Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix

Le Service d’authentification fédérée (FAS) de Citrix prend en charge l’authentification unique auprès des applications et bureaux virtuels dans Citrix Workspace. Dans chaque emplacement de ressources, vous pouvez connecter plusieurs serveurs FAS à Citrix Cloud à des fins d’équilibrage de charge et de basculement. Vous pouvez utiliser le même serveur FAS pour l’authentification locale et Citrix Cloud à l’aide d’une configuration de règle appropriée.

Flux de requêtes du serveur FAS avec Citrix Cloud

Les abonnés qui se connectent à leurs espaces de travail via un fournisseur d’identité fédérée (tel qu’Azure AD, Okta, SAML, etc.) n’entrent leurs informations d’identification qu’une seule fois pour accéder à leurs applications et bureaux. Lorsque les abonnés lancent une application ou un bureau virtuel dans leur espace de travail, Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources que le VDA en cours de lancement. Citrix Cloud contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur stocké sur le serveur FAS. Pour authentifier l’abonné, le VDA se connecte au FAS et présente le ticket.

Important :

  • Lorsque vous activez l’authentification unique via le portail d’administration cloud, l’authentification unique est active uniquement dans les emplacements de ressources où vous avez connecté des serveurs FAS. S’il n’y a pas de serveur FAS dans un emplacement de ressources, l’authentification unique n’est pas active pour les ressources de cet emplacement.
  • Lorsque vous activez FAS dans votre emplacement de ressources, le service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Pour obtenir une vue d’ensemble du service d’authentification fédérée pour Citrix Workspace, visionnez la vidéo Tech Insight :

Service d'authentification fédérée Citrix pour Citrix Workspace

Exigences

Exigences en termes de connectivité

Utilisez la console d’administration FAS pour connecter un serveur FAS à Citrix Cloud. Vous pouvez utiliser cette console pour configurer un serveur FAS local ou distant. Pour activer l’authentification unique pour les espaces de travail avec FAS, la console d’administration FAS et le service FAS accèdent aux adresses suivantes à l’aide du compte de compte de l’utilisateur de la console et du compte de service réseau, respectivement.

  • Console d’administration FAS avec utilisation du compte de l’utilisateur de la console
    • *.cloud.com
    • *.citrixworkspaceapi.net
    • Adresses requises par un fournisseur d’identité tiers, si elles sont utilisées dans votre environnement
  • Service FAS avec utilisation du compte de service réseau : *.citrixworkspaceapi.net

Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte de service réseau est configurée en fonction de votre environnement.

Serveur FAS

Pour connaître la configuration complète requise pour le serveur FAS, consultez la section Configuration système requise de la documentation produit de FAS.

Le Service d’authentification fédérée 2003 (version 10.1) ou version ultérieure doit être installé sur les serveurs FAS de votre environnement Virtual Apps and Desktops local. Pour mettre à niveau un serveur FAS existant, consultez la section Installer et configurer de la documentation FAS. Le même serveur FAS peut être utilisé pour les déploiements Workspace et locaux.

Citrix Workspace

Le service Virtual Apps and Desktops doit être provisionné et activé dans Workspace. Par défaut, Virtual Apps and Desktops Service est activé dans Configuration de l’espace de travail une fois que vous êtes abonné au service. Toutefois, le service nécessite que vous déployiez des Citrix Cloud Connector pour permettre à Citrix Cloud de communiquer avec votre environnement local.

Cloud Connector

Citrix Cloud Connector permet la communication entre votre emplacement de ressources (où résident les VDA) et Citrix Cloud. Vous devez disposer d’au moins deux serveurs sur lesquels installer le logiciel Cloud Connector pour garantir une haute disponibilité. Ces serveurs doivent satisfaire aux exigences suivantes :

  • Les serveurs doivent répondre à la configuration système décrite dans la section Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs ; ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être joints au domaine sur lequel réside votre serveur FAS.

Pour plus d’informations sur le déploiement de Cloud Connectors, reportez-vous aux articles suivants :

Installer et configurer FAS

Important :

Lorsque vous activez l’authentification unique via FAS, l’authentification unique est active uniquement dans les emplacements de ressources où vous avez connecté des serveurs FAS. S’il n’y a pas de serveur FAS dans un emplacement de ressources, l’authentification unique n’est pas active pour les abonnés d’un espace de travail qui se connectent via cet emplacement de ressources.

Suivez le processus d’installation et de configuration de FAS décrit dans la documentation FAS, à l’exception des étapes de configuration pour StoreFront et Delivery Controller qui ne sont pas requises.

Remarque :

Vous pouvez télécharger le programme d’installation MSI du Service d’authentification fédérée à partir de la console Citrix Cloud :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Sélectionnez la vignette Serveurs FAS, puis cliquez sur Télécharger.

Connecter un serveur FAS à Citrix Cloud

Une fois votre serveur FAS installé et configuré, utilisez la console d’administration FAS pour effectuer l’étape Se connecter à Citrix Cloud comme décrit dans la documentation FAS.

Une fois l’étape de configuration Se connecter à Citrix Cloud effectuée, Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Page Emplacements des ressources avec serveur FAS ajouté

Si la page Emplacements des ressources est déjà chargée dans votre navigateur, actualisez-la pour afficher le serveur FAS enregistré.

Activer l’authentification fédérée pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Authentification.
  2. Cliquez sur Activer FAS. Cette modification peut prendre jusqu’à cinq minutes pour être appliquée aux sessions des abonnés.

Page Configuration de l'espace de travail avec le bouton Activer FAS mis en surbrillance

Ensuite, le service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Page Configuration de l'espace de travail avec FAS activé

Lorsque les abonnés se connectent à leur espace de travail et lancent une application ou un bureau virtuel dans le même emplacement de ressources que le serveur FAS, l’application ou le bureau démarre sans demander d’informations d’identification.

Remarque :

Si tous les serveurs FAS d’un emplacement de ressources sont en panne ou en mode de maintenance, le lancement de l’application réussit, mais l’authentification unique n’est pas active. Les abonnés sont invités à fournir leurs informations d’identification AD pour accéder à chaque application ou bureau.

Supprimer un serveur FAS

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Recherchez l’emplacement des ressources à gérer, puis sélectionnez la vignette Serveurs FAS.
  3. Recherchez le serveur FAS que vous souhaitez supprimer, cliquez sur le bouton représentant des points de suspension, puis sélectionnez Supprimer serveur FAS. Menu de la commande Supprimer serveur FAS
  4. Sur la console d’administration FAS (sur votre serveur FAS local), dans Se connecter à Citrix Cloud, sélectionnez Désactiver. Vous pouvez également désinstaller FAS. Console d'administration FAS avec commande Désactiver en surbrillance

Résolution des problèmes

Si le serveur FAS n’est pas disponible, un message d’avertissement s’affiche sur la page Serveurs FAS.

Page de la console Serveurs FAS

Pour établir un diagnostic du problème, ouvrez la console d’administration FAS sur votre serveur FAS local et inspectez l’état. Par exemple, ici, le serveur FAS n’est pas présent dans l’objet de stratégie de groupe du serveur FAS :

Serveur FAS non disponible dans la console d'administration du serveur FAS

Si la console d’administration FAS indique que le serveur fonctionne correctement, mais qu’il existe toujours des problèmes d’ouverture de session VDA, consultez le guide de dépannage FAS.

Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix