StoreFront

Configuration du service d’authentification fédérée

Service d’authentification fédérée (FAS) fournit l’authentification unique aux VDA à l’aide de l’authentification par certificat. Ceci est utile lors de l’utilisation de méthodes d’authentification telles que SAML, où StoreFront n’a pas accès aux informations d’identification Active Directory.

Activer FAS pour un magasin

Avant d’activer FAS pour un magasin, vous devez configurer la liste des serveurs FAS à l’aide de la stratégie de groupe. Pour plus de détails, consultez la documentation FAS.

Pour activer FAS pour un magasin, vous devez utiliser l’applet de commande PowerShell Set-STFStoreLaunchOptions pour définir le fournisseur d’ouverture de session des données d’ouverture de session VDA sur FASLogonDataProvider.

Par défaut, StoreFront sélectionne le serveur FAS au lancement. Vous pouvez modifier cela afin que StoreFront sélectionne le serveur FAS lors de la connexion. Cela présente l’avantage d’éviter les retards qui peuvent survenir au lancement, en particulier si un serveur FAS est indisponible et qu’il doit essayer plusieurs serveurs FAS. Cependant, cela présente l’inconvénient que si le serveur FAS devient indisponible entre la connexion et le lancement, le lancement échoue ou revient à l’authentification par nom d’utilisateur et mot de passe (voir Indisponibilité du serveur FAS). Pour configurer le comportement, exécutez l’applet de commande PowerShell Set-STFClaimsFactoryNames avec le paramètre ClaimsFactoryName. Pour choisir le serveur FAS lors de la connexion, définissez-le sur FASClaimsFactory. Pour restaurer le comportement par défaut et choisir un serveur FAS au lancement, définissez-le sur standardClaimsFactory.

Par exemple, pour activer FAS pour un magasin et sélectionner le serveur lors de la connexion :

$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->

Pour désactiver FAS pour un magasin :

$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
<!--NeedCopy-->

Remplacez [VirtualPath] par le chemin virtuel approprié, par exemple /Citrix/Store.

Lorsque vous utilisez l’authentification par nom d’utilisateur et mot de passe sur un magasin avec FAS activé, StoreFront utilise toujours FAS plutôt que les informations d’identification fournies pour l’authentification unique.

Indisponibilité du serveur FAS

Si le serveur FAS est indisponible, le lancement échoue par défaut. Cependant, vous pouvez configurer StoreFront de manière à ce que si le serveur FAS est indisponible, les utilisateurs puissent se connecter au VDA en saisissant leurs informations d’identification. Pour modifier la configuration, utilisez l’applet de commande PowerShell Set-STFStoreLaunchOptions avec le paramètre FederatedAuthenticationServiceFailover. Par exemple, pour activer le basculement pour un magasin :

$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->
Configuration du service d’authentification fédérée