Documentation produit
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Voir PDF

Authentification par carte à puce

March 9, 2026
Contributeur: 
C

Avec l’authentification par carte à puce, les utilisateurs s’authentifient à l’aide de cartes à puce et de codes PIN lorsqu’ils accèdent à leurs magasins. L’authentification par carte à puce peut être activée pour les utilisateurs se connectant aux magasins via l’application Citrix Workspace, les navigateurs web et les URL des services XenApp.

Remarque :

Lorsque les utilisateurs se connectent à Windows à l’aide de leur carte à puce, il est recommandé d’activer l’authentification pass-through de domaine, en plus ou à la place de l’authentification par carte à puce. Cela permet une authentification unique au magasin sans avoir à se réauthentifier avec leur carte à puce.

Utilisez l’authentification par carte à puce pour simplifier le processus de connexion de vos utilisateurs tout en renforçant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau d’entreprise interne est protégé par une authentification à deux facteurs basée sur des certificats, utilisant l’infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient de la commodité d’accéder à leurs bureaux et applications à partir d’une gamme d’appareils d’entreprise à l’aide de leurs cartes à puce et de leurs codes PIN.

Pour activer l’authentification par carte à puce, les comptes des utilisateurs doivent être configurés soit dans le domaine Microsoft Active Directory contenant les serveurs StoreFront, soit dans un domaine ayant une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront. Les déploiements multiforêts impliquant des approbations bidirectionnelles sont pris en charge.

Le document Configuration des cartes à puce pour les environnements Citrix décrit comment configurer un déploiement Citrix pour les cartes à puce à l’aide d’un type de carte à puce spécifique. Des étapes similaires s’appliquent aux cartes à puce d’autres fournisseurs.

Conditions préalables

  • Assurez-vous que les comptes de tous les utilisateurs sont configurés soit dans le domaine Microsoft Active Directory dans lequel vous prévoyez de déployer vos serveurs StoreFront, soit dans un domaine ayant une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront.
  • Si vous prévoyez d’activer l’authentification pass-through avec carte à puce, assurez-vous que les types de lecteurs de carte à puce, le type et la configuration du middleware, ainsi que la politique de mise en cache du code PIN du middleware le permettent.
  • Installez le middleware de carte à puce de votre fournisseur sur les machines virtuelles ou physiques exécutant le Virtual Delivery Agent qui fournit les bureaux et les applications des utilisateurs. Pour plus d’informations sur l’utilisation des cartes à puce avec Citrix Virtual Desktops, consultez Cartes à puce.
  • Assurez-vous que votre infrastructure à clé publique est configurée de manière appropriée. Vérifiez que le mappage certificat-compte est correctement configuré pour votre environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.

Configurer StoreFront

  • Vous devez utiliser HTTPS pour les communications entre StoreFront et les appareils des utilisateurs afin d’activer l’authentification par carte à puce. Consultez Sécuriser StoreFront à l’aide de HTTPS.

  • Pour activer l’authentification par carte à puce lors de la connexion à un magasin via les applications Citrix Workspace, dans les Méthodes d’authentification, cochez ou décochez Carte à puce.

  • L’activation de l’authentification par carte à puce pour un magasin l’active par défaut également pour tous les sites web de ce magasin. Vous pouvez activer ou désactiver indépendamment l’authentification par carte à puce pour un site web spécifique dans l’onglet Méthodes d’authentification des sites web.

  • Si vous configurez à la fois l’authentification par carte à puce et l’authentification par nom d’utilisateur et mot de passe, les utilisateurs sont initialement invités à se connecter à l’aide de leurs cartes à puce et de leurs codes PIN, mais ont la possibilité de sélectionner l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce.

Configurer Delivery Controller™ pour faire confiance à StoreFront

Lors de l’utilisation de l’authentification par carte à puce, StoreFront n’a pas accès aux informations d’identification de l’utilisateur et ne peut donc pas s’authentifier auprès de Citrix Virtual Apps and Desktops. Vous devez par conséquent configurer le Delivery Controller pour qu’il fasse confiance aux requêtes de StoreFront. Consultez Considérations de sécurité et meilleures pratiques pour Citrix Virtual Apps and Desktops.

Accès à distance via Citrix Gateway

Pour l’accès à distance, vous pouvez activer la carte à puce sur Citrix Gateway, puis activer l’authentification pass-through vers StoreFront avec l’authentification déléguée. Pour plus de détails, consultez Authentification pass-through de Gateway.

Pour vous assurer que les utilisateurs ne reçoivent pas d’invite supplémentaire pour leurs informations d’identification sur le serveur virtuel lorsque les connexions à leurs ressources sont établies, créez une deuxième passerelle et désactivez l’authentification client dans les paramètres Secure Sockets Layer (SSL). Pour plus d’informations, consultez Configuration de l’authentification par carte à puce. Lors de l’accès à StoreFront via une passerelle avec authentification par carte à puce. Configurez le routage optimal de Citrix Gateway via ce serveur virtuel pour les connexions aux déploiements fournissant les bureaux et les applications pour le magasin. Pour plus d’informations, consultez Configurer le routage HDX optimal pour un magasin.

Authentification unique aux VDA

Vous pouvez activer l’authentification unique aux VDA en transmettant les informations d’identification de la carte à puce des utilisateurs. Le magasin peut être consulté via un navigateur web ou l’application Citrix Workspace™ pour Windows, mais la ressource doit être ouverte dans l’application Citrix Workspace pour Windows. Sur d’autres systèmes d’exploitation ou lors de l’accès aux ressources via un navigateur, les utilisateurs doivent ressaisir leurs informations d’identification lors de la connexion à un VDA.

  1. Incluez le composant d’authentification unique lors de l’installation de Citrix Workspace pour Windows et configurez-le pour l’authentification unique. Consultez Configurer l’authentification pass-through de domaine.

  2. Utilisez un éditeur de texte pour ouvrir le fichier default.ica du magasin. Consultez Fichier ICA par défaut.

  3. Pour activer le pass-through des informations d’identification de la carte à puce pour les utilisateurs qui accèdent aux magasins sans Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    DisableCtrlAltDel=Off

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer à la fois le pass-through de domaine et le pass-through avec authentification par carte à puce pour les bureaux et les applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Ensuite, dirigez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  4. Pour activer le pass-through des informations d’identification de la carte à puce pour les utilisateurs accédant aux magasins via Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    UseLocalUserAndPassword=On

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres se connectent pour accéder à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, dirigez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

Vous pouvez également configurer le Federated Authentication Service pour l’authentification unique aux VDA.

Considérations importantes

L’utilisation des cartes à puce pour l’authentification des utilisateurs avec StoreFront est soumise aux exigences et restrictions suivantes.

  • Pour utiliser des tunnels de réseau privé virtuel (VPN) avec l’authentification par carte à puce, les utilisateurs doivent installer le plug-in Citrix Gateway et se connecter via une page web, en utilisant leurs cartes à puce et leurs codes PIN pour s’authentifier à chaque étape. L’authentification pass-through vers StoreFront avec le plug-in Citrix Gateway n’est pas disponible pour les utilisateurs de cartes à puce.

  • Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur le même appareil utilisateur, mais si vous activez le pass-through avec authentification par carte à puce, les utilisateurs doivent s’assurer qu’une seule carte à puce est insérée lors de l’accès à un bureau ou à une application.

  • Lorsqu’une carte à puce est utilisée dans une application, par exemple pour la signature numérique ou le chiffrement, les utilisateurs peuvent voir des invites supplémentaires pour insérer une carte à puce ou entrer un code PIN. Cela peut se produire si plus d’une carte à puce a été insérée en même temps. Cela peut également se produire en raison de paramètres de configuration, tels que les paramètres du middleware comme la mise en cache du code PIN, qui sont généralement configurés à l’aide d’une stratégie de groupe. Les utilisateurs qui sont invités à insérer une carte à puce alors que celle-ci est déjà dans le lecteur doivent cliquer sur Annuler. Si les utilisateurs sont invités à saisir un code PIN, ils doivent le saisir à nouveau.

  • Si vous activez le pass-through avec authentification par carte à puce vers Citrix Virtual Apps and Desktops pour les utilisateurs de l’application Citrix Workspace pour Windows avec des appareils joints au domaine qui n’accèdent pas aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer à la fois le pass-through de domaine et le pass-through avec authentification par carte à puce pour les bureaux et les applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Vos utilisateurs doivent ensuite se connecter au magasin approprié pour leur méthode d’authentification.

  • Si vous activez le pass-through avec authentification par carte à puce vers Citrix Virtual Apps and Desktops pour les utilisateurs de l’application Citrix Workspace pour Windows avec des appareils joints au domaine accédant aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres se connectent à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, dirigez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Une seule méthode d’authentification peut être configurée pour chaque URL des services XenApp® et une seule URL est disponible par magasin. Si vous devez activer d’autres types d’authentification en plus de l’authentification par carte à puce, vous devez créer des magasins distincts, chacun avec une URL des services XenApp, pour chaque méthode d’authentification. Ensuite, dirigez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Lorsque StoreFront est installé, la configuration par défaut dans Microsoft Internet Information Services (IIS) exige uniquement que les certificats clients soient présentés pour les connexions HTTPS à l’URL d’authentification par certificat du service d’authentification StoreFront. IIS ne demande pas de certificats clients pour les autres URL StoreFront. Cette configuration vous permet d’offrir aux utilisateurs de cartes à puce la possibilité de revenir à l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce. Sous réserve des paramètres de stratégie Windows appropriés, les utilisateurs peuvent également retirer leurs cartes à puce sans avoir à se réauthentifier.

    Si vous décidez de configurer IIS pour exiger des certificats clients pour les connexions HTTPS à toutes les URL StoreFront, le service d’authentification et les magasins doivent être colocalisés sur le même serveur. Vous devez utiliser un certificat client valide pour tous les magasins. Avec cette configuration de site IIS, les utilisateurs de cartes à puce ne peuvent pas se connecter via Citrix Gateway et ne peuvent pas revenir à l’authentification explicite. Les utilisateurs doivent se reconnecter s’ils retirent leurs cartes à puce de leurs appareils.

Authentification par carte à puce
March 9, 2026
Contributeur: 
C
March 9, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.