Configuration du service d’authentification fédérée
Le service d’authentification fédérée (FAS) fournit l’authentification unique aux VDA à l’aide de l’authentification par certificat. Ceci est utile lors de l’utilisation de méthodes d’authentification telles que SAML, où StoreFront n’a pas accès aux informations d’identification Active Directory.
Activer FAS pour un Store
Avant d’activer FAS pour un Store, vous devez configurer la liste des serveurs FAS à l’aide de la stratégie de groupe. Pour plus de détails, consultez la documentation FAS.
Pour activer FAS pour un Store, vous devez utiliser la cmdlet PowerShell Set-STFStoreLaunchOptions pour définir le fournisseur de connexion de données de connexion VDA sur FASLogonDataProvider.
Par défaut, StoreFront sélectionne le serveur FAS au lancement. Vous pouvez modifier ce comportement afin que StoreFront sélectionne le serveur FAS à la connexion. Cela présente l’avantage d’éviter les retards pouvant survenir au lancement, en particulier si un serveur FAS est indisponible et qu’il doit essayer plusieurs serveurs FAS. Cependant, cela présente l’inconvénient que si le serveur FAS devient indisponible entre la connexion et le lancement, le lancement échoue ou revient à l’authentification par nom d’utilisateur et mot de passe (voir Indisponibilité du serveur FAS). Pour configurer ce comportement, exécutez la cmdlet PowerShell Set-STFClaimsFactoryNames avec le paramètre ClaimsFactoryName. Pour choisir le serveur FAS à la connexion, définissez-le sur FASClaimsFactory. Pour restaurer le comportement par défaut et choisir un serveur FAS au lancement, définissez-le sur standardClaimsFactory.
Par exemple, pour activer FAS pour un Store et sélectionner le serveur à la connexion :
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Pour désactiver FAS pour un Store :
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
<!--NeedCopy-->
Remplacez [VirtualPath] par le chemin virtuel approprié, par exemple /Citrix/Store.
Lorsque vous utilisez l’authentification par nom d’utilisateur et mot de passe sur un Store avec FAS activé, StoreFront utilise toujours FAS plutôt que les informations d’identification fournies pour l’authentification unique.
Indisponibilité du serveur FAS
Si le serveur FAS est indisponible, le lancement échoue par défaut. Cependant, vous pouvez configurer StoreFront de manière à ce que si le serveur FAS est indisponible, les utilisateurs puissent se connecter au VDA en saisissant leurs informations d’identification. Pour modifier la configuration, utilisez la cmdlet PowerShell Set-STFStoreLaunchOptions avec le paramètre FederatedAuthenticationServiceFailover. Par exemple, pour activer le basculement pour un Store :
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->