Authentification par nom d’utilisateur et mot de passe

Avec l’authentification par nom d’utilisateur et mot de passe, les utilisateurs saisissent leurs informations d’identification Active Directory.

.

Pour activer ou désactiver l’authentification par nom d’utilisateur et mot de passe pour un magasin lors de la connexion via les applications Workspace, cochez ou décochez Nom d’utilisateur et mot de passe dans la fenêtre Méthodes d’authentification.

L’activation par défaut de l’authentification par nom d’utilisateur et mot de passe pour un magasin l’active également pour tous les sites Web de ce magasin. Vous pouvez désactiver l’authentification par nom d’utilisateur et mot de passe pour un site Web spécifique dans l’onglet Gérer les sites Receiver pour Web - Méthodes d’authentification.

Configurer des domaines utilisateur approuvés

Vous pouvez restreindre l’accès aux magasins des utilisateurs qui ouvrent une session avec des informations d’identification de domaine explicites, soit directement, soit à l’aide de l’authentification pass-through de Citrix Gateway.

1. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront, puis dans le panneau des résultats, sélectionnez la méthode d’authentification appropriée. Dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.

2. Dans le menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Configurer Domaines approuvés.

3. Sélectionnez Domaines approuvés uniquement, cliquez sur Ajouter pour entrer le nom d’un domaine approuvé. Les utilisateurs disposant de comptes dans ce domaine peuvent se connecter à tous les magasins qui utilisent ce service d’authentification. Pour modifier un nom de domaine, sélectionnez l’entrée correspondante dans la liste Domaines approuvés, puis cliquez sur Modifier. Sélectionnez un domaine dans la liste et cliquez sur Supprimer pour interrompre l’accès aux magasins des comptes utilisateur dans ce domaine.

   La manière dont vous spécifiez le nom de domaine détermine le format auquel les utilisateurs devront saisir leurs informations d’identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification au format de nom d’utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d’identification au format de nom principal d’utilisateur, ajoutez le nom de domaine complet à la liste. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification aux formats de nom d’utilisateur de domaine et de nom principal d’utilisateur, vous devez ajouter le nom NetBIOS et le nom de domaine complet à la liste.

4. Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Domaine par défaut le domaine sélectionné par défaut lorsque les utilisateurs ouvrent une session.

5. Si vous voulez dresser la liste des domaines approuvés sur la page d’ouverture de session, sélectionnez la case Afficher une liste de domaines sur la page d’ouverture de session.

Autoriser les utilisateurs à modifier leurs mots de passe

Vous pouvez autoriser les utilisateurs à modifier leur mot de passe à tout moment. Éventuellement, vous pouvez autoriser uniquement les utilisateurs dont les mots de passe ont expiré à les modifier. Cela permet de s’assurer que les utilisateurs ne se verront jamais refuser l’accès à leurs bureaux et applications en raison d’un mot de passe a expiré.

La fonctionnalité de modification du mot de passe est disponible dans les clients suivants :

La configuration par défaut empêche les utilisateurs de l’application Citrix Workspace et du navigateur Web de modifier leurs mots de passe, même s’ils ont expiré. Si vous choisissez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de modifier leurs mots de passe. L’activation de la fonctionnalité permettant aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder aux magasins qui utilisent ce service d’authentification. Si votre organisation possède une stratégie de sécurité qui restreint les fonctions de modification des mots de passe utilisateur à un usage interne uniquement, vous devez vous assurer qu’aucun des magasins ne sont accessibles depuis l’extérieur de votre réseau interne.

Si vous autorisez les utilisateurs à modifier leurs mots de passe à tout moment, un avertissement s’affiche à l’attention des utilisateurs locaux dont les mots de passe sont sur le point d’expirer lorsqu’ils ouvrent une session. Par défaut, la période de notification pour un utilisateur est déterminée par le paramètre de stratégie Windows applicable. Vous pouvez également configurer une période de notification personnalisée.

1. Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Gérer les options de mot de passe

2. Pour autoriser les utilisateurs à modifier les mots de passe, cochez la case Autoriser les utilisateurs à modifier les mots de passe.

   Remarque : Si vous ne sélectionnez pas cette option, vous devez prendre vos propres dispositions pour prendre en charge les utilisateurs qui ne peuvent pas accéder à leurs bureaux et applications car leurs mots de passe ont expiré.

3. Choisissez d’autoriser les utilisateurs à modifier leurs mots de passe À l’expiration uniquement ou À tout moment.

4. Choisissez si vous souhaitez envoyer un rappel aux utilisateurs avant l’expiration de leur mot de passe.

Remarque 1 :

StoreFront ne prend pas en charge les stratégies de mot de passe affinées dans Active Directory.

Remarque 2 :

Assurez-vous que l’espace disque est suffisant sur vos serveurs StoreFront pour stocker les profils de tous vos utilisateurs. Pour vérifier si le mot de passe d’un utilisateur est sur le point d’expirer, StoreFront crée un profil local pour cet utilisateur sur le serveur. StoreFront doit être en mesure de contacter le contrôleur de domaine pour modifier les mots de passe des utilisateurs.

Remarque 3 :

Si vous activez ou désactivez à tout moment la modification des mots de passe, cela affecte également les paramètres de la section Gérer les options de mot de passe pour l’authentification pass-through via Citrix Gateway.

Validation du mot de passe d’identification

Normalement, StoreFront communique directement avec Active Directory pour valider les informations d’identification.

Lorsque StoreFront ne se trouve pas dans le même domaine que Citrix Virtual Apps and Desktops, et qu’il n’est pas possible de mettre des approbations Active Directory en place, vous pouvez configurer StoreFront pour que les Delivery Controller Citrix Virtual Apps and Desktops soient utilisés pour l’authentification des noms d’utilisateur et mots de passe :

1. Dans la fenêtre Gérer les méthodes d’authentification, à partir du menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Configurer la validation du mot de passe.

   

2. À partir du menu déroulant Valider les mots de passe via, sélectionnez Delivery Controller, puis cliquez sur Configurer.

   

3. Suivez les écrans Configurer Delivery Controller pour ajouter un ou plusieurs Delivery Controller pour la validation des informations d’identification de l’utilisateur et cliquez sur OK.

   

Utiliser Active Directory

1. Sur la page Gérer les méthodes d’authentification, à partir du menu déroulant Nom d’utilisateur et mot de passe > Paramètres, sélectionnez Configurer la validation du mot de passe.
2. À partir du menu déroulant Valider les mots de passe via, sélectionnez Active Directory, puis cliquez sur OK.

Authentification unique aux VDA

Lorsque les utilisateurs lancent une ressource, StoreFront utilise les informations d’identification que l’utilisateur a utilisées pour se connecter au magasin pour l’authentification unique aux VDA.

Personnaliser l’écran d’ouverture de session

L’écran d’ouverture de session est généré à partir d’un modèle, généralement situé sous C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm. Vous pouvez personnaliser l’écran.

Texte de titre

Lorsque les utilisateurs se connectent à un magasin, aucun texte de titre ne s’affiche dans la boîte de dialogue d’ouverture de session. Vous pouvez afficher le texte « Please log on » ou composer votre propre message personnalisé :

1. Utilisez un éditeur de texte pour ouvrir le fichier UsernamePassword.tfrm pour le service d’authentification.

2. Recherchez les lignes suivantes dans le fichier.

   @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
   <!--NeedCopy-->
   

3. Supprimez les marques de commentaire pour l’instruction en supprimant le début @* et la fin *@.

   @Heading("ExplicitAuth:AuthenticateHeadingText")
   <!--NeedCopy-->
   

   Les utilisateurs de l’application Citrix Workspace voient le texte de titre par défaut s’afficher « Please log on », ou la version localisée appropriée de ce texte (Veuillez ouvrir une session), lorsqu’ils ouvrent une session sur les magasins qui utilisent ce service d’authentification.

4. Pour modifier le texte du titre, utilisez un éditeur de texte pour ouvrir le fichier ExplicitFormsCommon.xx.resx du service d’authentification, qui est généralement situé dans le répertoire C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\.

5. Recherchez les éléments suivants dans le fichier. Modifiez le texte compris entre l’élément <value> pour modifier le texte de titre que les utilisateurs verront sur la boîte de dialogue d’ouverture de session lorsqu’ils accèdent aux magasins qui utilisent ce service d’authentification.

   <data name="AuthenticateHeadingText" xml:space="preserve">
       <value>My Company Name</value>
   </data>
   <!--NeedCopy-->
   

   Pour modifier le texte de titre de la boîte de dialogue d’ouverture de session pour les utilisateurs d’autres paramètres régionaux, modifiez les fichiers localisés ExplicitAuth.languagecode.resx, où languagecode est l’identificateur de paramètres régionaux.

Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache

Par défaut, l’application Citrix Workspace pour Windows stocke les mots de passe des utilisateurs lorsqu’ils se connectent à des magasins StoreFront. Pour empêcher l’application Citrix Workspace pour Windows de mettre en cache les mots de passe des utilisateurs, vous devez modifier les fichiers du service d’authentification.

1. Utilisez un éditeur de texte pour ouvrir le fichier inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm.

2. Recherchez la ligne suivante dans le fichier.

   @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
   <!--NeedCopy-->
   

3. Commentez l’instruction comme indiqué ci-dessous.

   <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
   <!--NeedCopy-->
   

   Les utilisateurs doivent entrer leur mot de passe chaque fois qu’ils se connectent à des magasins utilisant ce service d’authentification.

   Par défaut, l’application Citrix Workspace pour Windows remplit automatiquement le dernier nom d’utilisateur saisi. Pour supprimer le remplissage du champ Nom d’utilisateur ou pour découvrir un autre mécanisme permettant de supprimer la mise en cache des mots de passe, consultez Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache.

Accès à distance via Citrix Gateway

Vous pouvez configurer votre instance de Citrix Gateway pour que les utilisateurs se connectent à la passerelle à l’aide du nom d’utilisateur et du mot de passe de leur domaine. Ces informations d’identification sont transmises à StoreFront pour l’authentification au magasin. Pour configurer votre instance de Citrix Gateway pour l’authentification par nom d’utilisateur et mot de passe LDAP, consultez la documentation NetScaler sur l’authentification LDAP. Pour configurer StoreFront, consultez Authentification pass-through via Citrix Gateway.