Configuration de l’authentification par carte à puce

Cet article fournit une vue d’ensemble des tâches comprises dans la configuration de l’authentification par carte à puce pour tous les composants dans un déploiement StoreFront. Pour plus d’informations et des instructions détaillées sur la configuration, consultez la documentation des produits individuels.

Le document Configuration des cartes à puce pour les environnements Citrix décrit comment configurer un déploiement Citrix pour les cartes à puce à l’aide d’un type de carte à puce spécifique. Des étapes similaires s’appliquent aux cartes à puce d’autres fournisseurs.

Remarque :

Dans cet article, les mentions de « Application Citrix Workspace » représentent également les versions prises en charge de Citrix Receiver, sauf indication contraire.

Conditions préalables

  • Assurez-vous que les comptes de tous les utilisateurs sont configurés au sein du domaine Microsoft Active Directory dans lequel vous prévoyez de déployer vos serveurs StoreFront ou au sein d’un domaine doté d’une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront.
  • Si vous prévoyez d’activer l’authentification pass-through par carte à puce, vérifiez que votre lecteur de carte à puce, votre middleware, votre configuration et la stratégie de mise en cache du code PIN du middleware prennent en charge l’authentification pass-through.
  • Installez le middleware de carte à puce de votre fournisseur sur les machines physiques ou virtuelles exécutant le Virtual Delivery Agent qui fournit les bureaux et applications des utilisateurs. Pour de plus amples informations sur l’utilisation de cartes à puce avec Citrix Virtual Desktops, consultez la section Cartes à puce.
  • Avant de continuer, vérifiez que votre infrastructure de clé publique est configurée correctement. Vérifiez que le mappage du certificat sur le compte est correctement configuré pour votre environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.

Configurer Citrix Gateway

  • Sur votre appliance Citrix Gateway, installez un certificat de serveur signé par une autorité de certification. Pour plus d’informations, veuillez consulter Installation et gestion des certificats.

  • Sur votre appliance Citrix Gateway, installez le certificat racine de l’autorité de certification émettant les certificats utilisateur de votre carte à puce. Pour plus d’informations, veuillez consulter Pour installer un certificat racine sur Citrix Gateway.

  • Créez et configurez un serveur virtuel pour l’authentification du certificat client. Créez une stratégie d’authentification de certificat, en spécifiant SubjectAltName:PrincipalName pour l’extraction du nom d’utilisateur à partir du certificat. Ensuite, liez la stratégie au serveur virtuel et configurez le serveur virtuel pour demander des certificats clients. Pour plus d’informations, veuillez consulter Configuration et liaison d’une stratégie d’authentification de certificat client.

  • Liez le certificat racine d’autorité de certification au serveur virtuel. Pour plus d’informations, veuillez consulter Pour ajouter un certificat racine à un serveur virtuel.

  • Pour vous assurer que les utilisateurs ne reçoivent pas de demande d’informations d’identification supplémentaire sur le serveur virtuel lorsque les connexions à leurs ressources sont établies, créez un second serveur virtuel. Lorsque vous créez le serveur virtuel, désactivez l’authentification du client dans les paramètres Secure Sockets Layer (SSL). Pour plus d’informations, veuillez consulter Configuration de l’authentification par carte à puce.

    Vous devez également configurer StoreFront afin d’acheminer les connexions utilisateur aux ressources via ce serveur virtuel supplémentaire. Les utilisateurs ouvrent une session sur le premier serveur virtuel et le second serveur virtuel est utilisé pour les connexions à leurs ressources. Lorsque la connexion est établie, les utilisateurs n’ont pas besoin de s’authentifier auprès de Citrix Gateway mais ils doivent entrer leur code PIN pour ouvrir des sessions à leurs bureaux et applications. La configuration d’un serveur virtuel pour les connexions utilisateur aux ressources est facultative sauf si vous voulez autoriser les utilisateurs à revenir à l’authentification explicite au cas où ils rencontrent des problèmes avec leurs cartes à puce.

  • Créez des stratégies de session et des profils pour les connexions depuis Citrix Gateway vers StoreFront et liez-les au serveur virtuel approprié. Pour plus d’informations, veuillez consulter Accès à StoreFront via Citrix Gateway.

  • Si vous avez configuré le serveur virtuel utilisé pour les connexions à StoreFront pour demander l’authentification du certificat client pour toutes les communications, vous devez créer un autre serveur virtuel pour fournir l’adresse URL de rappel pour StoreFront. Ce serveur virtuel est uniquement utilisé par StoreFront pour vérifier les demandes de l’appliance Citrix Gateway et n’a pas besoin d’être publiquement accessible. Un autre serveur virtuel est requis lorsque l’authentification du certificat client est obligatoire, car StoreFront ne peut pas présenter de certificat à authentifier. Pour plus d’informations, veuillez consulter Création de serveurs virtuels.

Configurer StoreFront

  • Vous devez utiliser le protocole HTTPS pour les communications entre StoreFront et les machines des utilisateurs pour activer l’authentification par carte à puce. Configurez Microsoft Internet Information Services (IIS) pour HTTPS en obtenant un certificat SSL dans IIS puis en ajoutant une liaison HTTPS au site Web par défaut. Pour plus d’informations sur la création d’un certificat de serveur dans IIS, consultez https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11)#create-certificate-wizard. Pour plus d’informations sur l’ajout de la liaison HTTPS à un site IIS, consultez https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11).

  • Si vous souhaitez demander que les certificats clients soient présentés pour les connexions HTTPS à toutes les adresses URL de StoreFront, configurez IIS sur le serveur StoreFront.

    Lorsque StoreFront est installé, la configuration par défaut dans IIS requiert uniquement que les certificats clients soient présentés pour les connexions HTTPS à l’adresse URL d’authentification du certificat du service d’authentification de StoreFront. Cette configuration est nécessaire pour offrir aux utilisateurs de cartes à puce la possibilité de revenir à l’authentification explicite et, en fonction des paramètres de stratégie Windows appropriés, autoriser les utilisateurs à retirer leur carte à puce sans avoir à s’authentifier de nouveau.

    Lorsque IIS est configuré pour demander des certificats clients pour les connexions HTTPS à toutes les adresses URL de StoreFront, les utilisateurs de carte à puce ne peuvent pas se connecter via Citrix Gateway et ne peuvent pas revenir à l’authentification explicite. Les utilisateurs doivent ouvrir une nouvelle session s’ils retirent leur carte à puce de leur périphérique. Pour activer cette configuration de site IIS, le service d’authentification et les magasins doivent être colocalisés sur le même serveur, et un certificat client valide pour tous les magasins doit être utilisé. De plus, cette configuration dans laquelle IIS requiert des certificats clients pour les connexions HTTPS à toutes les adresses URL StoreFront entrera en conflit avec l’authentification des clients Citrix Receiver pour Web. Pour cette raison, cette configuration doit être utilisée lorsque l’accès au client Citrix Receiver pour Web n’est pas requis.

  • Installez et configurez StoreFront. Créez le service d’authentification et ajoutez vos magasins, si nécessaire. Si vous configurez l’accès distant via Citrix Gateway, n’activez pas l’intégration de réseau privé virtuel (VPN). Pour plus d’informations, veuillez consulter Installer et configurer StoreFront.

  • Activez l’authentification par carte à puce à StoreFront pour les utilisateurs locaux sur le réseau interne. Pour les utilisateurs de cartes à puce qui accèdent à des magasins via Citrix Gateway, activez la méthode d’authentification pass-through avec Citrix Gateway et assurez-vous que StoreFront est configuré pour déléguer la validation des informations d’identification à Citrix Gateway. Si vous prévoyez d’activer l’authentification pass-through lorsque vous installez Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows sur des machines utilisateur appartenant au domaine, activez l’authentification pass-through au domaine. Pour plus d’informations, veuillez consulter Configurer le service d’authentification.

    Pour autoriser l’authentification du client Citrix Receiver pour Web avec des cartes à puce, vous devez activer la méthode d’authentification pour chaque site Citrix Receiver pour Web. Pour de plus amples informations, reportez-vous aux instructions de la section Configurer des sites Citrix Receiver pour Web.

    Si vous souhaitez que les utilisateurs de cartes à puce aient la possibilité de revenir à l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce, ne désactivez pas la méthode d’authentification avec nom d’utilisateur et mot de passe.

  • Si vous prévoyez d’activer l’authentification pass-through lorsque vous installez Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows sur des machines utilisateur appartenant au domaine, modifiez le fichier default.ica pour le magasin afin d’activer l’authentification pass-through des informations d’identification de carte à puce des utilisateurs lorsqu’ils accèdent à leurs bureaux et applications. Pour plus d’informations, veuillez consulter Activer l’authentification pass-through par carte à puce pour Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows.

  • Si vous avez créé un serveur virtuel Citrix Gateway supplémentaire à utiliser uniquement pour les connexions utilisateur aux ressources, configurez le routage Citrix Gateway optimal via ce serveur virtuel pour les connexions aux déploiements fournissant des bureaux et des applications au magasin. Pour plus d’informations, veuillez consulter Configurer un routage HDX optimal pour un magasin.

  • Pour permettre aux utilisateurs d’appliances de bureau Windows qui n’appartiennent pas au domaine d’ouvrir une session à leurs bureaux à l’aide de cartes à puce, activez l’authentification par carte à puce à vos sites Desktop Appliance. Pour plus d’informations, veuillez consulter Configurer des sites Desktop Appliance.

Configurez le site Desktop Appliance pour l’authentification par carte à puce et explicite pour permettre aux utilisateurs d’ouvrir une session avec des informations d’identification explicites s’ils rencontrent des problèmes avec leurs cartes à puce.

  • Pour permettre aux utilisateurs d’appliances de bureau appartenant à un domaine et aux PC réaffectés exécutant Citrix Desktop Lock de s’authentifier à l’aide de cartes à puce, activez l’authentification pass-through avec carte à puce à vos adresses URL XenApp Services. Pour plus d’informations, veuillez consulter Configurer l’authentification des adresses URL des sites XenApp Services.

Configurer les machines utilisateur

  • Assurez-vous que le middleware de votre fournisseur de carte à puce est installé sur toutes les machines utilisateur.

  • Pour les utilisateurs équipés d’appliances de bureau Windows qui n’appartiennent pas au domaine, installez Receiver pour Windows Enterprise à l’aide d’un compte doté d’autorisations d’administrateur. Configurez Internet Explorer pour qu’il démarre en mode plein écran et affiche le site Desktop Appliance lorsque le périphérique est mis sous tension. Notez que les adresses URL des sites Desktop Appliance sont sensibles à la casse. Ajoutez le site Desktop Appliance à la zone Intranet local ou Sites de confiance dans Internet Explorer. Une fois que vous avez confirmé que vous pouvez ouvrir une session sur le site Desktop Appliance avec une carte à puce et accéder aux ressources à partir du magasin, installez Citrix Desktop Lock. Pour plus d’informations, veuillez consulter Pour installer Desktop Lock.

  • Pour les utilisateurs équipés d’appliances de bureau qui appartiennent au domaine et de PC réaffectés, installez Receiver pour Windows Enterprise à l’aide d’un compte doté d’autorisations d’administrateur. Configurez Receiver pour Windows avec l’adresse URL XenApp Services du magasin approprié. Une fois que vous avez confirmé que vous pouvez ouvrir une session sur la machine avec une carte à puce et accéder aux ressources à partir du magasin, installez Citrix Desktop Lock. Pour plus d’informations, veuillez consulter Pour installer Desktop Lock.

  • Pour tous les autres utilisateurs, installez la version appropriée de Citrix Workspace sur la machine utilisateur. Pour activer l’authentification unique des informations d’identification de la carte à puce sur Citrix Virtual Apps and Desktops pour les utilisateurs dont les machines appartiennent au domaine, utilisez un compte avec des autorisations d’administrateur pour installer l’application Citrix Workspace pour Windows à partir d’une invite de commandes avec l’option /includeSSON. Pour plus d’informations, veuillez consulter Utilisation des paramètres de ligne de commande.

    Assurez-vous que l’application Citrix Workspace pour Windows est configurée pour l’authentification par carte à puce, soit par le biais d’une stratégie de domaine ou d’une stratégie d’ordinateur local. Pour une stratégie de domaine, utilisez la console de gestion des stratégies de groupe pour importer le fichier de modèle d’objet de stratégie de groupe de l’application Citrix Workspace pour Windows, icaclient.adm, sur le contrôleur du domaine contenant les comptes de vos utilisateurs. Pour configurer une machine individuelle, utilisez l’Éditeur d’objet de stratégie de groupe sur cette machine pour configurer le modèle. Pour plus d’informations, veuillez consulter Cartes à puce.

    Activez la stratégie Authentification par carte à puce. Pour activer l’authentification unique des informations d’identification de carte à puce des utilisateurs, sélectionnez Utiliser l’authentification pass-through pour le code PIN. Puis, pour transmettre les informations d’identification de carte à puce des utilisateurs à Citrix Virtual Apps and Desktops, activez la stratégie Nom d’utilisateur et mot de passe locaux et sélectionnez Autoriser l’authentification pass-through pour toutes les connexions ICA. Pour plus d’informations, veuillez consulter Référence des paramètres ICA.

    Si vous avez activé l’authentification pass-through des informations d’identification de carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs équipés de machines appartenant au domaine, ajoutez l’adresse URL du magasin à la zone Intranet local ou Sites de confiance dans Internet Explorer. Assurez-vous que Connexion automatique avec le nom d’utilisateur et le mot de passe est sélectionnée dans les paramètres de sécurité de la zone.

  • Si nécessaire, vous devez fournir aux utilisateurs les détails de connexion pour le magasin (pour les utilisateurs sur le réseau interne) ou l’appliance Citrix Gateway (pour les utilisateurs distants) à l’aide d’une méthode appropriée. Pour de plus amples informations sur la communication des informations de configuration à vos utilisateurs, consultez la section Référence des paramètres ICA.

Activer l’authentification pass-through par carte à puce pour Receiver pour Windows ou l’application Citrix Workspace pour Windows

Vous pouvez activer l’authentification pass-through lorsque vous installez Receiver pour Windows sur des machines utilisateur appartenant au domaine. Pour activer l’authentification unique des informations d’identification de carte à puce des utilisateurs lorsqu’ils accèdent à des applications et bureaux hébergés par Citrix Virtual Apps and Desktops, vous devez modifier le fichier default.ica pour le magasin.

Important :

Dans les déploiements faisant appel à de multiples serveurs, n’utilisez qu’un serveur à la fois pour apporter des modifications à la configuration du groupe de serveurs. Assurez-vous que la console de gestion Citrix StoreFront n’est exécutée sur aucun des serveurs dans le déploiement. Une fois terminé, propagez vos modifications apportées à la configuration au groupe de serveurs afin que les autres serveurs du déploiement soient mis à jour.

  1. Utilisez un éditeur de texte pour ouvrir le fichier default.ica du magasin, qui se trouve en général dans le répertoire C:\inetpub\wwwroot\Citrix\nommagasin\App_Data\, où nommagasin désigne le nom attribué au magasin au moment de sa création.

  2. Pour activer les informations d’identification des cartes à puce pour les utilisateurs qui accèdent aux magasins sans Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    DisableCtrlAltDel=Off

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through au domaine et l’authentification pass-through avec l’authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  3. Pour permettre la transmission des informations d’identification de la carte à puce pour les utilisateurs accédant aux magasins via Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    UseLocalUserAndPassword=On

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session pour accéder à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.