Product Documentation

Configuration de l'authentification par carte à puce

Dec 08, 2016

Cette rubrique fournit une vue d'ensemble des tâches comprises dans la configuration de l'authentification par carte à puce pour tous les composants dans un déploiement StoreFront. Pour plus d'informations et des instructions détaillées sur la configuration, consultez la documentation des produits individuels.  

Conditions préalables

  • Assurez-vous que les comptes de tous les utilisateurs sont configurés au sein du domaine Microsoft Active Directory dans lequel vous prévoyez de déployer vos serveurs StoreFront ou au sein d'un domaine doté d'une relation d'approbation bidirectionnelle directe avec le domaine du serveur StoreFront.
  • Si vous prévoyez d'activer l'authentification pass-through par carte à puce, vérifiez que votre lecteur de carte à puce, votre middleware, votre configuration et la stratégie de mise en cache du code PIN du middleware prennent en charge l'authentification pass-through.
  • Installez le middleware de carte à puce de votre fournisseur sur les machines physiques ou virtuelles exécutant le Virtual Delivery Agent qui fournit les bureaux et applications des utilisateurs. Pour de plus amples informations sur l'utilisation de cartes à puce avec XenDesktop, consultez la section S'authentifier en toute sécurité avec des cartes à puce.
  • Avant de continuer, vérifiez que votre infrastructure de clé publique est configurée correctement. Vérifiez que le mappage du certificat sur le compte est correctement configuré pour votre environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.

Configurer NetScaler Gateway

  • Sur votre boîtier NetScaler Gateway, installez un certificat de serveur signé par une autorité de certification. Pour de plus amples informations, consultez la section Installation et gestion des certificats.
  • Installez sur votre boîtier le certificat racine de l'autorité de certification émettant les certificats utilisateur de votre carte à puce. Pour de plus amples informations, consultez la section Pour installer un certificat racine sur NetScaler Gateway.
  • Créez et configurez un serveur virtuel pour l'authentification du certificat client. Créez une stratégie d'authentification de certificat, en spécifiant SubjectAltName:PrincipalName pour l'extraction du nom d'utilisateur à partir du certificat. Ensuite, liez la stratégie au serveur virtuel et configurez le serveur virtuel pour demander des certificats clients. Pour de plus amples informations, consultez la section Configuration et liaison d'une stratégie d'authentification du certificatclient.
  • Liez le certificat racine d'autorité de certification au serveur virtuel. Pour de plus amples informations, consultez la section Pour ajouter un certificat racine à un serveur virtuel.
  • Pour vous assurer que les utilisateurs ne reçoivent pas de demande d'informations d’identification supplémentaire sur le serveur virtuel lorsque les connexions à leurs ressources sont établies, créez un second serveur virtuel. Lorsque vous créez le serveur virtuel, désactivez l'authentification du client dans les paramètres Secure Sockets Layer (SSL). Pour plus d'informations, veuillez consulter la section Configuration de l'authentification par carte à puce.

    Vous devez également configurer StoreFront afin d'acheminer les connexions utilisateur aux ressources via ce serveur virtuel supplémentaire. Les utilisateurs ouvrent une session sur le premier serveur virtuel et le second serveur virtuel est utilisé pour les connexions à leurs ressources. Lorsque la connexion est établie, les utilisateurs n'ont pas besoin de s'authentifier auprès de NetScaler Gateway mais ils doivent entrer leur code PIN pour ouvrir des sessions à leurs bureaux et applications. La configuration d'un serveur virtuel pour les connexions utilisateur aux ressources est facultative sauf si vous voulez autoriser les utilisateurs à revenir à l'authentification explicite au cas où ils rencontrent des problèmes avec leurs cartes à puce.

  • Créez des stratégies de session et des profils pour les connexions depuis NetScaler Gateway vers StoreFront et liez-les au serveur virtuel approprié. Pour de plus amples informations, consultez la section Accéder à StoreFront via NetScaler Gateway.
  • Si vous avez configuré le serveur virtuel utilisé pour les connexions à StoreFront pour demander l'authentification du certificat client pour toutes les communications, vous devez créer un autre serveur virtuel pour fournir l'adresse URL de rappel pour StoreFront. Ce serveur virtuel est uniquement utilisé par StoreFront pour vérifier les demandes du boîtier NetScaler Gateway et n'a pas besoin d'être publiquement accessible. Un autre serveur virtuel est requis lorsque l'authentification du certificat client est obligatoire, car StoreFront ne peut pas présenter de certificat à authentifier. Pour plus d'informations, veuillez consulter la section Création de serveurs virtuels.

Configurer StoreFront

  • Vous devez utiliser le protocole HTTPS pour les communications entre StoreFront et les machines des utilisateurs pour activer l'authentification par carte à puce. Configurez Microsoft Internet Information Services (IIS) pour HTTPS en obtenant un certificat SSL dans IIS puis en ajoutant une liaison HTTPS au site Web par défaut. Pour de plus amples informations sur la création d'un certificat de serveur dans IIS, consultez l'article http://technet.microsoft.com/en-us/library/hh831637.aspx#CreateCertificate. Pour plus d'informations sur l'ajout d'une liaison HTTPS à un site IIS, consultez l'article http://technet.microsoft.com/en-us/library/hh831632.aspx#SSLBinding.
  • Si vous souhaitez demander que les certificats clients soient présentés pour les connexions HTTPS à toutes les adresses URL de StoreFront, configurez IIS sur le serveur StoreFront.

    Lorsque StoreFront est installé, la configuration par défaut dans IIS requiert uniquement que les certificats clients soient présentés pour les connexions HTTPS à l'adresse URL d'authentification du certificat du service d'authentification de StoreFront. Cette configuration est nécessaire pour offrir aux utilisateurs de cartes à puce la possibilité de revenir à l'authentification explicite et, en fonction des paramètres de stratégie Windows appropriés, autoriser les utilisateurs à retirer leur carte à puce sans avoir à s'authentifier de nouveau.

    Lorsque IIS est configuré pour demander des certificats clients pour les connexions HTTPS à toutes les adresses URL de StoreFront, les utilisateurs de carte à puce ne peuvent pas se connecter via NetScaler Gateway et ne peuvent pas revenir à l'authentification explicite. Les utilisateurs doivent ouvrir une nouvelle session s'ils retirent leur carte à puce de leur périphérique. Pour activer cette configuration de site IIS, le service d'authentification et les magasins doivent être colocalisés sur le même serveur, et un certificat client valide pour tous les magasins doit être utilisé. De plus, cette configuration dans laquelle IIS requiert des certificats clients pour les connexions HTTPS à toutes les adresses URL StoreFront entrera en conflit avec l'authentification des clients Citrix Receiver pour Web. Pour cette raison, cette configuration doit être utilisée lorsque l'accès au client Citrix Receiver pour Web n'est pas requis.

    Si vous installez StoreFront sur Windows Server 2012, veuillez noter que les certificats non auto-signés installés dans le magasin de certificats Autorités de certification racines de confiance sur le serveur ne sont pas approuvés lorsque IIS est configuré pour utiliser SSL et l'authentification du certificat client. Pour de plus amples informations sur ce problème, veuillez consulter l'article http://support.microsoft.com/kb/2802568.

  • Installez et configurez StoreFront. Créez le service d'authentification et ajoutez vos magasins, si nécessaire. Si vous configurez l'accès distant via NetScaler Gateway, n'activez pas l'intégration de réseau privé virtuel (VPN). Pour de plus amples informations, consultez la section Installer et configurer StoreFront.
  • Activez l'authentification par carte à puce à StoreFront pour les utilisateurs locaux sur le réseau interne. Pour les utilisateurs de cartes à puce qui accèdent à des magasins via NetScaler Gateway, activez la méthode d'authentification pass-through avec NetScaler Gateway et assurez-vous que StoreFront est configuré pour déléguer la validation des informations d'identification à NetScaler Gateway. Si vous prévoyez d'activer l'authentification pass-through lorsque vous installez Citrix Receiver pour Windows sur des machines utilisateur appartenant au domaine, activez l'authentification pass-through au domaine. Pour de plus amples informations, consultez la section Configurer le service d'authentification.

    Pour autoriser l'authentification du client Citrix Receiver pour Web avec des cartes à puce, vous devez activer la méthode d'authentification pour chaque site Citrix Receiver pour Web. Pour de plus amples informations, reportez-vous aux instructions de la section Configurer des sites Citrix Receiver pour Web.

    Si vous souhaitez que les utilisateurs de cartes à puce aient la possibilité de revenir à l'authentification explicite s'ils rencontrent des problèmes avec leurs cartes à puce, ne désactivez pas la méthode d'authentification avec nom d'utilisateur et mot de passe. 

  • Si vous prévoyez d'activer l'authentification pass-through lorsque vous installez Citrix Receiver pour Windows sur des machines utilisateur appartenant au domaine, modifiez le fichier default.ica pour le magasin afin d'activer l'authentification pass-through des informations d'identification de carte à puce des utilisateurs lorsqu'ils accèdent à leurs bureaux et applications. Pour plus d'informations, consultez la section Activer l'authentification pass-through par carte à puce pour Citrix Receiver pour Windows.
  • Si vous avez créé un serveur virtuel NetScaler Gateway supplémentaire à utiliser uniquement pour les connexions utilisateur aux ressources, configurez le routage NetScaler Gateway optimal via ce serveur virtuel pour les connexions aux déploiements fournissant des bureaux et des applications au magasin. Pour plus d'informations, consultez la section Configurer un routage HDX optimal pour un magasin.
  • Pour permettre aux utilisateurs de boîtiers de bureau Windows qui n'appartiennent pas au domaine d'ouvrir une session à leurs bureaux à l'aide de cartes à puce, activez l'authentification par carte à puce à vos sites Desktop Appliance. Pour plus d'informations, consultez la section Configurer des sites Desktop Appliance.

Configurez le site Desktop Appliance pour l'authentification par carte à puce et explicite pour permettre aux utilisateurs d'ouvrir une session avec des informations d'identification explicites s'ils rencontrent des problèmes avec leurs cartes à puce.

  • Pour permettre aux utilisateurs de boîtiers de bureau appartenant à un domaine et aux PC réaffectés exécutant Citrix Desktop Lock de s'authentifier à l'aide de cartes à puce, activez l'authentification pass-through avec carte à puce à vos adresses URL XenApp Services. Pour plus d'informations, consultez la section Configurer l'authentification des adresses URL des sites XenApp Services.

Configurer les machines utilisateur

  • Assurez-vous que le middleware de votre fournisseur de carte à puce est installé sur toutes les machines utilisateur.
  • Pour les utilisateurs équipés de boîtiers de bureau Windows qui n'appartiennent pas au domaine, installez Receiver pour Windows Enterprise à l'aide d'un compte doté d'autorisations d'administrateur. Configurez Internet Explorer pour qu'il démarre en mode plein écran et affiche le site Desktop Appliance lorsque le périphérique est mis sous tension. Notez que les adresses URL des sites Desktop Appliance sont sensibles à la casse. Ajoutez le site Desktop Appliance à la zone Intranet local ou Sites de confiance dans Internet Explorer. Une fois que vous avez confirmé que vous pouvez ouvrir une session sur le site Desktop Appliance avec une carte à puce et accéder aux ressources à partir du magasin, installez Citrix Desktop Lock. Pour de plus amples informations, consultez la section Pour installer Desktop Lock.
  • Pour les utilisateurs équipés de boîtiers de bureau qui appartiennent au domaine et de PC réaffectés, installez Receiver pour Windows Enterprise à l'aide d'un compte doté d'autorisations d'administrateur. Configurez Receiver pour Windows avec l'adresse URL XenApp Services du magasin approprié. Une fois que vous avez confirmé que vous pouvez ouvrir une session sur la machine avec une carte à puce et accéder aux ressources à partir du magasin, installez Citrix Desktop Lock. Pour de plus amples informations, consultez la section Pour installer Desktop Lock.
  • Pour tous les autres utilisateurs, installez la version appropriée de Citrix Receiver sur la machine utilisateur. Pour activer l'authentification pass-through des informations d'identification de la carte à puce sur XenDesktop et XenApp pour les utilisateurs dont les machines appartiennent au domaine, utilisez un compte avec des autorisations d'administrateur pour installer Receiver pour Windows à partir d'une invite de commandes avec l'option /includeSSON. Pour de plus amples informations, consultez la section Configurer et utiliser Receiver pour Windows à l'aide de paramètres de ligne de commande.

    Assurez-vous que Receiver pour Windows est configuré pour l'authentification par carte à puce, soit par le biais d'une stratégie de domaine ou d'une stratégie d'ordinateur local. Pour une stratégie de domaine, utilisez la console de gestion de stratégie de groupe pour importer le fichier de modèle d'objet de stratégie de groupe Receiver pour Windows, icaclient.adm, sur le contrôleur de domaine pour le domaine contenant les comptes de vos utilisateurs. Pour configurer une machine individuelle, utilisez l'Éditeur d'objet de stratégie de groupe sur cette machine pour configurer le modèle. Pour de plus amples informations, consultez la section Configurer Receiver avec le modèle d'objet de stratégie de groupe.

    Activez la stratégie Smart card authentication. Pour activer l'authentification pass-through des informations d'identification de carte à puce des utilisateurs, sélectionnez Use pass-through authentication for PIN. Puis, pour transmettre les informations d'identification de carte à puce des utilisateurs à XenDesktop et XenApp, activez la stratégie Local user name and password et sélectionnez Allow pass-through authentication for all ICA connections. Pour de plus amples informations, consultez la section Référence des paramètres ICA.

    Si vous avez activé l'authentification pass-through des informations d'identification de carte à puce à XenDesktop et XenApp pour les utilisateurs équipés de machines appartenant au domaine, ajoutez l'adresse URL du magasin à la zone Intranet local ou Sites de confiance dans Internet Explorer. Assurez-vous que Connexion automatique avec le nom d'utilisateur et le mot de passe est sélectionnée dans les paramètres de sécurité de la zone.

  • Si nécessaire, vous devez fournir aux utilisateurs les détails de connexion pour le magasin (pour les utilisateurs sur le réseau interne) ou le boîtier NetScaler Gateway (pour les utilisateurs distants) à l'aide d'une méthode appropriée. Pour de plus amples informations sur la communication des informations de configuration à vos utilisateurs, consultez la section Citrix Receiver.

Activer l'authentification pass-through par carte à puce pour Receiver pour Windows

Vous pouvez activer l'authentification pass-through lorsque vous installez Receiver pour Windows sur des machines utilisateur appartenant au domaine. Pour activer l'authentification pass-through des informations d'identification de carte à puce des utilisateurs lorsqu'ils accèdent à des applications et bureaux hébergés par XenDesktop et XenApp, vous devez modifier le fichier default.ica pour le magasin.

Important : dans les déploiements faisant appel à de multiples serveurs, n'utilisez qu'un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n'est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez les modifications que vous avez apportées à la configuration du groupe de serveurs de façon à mettre à jour les autres serveurs dans le déploiement.
  1. Utilisez un éditeur de texte pour ouvrir le fichier default.ica du magasin, qui se trouve en général dans le répertoire c:\inetpub\wwwroot\Citrix\nommagasin\App_Data\, où nommagasin désigne le nom attribué au magasin au moment de sa création.
  2. Pour activer l'authentification pass-through des informations d'identification de carte à puce pour les utilisateurs qui accèdent à des magasins sans NetScaler Gateway, ajoutez le paramètre suivant dans la section [Application].
    DisableCtrlAltDel=Off

    Ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through au domaine et l'authentification pass-through avec l'authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d'authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d'authentification.

  3. Pour activer l'authentification pass-through des informations d'identification de carte à puce pour les utilisateurs qui accèdent à des magasins via NetScaler Gateway, ajoutez le paramètre suivant dans la section [Application].
    UseLocalUserAndPassword=On

    Ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session pour accéder à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d'utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d'authentification.

pdf

Configuration de carte à puce pour environnements Citrix

Cet aperçu des tâches liées à la configuration d’un déploiement Citrix pour cartes à puce utilise un type de carte à puce spécifique. Notez que des étapes similaires s'appliquent aux cartes à puce d'autres fournisseurs.