Authentification à l’aide de domaines différents

Certaines organisations adoptent des stratégies qui ne leur permettent pas d’accorder à des développeurs tiers ou des sous-traitants l’accès aux ressources publiées dans un environnement de production. Cet article vous explique comment accorder l’accès aux ressources publiées dans un environnement de test en vous authentifiant via Citrix Gateway auprès d’un domaine. Vous pouvez utiliser un domaine différent pour vous authentifier auprès de StoreFront et du site Receiver pour Web. L’authentification via Citrix Gateway décrite dans cet article est prise en charge pour les utilisateurs se connectant via le site Receiver pour Web. Cette méthode d’authentification n’est pas prise en charge pour les utilisateurs de bureaux natifs, d’instances Citrix Receiver mobiles ou d’applications Citrix Workspace.

Configurer un environnement de test

Cet exemple utilise un domaine de production appelé production.com et un domaine de test appelé development.com.

production.com domaine

Le domaine production.com dans cet exemple est configuré comme suit :

  • Citrix Gateway avec la stratégie d’authentification LDAP production.com configurée.
  • L’authentification via la passerelle se produit à l’aide d’un compte production\testuser1 et d’un mot de passe.

development.com domaine

Le domaine development.com dans cet exemple est configuré comme suit :

  • StoreFront, Citrix Virtual App and Desktops et les VDA se trouvent sur le même domaine development.com.
  • L’authentification sur le site Citrix Receiver pour Web se produit à l’aide d’un compte development\testuser1 et d’un mot de passe.
  • Il n’existe aucune relation d’approbation entre les deux domaines.

Configurer une passerelle Citrix Gateway pour le magasin

Pour configurer une passerelle Citrix Gateway pour le magasin :

  1. Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer Citrix Gateway.
  2. Sur l’écran Gérer Citrix Gateway, cliquez sur le bouton Ajouter.
  3. Complétez les paramètres généraux, les paramètres Secure Ticket Authority et les paramètres d’authentification.

    image localisée

    image localisée

    image localisée

Remarque :

Il sera peut-être nécessaire d’ajouter des redirecteurs conditionnels DNS afin que les serveurs DNS utilisés sur les deux domaines puissent résoudre les noms de domaine complets sur l’autre domaine. L’appliance Citrix ADC doit être en mesure de résoudre les noms de domaine complets du serveur STA sur le domaine development.com à l’aide de son serveur DNS production.com. StoreFront doit également être en mesure de résoudre l’URL de rappel sur le domaine production.com à l’aide de son serveur DNS development.com. Un nom de domaine complet development.com peut également être utilisé qui résout l’adresse IP virtuelle (VIP) du serveur virtuel Citrix Gateway.

Activer l’authentification pass-through depuis Citrix Gateway

  1. Sélectionnez Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
  2. Sur l’écran Gérer les méthodes d’authentification, sélectionnez Authentification pass-through via Citrix Gateway.
  3. Cliquez sur OK.

image localisée

Configurer le magasin pour l’accès distant à l’aide de Gateway

  1. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres d’accès distant.
  2. Sélectionnez Activer l’accès à distance.
  3. Assurez-vous que vous avez enregistré la passerelle Citrix Gateway auprès de votre magasin. Si vous n’enregistrez pas la passerelle Citrix Gateway, la fonctionnalité de ticket STA ne fonctionnera pas.

image localisée

Désactiver la cohérence des jetons

  1. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres du magasin.
  2. Sur la page Configurer les paramètres du magasin, sélectionnez Paramètres avancés.
  3. Décochez la case Exiger la cohérence des jetons. Pour de plus amples informations, consultez la section Paramètres de magasin avancés.
  4. Cliquez sur OK.

    image localisée

Remarque :

Le paramètre Exiger la cohérence des jetons est sélectionné (activé) par défaut. Si vous désactivez ce paramètre, les fonctionnalités SmartAccess utilisées pour l’analyse de point de terminaison (EPA) Citrix ADC cessent de fonctionner. Pour plus d’informations sur SmartAccess, consultez l’article CTX138110.

Désactiver l’authentification pass-through depuis Citrix Gateway pour le site Receiver pour Web

Important :

La désactivation de l’authentification pass-through depuis Citrix Gateway empêche Receiver pour Web d’utiliser les informations d’identification incorrectes du domaine production.com transmises depuis l’appliance Citrix ADC. Lorsque l’authentification pass-through est désactivée depuis Citrix Gateway, Receiver pour Web invite l’utilisateur à entrer des informations d’identification. Ces informations d’identification sont différentes des informations d’identification utilisées pour se connecter via Citrix Gateway.

  1. Sélectionnez le nœud Magasin dans le panneau gauche de la console de gestion Citrix StoreFront.
  2. Sélectionnez le magasin que vous souhaitez modifier.
  3. Dans le panneau Actions, cliquez sur Gérer les sites Receiver pour Web.
  4. Dans Méthodes d’authentification, désactivez l’option Authentification pass-through via Citrix Gateway.
  5. Cliquez sur OK.

    image localisée

Connexion à Gateway à l’aide d’un utilisateur production.com et d’informations d’identification

Pour tester, connectez-vous à Gateway à l’aide d’un utilisateur production.com et d’informations d’identification.

image localisée

Après la connexion, l’utilisateur est invité à entrer des informations d’identification development.com.

image localisée

Ajouter une liste déroulante de domaine de confiance dans StoreFront (facultatif)

Ce paramètre est facultatif, mais il peut vous aider à empêcher l’utilisateur d’entrer accidentellement le domaine incorrect pour l’authentification via Citrix Gateway.

Si le nom d’utilisateur est le même pour les deux domaines, il y a davantage de chances qu’un domaine incorrect soit entré. De nouveaux utilisateurs peuvent également être utilisés pour exclure le domaine lorsqu’ils se connectent via Citrix Gateway. Il se peut que les utilisateurs oublient d’entrer le domaine\nomd’utilisateur pour le second domaine lorsqu’ils sont invités à se connecter au site Receiver pour Web.

  1. Sélectionnez Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
  2. Sélectionnez la flèche déroulante à côté de Nom d’utilisateur et mot de passe.
  3. Cliquez sur Ajouter pour ajouter development.com comme domaine de confiance et sélectionnez la case Afficher la liste des domaines dans la page d’ouverture de session.
  4. Cliquez sur OK.

image localisée

image localisée

Remarque :

La mise en cache du mot de passe de navigateur n’est pas recommandée dans ce scénario d’authentification. Si les utilisateurs disposent de mots de passe différents pour les deux comptes de domaine différents, la mise en cache du mot de passe peut entraîner une mauvaise expérience.

Stratégie d’action de session VPN Citrix Gateway sans client (CVPN)

  • Si le paramètre Authentification unique auprès des applications Web est activé dans votre stratégie de session Citrix Gateway, les informations d’identification incorrectes envoyées par l’appliance Citrix ADC à Receiver pour Web sont ignorées car vous avez désactivé la méthode d’authentification Authentification pass-through via Citrix Gateway sur le site Receiver pour Web. Receiver pour Web vous invite à entrer les informations d’identification, quelle que soit la valeur de cette option.
  • Le remplissage des entrées de Single Sign-on dans les onglets Client Experience et Published App de l’appliance Citrix ADC ne change pas le comportement décrit dans cet article.

    image localisée

    image localisée