Product Documentation

Configurer le service d'authentification

Oct 31, 2016

Créer le service d'authentification

Utilisez la tâche Créer un service d'authentification pour configurer le service d'authentification de StoreFront. Le service d'authentification authentifie les utilisateurs auprès de Microsoft Active Directory, si bien que les utilisateurs n'ont pas besoin de rouvrir une session pour accéder à leurs bureaux et applications.

Pour utiliser le protocole HTTPS de manière à sécuriser les communications entre StoreFront et les machines des utilisateurs, vous devez configurer Microsoft Internet Information Services (IIS) pour HTTPS. En l'absence de la configuration IIS appropriée, StoreFront utilise le protocole HTTP pour les communications.

Par défaut, Citrix Receiver requiert des connexions HTTPS pour les magasins. Si StoreFront n'est pas configuré pour le protocole HTTPS, les utilisateurs doivent effectuer des étapes de configuration supplémentaires pour utiliser les connexions HTTP. HTTPS est requis pour l'authentification par carte à puce. Vous pouvez passer de HTTP à HTTPS à tout moment, dans la mesure où la configuration IIS appropriée a été implémentée. Pour plus d'informations, veuillez consulter la section Configurer des groupes de serveurs.

Important : dans les déploiements comprenant de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Ceci terminé, propagez les modifications que vous avez apportées au groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Sur l'écran Démarrer de Windows où l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification.
  3. Choisissez les méthodes d'accès que vous souhaitez activer pour vos utilisateurs, puis cliquez sur OK.
    • Cochez la case Nom d'utilisateur et mot de passe pour activer l'authentification explicite. Les utilisateurs saisissent leurs informations d'identification lorsqu'ils accèdent à leurs magasins.
    • Sélectionnez la case à cocher Authentification pass-through au domaine. Cette dernière permet d'autoriser l'authentification pass-through des informations d'identification de domaine Active Directory à partir des machines des utilisateurs. Les utilisateurs doivent s'authentifier sur leur ordinateur Windows membre d'un domaine et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins. Pour pouvoir utiliser cette option, l'authentification pass-through doit être activée lorsque Citrix Receiver pour Windows est installé sur les machines utilisateur.
    • Sélectionnez la case Carte à puce pour activer l'authentification par carte à puce. Les utilisateurs doivent s'authentifier à l'aide de cartes à puce et de codes PIN lorsqu'ils accèdent à leurs magasins.
    • Sélectionnez la case à cocher HTTP Basic pour activer l'authentification HTTP de base. Les utilisateurs s'authentifient avec le serveur Web IIS du serveur Storefront.
    • Sélectionnez la case Authentification pass-through via NetScaler Gateway pour activer l'authentification pass-through à partir de NetScaler Gateway. Les utilisateurs s'authentifient sur NetScaler Gateway et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins.

    Pour activer l'authentification pass-through par carte à puce pour les utilisateurs qui accèdent à des magasins via NetScaler Gateway, utilisez la tâche Configurer l'authentification déléguée.

Le service d'authentification authentifie les utilisateurs auprès de Microsoft Active Directory, si bien que les utilisateurs n'ont pas besoin de rouvrir une session pour accéder à leurs bureaux et applications. Vous pouvez uniquement configurer un seul service d'authentification par déploiement StoreFront.

Les tâches décrites ci-dessous vous permettent de modifier les paramètres du service d'authentification de StoreFront. Certains paramètres avancés peuvent uniquement être modifiés par le biais des fichiers de configuration du service d'authentification. Pour plus d'informations, reportez-vous à la section Configurer StoreFront à l'aide des fichiers de configuration.

Important : dans les déploiements comprenant de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.

Gestion des méthodes d'authentification

Vous pouvez activer ou désactiver la configuration des méthodes d'authentification des utilisateurs lorsque le service d'authentification a été créé en sélectionnant une méthode d'authentification dans le panneau des résultats de la console de gestion Citrix StoreFront, et dans le panneau Actions, en cliquant sur Gérer les méthodes d'authentification

  1. Sur l'écran Démarrer de Windows où l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification.
  3. Indiquez les méthodes d'accès que vous souhaitez activer pour vos utilisateurs.
    • Cochez la case Nom d'utilisateur et mot de passe pour activer l'authentification explicite. Les utilisateurs saisissent leurs informations d'identification lorsqu'ils accèdent à leurs magasins.
    • Sélectionnez la case à cocher Authentification pass-through au domaine. Cette dernière permet d'autoriser l'authentification pass-through des informations d'identification de domaine Active Directory à partir des machines des utilisateurs. Les utilisateurs doivent s'authentifier sur leur ordinateur Windows membre d'un domaine et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins. Pour pouvoir utiliser cette option, l'authentification pass-through doit être activée lorsque Citrix Receiver pour Windows est installé sur les machines utilisateur.
    • Sélectionnez la case Carte à puce pour activer l'authentification par carte à puce. Les utilisateurs doivent s'authentifier à l'aide de cartes à puce et de codes PIN lorsqu'ils accèdent à leurs magasins.
    • Sélectionnez la case à cocher HTTP basique pour activer l'authentification HTTP de base. Les utilisateurs s'authentifient avec le serveur Web IIS du serveur Storefront.
    • Sélectionnez la case Authentification pass-through via NetScaler Gateway pour activer l'authentification pass-through à partir de NetScaler Gateway. Les utilisateurs s'authentifient sur NetScaler Gateway et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins.

    Pour activer l'authentification pass-through par carte à puce pour les utilisateurs qui accèdent à des magasins via NetScaler Gateway, utilisez la tâche Configurer l'authentification déléguée.

Configurer des domaines utilisateur approuvés

Utilisez la tâche Domaines approuvés pour restreindre l'accès aux magasins des utilisateurs qui ouvrent une session avec des informations d'identification de domaine explicites, soit directement, soit à l'aide de l'authentification pass-through de NetScaler Gateway.

  1. Sur l'écran Démarrer de Windows où l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront, puis dans le panneau des résultats, sélectionnez la méthode d'authentification appropriée. Dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification.
  3. Dans le menu déroulant Nom d'utilisateur et mot de passe (explicite) > Paramètres, sélectionnez Configurer Domaines approuvés
  4. Sélectionnez Domaines approuvés uniquement, cliquez sur Ajouter pour entrer le nom d'un domaine approuvé. Les utilisateurs disposant de comptes dans ce domaine pourront se connecter à tous les magasins qui utilisent ce service d'authentification. Pour modifier un nom de domaine, sélectionnez l'entrée correspondante dans la liste Domaines approuvés, puis cliquez sur Modifier. Sélectionnez un domaine dans la liste et cliquez sur Supprimer pour interrompre l'accès aux magasins des comptes utilisateur dans ce domaine.

    La manière dont vous spécifiez le nom de domaine détermine le format auquel les utilisateurs devront saisir leurs informations d'identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d'identification au format de nom d'utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d'identification au format de nom principal d'utilisateur, ajoutez le nom de domaine complet à la liste. Si vous souhaitez que les utilisateurs saisissent leurs informations d'identification aux formats de nom d'utilisateur de domaine et de nom principal d'utilisateur, vous devez ajouter le nom NetBIOS et le nom de domaine complet à la liste.

  5. Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Domaine par défaut le domaine sélectionné par défaut lorsque les utilisateurs ouvrent une session.
  6. Si vous voulez dresser la liste des domaines approuvés sur la page d'ouverture de session, sélectionnez la case Afficher une liste de domaines sur la page d'ouverture de session.

Autoriser les utilisateurs à modifier leurs mots de passe

Utilisez la tâche Gérer les options de mot de passe pour permettre aux utilisateurs de Receiver de bureau et de sites Receiver pour Web qui ouvrent une session avec des informations d'identification de domaine de modifier leurs mots de passe. Lorsque vous créez le service d'authentification, la configuration par défaut empêche les utilisateurs de Citrix Receiver et de sites Citrix Receiver pour Web de modifier leurs mots de passe, même si les mots de passe ont expiré. Si vous choisissez d'activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n'empêchent pas les utilisateurs de modifier leurs mots de passe. L'activation de la fonctionnalité permettant aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder aux magasins qui utilisent ce service d'authentification. Si votre organisation possède une stratégie de sécurité qui restreint les fonctions de modification des mots de passe utilisateur à un usage interne uniquement, vous devez vous assurer qu'aucun des magasins ne sont accessibles depuis l'extérieur de votre réseau interne.

  1. Citrix Receiver pour Web prend en charge la modification des mots de passe sur expiration, ainsi que la modification élective de mot de passe. Tous les Citrix Receiver de bureau prennent en charge la modification de mot de passe via NetScaler Gateway sur expiration uniquement. Sur l'écran Démarrer de Windows où l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification.
  3. À partir du menu déroulant Nom d'utilisateur et mot de passe > Paramètres, sélectionnez Gérer les options de mot de passe, indiquez sous quelles conditions les utilisateurs de sites Citrix Receiver pour Web qui ouvrent une session à l'aide d'informations d'identification de domaine sont en mesure de modifier leurs mots de passe.
    • Pour autoriser les utilisateurs à modifier leurs mots de passe quand ils souhaitent, sélectionnez À tout moment. Un avertissement s'affiche lorsque les utilisateurs locaux dont les mots de passe sont sur le point d'expirer ouvrent une session. Les avertissements d'expiration du mot de passe s'affichent uniquement pour les utilisateurs se connectant depuis le réseau interne. Par défaut, la période de notification pour un utilisateur est déterminée par le paramètre de stratégie Windows applicable. Pour de plus amples informations sur la configuration de périodes de notification personnalisées, consultez la section Configurer la période de notification d'expiration du mot de passe. Pris en charge uniquement avec Citrix Receiver pour Web.
    • Pour autoriser les utilisateurs à modifier leurs mots de passe uniquement lorsqu'ils ont expiré, sélectionnez Après expiration. Les utilisateurs qui ne peuvent pas ouvrir de session car leurs mots de passe ont expiré sont redirigés vers la boîte de dialogue Modifier le mot de passe. Pris en charge avec Citrix Receiver pour bureau et Citrix Receiver pour Web.
    • Pour empêcher les utilisateurs de modifier leurs mots de passe, ne sélectionnez pas l'option Autoriser les utilisateurs à modifier les mots de passe. Si vous ne sélectionnez pas cette option, vous devez prendre vos propres dispositions pour prendre en charge les utilisateurs qui ne peuvent pas accéder à leurs bureaux et applications car leurs mots de passe ont expiré.

    Si vous autorisez les utilisateurs de sites Citrix Receiver pour Web à modifier leurs mots de passe à tout moment, assurez-vous que l'espace disque est suffisant sur vos serveurs StoreFront pour stocker les profils de tous vos utilisateurs. Pour vérifier si le mot de passe d'un utilisateur est sur le point d'expirer, StoreFront crée un profil local pour cet utilisateur sur le serveur. StoreFront doit être en mesure de contacter le contrôleur de domaine pour modifier les mots de passe des utilisateurs.

    Citrix ReceiverL'utilisateur peut modifier un mot de passe expiré si cette option est activée sur StoreFrontL'utilisateur est notifié que le mot de passe va expirerL'utilisateur peut modifier un mot de passe avant expiration si cette option est activée sur StoreFront
    WindowsOui  
    MacOui  
    Android   
    iOS   
    LinuxOui  
    WebOuiOuiOui

Questions de sécurité de la réinitialisation en libre-service des mots de passe

La réinitialisation en libre-service des mots de passe confère aux utilisateurs un plus grand contrôle sur leurs comptes d'utilisateur. Une fois la réinitialisation en libre-service des mots de passe configurée, si les utilisateurs rencontrent des problèmes lors de l'ouverture de session sur leurs systèmes, ils peuvent déverrouiller leurs comptes ou réinitialiser leurs mots de passe en répondant correctement à plusieurs questions de sécurité.

Lors de la configuration de la réinitialisation en libre-service des mots de passe, vous indiquez quels utilisateurs sont autorisés à réinitialiser leur mot de passe et à déverrouiller leur compte à l’aide de la console de gestion. Si vous activez ces fonctionnalités pour StoreFront, il se peut que les utilisateurs ne soient pas autorisés à réaliser ces tâches en fonction des paramètres configurés dans la console Configuration de la réinitialisation en libre-service des mots de passe.

Seuls les utilisateurs qui accèdent à StoreFront à l'aide de connexions HTTPS peuvent utiliser la réinitialisation en libre-service des mots de passe. Ils ne peuvent pas accéder à StoreFront à l’aide d’une connexion HTTP alors que la réinitialisation en libre-service des mots de passe est disponible. La réinitialisation en libre-service des mots de passe est disponible uniquement lors de l'authentification directe à StoreFront avec un nom d'utilisateur et un mot de passe.

La réinitialisation en libre-service des mots de passe ne prend pas en charge l'ouverture de session à l'aide d'un nom UPN, tel que nomd'utilisateur@domaine.com.

Avant de configurer la réinitialisation en libre-service des mots de passe pour un magasin, vous devez vous assurer que :

  • Le magasin est configuré pour utiliser l'authentification par nom d'utilisateur et mot de passe.
  • Le magasin est configuré pour utiliser uniquement la réinitialisation en libre-service des mots de passe. Si StoreFront est configuré pour utiliser de nombreuses batteries au sein d'un même domaine ou de plusieurs domaines de confiance, vous devez configurer la réinitialisation en libre-service des mots de passe pour accepter les informations d'identification de tous ces domaines.
  • Le magasin est configuré pour permettre aux utilisateurs de changer leur mot de passe à n'importe quel moment, dans le cas où vous activez la fonctionnalité de réinitialisation du mot de passe.
  • Vous devez associer un magasin StoreFront avec un site Receiver pour Web, et configurer ce site pour qu’il utilise l'expérience unifiée.

Avant de pouvoir utiliser la réinitialisation en libre-service des mots de passe, vous devez l’installer et la configurer. Elle est disponible sur le support pour XenApp 7.11 et XenDesktop 7.11. Pour de plus amples informations, consultez la documentation Réinitialisation en libre-service des mots de passe.  

  1. Activez la prise en charge de la fonction de réinitialisation en libre-service des mots de passe dans StoreFront en sélectionnant le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront, puis dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification et choisissez Gérer les options de mot de passe dans le menu déroulant.
  2. Choisissez si vous voulez autoriser les utilisateurs à modifier les mots de passe et cliquez sur OK.
  3. À partir du menu déroulant Nom d'utilisateur et mot de passe, choisissez Configurer libre-service de compte, sélectionnez Citrix SSPR dans le menu déroulant, puis cliquez sur OK.
  4. Spécifiez si les utilisateurs sont autorisés à réinitialiser leurs mots de passe et à déverrouiller leurs comptes avec la réinitialisation en libre-service des mots de passe, ajoutez l’URL du compte du service de réinitialisation des mots de passe et cliquez deux fois sur OK.
localized image

Cette option est disponible uniquement lorsque l'adresse URL de base de StoreFront est HTTPS (non HTTP) et l'option Activer la réinitialisation du mot de passe est uniquement disponible après que vous ayez utilisé Gérer les options de mot de passe pour permettre aux utilisateurs de modifier les mots de passe à tout moment. 

localized image

La prochaine fois que l'utilisateur ouvre une session sur Citrix Receiver ou Citrix Receiver pour Web, l’enregistrement de questions de sécurité est disponible. Après avoir cliqué sur Démarrer, les questions sont affichées et l'utilisateur doit fournir des réponses.

localized image

Une fois configurés dans StoreFront, les utilisateurs voient le lien Compte libre-service de compte sur l'écran d'ouverture de session de Citrix Receiver pour Web (il s’affiche sous forme d’un bouton dans les autres logiciels Citrix Receiver).

Lorsque l’utilisateur clique sur ce lien, il est guidé à travers une série de formulaires à sélectionner entre Déverrouiller compte et Réinitialiser le mot de passe (s'ils sont tous deux disponibles). 

Après avoir choisi un bouton radio et cliqué sur Suivant, l'écran suivant vous invite à entrer un domaine et un nom d'utilisateur (domaine\utilisateur), si ces informations n'ont pas été entrées dans le formulaire d’ouverture de session. Veuillez noter que le libre-service de compte ne prend pas en charge les ouvertures de session UPN, telles que nomd'utilisateur@domaine.com.

localized image

Ils doivent répondre aux questions de sécurité. Si les réponses correspondent à celles fournies par l'utilisateur, l'opération demandée (déverrouiller ou réinitialiser) est exécutée et l'utilisateur est notifié de la réussite.

Paramètres du service d'authentification partagé

Utilisez la tâche Paramètres du service d'authentification partagé pour spécifier les magasins qui partageront le service d'authentification activant l'authentification pass-through entre eux.

  1. Sur l'écran Démarrer de Windows ou l'écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Gérer les méthodes d'authentification.
  3. Dans le menu déroulant Avancé, sélectionnez Paramètres du service d'authentification partagé
  4. Cliquez sur la case Utiliser un service d'authentification partagé et sélectionnez un magasin dans le menu déroulant Magasin.

Remarque : il n'existe pas de différence opérationnelle entre un service d'authentification partagé et dédié. Un service d'authentification partagé par plus de deux magasins est traité comme un service d'authentification partagé et les modifications apportées à la configuration affectent l'accès à tous les magasins qui utilisent ce service d'authentification partagé.

Déléguer la validation des informations d'identification à NetScaler Gateway

Utilisez la tâche Configurer l'authentification déléguée pour activer l'authentification pass-through pour les utilisateurs de cartes à puce qui accèdent aux magasins via NetScaler Gateway. Cette tâche est uniquement disponible lorsque Authentification pass-through via NetScaler Gateway est activée et sélectionnée dans le panneau des résultats.

Lorsque la validation des informations d'identification est déléguée à NetScaler Gateway, les utilisateurs s'authentifient sur NetScaler Gateway à l'aide de leurs cartes à puce et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins. Ce paramètre est désactivé par défaut lorsque vous activez l'authentification pass-through via NetScaler Gateway, afin que l'authentification pass-through ne soit appliquée que lorsque les utilisateurs ouvrent une session sur NetScaler Gateway avec un mot de passe.