Installer et configurer

Séquence d’installation et de configuration

  1. Installer le Service d’authentification fédérée (FAS)
  2. Activer le plug-in FAS sur des magasins StoreFront
  3. Configurer le Delivery Controller
  4. Configurer une stratégie de groupe
  5. Utiliser la console d’administration FAS pour :
    1. Déployer des modèles de certificat
    2. Configurer les autorités de certification
    3. Autoriser FAS de sorte qu’il utilise vos autorités de certification
    4. Configurer des règles
    5. Connecter FAS à Citrix Cloud (facultatif)

Installer le Service d’authentification fédérée

Pour des raisons de sécurité, Citrix recommande d’installer le Service d’authentification fédérée (FAS) sur un serveur dédié qui est sécurisé de la même manière qu’un contrôleur de domaine ou une autorité de certification. FAS peut être installé :

  • depuis le programme d’installation Citrix Virtual Apps and Desktops (à partir du bouton Service d’authentification fédérée de l’écran de démarrage automatique lorsque l’ISO est inséré), ou
  • depuis le fichier d’installation FAS autonome (disponible en tant que fichier MSI sur Téléchargements de Citrix).

Installent les composants suivants :

Mise à niveau de FAS

Vous pouvez mettre à niveau FAS vers une version plus récente à l’aide d’une mise à niveau sur place. Avant la mise à niveau, tenez compte des points suivants :

  • Tous les paramètres du serveur FAS sont conservés lorsque vous effectuez une mise à niveau sur place.
  • Assurez-vous que la console d’administration FAS est fermée avant de mettre à niveau FAS.
  • Assurez-vous qu’au moins un serveur FAS est disponible à tout moment. Si aucun serveur n’est accessible par un serveur StoreFront activé par le Service d’authentification fédérée, les utilisateurs ne peuvent pas se connecter ni démarrer d’applications.

Pour démarrer une mise à niveau, installez FAS à partir du programme d’installation Citrix Virtual Apps and Desktops ou du fichier d’installation FAS autonome.

Activer le plug-in FAS sur des magasins StoreFront

Remarque :

Cette étape n’est pas nécessaire si vous utilisez FAS uniquement avec Citrix Cloud.

Pour activer l’intégration de FAS sur un magasin StoreFront, exécutez les applets de commande PowerShell suivantes sous un compte d’administrateur. Si le magasin a un nom différent, modifiez $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Pour arrêter d’utiliser FAS, utilisez le script PowerShell suivant :

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurer le Delivery Controller

Remarque :

Cette étape n’est pas nécessaire si vous utilisez FAS uniquement avec Citrix Cloud.

Pour utiliser FAS, configurez le Delivery Controller Citrix Virtual Apps ou Citrix Virtual Desktops de manière à approuver les serveurs StoreFront qui peuvent s’y connecter : exécutez l’applet de commande PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Cette configuration n’est nécessaire qu’une seule fois par site, quel que soit le nombre de Delivery Controller sur le site.

Configurer une stratégie de groupe

Après avoir installé FAS, vous devez spécifier les noms de domaine complets des serveurs FAS dans une stratégie de groupe à l’aide des modèles de stratégie de groupe fournis dans le cadre de l’installation.

Important :

Assurez-vous que les serveurs StoreFront qui demandent des tickets et les VDA (Virtual Delivery Agent) utilisant des tickets disposent de noms de domaine complets identiques, y compris l’attribution automatique de numéros appliquée aux serveurs par l’objet de stratégie de groupe.

À des fins de simplicité, les exemples suivants configurent une seule stratégie au niveau du domaine qui s’applique à toutes les machines ; cependant, cela n’est pas requis. FAS fonctionnera tant que les serveurs StoreFront, les VDA, et la machine exécutant la console d’administration FAS voient la même liste de noms de domaine complets. Voir l’étape 6.

Étape 1. Sur le serveur sur lequel vous avez installé FAS, localisez les fichiers C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx et CitrixBase.admx, ainsi que le dossier en-US.

image localisée

Étape 2. Copiez ces derniers sur vos contrôleurs de domaine et placez-les dans C:\Windows\PolicyDefinitions et le sous-dossier en-US.

Étape 3. Exécutez la console Microsoft Management Console (mmc.exe à partir de la ligne de commande). À partir de la barre de menu, sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. Ajoutez Éditeur d’objets de stratégie de groupe.

Lorsque vous y êtes invité par un objet de stratégie de groupe, sélectionnez Parcourir, puis sélectionnez la stratégie de domaine par défaut. Éventuellement, vous pouvez créer et sélectionner un objet de stratégie approprié pour votre environnement, à l’aide des outils de votre choix. La stratégie doit être appliquée à toutes les machines exécutant des logiciels Citrix affectés (VDA, serveurs StoreFront, outils d’administration).

image localisée

Étape 4. Accédez à la stratégie Service d’authentification fédérée située dans Configuration ordinateur/Stratégies/Modèles d’administration/Composants Citrix/Authentification.

Modèles d'authentification.

Remarque :

Le paramètre de stratégie Service d’authentification fédérée est uniquement disponible sur un objet de stratégie de groupe du domaine lorsque vous ajoutez le fichier de modèle CitrixBase.admx/CitrixBase.adml au dossier PolicyDefinitions. Après l’étape 3, le paramètre de stratégie Service d’authentification fédérée est répertorié dans le dossier Modèles d’administration > Composants Citrix > Authentification.

Étape 5. Ouvrez la stratégie Service d’authentification fédérée et sélectionnez Activé. Cela vous permet de sélectionner le bouton Afficher, dans lequel vous pouvez configurer les noms de domaine complets de vos serveurs FAS.

Noms de domaine complets.

Étape 6. Entrez les noms de domaine complets des serveurs FAS.

Important :

Si vous entrez plusieurs noms de domaine complets, l’ordre de la liste doit être cohérent pour les VDA, les serveurs StoreFront (le cas échéant) et les serveurs FAS. Consultez Paramètres de stratégie de groupe.

Étape 7. Cliquez sur OK pour quitter l’assistant de stratégie de groupe et appliquer les modifications à la stratégie de groupe. Vous devrez peut-être redémarrer les machines (ou exécuter gpupdate/force à partir de la ligne de commande) pour que les modifications prennent effet.

Comportement en session

Cette stratégie active un processus d’agent dans la session VDA de l’utilisateur qui prend en charge les certificats en session, le consentement et la déconnexion au verrouillage. Les certificats en session ne sont disponibles que si cette stratégie est activée et si la règle FAS utilisée pour créer le certificat est autorisée. Reportez-vous à la section Configurer des règles.

Comportement en session.

Activer active cette stratégie et permet à un processus d’agent FAS de s’exécuter dans la session VDA de l’utilisateur.

Désactiver désactive la stratégie et arrête l’exécution du processus d’agent FAS.

Prompt Scope

Si cette stratégie est activée, Prompt Scope contrôle la manière dont les utilisateurs sont invités à consentir à autoriser une application à utiliser un certificat en cours de session. Il existe trois options :

  • No consent required : cette option désactive l’invite de sécurité et les clés privées sont utilisées silencieusement.
  • Per-process consent : chaque programme exécuté demande un consentement individuel.
  • Per-session consent : une fois que l’utilisateur a cliqué sur OK, le consentement s’applique à tous les programmes de la session.

Si cette stratégie est activée, Consent Timeout contrôle la durée (en secondes) du consentement. Par exemple, si elle est réglée sur 300 secondes, les utilisateurs voient une invite toutes les cinq minutes. Une valeur de zéro invite les utilisateurs à donner leur consentement pour chaque opération de clé privée.

Déconnexion après verrouillage

Si cette stratégie est activée, la session de l’utilisateur est automatiquement déconnectée lorsqu’il verrouille l’écran. Cette fonctionnalité fournit un comportement similaire à la stratégie de « déconnexion lors du retrait de la carte à puce ». Elle est utile dans les situations où les utilisateurs ne disposent pas d’informations d’identification d’ouverture de session Active Directory.

Remarque :

La stratégie de déconnexion après verrouillage s’applique à toutes les sessions sur le VDA.

Utiliser la console d’administration du Service d’authentification fédérée

Remarque :

Bien que la console d’administration FAS convienne à la plupart des déploiements, l’interface PowerShell offre des options plus avancées. Pour plus d’informations sur les applets de commande FAS PowerShell, consultez Applets de commande PowerShell.

La console d’administration FAS est installée dans le cadre de FAS. Une icône (Service d’authentification fédérée de Citrix) est placée dans le menu Démarrer.

La première fois que la console d’administration est utilisée, elle vous guide au travers d’un processus qui déploie les modèles de certificat, configure l’autorité de certification et autorise FAS à utiliser l’autorité de certification. Certaines des étapes peuvent également être effectuées manuellement à l’aide des outils de configuration du système d’exploitation.

La console d’administration FAS effectue une connexion au service FAS local par défaut. Si nécessaire, vous pouvez vous connecter à un service distant à l’aide de Se connecter à un autre serveur en haut à droite de la console.

image localisée

Déployer des modèles de certificat

Pour éviter des problèmes d’interopérabilité avec d’autres logiciels, FAS offre trois modèles de certificats Citrix pour son propre usage.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Ces modèles doivent être enregistrés auprès d’Active Directory. Cliquez sur le bouton Déployer, puis cliquez sur OK.

image localisée

La configuration des modèles peut être trouvée dans les fichiers XML avec l’extension .certificatetemplate qui sont installés avec FAS dans :

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Dossier des modèles de certificat.

Si vous ne disposez pas des autorisations nécessaires pour installer ces fichiers modèles, donnez-les à votre administrateur Active Directory.

Pour installer manuellement les modèles, vous pouvez exécuter les commandes PowerShell suivantes à partir du dossier contenant les modèles :

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurer des services de certificats Active Directory

Après l’installation de modèles de certificats Citrix, ils doivent être publiés sur un ou plusieurs serveurs d’autorité de certification Microsoft Enterprise. Reportez-vous à la documentation Microsoft sur la manière de déployer des services de certificats Active Directory.

Si les modèles ne sont pas publiés sur au moins un serveur, utilisez l’outil Configurer une autorité de certification pour les publier. Vous devez procéder en tant qu’utilisateur disposant d’autorisations suffisantes pour gérer l’autorité de certification.

(Les modèles de certificats peuvent également être publiés à l’aide de la console Autorité de certification de Microsoft.)

image localisée

Autoriser le Service d’authentification fédérée

Cette étape initie l’autorisation de FAS. La console d’administration utilise le modèle Citrix_RegistrationAuthority_ManualAuthorization pour générer une requête de certificat, puis l’envoie à l’une des autorités de certification qui publient ce modèle.

image localisée

Une fois la requête envoyée, elle apparaît dans la liste Demandes en attente de la console Autorité de certification de Microsoft en tant que requête en attente du compte de machine FAS. L’administrateur de l’autorité de certification doit émettre ou rejeter la requête avant que la configuration de FAS puisse continuer.

La console d’administration FAS affiche un « compteur » jusqu’à ce que l’administrateur choisisse Émettre ou Rejeter.

Dans la console Autorité de certification Microsoft, cliquez avec le bouton droit sur Toutes les tâches, puis sélectionnez Émettre ou Rejeter pour la demande de certificat. Si vous choisissez Émetteur, la console d’administration FAS affiche le certificat d’autorisation. Si vous choisissez Rejeter, la console affiche un message d’erreur.

image localisée

La console d’administration FAS détecte automatiquement lorsque ce processus est terminé. Cette opération peut prendre plusieurs minutes.

image localisée

Configurer des règles

FAS utilise des règles pour autoriser l’émission de certificats pour l’ouverture de session sur des VDA et l’utilisation dans la session, conformément aux instructions de StoreFront. Chaque règle spécifie les serveurs StoreFront qui sont approuvés pour demander des certificats, les utilisateurs pour lesquels ils peuvent être demandés, et les VDA autorisés à les utiliser.

Au moins une règle doit être créée et configurée. Nous vous recommandons de créer une règle nommée « default » car, par défaut, StoreFront demande une règle nommée « default » lorsque vous contactez FAS.

Vous pouvez créer des règles personnalisées supplémentaires pour référencer différents modèles de certificats et autorités de certification, et les configurer pour avoir des propriétés et des autorisations différentes. Ces règles peuvent être configurées pour être utilisées par différents serveurs StoreFront ou par Workspace. Configurez les serveurs StoreFront pour demander la règle personnalisée par nom à l’aide des options de configuration de stratégie de groupe.

Cliquez sur Créer (ou Créer une règle dans l’onglet « Règles ») pour démarrer l’assistant de création de règles qui recueille les informations nécessaires à la création de la règle. L’onglet « Règles » affiche un résumé de chaque règle.

image localisée

Les informations suivantes sont collectées par l’assistant :

Template : modèle de certificat utilisé pour émettre des certificats utilisateur. Il doit s’agir du modèle Citrix_SmartcardLogon ou d’une copie modifiée de celui-ci (voir Modèles de certificats).

Certificate Authority : autorité de certification qui émet des certificats utilisateur. Le modèle doit être publié par l’autorité de certification. FAS prend en charge l’ajout de multiples autorités de certification à des fins de basculement et d’équilibrage de charge. Assurez-vous que le statut indique « Template available » (Modèle disponible) pour l’autorité de certification que vous choisissez. Consultez Administration de l’autorité de certification.

In-Session Use : l’option Allow in-session use contrôle si un certificat peut être utilisé après l’ouverture de session sur le VDA.

  • Allow in-session use non sélectionné (par défaut, recommandé) : le certificat est utilisé uniquement pour l’ouverture de session ou la reconnexion, et les utilisateurs n’ont pas accès au certificat après l’authentification.
  • Allow in-session use sélectionné : les utilisateurs ont accès au certificat après l’authentification. La plupart des clients ne doivent pas sélectionner cette option. Les ressources accessibles depuis la session VDA, telles que les sites Web intranet ou les partages de fichiers, sont accessibles à l’aide de l’authentification unique Kerberos. Par conséquent, un certificat de session n’est pas requis.

    Si vous sélectionnez Allow in-session use, la stratégie de groupe Comportement en session doit également être activée et appliquée au VDA. Les certificats sont alors placés dans le magasin de certificats personnel de l’utilisateur après l’ouverture de session afin que les applications puissent les utiliser. Par exemple, si vous exigez l’authentification TLS pour accéder aux serveurs Web dans la session VDA, le certificat peut être utilisé par Internet Explorer.

Access control : liste des serveurs StoreFront approuvés qui sont autorisés à demander des certificats pour l’ouverture de session ou la reconnexion des utilisateurs. Pour toutes ces autorisations, vous pouvez ajouter des objets ou des groupes AD individuels.

Important :

Notez que le paramètre Access control est critique à la sécurité et doit être géré avec soin.

Remarque :

Si vous utilisez le serveur FAS uniquement avec Citrix Cloud, vous n’avez pas besoin de configurer le contrôle d’accès. Lorsqu’une règle est utilisée par Citrix Cloud, les autorisations d’accès StoreFront sont ignorées. Vous pouvez utiliser la même règle avec Citrix Cloud et avec un déploiement StoreFront local. Les autorisations d’accès StoreFront sont toujours appliquées lorsque la règle est utilisée par un StoreFront local.

L’autorisation par défaut (« Assert Identity » autorisé) refuse tout. Par conséquent, vous devez autoriser explicitement vos serveurs Storefront.

image localisée

Restrictions : liste des machines VDA qui peuvent connecter les utilisateurs à l’aide de FAS et liste des utilisateurs auxquels des certificats peuvent être émis via FAS.

  • Manage VDA permissions vous permet de spécifier quels VDA peuvent utiliser FAS pour connecter l’utilisateur. La liste des VDA est par défaut Domain Computers (Ordinateurs du domaine).

  • Manage user permissions vous permet de spécifier quels utilisateurs peuvent utiliser FAS pour se connecter à un VDA. La liste des utilisateurs est par défaut Manage user permissions (Utilisateurs du domaine).

Remarque :

Si le serveur FAS se trouve dans un domaine différent de celui des VDA et des utilisateurs, les restrictions par défaut doivent être modifiées.

image localisée

image localisée

Cloud rule : indique si la règle est appliquée lorsque des assertions d’identité sont reçues à partir de Citrix Workspace. Lorsque vous vous connectez à Citrix Cloud, vous choisissez la règle à utiliser pour Citrix Cloud. Vous pouvez également modifier la règle après vous être connecté à Citrix Cloud à partir d’un lien dans la section Connect to Citrix Cloud.

image localisée

Se connecter à Citrix Cloud

Vous pouvez connecter le serveur FAS à Citrix Cloud avec Citrix Workspace. Voir cet article Citrix Workspace.

  1. Dans l’onglet Initial Setup, pour Connect to Citrix Cloud, cliquez sur Connect.

    Boîte de dialogue Connect to Cloud.

  2. Cliquez sur Se connecter à Citrix Cloud, puis connectez-vous à Citrix Cloud à l’aide des informations d’identification d’administrateur pour le client cloud auquel vous vous connectez.

    Client et ressource Cloud.

  3. Sélectionnez le compte client, le cas échéant, et sélectionnez l’emplacement de ressources où vous souhaitez connecter le serveur FAS. Cliquez sur Continuer, puis fermez la fenêtre de confirmation.

    Boîte de dialogue de connexion au cloud.

  4. Dans la console d’administration FAS, choisissez une règle à appliquer lorsque des assertions d’identité sont reçues depuis Citrix Workspace ou sélectionnez Créer une règle à la fin de cet assistant. (Dans l’onglet « Règles », la valeur de la règle Cloud est « Oui » pour la règle que vous sélectionnez ou créez.)
  5. Dans l’onglet « Résumé », cliquez sur Terminer pour terminer la connexion Citrix Cloud.

Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Déconnexion de Citrix Cloud

Après avoir supprimé le serveur FAS de votre emplacement de ressources Citrix Cloud, comme décrit dans cet article Citrix Workspace, dans Connect to Citrix Cloud, sélectionnez Disable.