Product Documentation

Authentification utilisateur

Jan 10, 2017

StoreFront prend en charge plusieurs méthodes d'authentification pour les utilisateurs qui accèdent à des magasins, mais toutes ne sont pas disponibles selon la méthode d'accès et l'emplacement réseau des utilisateurs. Pour des raisons de sécurité, certaines méthodes d'authentification sont désactivées par défaut lorsque vous créez votre premier magasin. Pour plus d'informations sur les méthodes d'activation et de désactivation de l'authentification utilisateur, consultez la section Créer et configurer le service d'authentification.

Nom d'utilisateur et mot de passe

Les utilisateurs saisissent leurs informations d'identification et sont authentifiés lorsqu'ils accèdent à leurs magasins. L'authentification explicite est activée par défaut. Toutes les méthodes d'accès utilisateur prennent en charge l'authentification explicite.

Lorsqu'un utilisateur utilise NetScaler Gateway pour accéder à Citrix Receiver pour Web, NetScaler Gateway gère la modification du nom de connexion et du mot de passe à l'expiration. Les utilisateurs peuvent modifier le mot de passe avec l'interface de Citrix Receiver pour Web. Après la modification d'un mot de passe, la session NetScaler Gateway prend fin et l'utilisateur doit de nouveau ouvrir une session. Les utilisateurs de Citrix Receiver pour Linux peuvent uniquement modifier les mots de passe qui ont expiré.  

Authentification pass-through au domaine

Les utilisateurs s'authentifient sur leurs ordinateurs Windows membres d'un domaine et leurs informations d'identification sont utilisées pour ouvrir une session automatiquement lorsqu'ils accèdent à leurs magasins. Lorsque vous installez StoreFront, l'authentification pass-through au domaine est désactivée par défaut. L'authentification pass-through au domaine peut être activée pour les utilisateurs se connectant à des magasins via Citrix Receiver et des adresses URL XenApp Services. Les sites Citrix Receiver pour Web prennent en charge l'authentification pass-through au domaine uniquement pour Internet Explorer. L'activation de l'authentification pass-through au domaine dans le nœud du site Citrix Receiver pour Web dans la console d'administration requiert que vous configuriez SSON sur Citrix Receiver pour Windows. Citrix Receiver pour HTML5 ne prend pas en charge l'authentification pass-through au domaine. Pour utiliser l'authentification pass-through au domaine, les utilisateurs requièrent Citrix Receiver pour Windows ou Online Plug-in pour Windows. L'authentification pass-through doit être activée lorsque Citrix Receiver pour Windows ou Online Plug-in pour Windows est installé sur les machines des utilisateurs.

Authentification pass-through via NetScaler Gateway

Les utilisateurs s'authentifient sur NetScaler Gateway et leur session est automatiquement ouverte lorsqu'ils accèdent à leurs magasins. L'authentification pass-through via NetScaler Gateway est activée par défaut lorsque vous configurez l'accès distant à un magasin pour la première fois. Les utilisateurs peuvent se connecter via NetScaler Gateway aux magasins via Citrix Receiver ou des sites Citrix Receiver pour Web. Les sites Desktop Appliance ne prennent pas en charge les connexions via NetScaler Gateway. Pour plus d’informations sur la configuration de StoreFront pour NetScaler Gateway, veuillez consulter la section Ajouter une connexion NetScaler Gateway

StoreFront prend en charge l'authentification pass-through avec les méthodes d'authentification NetScaler Gateway suivantes.

  • Jeton de sécurité. Les utilisateurs ouvrent une session sur NetScaler Gateway à l'aide de codes secrets provenant des codes de jeton générés par les jetons de sécurité combinés, dans certains cas, avec des numéros d'identification personnels. Si vous activez l'authentification pass-through par jeton de sécurité uniquement, assurez-vous que les ressources que vous mettez à disposition ne requièrent pas d'authentification supplémentaire ou d'autres méthodes d'authentification, telles que les informations d’identification de domaine Microsoft Active Directory.
  • Domaine et jeton de sécurité. Les utilisateurs qui ouvrent une session sur NetScaler Gateway sont invités à entrer leurs informations d'identification de domaine et passcodes de jeton de sécurité.
  • Certificat client. Les utilisateurs ouvrent une session sur NetScaler Gateway et sont authentifiés en fonction des attributs du certificat client présenté à NetScaler Gateway. Configurez l'authentification du certificat client pour permettre aux utilisateurs d'ouvrir une session sur NetScaler Gateway à l'aide de cartes à puce. L'authentification du certificat client peut également être utilisée avec d'autres types d'authentification afin de fournir une authentification double.

StoreFront utilise le service d'authentification de NetScaler Gateway pour fournir une authentification pass-through aux utilisateurs distants, afin qu'ils n'aient besoin de saisir leurs identifiants de connexion qu'une seule fois. Toutefois, par défaut, l'authentification pass-through est activée uniquement pour les utilisateurs ouvrant une session sur NetScaler Gateway avec un mot de passe. Pour configurer l'authentification pass-through via NetScaler Gateway à StoreFront pour les utilisateurs de carte à puce, déléguez la validation des informations d'identification à NetScaler Gateway. Pour plus d'informations, consultez Créer et configurer le service d'authentification.

Les utilisateurs peuvent se connecter aux magasins dans Citrix Receiver avec l'authentification pass-through via un tunnel VPN SSL à l'aide de NetScaler Gateway Plug-in. Les utilisateurs distants qui ne peuvent pas installer NetScaler Gateway Plug-in peuvent utiliser un accès sans client pour se connecter aux magasins dans Citrix Receiver grâce à l'authentification pass-through. Pour utiliser l'accès sans client pour se connecter aux magasins, les utilisateurs ont besoin d'une version de Citrix Receiver qui prend en charge l'accès sans client.

De plus, vous pouvez activer l'accès sans client avec l'authentification pass-through vers les sites Citrix Receiver pour Web. Pour ce faire, configurez NetScaler Gateway pour agir en tant que proxy distant sécurisé. Les utilisateurs ouvrent une session sur NetScaler Gateway directement et utilisent le site Citrix Receiver pour Web pour accéder à leurs applications sans avoir à s'authentifier de nouveau. 

Les utilisateurs se connectant à l'aide d'un accès sans client aux ressources App Controller peuvent uniquement accéder des applications SaaS (software-as-a-service) externes. Pour accéder à des applications Web internes, les utilisateurs distants doivent utiliser NetScaler Gateway Plug-in.

Si vous configurez une authentification double à NetScaler Gateway pour les utilisateurs distants qui accèdent à des magasins dans Citrix Receiver, vous devez créer deux stratégies d'authentification sur NetScaler Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) en tant que méthode d'authentification principale et LDAP (Lightweight Directory Access Protocol) en tant que méthode secondaire. Modifiez l'index des informations d'identification afin d'utiliser la méthode d'authentification secondaire dans le profil de session afin que les informations d'identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez le boîtier NetScaler Gateway à votre configuration StoreFront, définissez Type d'ouverture de session sur Domaine et jeton de sécurité. Consultez l'article http://support.citrix.com/article/CTX125364 pour de plus amples informations.

Pour activer l'authentification multidomaine via NetScaler Gateway à StoreFront, définissez SSO Name Attribute sur userPrincipalName dans la stratégie d'authentification LDAP NetScaler Gateway pour chaque domaine. Vous pouvez demander aux utilisateurs de spécifier un domaine sur la page d'ouverture de session de NetScaler Gateway de façon à ce que la stratégie LDAP appropriée à utiliser puisse être déterminée. Lorsque vous configurez les profils de session NetScaler Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine à authentification pass-through. Vous devez configurer des relations d'approbation entre chaque domaine. Assurez-vous d'autoriser les utilisateurs à ouvrir une session à StoreFront à partir de n'importe quel domaine en prenant soin de ne pas limiter l'accès uniquement à des domaines approuvés de façon explicite.

Lorsque cela est pris en charge par votre déploiement NetScaler Gateway, vous pouvez utiliser SmartAccess pour contrôler l'accès utilisateur aux ressources XenDesktop et XenApp sur la base de stratégies de session NetScaler Gateway. Pour plus d'informations sur SmartAccess, consultez How SmartAccess works for XenApp and XenDesktop.

Cartes à puce

Les utilisateurs doivent s'authentifier à l'aide de cartes à puce et de codes PIN lorsqu'ils accèdent à leurs magasins. Lorsque vous installez StoreFront, l'authentification par carte à puce est désactivée par défaut. L'authentification par carte à puce peut être activée pour les utilisateurs se connectant à des magasins via Citrix Receiver, Receiver pour Web, des sites Desktop Appliance et des adresses URL XenApp Services.

Utilisez l'authentification par carte à puce pour simplifier le processus d'ouverture de session pour vos utilisateurs tout en améliorant la sécurité de l'accès utilisateur dans votre infrastructure. L'accès au réseau d'entreprise interne est protégé par une authentification à deux facteurs basée sur certificat à l'aide d'une infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d'un accès à leurs bureaux et applications à partir d'une large gamme de périphériques d'entreprise à l'aide de leurs cartes à puce et codes PIN.

Vous pouvez utiliser des cartes à puce pour l'authentification utilisateur via StoreFront aux bureaux et applications fournis par XenDesktop et XenApp. Les utilisateurs de carte à puce qui ouvrent une session sur StoreFront peuvent également accéder aux applications fournies par App Controller. Toutefois, les utilisateurs doivent s'authentifier à nouveau pour accéder aux applications Web App Controller qui utilisent l'authentification du certificat client.

Pour activer l’authentification par carte à puce, les comptes des utilisateurs doivent être configurés au sein du domaine Microsoft Active Directory contenant les serveurs StoreFront ou au sein d'un domaine doté d'une relation d'approbation bidirectionnelle directe avec le domaine du serveur StoreFront. Les déploiements contenant de multiples forêts impliquant des approbations bidirectionnelles sont pris en charge.

La configuration de l'authentification par carte à puce avec StoreFront dépend des machines utilisateur, des clients installés, et de l'appartenance des machines à un domaine. Dans ce contexte, les machines appartenant à un domaine sont des machines qui sont membres d'un domaine dans la forêt Active Directory contenant les serveurs StoreFront.

Utiliser des cartes à puce avec Citrix Receiver pour Windows

Les utilisateurs équipés de machines exécutant Citrix Receiver pour Windows peuvent s'authentifier à l'aide de cartes à puce, soit directement, soit via NetScaler Gateway. Il est possible d'utiliser des machines appartenant ou non à un domaine, mais l'expérience utilisateur sera légèrement différente.

L'illustration affiche les options pour l'authentification par carte à puce via Citrix Receiver pour Windows.


Pour les utilisateurs locaux dotés de machines appartenant au domaine, vous pouvez configurer l'authentification par carte à puce de manière à ce que les utilisateurs ne soient invités à entrer leurs informations d'identification qu'une seule fois. Les utilisateurs ouvrent une session sur leurs machines à l'aide de leurs cartes à puces et codes PIN, et ne sont pas invités à entrer de nouveau leur code PIN lorsque la configuration appropriée est en place. Ils sont authentifiés de manière silencieuse auprès de StoreFront et de même lors de l'accès à leurs bureaux et applications. Pour ce faire, vous devez configurer Citrix Receiver pour Windows pour l'authentification pass-through et activer l'authentification pass-through au domaine à StoreFront.

Les utilisateurs ouvrent une session sur leurs machines et s'authentifient auprès de Citrix Receiver pour Windows à l'aide de leur code PIN. Ils ne sont plus tenus d’entrer leur code PIN lorsqu'ils démarrent des applications et des bureaux

Étant donné que les utilisateurs de machines n'appartenant pas à un domaine ouvrent une session sur Citrix Receiver pour Windows directement, vous pouvez autoriser les utilisateurs à revenir à l'authentification explicite. Si vous configurez l'authentification par carte à puce et explicite, les utilisateurs sont initialement invités à ouvrir une session à l'aide de leurs cartes à puce et codes PIN mais ont la possibilité de sélectionner l'authentification explicite s'ils rencontrent des problèmes avec leurs cartes à puce.

Les utilisateurs qui se connectent via NetScaler Gateway doivent ouvrir une session à l'aide de leurs cartes à puce et codes PIN aux moins deux fois pour accéder à leurs bureaux et applications. Cela s'applique aussi bien aux machines appartenant à un domaine qu'à celles n'appartenant pas à un domaine. Les utilisateurs s'authentifient à l'aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne sont invités à entrer que leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l'authentification pass-through via NetScaler Gateway à StoreFront et déléguer la validation des informations d'identification à NetScaler Gateway. Créez ensuite un serveur virtuel NetScaler Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources. Pour ce qui est des machines n'appartenant pas à un domaine, vous devez également configurer Citrix Receiver pour Windows pour l'authentification pass-through.

Remarque : si vous utilisez Citrix Receiver pour Windows 4.2 (la version actuelle), vous pouvez configurer un autre vServer et utiliser la fonctionnalité de routage vers une passerelle optimale pour supprimer les invites de saisie du code PIN lors du démarrage d’applications et de bureaux.

Les utilisateurs peuvent ouvrir une session sur NetScaler Gateway à l'aide de leurs cartes à puce et codes PIN, ou avec des informations d'identification explicites. Cela vous permet de fournir aux utilisateurs la possibilité de revenir à l'authentification explicite pour les ouvertures de session NetScaler Gateway. Configurez l'authentification pass-through via NetScaler Gateway à StoreFront et déléguez la validation des informations d'identification à NetScaler Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse.

Utiliser des cartes à puce avec des sites Desktop Appliance

Les boîtiers de bureau Windows n'appartenant pas à un domaine peuvent être configurés pour autoriser les utilisateurs à ouvrir une session sur leurs bureaux à l'aide de cartes à puce. Citrix Desktop Lock est requis sur le boîtier et Internet Explorer doit être utilisé pour accéder au site Desktop Appliance.

La figure illustre une authentification par carte à puce à partir d'un boîtier de bureau n'appartenant pas à un domaine.


Lorsque les utilisateurs accèdent à leurs boîtiers de bureau, Internet Explorer démarre en mode plein écran et affichage l'écran d'ouverture de session pour un site Desktop Appliance. Les utilisateurs doivent s'authentifier sur le site à l'aide de leurs cartes à puce et codes PIN. Si le site Desktop Appliance est configuré pour l'authentification pass-through, les utilisateurs sont authentifiés automatiquement lorsqu'ils accèdent à leurs bureaux et applications. Les utilisateurs ne sont pas invités à entrer de nouveau leur code PIN. Sans l'authentification pass-through, les utilisateurs doivent entrer leur code PIN une seconde fois lorsqu'ils démarrent un bureau ou une application.

Vous pouvez autoriser les utilisateurs à revenir à l'authentification explicite s'ils rencontrent des problèmes avec leurs cartes à puce. Pour ce faire, vous devez configurer le site Desktop Appliance pour l'authentification carte à puce et explicite. Dans cette configuration, l'authentification par carte à puce est considérée comme la méthode d'accès principale donc les utilisateurs sont invités en premier à entrer leur code PIN. Toutefois, le site fournit également un lien qui permet aux utilisateurs d'ouvrir une session avec des informations d'identification explicites à la place.

Utiliser des cartes à puce avec des adresses URL XenApp Services

Les utilisateurs de boîtiers de bureau appartenant à un domaine et de PC réaffectés exécutant Citrix Desktop Lock peuvent s'authentifier à l'aide de cartes à puce. À l'inverse d'autres méthodes d'accès, l'authentification pass-through des informations d'identification de carte à puce est automatiquement activée lorsque l'authentification par carte à puce est configurée pour une adresse URL XenApp Services.

La figure illustre une authentification par carte à puce à partir d'une machine appartenant à un domaine exécutant Citrix Desktop Lock.


Les utilisateurs ouvrent une session sur leurs machines à l'aide de leurs cartes à puce et codes PIN. Citrix Desktop Lock authentifie ensuite de manière silencieuse les utilisateurs auprès de StoreFront via l'adresse URL XenApp Services. Les utilisateurs sont automatiquement authentifiés lorsqu'ils accèdent à leurs bureaux et applications, et ne sont pas invités à entrer leur code PIN de nouveau.

Utiliser des cartes à puce avec Citrix Receiver pour Web

Vous pouvez activer l'authentification par carte à puce pour Citrix Receiver pour Web dans la console d'administration StoreFront.

  1. Sélectionnez le nœud Citrix Receiver pour Web dans le panneau de gauche.
  2. Sélectionnez le site dans lequel vous voulez utiliser l'authentification par carte à puce.
  3. Sélectionnez la tâche Choisir les méthodes d'authentification dans le panneau de droite.
  4. Activez la case à cocher de la carte à puce dans la boîte de dialogue contextuelle et cliquez sur OK.

Si vous activez l'authentification pass-through avec carte à puce à XenDesktop et XenApp pour les utilisateurs Citrix Receiver pour Windows équipés de machines appartenant à un domaine qui n'accèdent pas aux magasins via NetScaler Gateway, ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through au domaine et l'authentification pass-through avec l'authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d'authentification. Les utilisateurs doivent ensuite se connecter au magasin approprié à leur méthode d'authentification.

Si vous activez l'authentification pass-through avec carte à puce à XenDesktop et XenApp pour les utilisateurs Citrix Receiver pour Windows équipés de machines appartenant à un domaine qui accèdent aux magasins via NetScaler Gateway, ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d'utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d'authentification.

Utiliser des cartes à puce avec Citrix Receiver pour iOS et Android

Les utilisateurs équipés d'appareils exécutant Citrix Receiver pour iOS et Citrix Receiver pour Android peuvent s'authentifier à l'aide de cartes à puce, soit directement, soit via NetScaler Gateway. Il est possible d'utiliser des machines qui n'appartiennent pas à un domaine.

Dans le cas de machines sur le réseau local, le nombre minimal d'invites d'ouverture de session que les utilisateurs reçoivent est de deux. Lorsque les utilisateurs s'authentifient auprès de StoreFront ou qu'ils créent le magasin, ils sont invités à entrer le code PIN de la carte à puce. Lorsque la configuration appropriée est appliquée, les utilisateurs sont de nouveau invités à entrer leur code PIN uniquement lorsqu'ils accèdent à leurs bureaux et applications. Pour ce faire, vous devez activer l'authentification par carte à puce à StoreFront et installer les pilotes de carte à puce sur le VDA.

Avec ces Citrix Receiver, vous avez la possibilité de spécifier des cartes à puce ou des informations d'identification de domaine. Si vous avez créé un magasin pour utiliser les cartes à puce et que vous voulez vous connecter au même magasin à l'aide d'informations d'identification de domaine, vous devez ajouter un magasin séparé sans activer les cartes à puce.

Les utilisateurs qui se connectent via NetScaler Gateway doivent ouvrir une session à l'aide de leurs cartes à puce et codes PIN aux moins deux fois pour accéder à leurs bureaux et applications. Les utilisateurs s'authentifient à l'aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne sont invités à entrer que leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l'authentification pass-through via NetScaler Gateway à StoreFront et déléguer la validation des informations d'identification à NetScaler Gateway. Créez ensuite un serveur virtuel NetScaler Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources.

Les utilisateurs peuvent ouvrir une session sur NetScaler Gateway à l'aide de leurs cartes à puce et codes PIN ou avec des informations d'identification explicites, en fonction de la façon dont vous avez spécifié l'authentification pour la connexion. Configurez l'authentification pass-through via NetScaler Gateway à StoreFront et déléguez la validation des informations d'identification à NetScaler Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse. Si vous souhaitez modifier la méthode d'authentification, vous devez supprimer, puis recréer la connexion.

Utiliser des cartes à puce avec Citrix Receiver pour Linux

Les utilisateurs équipés de machines exécutant Citrix Receiver pour Linux peuvent s'authentifier à l'aide de cartes à puce de la même manière que des utilisateurs de machines Windows qui n'appartiennent pas au domaine. Même si l'utilisateur s'authentifie auprès de la machine Linux avec une carte à puce, Citrix Receiver pour Linux ne dispose d'aucun mécanisme lui permettant d'acquérir ou réutiliser le code PIN entré.

Configurez les composants côté serveur pour les cartes à puce de la même manière que vous les configurez en vue de les utiliser avec Citrix Receiver pour Windows. Référez-vous à Comment configurer StoreFront 2.x et l'authentification par carte à puce pour les utilisateurs internes à l'aide de magasins et pour obtenir des instructions sur l'utilisation des cartes à puce, veuillez consulter la rubrique Citrix Receiver pour Linux dans docs.citrix.com.

Le nombre minimal d'ouverture de session que les utilisateurs peuvent recevoir est de un. Les utilisateurs ouvrent une session sur leurs machines et s'authentifient auprès de Citrix Receiver pour Linux à l'aide de leurs cartes à puce et codes PIN. Les utilisateurs ne sont pas de nouveau invités à entrer leur code PIN lorsqu'ils accèdent à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification par carte à puce à StoreFront.

Étant donné que les utilisateurs ouvrent une session sur Citrix Receiver pour Linux directement, vous pouvez autoriser les utilisateurs à revenir à l'authentification explicite. Si vous configurez l'authentification par carte à puce et explicite, les utilisateurs sont initialement invités à ouvrir une session à l'aide de leurs cartes à puce et codes PIN mais ont la possibilité de sélectionner l'authentification explicite s'ils rencontrent des problèmes avec leurs cartes à puce.

Les utilisateurs qui se connectent via NetScaler Gateway doivent ouvrir une session à l'aide de leurs cartes à puce et codes PIN au moins une fois pour accéder à leurs bureaux et applications. Les utilisateurs s'authentifient à l'aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne pas sont invités à entrer de nouveau leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l'authentification pass-through via NetScaler Gateway à StoreFront et déléguer la validation des informations d'identification à NetScaler Gateway. Créez ensuite un serveur virtuel NetScaler Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources.

Les utilisateurs peuvent ouvrir une session sur NetScaler Gateway à l'aide de leurs cartes à puce et codes PIN, ou avec des informations d'identification explicites. Cela vous permet de fournir aux utilisateurs la possibilité de revenir à l'authentification explicite pour les ouvertures de session NetScaler Gateway. Configurez l'authentification pass-through via NetScaler Gateway à StoreFront et déléguez la validation des informations d'identification à NetScaler Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse.

Les cartes à puce pour Citrix Receiver pour Linux ne sont pas prises en charge avec les sites XenApp Services Support.

Une fois que la prise en charge des cartes à puce est activée à la fois sur le serveur et sur Citrix Receiver, à condition que la stratégie d’application des certificats de carte à puce le permette, vous pouvez utiliser des cartes à puce aux fins suivantes :

  • Authentification d'ouverture de session par carte à puce. Servez-vous de cartes à puce pour authentifier les utilisateurs auprès des serveurs Citrix XenApp et XenDesktop.
  • Prise en charge des applications recourant à une carte à puce. Autorisez les applications recourant à une carte à puce à accéder aux lecteurs de carte à puce locaux.

Utiliser des cartes à puce avec XenApp Services Support

Les utilisateurs qui ouvrent une session sur les sites XenApp Services Support pour démarrer des applications et des bureaux peuvent s'authentifier à l'aide de cartes à puce quels que soient le matériel, les systèmes d'exploitation et les logiciels Citrix Receiver utilisés. Lorsqu'un utilisateur accède à un site XenApp Services Support, qu'il insère une carte à puce et entre un code PIN, PNA détermine l'identité de l'utilisateur, authentifie l'utilisateur auprès de StoreFront et renvoie les ressources disponibles.

Pour que l'authentification pass-through et l'authentification par carte à puce fonctionnent, vous devez activer l'option Faire confiance aux requêtes envoyées au Service XML.

Utilisez un compte avec des autorisations d'administrateur local sur le Delivery Controller pour démarrer le Windows PowerShell et, à l'invite de commande, tapez les commandes suivantes pour que le Delivery Controller approuve les requêtes XML envoyées à partir de StoreFront. La procédure suivante s'applique à XenApp 7.5 à 7.8 et XenDesktop 7.0 à 7.8. 

  1. Chargez les applets de commande Citrix en tapant asnp Citrix*. (le point doit être inclus).
  2. Tapez Add-PSSnapin citrix.broker.admin.v2.
  3. Tapez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
  4. Fermez PowerShell.

Pour de plus amples informations sur la configuration de la méthode d'authentification par carte à puce XenApp Services Support, veuillez consulter la section Configurer l'authentification des adresses URL des sites XenApp Services.

Remarques importantes

L'utilisation de cartes à puce pour l'authentification utilisateur avec StoreFront est soumise aux conditions et restrictions suivantes.

  • Pour utiliser des tunnels VPN avec l'authentification par carte à puce, les utilisateurs doivent installer NetScaler Gateway Plug-in et ouvrir une session via une page Web, et utiliser leurs cartes à puce et codes PIN pour s'authentifier à chaque étape. L'authentification pass-through à StoreFront avec NetScaler Gateway Plug-in n'est pas disponible pour les utilisateurs de cartes à puce.
  • Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur la même machine utilisateur, mais si vous activez l'authentification pass-through avec carte à puce, les utilisateurs doivent s'assurer qu'une seule carte à puce est insérée lors de l'accès à un bureau ou une application.
  • Lorsqu'une carte à puce est utilisée dans une application, pour la signature numérique ou le cryptage, des messages supplémentaires invitant l'utilisateur à insérer la carte à puce ou à saisir un code PIN peuvent s'afficher. Cela peut se produire si plusieurs cartes à puce sont insérées en même temps. Cela peut également être dû à des paramètres de configuration, tels que des paramètres de middleware comme la mise en cache du code PIN, qui sont généralement configurés à l'aide d’une stratégie de groupe. Les utilisateurs qui sont invités à insérer une carte à puce lorsque la carte à puce est déjà dans le lecteur doivent cliquer sur Annuler. Si les utilisateurs sont invités à entrer un code PIN, ils doivent entrer de nouveau ce code.
  • Si vous activez l'authentification pass-through avec carte à puce à XenDesktop et XenApp pour les utilisateurs Citrix Receiver pour Windows équipés de machines appartenant à un domaine qui n'accèdent pas aux magasins via NetScaler Gateway, ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through au domaine et l'authentification pass-through avec l'authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d'authentification. Les utilisateurs doivent ensuite se connecter au magasin approprié à leur méthode d'authentification.
  • Si vous activez l'authentification pass-through avec carte à puce à XenDesktop et XenApp pour les utilisateurs Citrix Receiver pour Windows équipés de machines appartenant à un domaine qui accèdent aux magasins via NetScaler Gateway, ce paramètre s'applique à tous les utilisateurs du magasin. Pour activer l'authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d'utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d'authentification.
  • Une seule méthode d'authentification peut être configurée pour chaque adresse URL XenApp Services et une seule URL est disponible par magasin. Si vous devez activer d'autres types d'authentification en plus de l'authentification par carte à puce, vous devez créer des magasins distincts, chacun avec une adresse URL XenApp Services pour chaque méthode d'authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d'authentification.
  • Lorsque StoreFront est installé, la configuration par défaut dans Microsoft Internet Information Services (IIS) requiert uniquement que les certificats clients soient présentés pour les connexions HTTPS à l'adresse URL d'authentification du certificat du service d'authentification de StoreFront. IIS ne demande de certificats clients pour aucune des autres adresses URL de StoreFront. Cette configuration vous permet de fournir aux utilisateurs de cartes à puce l'option de revenir à l'authentification explicite s'ils rencontrent des problèmes avec leurs cartes à puce. Sous réserve que les paramètres de stratégie Windows appropriés sont activés, les utilisateurs peuvent également retirer leur carte à puce sans avoir à s'authentifier de nouveau.

    Si vous décidez de configurer IIS pour demander des certificats clients pour les connexions HTTPS à toutes les adresses URL de StoreFront, le service d'authentification et les magasins doit être colocalisés sur le même serveur. Vous devez utiliser un certificat client valide pour tous les magasins. Avec cette configuration de site IIS, les utilisateurs de carte à puce ne peuvent pas se connecter via NetScaler Gateway et ne peuvent pas revenir à l'authentification explicite. Les utilisateurs doivent ouvrir une nouvelle session s'ils retirent leur carte à puce de leur périphérique.