’un serveur FAS

Lorsque les abonnés lancent une application ou un bureau virtuel, Citrix Cloud utilise la séquence suivante pour sélectionner un serveur FAS au même emplacement de ressources que l’application ou le bureau en cours de lancement :

  • Les serveurs FAS désignés comme serveurs principaux dans l’emplacement de ressources donné sont pris en compte en premier lieu.
  • Si aucun serveur principal n’est disponible, les serveurs FAS désignés comme serveurs secondaires sont pris en compte.
  • Si aucun serveur secondaire n’est disponible, le lancement se poursuit, mais l’authentification unique ne se produit pas.
  1. Sur la page Emplacements des ressources, sélectionnez la vignette Serveurs FAS pour l’emplacement de ressources que vous souhaitez gérer.
  2. Sélectionnez l’onglet Serveurs FAS .
  3. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Gérer le serveur.
  4. Localisez l’emplacement de ressources avec la priorité que vous souhaitez modifier et sélectionnez la nouvelle priorité dans la liste déroulante. Gérer les serveurs FAS avec la liste déroulante Priorité mise en surbrillance
  5. Sélectionnez Enregistrer les modifications.

Activer l’authentification fédérée pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Authentification.
  2. Cliquez sur Activer FAS. Cette modification peut prendre jusqu’à cinq minutes pour être appliquée aux sessions des abonnés.

Page Configuration de l'espace de travail avec le bouton Activer FAS mis en surbrillance

Ensuite, le service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Page Configuration de l'espace de travail avec FAS activé

Lorsque les abonnés se connectent à leur espace de travail et lancent une application ou un bureau virtuel dans le même emplacement de ressources que le serveur FAS, l’application ou le bureau démarre sans demander d’informations d’identification.

Remarque :

Si tous les serveurs FAS d’un emplacement de ressources sont en panne ou en mode de maintenance, le lancement de l’application réussit, mais l’authentification unique n’est pas active. Les abonnés sont invités à fournir leurs informations d’identification AD pour accéder à chaque application ou bureau.

Supprimer un serveur FAS

Pour supprimer un serveur FAS d’un emplacement de ressources unique :

  1. Sur la page Emplacements des ressources, sélectionnez la vignette Serveurs FAS pour l’emplacement de ressources que vous souhaitez gérer.
  2. Sélectionnez l’onglet Serveurs FAS.
  3. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Gérer le serveur.
  4. Localisez l’emplacement des ressources que vous souhaitez supprimer, puis cliquez sur l’icône X. Gérer les serveurs FAS avec les icônes de suppression mises en surbrillance

Pour supprimer un serveur FAS de tous les emplacements de ressources connectés :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Recherchez l’emplacement des ressources à gérer, puis sélectionnez la vignette Serveurs FAS.
  3. Localisez le serveur FAS que vous souhaitez supprimer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Supprimer serveur FAS. Menu de la commande Supprimer serveur FAS
  4. Sur la console d’administration FAS (sur votre serveur FAS local), dans Se connecter à Citrix Cloud, sélectionnez Déconnecter. Vous pouvez également désinstaller FAS. Console d'administration FAS avec commande Désactiver en surbrillance

Résolution des problèmes

Si le serveur FAS n’est pas disponible, un message d’avertissement s’affiche sur la page Serveurs FAS.

Page de la console Serveurs FAS

Pour établir un diagnostic du problème, ouvrez la console d’administration FAS sur votre serveur FAS local et inspectez l’état. Par exemple, ici, le serveur FAS n’est pas présent dans l’objet de stratégie de groupe du serveur FAS :

Serveur FAS non disponible dans la console d'administration du serveur FAS

Si la console d’administration FAS indique que le serveur fonctionne correctement, mais qu’il existe toujours des problèmes d’ouverture de session VDA, consultez le guide de dépannage FAS.

Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix