Documentation produit
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Voir PDF

Authentification pass-through depuis Citrix Gateway

March 9, 2026
Contributeur: 
C C

Les utilisateurs s’authentifient auprès de Citrix Gateway et sont automatiquement connectés lorsqu’ils accèdent à leurs magasins. L’authentification pass-through depuis Citrix Gateway est activée par défaut lorsque vous configurez pour la première fois l’accès à distance à un magasin. Les utilisateurs peuvent se connecter via Citrix Gateway aux magasins à l’aide de l’application Citrix Workspace installée localement ou d’un navigateur web. Pour plus d’informations sur la configuration de StoreFront pour Citrix Gateway, consultez Configurer un Citrix Gateway.

StoreFront prend en charge l’authentification pass-through avec les méthodes d’authentification Citrix Gateway suivantes.

  • Domaine Les utilisateurs se connectent à l’aide de leur nom d’utilisateur et de leur mot de passe Active Directory.
  • RSA Les utilisateurs se connectent à l’aide de codes d’accès dérivés de codes de jeton générés par des jetons de sécurité, parfois combinés à des numéros d’identification personnels. Si vous activez l’authentification pass-through par jeton de sécurité uniquement, assurez-vous que les ressources que vous mettez à disposition ne nécessitent pas de formes d’authentification supplémentaires ou alternatives, telles que les informations d’identification de domaine Microsoft Active Directory des utilisateurs.
  • Carte à puce Les utilisateurs se connectent à l’aide d’une carte à puce liée à leur compte Active Directory.
  • RSA + Domaine Les utilisateurs se connectent à l’aide de leurs informations d’identification de domaine et de leurs codes d’accès de jeton de sécurité.
  • SAML Les utilisateurs sont redirigés vers un fournisseur d’identité tiers pour se connecter via SAML. L’assertion SAML doit inclure l’UPN du compte Active Directory de l’utilisateur.

Si vous avez désactivé l’authentification ou l’authentification unique sur Citrix Gateway, l’authentification pass-through n’est pas utilisée et vous devez configurer l’une des autres méthodes d’authentification.

Si vous configurez l’authentification à double source vers Citrix Gateway pour les utilisateurs distants accédant aux magasins depuis l’application Citrix Workspace, vous devez créer deux stratégies d’authentification sur Citrix Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) comme méthode d’authentification principale et LDAP (Lightweight Directory Access Protocol) comme méthode secondaire. Modifiez l’index des informations d’identification pour utiliser la méthode d’authentification secondaire dans le profil de session afin que les informations d’identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez l’appliance Citrix Gateway à votre configuration StoreFront, définissez le type de connexion sur Domaine et jeton de sécurité. Pour plus d’informations, consultez http://support.citrix.com/article/CTX125364

Pour activer l’authentification multi-domaine via Citrix Gateway vers StoreFront, définissez l’attribut de nom SSO sur userPrincipalName dans la stratégie d’authentification LDAP de Citrix Gateway pour chaque domaine. Vous pouvez exiger des utilisateurs qu’ils spécifient un domaine sur la page de connexion de Citrix Gateway afin de déterminer la stratégie LDAP appropriée à utiliser. Lorsque vous configurez les profils de session Citrix Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine d’authentification unique. Vous devez configurer des relations d’approbation entre chacun des domaines. Assurez-vous d’autoriser les utilisateurs à se connecter à StoreFront depuis n’importe quel domaine en ne restreignant pas l’accès aux seuls domaines explicitement approuvés.

Lorsque votre déploiement Citrix Gateway le prend en charge, vous pouvez utiliser SmartAccess pour contrôler l’accès des utilisateurs aux ressources Citrix Virtual Apps and Desktops en fonction des stratégies de session Citrix Gateway.

Activer l’authentification pass-through du Gateway

Pour activer ou désactiver l’authentification pass-through du Gateway pour un magasin lors de la connexion via les applications Workspace, dans la fenêtre Méthodes d’authentification, cochez ou décochez Authentification pass-through depuis Citrix Gateway.

L’activation de l’authentification pass-through Citrix Gateway pour un magasin l’active par défaut également pour tous les sites web de ce magasin. Vous pouvez désactiver l’authentification par nom d’utilisateur et mot de passe pour un site web spécifique sous l’onglet Méthodes d’authentification.

Configurer les domaines utilisateur approuvés

Si votre Citrix Gateway est configuré pour utiliser l’authentification LDAP, vous pouvez restreindre l’accès à des domaines spécifiques.

  1. Dans la fenêtre « Gérer les méthodes d’authentification », dans le menu déroulant Authentification pass-through depuis Citrix Gateway > Paramètres, sélectionnez Configurer les domaines approuvés.

  2. Sélectionnez Domaines approuvés uniquement et cliquez sur Ajouter pour saisir le nom d’un domaine approuvé. Les utilisateurs disposant de comptes dans ce domaine peuvent se connecter à tous les magasins qui utilisent le service d’authentification. Pour modifier un nom de domaine, sélectionnez l’entrée dans la liste Domaines approuvés et cliquez sur Modifier. Pour interrompre l’accès aux magasins pour les comptes d’utilisateurs d’un domaine, sélectionnez le domaine dans la liste et cliquez sur Supprimer.

    La manière dont vous spécifiez le nom de domaine détermine le format dans lequel les utilisateurs doivent saisir leurs informations d’identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification au format nom d’utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d’identification au format nom d’utilisateur principal, ajoutez le nom de domaine complet à la liste. Si vous souhaitez permettre aux utilisateurs de saisir leurs informations d’identification à la fois au format nom d’utilisateur de domaine et au format nom d’utilisateur principal, vous devez ajouter à la fois le nom NetBIOS et le nom de domaine complet à la liste.

  3. Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Domaine par défaut le domaine qui est sélectionné par défaut lorsque les utilisateurs se connectent.

  4. Si vous souhaitez afficher la liste des domaines approuvés sur la page de connexion, cochez la case Afficher la liste des domaines sur la page de connexion.

Capture d'écran de l'écran des domaines approuvés

Authentification déléguée

Par défaut, StoreFront valide le nom d’utilisateur et le mot de passe qu’il reçoit de Citrix Gateway. Si votre Citrix Gateway n’utilise pas les informations d’identification Active Directory via LDAP comme facteur, par exemple lors de l’utilisation de SAML ou de cartes à puce, vous devez configurer StoreFront pour qu’il fasse confiance à la validation effectuée par le Gateway. Dans ce cas, il est important que vous saisissiez une URL de rappel lors de la configuration du Gateway afin que StoreFront puisse vérifier que la requête provient de Citrix Gateway. Consultez Gérer les Citrix Gateways.

  1. Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through depuis Citrix Gateway > Paramètres, sélectionnez Configurer l’authentification déléguée.

  2. Sélectionnez Déléguer entièrement la validation des informations d’identification à Citrix Gateway.

Capture d'écran de la fenêtre Configurer l'authentification déléguée.

SDK PowerShell

Pour configurer le magasin afin de déléguer l’authentification à Citrix Gateway à l’aide du SDK PowerShell, utilisez l’applet de commande Set-STFCitrixAGBasicOptions

  • Pour déléguer l’authentification au Gateway, définissez CredentialValidationMode sur Auto.
  • Pour que StoreFront valide les informations d’identification, définissez CredentialValidationMode sur Password.

Validation du mot de passe

Vous pouvez choisir si StoreFront valide lui-même les informations d’identification ou demande au Delivery Controller de les valider. Pour plus d’informations, consultez Authentification par nom d’utilisateur et mot de passe - validation du mot de passe.

Si Déléguer entièrement la validation des informations d’identification à Citrix Gateway est sélectionné, le paramètre de validation des mots de passe à l’aide du Delivery Controller n’a aucun effet. Dans ce cas, StoreFront doit pouvoir rechercher l’utilisateur dans Active Directory, de sorte que le domaine du serveur StoreFront doit toujours avoir une relation d’approbation avec le domaine de l’utilisateur.

Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion

Si votre Citrix Gateway est configuré pour utiliser l’authentification LDAP (nom d’utilisateur et mot de passe), vous pouvez configurer NetScaler pour autoriser la modification des mots de passe expirés lors de la connexion.

  1. Connectez-vous au site web d’administration de NetScaler®
  2. Dans le menu latéral, accédez à Authentification > Tableau de bord.
  3. Cliquez sur le serveur d’authentification.
  4. Sous Autres paramètres, cochez Autoriser le changement de mot de passe.

Autoriser les utilisateurs à modifier les mots de passe après la connexion

Vous pouvez configurer StoreFront pour permettre aux utilisateurs de modifier leurs mots de passe après s’être connectés. Cette fonctionnalité n’est disponible que lorsque le Gateway utilise l’authentification LDAP et lorsque l’utilisateur accède au magasin via un navigateur, et non via l’application Citrix Workspace installée localement.

La configuration par défaut de StoreFront empêche les utilisateurs de modifier leurs mots de passe, même si ceux-ci ont expiré. Si vous décidez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de modifier leurs mots de passe. Permettre aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder à l’un des magasins qui utilisent le service d’authentification. Si votre organisation a une politique de sécurité qui réserve les fonctions de modification de mot de passe utilisateur à un usage interne uniquement, assurez-vous qu’aucun des magasins n’est accessible depuis l’extérieur de votre réseau d’entreprise.

  1. Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through depuis Citrix Gateway > Paramètres, sélectionnez Gérer les options de mot de passe

  2. Pour autoriser les utilisateurs à modifier les mots de passe, cochez la case Autoriser les utilisateurs à modifier les mots de passe.

Capture d'écran des options de gestion des mots de passe

Remarque :

Si vous cochez ou décochez Autoriser les utilisateurs à modifier les mots de passe, cela affecte également les paramètres sous Gérer les options de mot de passe pour l’authentification Nom d’utilisateur et mot de passe.

SDK PowerShell

Pour modifier les options de changement de mot de passe à l’aide du SDK PowerShell, utilisez l’applet de commande Set-STFExplicitCommonOptions.

Configurer le Delivery Controller™ pour faire confiance à StoreFront

Lorsque Citrix Gateway est configuré avec l’authentification LDAP, il transmet les informations d’identification à StoreFront. Pour les autres méthodes d’authentification, StoreFront n’a pas accès aux informations d’identification et ne peut donc pas s’authentifier auprès de Citrix Virtual Apps and Desktops. Vous devez donc configurer le Delivery Controller pour qu’il fasse confiance aux requêtes de StoreFront. Consultez Considérations de sécurité et meilleures pratiques pour Citrix Virtual Apps and Desktops.

Authentification unique aux VDA à l’aide du service d’authentification fédérée

Lorsque le Gateway est configuré avec l’authentification LDAP, il transmet les informations d’identification à StoreFront afin qu’il puisse s’authentifier de manière unique auprès des VDA. Pour les autres méthodes d’authentification, StoreFront n’a pas accès aux informations d’identification, de sorte que l’authentification unique n’est pas disponible par défaut. Vous pouvez utiliser le Service d’authentification fédérée pour fournir l’authentification unique.

Authentification pass-through depuis Citrix Gateway
March 9, 2026
Contributeur: 
C C
March 9, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.