Configurer le service d’authentification

Gérer les méthodes d’authentification

Vous pouvez activer ou désactiver la configuration des méthodes d’authentification des utilisateurs lorsque le service d’authentification a été créé en sélectionnant une méthode d’authentification dans le panneau des résultats de la console de gestion Citrix StoreFront, et dans le panneau Actions, en cliquant sur Gérer les méthodes d’authentification.

  1. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
  3. Indiquez les méthodes d’accès que vous souhaitez activer pour vos utilisateurs.

image localisée

  • Cochez la case Nom d’utilisateur et mot de passe pour activer l’authentification explicite. Les utilisateurs saisissent leurs informations d’identification lorsqu’ils accèdent à leurs magasins.
  • Sélectionnez la case Authentification SAML pour activer l’intégration avec un fournisseur d’identité SAML. Les utilisateurs s’authentifient sur Access Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. Depuis le menu déroulant Paramètres :
    • Sélectionnez Fournisseur d’identité pour configurer l’approbation du fournisseur d’identité.
    • Sélectionnez Fournisseur de services pour configurer l’approbation du fournisseur de services. Cette information est requise par le fournisseur d’identité.
  • Sélectionnez Authentification pass-through au domaine pour autoriser l’authentification pass-through des informations d’identification de domaine Active Directory à partir des machines des utilisateurs. Les utilisateurs doivent s’authentifier sur leur ordinateur Windows membre d’un domaine et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. Pour pouvoir utiliser cette option, l’authentification pass-through doit être activée lorsque Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows est installé sur les machines utilisateur.
  • Sélectionnez Carte à puce pour activer l’authentification par carte à puce. Les utilisateurs doivent s’authentifier à l’aide de cartes à puce et de codes PIN lorsqu’ils accèdent à leurs magasins.
  • Sélectionnez HTTP Basique pour activer l’authentification HTTP de base. Les utilisateurs s’authentifient avec le serveur Web IIS du serveur StoreFront.
  • Sélectionnez Authentification pass-through via Citrix Gateway pour activer l’authentification pass-through à partir de Citrix Gateway. Les utilisateurs s’authentifient sur Citrix Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins.

Pour activer l’authentification pass-through par carte à puce pour les utilisateurs qui accèdent à des magasins via Citrix Gateway, utilisez la tâche Configurer l’authentification déléguée.

Configurer des domaines utilisateur approuvés

Utilisez la tâche Domaines approuvés pour restreindre l’accès aux magasins des utilisateurs qui ouvrent une session avec des informations d’identification de domaine explicites, soit directement, soit à l’aide de l’authentification pass-through de Citrix Gateway.

  1. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.

  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront, puis dans le panneau des résultats, sélectionnez la méthode d’authentification appropriée. Dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.

  3. Dans le menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Configurer Domaines approuvés.

  4. Sélectionnez Domaines approuvés uniquement, cliquez sur Ajouter pour entrer le nom d’un domaine approuvé. Les utilisateurs disposant de comptes dans ce domaine pourront se connecter à tous les magasins qui utilisent ce service d’authentification. Pour modifier un nom de domaine, sélectionnez l’entrée correspondante dans la liste Domaines approuvés, puis cliquez sur Modifier. Sélectionnez un domaine dans la liste et cliquez sur Supprimer pour interrompre l’accès aux magasins des comptes utilisateur dans ce domaine.

    La manière dont vous spécifiez le nom de domaine détermine le format auquel les utilisateurs devront saisir leurs informations d’identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification au format de nom d’utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d’identification au format de nom principal d’utilisateur, ajoutez le nom de domaine complet à la liste. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification aux formats de nom d’utilisateur de domaine et de nom principal d’utilisateur, vous devez ajouter le nom NetBIOS et le nom de domaine complet à la liste.

  5. Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Domaine par défaut le domaine sélectionné par défaut lorsque les utilisateurs ouvrent une session.

  6. Si vous voulez dresser la liste des domaines approuvés sur la page d’ouverture de session, sélectionnez la case Afficher une liste de domaines sur la page d’ouverture de session.

Autoriser les utilisateurs à modifier leurs mots de passe

Utilisez la tâche Gérer les options de mot de passe pour permettre aux utilisateurs de l’application Citrix Workspace et de sites Receiver pour Web qui ouvrent une session avec des informations d’identification de domaine de modifier leurs mots de passe. Lorsque vous créez le service d’authentification, la configuration par défaut empêche les utilisateurs de l’application Citrix Workspace et de sites Citrix Receiver pour Web de modifier leurs mots de passe, même si les mots de passe ont expiré. Si vous choisissez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de modifier leurs mots de passe. L’activation de la fonctionnalité permettant aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder aux magasins qui utilisent ce service d’authentification. Si votre organisation possède une stratégie de sécurité qui restreint les fonctions de modification des mots de passe utilisateur à un usage interne uniquement, vous devez vous assurer qu’aucun des magasins ne sont accessibles depuis l’extérieur de votre réseau interne.

  1. Citrix Receiver pour Web prend en charge la modification des mots de passe sur expiration, ainsi que la modification élective de mot de passe. Toutes les applications Citrix Workspace de bureau prennent en charge la modification de mot de passe via Citrix Gateway après expiration uniquement. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.

  2. Dans le panneau gauche de la console de gestion Citrix StoreFront, dans le panneau Actions, sélectionnez le nœud Magasins et cliquez sur Gérer les méthodes d’authentification.

  3. À partir du menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Gérer les options de mot de passe, indiquez sous quelles conditions les utilisateurs de sites Citrix Receiver pour Web qui ouvrent une session à l’aide d’informations d’identification de domaine sont en mesure de modifier leurs mots de passe.

    • Pour autoriser les utilisateurs à modifier leurs mots de passe quand ils souhaitent, sélectionnez À tout moment. Un avertissement s’affiche lorsque les utilisateurs locaux dont les mots de passe sont sur le point d’expirer ouvrent une session. Les avertissements d’expiration du mot de passe s’affichent uniquement pour les utilisateurs se connectant depuis le réseau interne. Par défaut, la période de notification pour un utilisateur est déterminée par le paramètre de stratégie Windows applicable. Pour de plus amples informations sur la configuration de périodes de notification personnalisées, consultez la section Configurer la période de notification d’expiration du mot de passe. Pris en charge uniquement avec Citrix Receiver pour Web.
    • Pour permettre aux utilisateurs de modifier leurs mots de passe uniquement lorsque les mots de passe ont déjà expiré, sélectionnez À expiration uniquement. Les utilisateurs qui ne peuvent pas ouvrir de session car leurs mots de passe ont expiré sont redirigés vers la boîte de dialogue Modifier le mot de passe. Ceci est pris en charge pour les applications Citrix Workspace et Citrix Receiver pour Web.
    • Pour empêcher les utilisateurs de modifier leurs mots de passe, ne sélectionnez pas Autoriser les utilisateurs à modifier les mots de passe. Si vous ne sélectionnez pas cette option, vous devez prendre vos propres dispositions pour prendre en charge les utilisateurs qui ne peuvent pas accéder à leurs bureaux et applications car leurs mots de passe ont expiré.

    Si vous autorisez les utilisateurs de sites Citrix Receiver pour Web à modifier leurs mots de passe à tout moment, assurez-vous que l’espace disque est suffisant sur vos serveurs StoreFront pour stocker les profils de tous vos utilisateurs. Pour vérifier si le mot de passe d’un utilisateur est sur le point d’expirer, StoreFront crée un profil local pour cet utilisateur sur le serveur. StoreFront doit être en mesure de contacter le contrôleur de domaine pour modifier les mots de passe des utilisateurs.

    Applications Citrix Workspace L’utilisateur peut modifier un mot de passe expiré si cette option est activée sur StoreFront L’utilisateur est notifié que le mot de passe va expirer L’utilisateur peut modifier un mot de passe avant expiration si cette option est activée sur StoreFront
    Windows Oui    
    Mac Oui    
    Android      
    iOS      
    Linux Oui    
    Web Oui Oui Oui

Questions de sécurité de la réinitialisation en libre-service des mots de passe

La réinitialisation en libre-service des mots de passe confère aux utilisateurs un plus grand contrôle sur leurs comptes d’utilisateur. Une fois la réinitialisation en libre-service des mots de passe configurée, si les utilisateurs rencontrent des problèmes lors de l’ouverture de session sur leurs systèmes, ils peuvent déverrouiller leurs comptes ou réinitialiser leurs mots de passe en répondant correctement à plusieurs questions de sécurité.

Lors de la configuration de la réinitialisation en libre-service des mots de passe, vous indiquez quels utilisateurs sont autorisés à réinitialiser leur mot de passe et à déverrouiller leur compte à l’aide de la console de gestion. Si vous activez ces fonctionnalités pour StoreFront, il se peut que les utilisateurs ne soient pas autorisés à réaliser ces tâches en fonction des paramètres configurés dans la console Configuration de la réinitialisation en libre-service des mots de passe.

Seuls les utilisateurs qui accèdent à StoreFront à l’aide de connexions HTTPS peuvent utiliser la réinitialisation en libre-service des mots de passe. Ils ne peuvent pas accéder à StoreFront à l’aide d’une connexion HTTP alors que la réinitialisation en libre-service des mots de passe est disponible. La réinitialisation en libre-service des mots de passe est disponible uniquement lors de l’authentification directe à StoreFront avec un nom d’utilisateur et un mot de passe.

La réinitialisation en libre-service des mots de passe ne prend pas en charge l’ouverture de session à l’aide d’un nom UPN, tel que username@domain.com.

Avant de configurer la réinitialisation en libre-service des mots de passe pour un magasin, vous devez vous assurer que :

  • Le magasin est configuré pour utiliser l’authentification par nom d’utilisateur et mot de passe.
  • Le magasin est configuré pour utiliser uniquement la réinitialisation en libre-service des mots de passe. Si StoreFront est configuré pour utiliser de nombreuses batteries au sein d’un même domaine ou de plusieurs domaines de confiance, vous devez configurer la réinitialisation en libre-service des mots de passe pour accepter les informations d’identification de tous ces domaines.
  • Le magasin est configuré pour permettre aux utilisateurs de changer leur mot de passe à n’importe quel moment, dans le cas où vous activez la fonctionnalité de réinitialisation du mot de passe.
  • Vous devez associer un magasin StoreFront à un site Receiver pour Web.

Avant de pouvoir utiliser la réinitialisation en libre-service des mots de passe, vous devez l’installer et la configurer. Elle est disponible sur le support de Citrix Virtual Apps and Desktops. Pour de plus amples informations, consultez la documentation de Réinitialisation en libre-service des mots de passe

  1. Activez la prise en charge de la fonction de réinitialisation en libre-service des mots de passe dans StoreFront en sélectionnant le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront, puis dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification > Nom d’utilisateur et mot de passe et choisissez Gérer les options de mot de passe dans le menu déroulant.
  2. Choisissez si vous voulez autoriser les utilisateurs à modifier les mots de passe et cliquez sur OK.
  3. À partir du menu déroulant Nom d’utilisateur et mot de passe, choisissez Configurer libre-service de compte, sélectionnez Citrix SSPR dans le menu déroulant, puis cliquez sur OK.
  4. Spécifiez si les utilisateurs sont autorisés à réinitialiser leurs mots de passe et à déverrouiller leurs comptes avec la réinitialisation en libre-service des mots de passe, ajoutez l’URL du compte du service de réinitialisation des mots de passe et cliquez deux fois sur **OK**.

image localisée

Cette option est disponible uniquement lorsque l’adresse URL de base de StoreFront est HTTPS (non HTTP) et l’option Activer la réinitialisation du mot de passe est uniquement disponible après que vous ayez utilisé Gérer les options de mot de passe pour permettre aux utilisateurs de modifier les mots de passe à tout moment.

image localisée

La prochaine fois que l’utilisateur se connecte à l’application Citrix Workspace ou Citrix Receiver pour Web, l’enregistrement de questions de sécurité est disponible. Après avoir cliqué sur Démarrer, les questions sont affichées et l’utilisateur doit fournir des réponses.

image localisée

Une fois configurés dans StoreFront, les utilisateurs voient le lien Compte en libre-service sur l’écran de connexion Citrix Receiver pour Web (il s’affiche sous la forme d’un bouton dans d’autres applications Citrix Workspace).

En cliquant sur ce lien, l’utilisateur passe par une série de formulaires pour choisir d’abord entre Déverrouiller le compte et Réinitialiser le mot de passe (si les deux sont disponibles).

Après avoir choisi un bouton radio et cliqué sur Suivant, l’écran suivant vous invite à entrer un domaine et un nom d’utilisateur (domaine\utilisateur), si ces informations n’ont pas été entrées dans le formulaire d’ouverture de session. Veuillez noter que le libre-service de compte ne prend pas en charge les ouvertures de session UPN, telles que username@domain.com.

image localisée

Ils doivent répondre aux questions de sécurité. Si les réponses correspondent à celles fournies par l’utilisateur, l’opération demandée (déverrouiller ou réinitialiser) est exécutée et l’utilisateur est notifié de la réussite.

Paramètres du service d’authentification partagé

Utilisez la tâche Paramètres du service d’authentification partagé pour spécifier les magasins qui partageront le service d’authentification activant l’authentification pass-through entre eux.

  1. Sur l’écran Démarrer de Windows ou l’écran Applications, accédez à la vignette Citrix StoreFront et cliquez dessus.
  2. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
  3. Dans le menu déroulant Avancé, sélectionnez Paramètres du service d’authentification partagé.
  4. Cliquez sur la case Utiliser un service d’authentification partagé et sélectionnez un magasin dans le menu déroulant Magasin.

Remarque :

Il n’y a pas de différence fonctionnelle entre un service d’authentification partagé et dédié. Un service d’authentification partagé par plus de deux magasins est traité comme un service d’authentification partagé et les modifications apportées à la configuration affectent l’accès à tous les magasins qui utilisent ce service d’authentification partagé.

Déléguer la validation des informations d’identification à Citrix Gateway

Pour activer l’authentification pass-through par carte à puce pour les utilisateurs qui accèdent à des magasins via Citrix Gateway, utilisez la tâche Configurer l’authentification déléguée. Cette tâche est uniquement disponible lorsque Authentification pass-through via Citrix Gateway est activée et sélectionnée dans le panneau des résultats.

Lorsque la validation des informations d’identification est déléguée à Citrix Gateway, les utilisateurs s’authentifient sur Citrix Gateway à l’aide de leurs cartes à puce et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. Ce paramètre est désactivé par défaut lorsque vous activez l’authentification pass-through via Citrix Gateway, afin que l’authentification pass-through ne soit appliquée que lorsque les utilisateurs ouvrent une session sur Citrix Gateway avec un mot de passe.