Configuration de l’authentification par carte à puce

Citrix Receiver pour Windows prend en charge les fonctionnalités d’authentification par carte à puce suivantes. Pour de plus amples informations sur la configuration de XenDesktop et de StoreFront, reportez-vous à la documentation accompagnant ces composants. Cette rubrique décrit la configuration de Citrix Receiver pour Windows pour les cartes à puce.

  • Authentification pass-through (Single Sign-On) : l’authentification pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs ouvrent une session sur Citrix Receiver pour Windows. Citrix Receiver pour Windows utilise les informations d’identification capturées comme suit :

    • Les utilisateurs dont les machines appartiennent au domaine qui ouvrent une session Citrix Receiver pour Windows avec des informations d’identification de carte à puce peuvent démarrer des applications et bureaux virtuels sans avoir à s’authentifier de nouveau.
    • Les utilisateurs dont les machines n’appartiennent pas au domaine qui ouvrent une session Citrix Receiver pour Windows avec des informations d’identification de carte à puce doivent de nouveau entrer leurs informations d’identification pour démarrer une application ou un bureau virtuel.

    L’authentification pass-through requiert la configuration de StoreFront et Citrix Receiver pour Windows.

  • Authentification bimodale : l’authentification bimodale offre aux utilisateurs le choix entre utiliser une carte à puce et entrer leur nom d’utilisateur et mot de passe. Cette fonctionnalité est utile si la carte à puce ne peut pas être utilisée (par exemple, si l’utilisateur l’a laissé chez lui, ou que le certificat d’ouverture de session a expiré). Les magasins dédiés doit être configurés par site pour autoriser ceci, à l’aide de la méthode DisableCtrlAltDel définie sur False pour autoriser les cartes à puce. L’authentification bimodale requiert la configuration de StoreFront. Si NetScaler Gateway est présent dans la solution, une configuration est également nécessaire.

    L’authentification bimodale offre également désormais à l’administrateur StoreFront l’opportunité d’offrir à l’utilisateur final à la fois l’authentification par nom d’utilisateur et mot de passe et par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.

  • Certificats multiples : de multiples certificats peuvent être disponibles pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsqu’un utilisateur insère une carte à puce dans le lecteur de cartes, les certificats sont disponibles à toutes les applications exécutées sur la machine utilisateur, y compris Citrix Receiver pour Windows. Pour modifier la façon dont les certificats sont sélectionnés, configurez Citrix Receiver pour Windows.

  • Authentification du certificat client : l’authentification du certificat client requiert la configuration de NetScaler Gateway et de StoreFront.

    • Pour accéder aux ressources StoreFront via NetScaler Gateway, les utilisateurs auront peut-être besoin de se ré-authentifier après le retrait d’une carte à puce.
    • Lorsque la configuration SSL de NetScaler Gateway est définie sur authentification du certificat client obligatoire, la sécurité des opérations est garantie. Toutefois, l’authentification du certificat client obligatoire n’est pas compatible avec l’authentification bimodale.
  • Sessions double-hop : si un double-hop est requis, une connexion supplémentaire est établie entre Receiver et le bureau virtuel de l’utilisateur. Les déploiements qui prennent en charge le double-hop sont décrits dans la documentation XenDesktop.

  • Applications activées pour carte à puce : les applications activées pour carte à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer numériquement ou de crypter des documents disponibles dans les sessions d’application ou de bureau virtuel.

Conditions préalables :

Cette rubrique suppose que vous avez lu les rubriques relatives aux cartes à puce dans la documentation de XenDesktop de StoreFront.

Limitations :

  • Les certificats doivent être stockés sur une carte à puce et non sur la machine utilisateur.
  • Citrix Receiver pour Windows ne peut pas enregistrer le choix de certificat de l’utilisateur, mais peut stocker le code PIN lors de la configuration. Le code PIN est uniquement mis en cache dans la mémoire non paginée pour la durée de la session de l’utilisateur et n’est, à aucun moment, stocké sur disque.
  • Citrix Receiver pour Windows ne reconnecte pas les sessions lorsqu’une carte à puce est insérée.
  • Lorsque Citrix Receiver pour Windows est configuré pour utiliser l’authentification par carte à puce, il ne prend ni en charge le Single Sign-On VPN ni le pré-lancement de session. Pour utiliser les tunnels VPN avec l’authentification par carte à puce, les utilisateurs doivent installer NetScaler Gateway Plug-in et ouvrir une session via une page Web, et utiliser leurs cartes à puce et codes PIN pour s’authentifier à chaque étape. L’authentification pass-through à StoreFront avec NetScaler Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.
  • Les communications de Citrix Receiver pour Windows Updater avec citrix.com et Merchandising Server ne sont pas compatibles avec l’authentification par carte à puce sur NetScaler Gateway.

Avertissement

certaines des configurations décrites dans cette rubrique impliquent de modifier le registre. Une utilisation incorrecte de l’Éditeur du Registre peut occasionner de sérieux problèmes qui pourraient nécessiter l’installation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.

Pour activer le Single Sign-On (SSO) pour l’authentification par carte à puce

Pour configurer Citrix Receiver pour Windows, incluez l’option de ligne de commande suivante lors de son installation :

  • ENABLE_SSON=Yes

    L’authentification pass-through est également appelée Single Sign-On (SSO). L’activation de ce paramètre empêche Citrix Receiver pour Windows d’afficher une seconde invite de saisie du code PIN.

Vous pouvez également effectuer la configuration en apportant des modifications aux stratégies suivantes et au registre :

  • Modèles d’administration > Modèles d’administration classiques (ADM) > Composants Citrix > Citrix Receiver > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux

  • Définissez SSONCheckEnabled sur false dans l’une ou l’autre des clés de registre suivantes si le composant SSO n’est pas installé. La clé empêche le gestionnaire d’authentification Citrix Receiver pour Windows de vérifier la présence du composant SSO, ce qui permet donc à Citrix Receiver pour Windows de s’authentifier auprès de StoreFront.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Sinon, il est possible d’activer l’authentification par carte à puce sur StoreFront à la place de Kerberos. Pour activer l’authentification par carte à puce sur StoreFront à la place de Kerberos, installez Citrix Receiver pour Windows à l’aide des options de ligne de commande ci-dessous. Cette opération nécessite des privilèges d’administrateur. La machine n’a pas besoin d’appartenir à un domaine.

  • /includeSSON installe l’authentification Single Sign-On (authentification unique). Permet la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through au domaine.

  • Si l’utilisateur ouvre une session sur le point de terminaison avec une méthode différente de la carte à puce pour l’authentification sur Receiver (par exemple, le nom d’utilisateur et mot de passe), la ligne de commande est la suivante :

    pre codeblock /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

    Ceci empêche la capture d’informations d’identification lors de l’ouverture de session et permet à Citrix Receiver pour Windows de mémoriser le code PIN lors de l’ouverture de session sur Citrix Receiver pour Windows.

  • Rendez-vous sur Stratégie > Modèles d’administration > Modèles d’administration classiques (ADM) > Citrix Components > Citrix Receiver > User authentication > Nom d’utilisateur et mot de passe locaux

    Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, vous devrez peut-être sélectionner l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.

Pour configurer StoreFront :

  • Lorsque vous configurez le service d’authentification, sélectionnez la case à cocher Carte à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.

Pour activer l’utilisation de cartes à puce sur les machines utilisateur

  1. Importez le certificat racine d’autorité de certification dans le keystore de la machine.
  2. Installez les logiciels intermédiaires de chiffrement du fournisseur de services.
  3. Installez et configurez Citrix Receiver pour Windows.

Pour modifier la façon dont les certificats sont sélectionnés

Par défaut, si de multiples certificats sont valides, Citrix Receiver pour Windows invite l’utilisateur à en choisir un dans la liste. Vous pouvez également configurer Citrix Receiver pour Windows de manière à ce qu’il utilise le certificat par défaut (celui du fournisseur de carte à puce) ou le certificat doté de la date d’expiration la plus longue. S’il n’existe aucun certificat valide, l’utilisateur en est notifié et il a la possibilité d’utiliser une autre méthode d’ouverture de session, le cas échéant.

Un certificat valide doit présenter ces caractéristiques :

  • L’heure actuelle de l’horloge sur l’ordinateur doit se situer dans la période de validité du certificat.
  • La clé publique du sujet doit utiliser l’algorithme RSA et être d’une longueur de 1024, 2048 ou 4096 bits.
  • L’utilisation de la clé doit contenir une signature numérique.
  • L’autre nom du sujet doit contenir le nom d’utilisateur principal (UPN).
  • L’utilisation améliorée de la clé doit contenir l’ouverture de session par carte à puce et l’authentification client, ou toute utilisation de clé.
  • L’une des autorités de certification sur la chaîne de l’émetteur du certificat doit correspondre à l’un des noms uniques autorisés (DN) envoyé par le serveur dans la négociation TLS.

Modifiez la manière dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :

  • Sur la ligne de commande Citrix Receiver pour Windows, spécifiez l’option AM\CERTIFICATESELECTIONMODE={ Prompt SmartCardDefault LatestExpiry }.

    Prompt est la valeur par défaut. Pour SmartCardDefault ou LatestExpiry, si plusieurs certificats répondent aux critères, Citrix Receiver pour Windows invite l’utilisateur à choisir un certificat.

  • Ajoutez la valeur de clé suivante à la clé de registre HKCU ou HKLM\Software\[Wow6432Node]\Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

    Les valeurs définies dans la ruche de registre HKCU ont priorité sur les valeurs définies dans la ruche de registre HKLM afin d’aider l’utilisateur à sélectionner un certificat.

Pour utiliser des invites de code PIN CSP

Par défaut, les invites de saisie du code PIN sont fournies par Citrix Receiver pour Windows plutôt que par le fournisseur de services cryptographiques (CSP) de la carte. Citrix Receiver pour Windows invite les utilisateurs à entrer un code PIN lorsque cela est requis et transmet le code PIN au CSP de la carte à puce. Si votre site ou carte à puce impose des mesures de sécurité plus strictes, telles que désactiver la mise en cache du code PIN par processus ou par session, vous pouvez configurer Citrix Receiver pour Windows pour qu’il utilise à la place les composants du CSP pour gérer la saisie du code PIN, y compris le message invitant l’utilisateur à entrer le code PIN.

Modifiez la manière dont la saisie du code PIN est traitée en utilisant l’une des méthodes suivantes :

  • Sur la ligne de commande Citrix Receiver pour Windows, spécifiez l’option AM_SMARTCARDPINENTRY=CSP.
  • Ajoutez la valeur de clé suivante à la clé de registre HKLM\Software\[Wow6432Node]\Citrix\AuthManager: SmartCardPINEntry=CSP.