StoreFront

Authentification pass-through via Citrix Gateway

Les utilisateurs s’authentifient sur Citrix Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. L’authentification pass-through via Citrix Gateway est activée par défaut lorsque vous configurez l’accès distant à un magasin pour la première fois. Les utilisateurs peuvent se connecter via Citrix Gateway aux magasins via l’application Citrix Workspace ou un navigateur Web. Pour plus d’informations sur la configuration de StoreFront pour Citrix Gateway, consultez Ajouter une appliance Citrix Gateway.

StoreFront prend en charge l’authentification pass-through avec les méthodes d’authentification Citrix Gateway suivantes.

  • Domaine Les utilisateurs ouvrent une session à l’aide de leur nom d’utilisateur et de leur mot de passe Active Directory.
  • RSA Les utilisateurs se connectent à Citrix Gateway à l’aide de codes d’accès dérivés de codes de jetons générés par des jetons de sécurité combinés et, dans certains cas, à l’aide de numéros d’identification personnels. Si vous activez l’authentification pass-through par jeton de sécurité uniquement, assurez-vous que les ressources que vous mettez à disposition ne requièrent pas d’authentification supplémentaire ou d’autres méthodes d’authentification, telles que les informations d’identification de domaine Microsoft Active Directory.
  • Carte à puce Les utilisateurs se connectent à l’aide de cartes à puce
  • RSA + Domaine Les utilisateurs qui ouvrent une session sur Citrix Gateway sont invités à entrer leurs informations d’identification de domaine et codes d’accès de jeton de sécurité.

Si vous avez désactivé l’authentification sur Citrix Gateway ou si vous avez désactivé l’authentification unique, l’authentification pass-through n’est pas utilisée et vous devez configurer l’une des autres méthodes d’authentification.

Si vous configurez une authentification double à Citrix Gateway pour les utilisateurs distants qui accèdent à des magasins dans l’application Citrix Workspace, vous devez créer deux stratégies d’authentification sur Citrix Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) en tant que méthode d’authentification principale et LDAP (Lightweight Directory Access Protocol) en tant que méthode secondaire. Modifiez l’index des informations d’identification afin d’utiliser la méthode d’authentification secondaire dans le profil de session afin que les informations d’identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez l’appliance Citrix Gateway à votre configuration StoreFront, définissez le type de connexion sur Domaine et jeton de sécurité. Pour plus d’informations, consultez http://support.citrix.com/article/CTX125364

Pour activer l’authentification multi-domaines via Citrix Gateway vers StoreFront, définissez l’attribut de nom SSO sur userPrincipalName dans la stratégie d’authentification LDAP Citrix Gateway pour chaque domaine. Vous pouvez demander aux utilisateurs de spécifier un domaine sur la page d’ouverture de session de Citrix Gateway de façon à ce que la stratégie LDAP appropriée à utiliser puisse être déterminée. Lorsque vous configurez les profils de session Citrix Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine à authentification unique. Vous devez configurer des relations d’approbation entre chaque domaine. Assurez-vous d’autoriser les utilisateurs à ouvrir une session à StoreFront à partir de n’importe quel domaine en prenant soin de ne pas limiter l’accès uniquement à des domaines approuvés de façon explicite.

Lorsque cela est pris en charge par votre déploiement Citrix Gateway, vous pouvez utiliser SmartAccess pour contrôler l’accès utilisateur aux ressources de Citrix Virtual Apps and Desktops sur la base de stratégies de session Citrix Gateway. Pour plus d’informations sur SmartAccess, consultez How SmartAccess works for Citrix Virtual Apps and Desktops.

Activer l’authentification pass-through via Gateway

Pour activer ou désactiver l’authentification pass-through via Gateway pour un magasin lors de la connexion via les applications Workspace, cochez ou décochez la case Authentification pass-through via Citrix Gateway dans la fenêtre Méthodes d’authentification.

L’activation par défaut de l’authentification pass-through via Citrix Gateway pour un magasin l’active également pour tous les sites Web de ce magasin. Vous pouvez désactiver l’authentification par nom d’utilisateur et mot de passe pour un site Web spécifique dans l’onglet Méthodes d’authentification.

Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion

Si votre appliance Citrix Gateway est configurée pour utiliser l’authentification LDAP (nom d’utilisateur et mot de passe), vous pouvez configurer NetScaler pour autoriser la modification des mots de passe expirés lors de la connexion.

  1. Se connecter au site Web d’administration de NetScaler
  2. Dans le menu latéral, accédez à Authentification > Tableau de bord.
  3. Cliquez sur le serveur d’authentification.
  4. Sous Autres paramètres, cochez Autoriser la modification du mot de passe.

Autoriser les utilisateurs à modifier leurs mots de passe après la connexion

Avec Authentification pass-through via Citrix Gateway, l’appliance Citrix Gateway est chargée de gérer l’authentification. Vous pouvez configurer StoreFront pour permettre aux utilisateurs de modifier leur mot de passe après leur connexion. Cette fonctionnalité n’est disponible que lorsque vous accédez aux magasins StoreFront via un navigateur, et non aux applications Workspace.

La configuration par défaut de StoreFront empêche les utilisateurs de modifier leurs mots de passe, même s’ils ont expiré. Si vous choisissez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de modifier leurs mots de passe. L’activation de la fonctionnalité permettant aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder aux magasins qui utilisent ce service d’authentification. Si votre organisation possède une stratégie de sécurité qui restreint les fonctions de modification des mots de passe utilisateur à un usage interne uniquement, vous devez vous assurer qu’aucun des magasins ne sont accessibles depuis l’extérieur de votre réseau interne.

  1. Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through via Citrix Gateway > Paramètres, sélectionnez Gérer les options de mot de passe

  2. Pour autoriser les utilisateurs à modifier les mots de passe, cochez la case Autoriser les utilisateurs à modifier les mots de passe.

Capture d'écran Gérer les options de mot de passe

Déléguer la validation des informations d’identification à Citrix Gateway

Par défaut, StoreFront valide le nom d’utilisateur et le mot de passe qu’il reçoit de Gateway. Si Gateway est configuré pour utiliser des méthodes d’authentification sans mot de passe, telles que les cartes à puce, vous devez configurer StoreFront de telle sorte qu’il ne valide pas les informations d’identification et qu’il dépende donc de l’authentification de Gateway. Dans ce cas, il est recommandé de saisir une URL de rappel lors de la configuration de Gateway afin que StoreFront puisse vérifier que la demande provient de Gateway. Consultez Gérer des appliances Citrix Gateway.

  1. Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through via Citrix Gateway > Paramètres, sélectionnez Configurer l’authentification déléguée.

  2. Cochez la case Déléguer entièrement la validation des informations d’identification à Citrix Gateway.

Capture d'écran de la fenêtre Configurer l'authentification déléguée.

Single Sign-On à l’aide du Service d’authentification fédérée

Lorsque la passerelle est configurée avec l’authentification LDAP, elle transmet les informations d’identification à StoreFront afin de permettre l’authentification unique (Single Sign-On) aux VDA. Pour les autres méthodes d’authentification, il n’a pas accès aux informations d’identification. L’authentification unique n’est donc pas disponible par défaut. Vous pouvez utiliser le Service d’authentification fédérée pour fournir une authentification unique.