Authentification utilisateur

StoreFront prend en charge plusieurs méthodes d’authentification pour les utilisateurs qui accèdent à des magasins, mais toutes ne sont pas disponibles selon la méthode d’accès et l’emplacement réseau des utilisateurs. Pour des raisons de sécurité, certaines méthodes d’authentification sont désactivées par défaut lorsque vous créez votre premier magasin. Pour plus d’informations sur les méthodes d’activation et de désactivation de l’authentification utilisateur, consultez la section Créer et configurer le service d’authentification.

Nom d’utilisateur et mot de passe

Les utilisateurs saisissent leurs informations d’identification et sont authentifiés lorsqu’ils accèdent à leurs magasins. L’authentification explicite est activée par défaut. Toutes les méthodes d’accès utilisateur prennent en charge l’authentification explicite.

Lorsqu’un utilisateur utilise Citrix Gateway pour accéder à Citrix Receiver pour Web, Citrix Gateway gère la modification du nom de connexion et du mot de passe à l’expiration. Les utilisateurs peuvent modifier le mot de passe avec l’interface de Citrix Receiver pour Web. Après la modification d’un mot de passe, la session Citrix Gateway prend fin et l’utilisateur doit de nouveau ouvrir une session. Les utilisateurs de Citrix Receiver pour Linux ou de l’application Citrix Workspace pour Linux peuvent uniquement modifier les mots de passe qui ont expiré.

Authentification SAML

Les utilisateurs s’authentifient auprès d’un fournisseur d’identité SAML et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. StoreFront peut prendre en charge l’authentification SAML directement depuis le réseau d’entreprise, sans avoir besoin de passer par Citrix Gateway.

SAML (Security Assertion Markup Language) est une norme ouverte utilisée par les produits d’identité et d’authentification tels que Microsoft ADFS (Active Directory Federation Services). Grâce à l’intégration de l’authentification SAML via StoreFront, les administrateurs peuvent autoriser les utilisateurs à, par exemple, se connecter une seule fois à leur réseau d’entreprise afin d’accéder à leurs applications publiées en SSO.

Configuration requise :

  • Implémentation du Service d’authentification fédérée de Citrix.
  • Fournisseurs d’identité (IdP) compatibles avec SAML 2.0 :
    • Microsoft ADFS v4.0 (Windows Server 2016) à l’aide de liaisons SAML uniquement (et non des liaisons WS-Federation). Pour plus d’informations, veuillez consulter Déploiement AD FS 2016 Microsoft et Opérations AD FS 2016 Microsoft.
    • Microsoft ADFS v3.0 (Windows Server 2012 R2)
    • Citrix Gateway (configurée en tant qu’IdP)
  • Configurez l’authentification SAML dans StoreFront à l’aide de la console de gestion StoreFront dans un nouveau déploiement (voir la section Créer un nouveau déploiement) ou dans un déploiement existant (voir la section Configurer le service d’authentification). Vous pouvez également configurer l’authentification SAML à l’aide d’applets de commande PowerShell. Consultez la section SDK StoreFront.
  • Citrix Receiver (4.6 et versions supérieures), l’application Citrix Workspace pour Windows ou Citrix Receiver pour Web.

L’utilisation de l’authentification SAML avec Citrix Gateway est actuellement prise en charge avec les sites Receiver pour Web.

Authentification pass-through au domaine

Les utilisateurs s’authentifient sur leurs ordinateurs Windows membres d’un domaine et leurs informations d’identification sont utilisées pour ouvrir une session automatiquement lorsqu’ils accèdent à leurs magasins.

Lorsque vous installez StoreFront, l’authentification pass-through au domaine est désactivée par défaut. Vous pouvez activer l’authentification pass-through au domaine pour les utilisateurs se connectant à des magasins via l’application Citrix Workspace et des adresses URL XenApp Services. Les sites Citrix Receiver pour Web prennent en charge l’authentification pass-through pour Internet Explorer, Microsoft Edge, Mozilla Firefox et Google Chrome sur les machines client Windows appartenant à un domaine.

Pour activer l’authentification pass-through au domaine

  1. Installez Citrix Receiver pour Windows, l’application Citrix Workspace pour Windows ou Citrix Online Plug-in pour Windows sur les machines utilisateur. Assurez-vous que l’authentification pass-through est activée.
  2. Dans le nœud du site Citrix Receiver pour Web dans la console d’administration, activez l’authentification pass-through au domaine.
  3. Configurez SSON sur Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows, comme indiqué dans la section Configurer l’authentification pass-through au domaine. L’application Citrix Workspace pour HTML5 ne prend pas en charge l’authentification pass-through au domaine.
  4. Le comportement par défaut de Windows est « Connexion automatique uniquement dans la zone Intranet » Pour Internet Explorer, Mozilla Firefox et Google Chrome, configurez vos sites Citrix Receiver pour Web en tant que sites Intranet à l’aide des options Internet, ou activez la connexion automatique pour la zone approuvée. Pour Microsoft Edge, vous devez configurer vos sites Citrix Receiver pour Web en tant que sites Intranet.
  5. Pour Mozilla Firefox, modifiez les paramètres avancés du navigateur pour faire confiance à l’URI de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows.

    Avertissement :

    La modification incorrecte des paramètres avancés peut entraîner de graves problèmes. Apportez des modifications à vos risques et périls.

    1. Démarrez Firefox, entrez about:config dans le champ d’adresse et sélectionnez « Je prends le risque ».
    2. Tapez ntlm dans la zone de recherche.
    3. Cliquez deux fois sur « network.automatic-ntlm-auth.trusted-uris » et tapez l’URL du site Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows dans le menu contextuel.
    4. Cliquez sur OK.

Authentification pass-through via Citrix Gateway

Les utilisateurs s’authentifient sur Citrix Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. L’authentification pass-through via Citrix Gateway est activée par défaut lorsque vous configurez l’accès distant à un magasin pour la première fois. Les utilisateurs peuvent se connecter via Citrix Gateway aux magasins via l’application Citrix Workspace ou des sites Citrix Receiver pour Web. Les sites Desktop Appliance ne prennent pas en charge les connexions via Citrix Gateway. Pour plus d’informations sur la configuration de StoreFront pour Citrix Gateway, consultez la section Ajouter une connexion Citrix Gateway.

StoreFront prend en charge l’authentification pass-through avec les méthodes d’authentification Citrix Gateway suivantes.

  • Jeton de sécurité. Les utilisateurs se connectent à Citrix Gateway à l’aide de codes d’accès dérivés de codes de jetons générés par des jetons de sécurité combinés, dans certains cas, à des numéros d’identification personnels. Si vous activez l’authentification pass-through par jeton de sécurité uniquement, assurez-vous que les ressources que vous mettez à disposition ne requièrent pas d’authentification supplémentaire ou d’autres méthodes d’authentification, telles que les informations d’identification de domaine Microsoft Active Directory.
  • Domaine et jeton de sécurité. Les utilisateurs qui ouvrent une session sur Citrix Gateway sont invités à entrer leurs informations d’identification de domaine et codes d’accès de jeton de sécurité.
  • Certificat client. Les utilisateurs ouvrent une session sur Citrix Gateway et sont authentifiés en fonction des attributs du certificat client présenté à Citrix Gateway. Configurez l’authentification du certificat client pour permettre aux utilisateurs d’ouvrir une session sur Citrix Gateway à l’aide de cartes à puce. L’authentification du certificat client peut également être utilisée avec d’autres types d’authentification afin de fournir une authentification double.

StoreFront utilise le service d’authentification de Citrix Gateway pour fournir une authentification pass-through aux utilisateurs distants, afin qu’ils n’aient besoin de saisir leurs informations d’identification qu’une seule fois. Toutefois, par défaut, l’authentification pass-through est activée uniquement pour les utilisateurs ouvrant une session sur Citrix Gateway avec un mot de passe. Pour configurer l’authentification pass-through via Citrix Gateway à StoreFront pour les utilisateurs de carte à puce, déléguez la validation des informations d’identification à Citrix Gateway. Pour plus d’informations, veuillez consulter Créer et configurer le service d’authentification.

Les utilisateurs peuvent se connecter aux magasins dans l’application Citrix Workspace avec l’authentification pass-through via un tunnel VPN SSL à l’aide de Citrix Gateway Plug-in. Les utilisateurs distants qui ne peuvent pas installer Citrix Gateway Plug-in peuvent utiliser un accès sans client pour se connecter aux magasins dans l’application Citrix Workspace grâce à l’authentification pass-through. Pour utiliser l’accès sans client pour se connecter aux magasins, les utilisateurs ont besoin d’une version de l’application Citrix Workspace qui prend en charge l’accès sans client.

De plus, vous pouvez activer l’accès sans client avec l’authentification pass-through vers les sites Citrix Receiver pour Web. Pour ce faire, configurez Citrix Gateway pour agir en tant que proxy distant sécurisé. Les utilisateurs ouvrent une session sur Citrix Gateway directement et utilisent le site Citrix Receiver pour Web pour accéder à leurs applications sans avoir à s’authentifier de nouveau.

Les utilisateurs se connectant à l’aide d’un accès sans client aux ressources App Controller peuvent uniquement accéder des applications SaaS (software-as-a-service) externes. Pour accéder à des applications Web internes, les utilisateurs distants doivent utiliser Citrix Gateway Plug-in.

Si vous configurez une authentification double à Citrix Gateway pour les utilisateurs distants qui accèdent à des magasins dans l’application Citrix Workspace, vous devez créer deux stratégies d’authentification sur Citrix Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) en tant que méthode d’authentification principale et LDAP (Lightweight Directory Access Protocol) en tant que méthode secondaire. Modifiez l’index des informations d’identification afin d’utiliser la méthode d’authentification secondaire dans le profil de session afin que les informations d’identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez l’appliance Citrix Gateway à votre configuration StoreFront, définissez le type de connexion sur Domaine et jeton de sécurité. Pour plus d’informations, veuillez consulterhttp://support.citrix.com/article/CTX125364

Pour activer l’authentification multi-domaines via Citrix Gateway vers StoreFront, définissez l’attribut de nom SSO sur userPrincipalName dans la stratégie d’authentification LDAP Citrix Gateway pour chaque domaine. Vous pouvez demander aux utilisateurs de spécifier un domaine sur la page d’ouverture de session de Citrix Gateway de façon à ce que la stratégie LDAP appropriée à utiliser puisse être déterminée. Lorsque vous configurez les profils de session Citrix Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine à authentification pass-through. Vous devez configurer des relations d’approbation entre chaque domaine. Assurez-vous d’autoriser les utilisateurs à ouvrir une session à StoreFront à partir de n’importe quel domaine en prenant soin de ne pas limiter l’accès uniquement à des domaines approuvés de façon explicite.

Lorsque cela est pris en charge par votre déploiement Citrix Gateway, vous pouvez utiliser SmartAccess pour contrôler l’accès utilisateur aux ressources Citrix Virtual Apps and Desktops sur la base de stratégies de session Citrix Gateway. Pour plus d’informations sur SmartAccess, consultez l’article How SmartAccess works for Citrix Virtual Apps and Desktops.

Cartes à puce

Les utilisateurs doivent s’authentifier à l’aide de cartes à puce et de codes PIN lorsqu’ils accèdent à leurs magasins. Lorsque vous installez StoreFront, l’authentification par carte à puce est désactivée par défaut. L’authentification par carte à puce peut être activée pour les utilisateurs se connectant à des magasins via l’application Citrix Workspace, Citrix Receiver pour Web, des sites Desktop Appliance et des adresses URL XenApp Services.

Utilisez l’authentification par carte à puce pour rationaliser le processus de connexion de vos utilisateurs tout en renforçant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau d’entreprise interne est protégé par une authentification à deux facteurs basée sur certificat à l’aide d’une infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d’un accès à leurs bureaux et applications à partir d’une large gamme de périphériques d’entreprise à l’aide de leurs cartes à puce et codes PIN.

Vous pouvez utiliser des cartes à puce pour l’authentification utilisateur via StoreFront aux bureaux et applications fournis par Citrix Virtual Apps and Desktops. Les utilisateurs de carte à puce qui ouvrent une session sur StoreFront peuvent également accéder aux applications fournies par App Controller. Toutefois, les utilisateurs doivent s’authentifier à nouveau pour accéder aux applications Web App Controller qui utilisent l’authentification du certificat client.

Pour activer l’authentification par carte à puce, les comptes des utilisateurs doivent être configurés au sein du domaine Microsoft Active Directory contenant les serveurs StoreFront ou au sein d’un domaine doté d’une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront. Les déploiements contenant de multiples forêts impliquant des approbations bidirectionnelles sont pris en charge.

La configuration de l’authentification par carte à puce avec StoreFront dépend des machines utilisateur, des clients installés, et de l’appartenance des machines à un domaine. Dans ce contexte, les machines appartenant à un domaine sont des machines qui sont membres d’un domaine dans la forêt Active Directory contenant les serveurs StoreFront.

Utiliser des cartes à puce avec Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows

Les utilisateurs équipés de machines exécutant Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows peuvent s’authentifier à l’aide de cartes à puce, soit directement, soit via Citrix Gateway. Il est possible d’utiliser des machines appartenant ou non à un domaine, mais l’expérience utilisateur sera légèrement différente.

L’illustration affiche les options pour l’authentification par carte à puce via Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows.

Options pour l'authentification par carte à puce via Citrix Receiver pour Windows ou l'application Citrix Workspace pour Windows

Pour les utilisateurs locaux dotés de machines appartenant au domaine, vous pouvez configurer l’authentification par carte à puce de manière à ce que les utilisateurs ne soient invités à entrer leurs informations d’identification qu’une seule fois. Les utilisateurs ouvrent une session sur leurs machines à l’aide de leurs cartes à puces et codes PIN, et ne sont pas invités à entrer de nouveau leur code PIN lorsque la configuration appropriée est en place. Ils sont authentifiés de manière silencieuse auprès de StoreFront et de même lors de l’accès à leurs bureaux et applications. Pour ce faire, vous devez configurer Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows pour l’authentification pass-through et activer l’authentification pass-through au domaine à StoreFront.

Les utilisateurs ouvrent une session sur leurs machines et s’authentifient auprès de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows à l’aide de leur code PIN. Ils ne sont plus tenus d’entrer leur code PIN lorsqu’ils démarrent des applications et des bureaux

Étant donné que les utilisateurs de machines n’appartenant pas à un domaine ouvrent une session sur Citrix Receiver pour Windows ou sur l’application Citrix Workspace pour Windows directement, vous pouvez autoriser les utilisateurs à revenir à l’authentification explicite. Si vous configurez l’authentification par carte à puce et explicite, les utilisateurs sont initialement invités à ouvrir une session à l’aide de leurs cartes à puce et codes PIN mais ont la possibilité de sélectionner l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce.

Les utilisateurs qui se connectent via Citrix Gateway doivent ouvrir une session à l’aide de leurs cartes à puce et codes PIN aux moins deux fois pour accéder à leurs bureaux et applications. Cela s’applique aussi bien aux machines appartenant à un domaine qu’à celles n’appartenant pas à un domaine. Les utilisateurs s’authentifient à l’aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne sont invités à entrer que leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification pass-through via Citrix Gateway à StoreFront et déléguer la validation des informations d’identification à Citrix Gateway. Créez ensuite un serveur virtuel Citrix Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources. Pour ce qui est des machines n’appartenant pas à un domaine, vous devez également configurer Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows pour l’authentification pass-through.

Remarque :

Si vous utilisez Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows, vous pouvez configurer un autre vServer et utiliser la fonctionnalité de routage vers une passerelle optimale pour supprimer les invites de saisie du code PIN lors du démarrage d’applications et de bureaux.

Les utilisateurs peuvent ouvrir une session sur Citrix Gateway à l’aide de leurs cartes à puce et codes PIN, ou avec des informations d’identification explicites. Cela vous permet de fournir aux utilisateurs la possibilité de revenir à l’authentification explicite pour les ouvertures de session Citrix Gateway. Configurez l’authentification pass-through via Citrix Gateway à StoreFront et déléguez la validation des informations d’identification à Citrix Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse.

Utiliser des cartes à puce avec des sites Desktop Appliance

Les appliances de bureau Windows n’appartenant pas à un domaine peuvent être configurées pour autoriser les utilisateurs à ouvrir une session sur leurs bureaux à l’aide de cartes à puce. Citrix Desktop Lock est requis sur l’appliance et Internet Explorer doit être utilisé pour accéder au site Desktop Appliance.

La figure illustre l’authentification par carte à puce à partir d’une appliance de bureau n’appartenant pas à un domaine.

Authentification par carte à puce à partir d'une appliance de bureau n'appartenant pas à un domaine.

Lorsque les utilisateurs accèdent à leurs appliances de bureau, Internet Explorer démarre en mode plein écran et affiche l’écran de connexion d’un site Desktop Appliance. Les utilisateurs doivent s’authentifier sur le site à l’aide de leurs cartes à puce et codes PIN. Si le site Desktop Appliance est configuré pour l’authentification pass-through, les utilisateurs sont authentifiés automatiquement lorsqu’ils accèdent à leurs bureaux et applications. Les utilisateurs ne sont pas invités à entrer de nouveau leur code PIN. Sans l’authentification pass-through, les utilisateurs doivent entrer leur code PIN une seconde fois lorsqu’ils démarrent un bureau ou une application.

Vous pouvez autoriser les utilisateurs à revenir à l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce. Pour ce faire, vous devez configurer le site Desktop Appliance pour l’authentification carte à puce et explicite. Dans cette configuration, l’authentification par carte à puce est considérée comme la méthode d’accès principale donc les utilisateurs sont invités en premier à entrer leur code PIN. Toutefois, le site fournit également un lien qui permet aux utilisateurs d’ouvrir une session avec des informations d’identification explicites à la place.

Utiliser des cartes à puce avec des adresses URL XenApp Services

Les utilisateurs d’appliances de bureau appartenant à un domaine et de PC réaffectés exécutant Citrix Desktop Lock peuvent s’authentifier à l’aide de cartes à puce. À l’inverse d’autres méthodes d’accès, l’authentification pass-through des informations d’identification de carte à puce est automatiquement activée lorsque l’authentification par carte à puce est configurée pour une adresse URL XenApp Services.

La figure illustre l’authentification par carte à puce à partir d’un périphérique lié à un domaine exécutant Citrix Desktop Lock.

authentification par carte à puce à partir d'un périphérique lié à un domaine exécutant Citrix Desktop Lock

Les utilisateurs ouvrent une session sur leurs machines à l’aide de leurs cartes à puce et codes PIN. Citrix Desktop Lock authentifie ensuite de manière silencieuse les utilisateurs auprès de StoreFront via l’adresse URL XenApp Services. Les utilisateurs sont automatiquement authentifiés lorsqu’ils accèdent à leurs bureaux et applications et ne sont plus invités à entrer leur code PIN.

Utiliser des cartes à puce avec Citrix Receiver pour Web

Vous pouvez activer l’authentification par carte à puce pour Citrix Receiver pour Web dans la console d’administration StoreFront.

  1. Sélectionnez le nœud Citrix Receiver pour Web dans le panneau de gauche.
  2. Sélectionnez le site dans lequel vous voulez utiliser l’authentification par carte à puce.
  3. Sélectionnez la tâche Choisir les méthodes d’authentification dans le panneau de droite.
  4. Activez la case à cocher de la carte à puce dans la boîte de dialogue contextuelle et cliquez sur OK.

Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows équipés de machines appartenant à un domaine qui n’accèdent pas aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through au domaine et l’authentification pass-through avec l’authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Les utilisateurs doivent ensuite se connecter au magasin approprié à leur méthode d’authentification.

Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows équipés de machines appartenant à un domaine qui accèdent aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

Utiliser des cartes à puce avec l’application Citrix Workspace pour iOS et Android

Les utilisateurs équipés de machines exécutant l’application Citrix Workspace pour iOS et Android peuvent s’authentifier à l’aide de cartes à puce, soit directement, soit via Citrix Gateway. Il est possible d’utiliser des machines qui n’appartiennent pas à un domaine.

Utilisation de cartes à puce avec l'application Citrix Workspace pour iOS et Android

Dans le cas de machines sur le réseau local, le nombre minimal d’invites d’ouverture de session que les utilisateurs reçoivent est de deux. Lorsque les utilisateurs s’authentifient auprès de StoreFront ou qu’ils créent le magasin, ils sont invités à entrer le code PIN de la carte à puce. Lorsque la configuration appropriée est appliquée, les utilisateurs sont de nouveau invités à entrer leur code PIN uniquement lorsqu’ils accèdent à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification par carte à puce à StoreFront et installer les pilotes de carte à puce sur le VDA.

Avec ces applications Citrix Workspace, vous avez la possibilité de spécifier des cartes à puce ou des informations d’identification de domaine. Si vous avez créé un magasin pour utiliser les cartes à puce et que vous voulez vous connecter au même magasin à l’aide d’informations d’identification de domaine, vous devez ajouter un magasin séparé sans activer les cartes à puce.

Les utilisateurs qui se connectent via Citrix Gateway doivent ouvrir une session à l’aide de leurs cartes à puce et codes PIN aux moins deux fois pour accéder à leurs bureaux et applications. Les utilisateurs s’authentifient à l’aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne sont invités à entrer que leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification pass-through via Citrix Gateway à StoreFront et déléguer la validation des informations d’identification à Citrix Gateway. Créez ensuite un serveur virtuel Citrix Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources.

Les utilisateurs peuvent ouvrir une session sur Citrix Gateway à l’aide de leurs cartes à puce et codes PIN ou avec des informations d’identification explicites, en fonction de la façon dont vous avez spécifié l’authentification pour la connexion. Configurez l’authentification pass-through via Citrix Gateway à StoreFront et déléguez la validation des informations d’identification à Citrix Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse. Si vous souhaitez modifier la méthode d’authentification, vous devez supprimer, puis recréer la connexion.

Utiliser des cartes à puce avec Citrix Receiver pour Linux ou l’application Citrix Workspace pour Linux

Les utilisateurs équipés de machines exécutant Citrix Receiver pour Linux ou l’application Citrix Workspace pour Linux peuvent s’authentifier à l’aide de cartes à puce de la même manière que des utilisateurs de machines Windows qui n’appartiennent pas au domaine. Même si l’utilisateur s’authentifie auprès de la machine Linux avec une carte à puce, Citrix Receiver pour Linux ou l’application Citrix Workspace pour Linux ne dispose d’aucun mécanisme lui permettant d’acquérir ou réutiliser le code PIN entré.

Configurez les composants côté serveur pour les cartes à puce de la même manière que vous les configurez en vue de les utiliser avec Citrix Receiver pour Windows ou l’application Citrix Workspace pour Windows. Consultez la section Configuration de l’authentification par carte à puce et pour obtenir des instructions sur l’utilisation des cartes à puce, consultez la section Citrix Receiver pour Linux.

Le nombre minimal d’ouverture de session que les utilisateurs peuvent recevoir est de un. Les utilisateurs ouvrent une session sur leurs machines et s’authentifient auprès de Citrix Receiver pour Linux ou l’application Citrix Workspace pour Linux à l’aide de leurs cartes à puce et codes PIN. Les utilisateurs ne sont pas de nouveau invités à entrer leur code PIN lorsqu’ils accèdent à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification par carte à puce à StoreFront.

Étant donné que les utilisateurs ouvrent une session sur Citrix Receiver pour Linux ou l’application Citrix Workspace pour Linux directement, vous pouvez autoriser les utilisateurs à revenir à l’authentification explicite. Si vous configurez l’authentification par carte à puce et explicite, les utilisateurs sont initialement invités à ouvrir une session à l’aide de leurs cartes à puce et codes PIN mais ont la possibilité de sélectionner l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce.

Les utilisateurs qui se connectent via Citrix Gateway doivent ouvrir une session à l’aide de leurs cartes à puce et codes PIN aux moins une fois pour accéder à leurs bureaux et applications. Les utilisateurs s’authentifient à l’aide de leurs cartes à puce et codes PIN, et lorsque la configuration appropriée est appliquée, ils ne pas sont invités à entrer de nouveau leur code PIN pour accéder à leurs bureaux et applications. Pour ce faire, vous devez activer l’authentification pass-through via Citrix Gateway à StoreFront et déléguer la validation des informations d’identification à Citrix Gateway. Créez ensuite un serveur virtuel Citrix Gateway supplémentaire par le biais duquel router les connexions utilisateur vers les ressources.

Les utilisateurs peuvent ouvrir une session sur Citrix Gateway à l’aide de leurs cartes à puce et codes PIN, ou avec des informations d’identification explicites. Cela vous permet de fournir aux utilisateurs la possibilité de revenir à l’authentification explicite pour les ouvertures de session Citrix Gateway. Configurez l’authentification pass-through via Citrix Gateway à StoreFront et déléguez la validation des informations d’identification à Citrix Gateway pour les utilisateurs de cartes à puce de façon à ce que les utilisateurs soient authentifiés auprès de StoreFront de manière silencieuse.

Les cartes à puce pour Citrix Receiver pour Linux ou pour l’application Citrix Workspace pour Linux ne sont pas prises en charge avec les sites XenApp Services Support.

Une fois que la prise en charge des cartes à puce est activée à la fois sur le serveur et sur l’application Citrix Workspace, à condition que la stratégie d’application des certificats de carte à puce le permette, vous pouvez utiliser des cartes à puce aux fins suivantes :

  • Authentification d’ouverture de session par carte à puce. Servez-vous de cartes à puce pour authentifier les utilisateurs auprès des serveurs Citrix Virtual Apps and Desktops.
  • Prise en charge des applications recourant à une carte à puce. Autorisez les applications recourant à une carte à puce à accéder aux lecteurs de carte à puce locaux.

Utiliser des cartes à puce avec XenApp Services Support

Les utilisateurs qui ouvrent une session sur les sites XenApp Services Support pour démarrer des applications et des bureaux peuvent s’authentifier à l’aide de cartes à puce quels que soient le matériel, les systèmes d’exploitation et les applications Citrix Workspace utilisés. Lorsqu’un utilisateur accède à un site XenApp Services Support, qu’il insère une carte à puce et entre un code PIN, PNA détermine l’identité de l’utilisateur, authentifie l’utilisateur auprès de StoreFront et renvoie les ressources disponibles.

Pour que l’authentification pass-through et l’authentification par carte à puce fonctionnent, vous devez activer l’option Faire confiance aux requêtes envoyées au Service XML.

Utilisez un compte avec des autorisations d’administrateur local sur le Delivery Controller pour démarrer le Windows PowerShell et, à l’invite de commande, tapez les commandes suivantes pour que le Delivery Controller approuve les requêtes XML envoyées à partir de StoreFront. La procédure suivante s’applique à XenApp 7.5 à 7.8 et XenDesktop 7.0 à 7.8.

  1. Chargez les applets de commande Citrix en tapant asnp Citrix*. (en incluant le point).
  2. Tapez Add-PSSnapin citrix.broker.admin.v2.
  3. Tapez Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True.
  4. Fermez PowerShell.

Pour de plus amples informations sur la configuration de la méthode d’authentification par carte à puce XenApp Services Support, consultez la section Configurer l’authentification des adresses URL des sites XenApp Services.

Remarques importantes

L’utilisation de cartes à puce pour l’authentification utilisateur avec StoreFront est soumise aux conditions et restrictions suivantes.

  • Pour utiliser des tunnels VPN avec l’authentification par carte à puce, les utilisateurs doivent installer Citrix Gateway Plug-in et ouvrir une session via une page Web à l’aide de leurs cartes à puce et codes PIN pour s’authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.

  • Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur la même machine utilisateur, mais si vous activez l’authentification pass-through avec carte à puce, les utilisateurs doivent s’assurer qu’une seule carte à puce est insérée lors de l’accès à un bureau ou une application.

  • Lorsqu’une carte à puce est utilisée dans une application, pour la signature numérique ou le cryptage, des messages supplémentaires invitant l’utilisateur à insérer la carte à puce ou à saisir un code PIN peuvent s’afficher. Cela peut se produire si plusieurs cartes à puce sont insérées en même temps. Cela peut également être dû à des paramètres de configuration, tels que des paramètres de middleware comme la mise en cache du code PIN, qui sont généralement configurés à l’aide d’une stratégie de groupe. Les utilisateurs qui sont invités à insérer une carte à puce lorsque la carte à puce est déjà dans le lecteur doivent cliquer sur Annuler. Si les utilisateurs sont invités à entrer un code PIN, ils doivent entrer de nouveau ce code.

  • Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows équipés de machines appartenant à un domaine qui n’accèdent pas aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through au domaine et l’authentification pass-through avec l’authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Les utilisateurs doivent ensuite se connecter au magasin approprié à leur méthode d’authentification.

  • Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Receiver pour Windows ou de l’application Citrix Workspace pour Windows équipés de machines appartenant à un domaine qui accèdent aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Une seule méthode d’authentification peut être configurée pour chaque adresse URL XenApp Services et une seule URL est disponible par magasin. Si vous devez activer d’autres types d’authentification en plus de l’authentification par carte à puce, vous devez créer des magasins distincts, chacun avec une adresse URL XenApp Services pour chaque méthode d’authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Lorsque StoreFront est installé, la configuration par défaut dans Microsoft Internet Information Services (IIS) requiert uniquement que les certificats clients soient présentés pour les connexions HTTPS à l’adresse URL d’authentification du certificat du service d’authentification de StoreFront. IIS ne demande de certificats clients pour aucune des autres adresses URL de StoreFront. Cette configuration vous permet de fournir aux utilisateurs de cartes à puce l’option de revenir à l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce. Sous réserve que les paramètres de stratégie Windows appropriés sont activés, les utilisateurs peuvent également retirer leur carte à puce sans avoir à s’authentifier de nouveau.

    Si vous décidez de configurer IIS pour demander des certificats clients pour les connexions HTTPS à toutes les adresses URL de StoreFront, le service d’authentification et les magasins doit être colocalisés sur le même serveur. Vous devez utiliser un certificat client valide pour tous les magasins. Avec cette configuration de site IIS, les utilisateurs de carte à puce ne peuvent pas se connecter via Citrix Gateway et ne peuvent pas revenir à l’authentification explicite. Les utilisateurs doivent ouvrir une nouvelle session s’ils retirent leur carte à puce de leur périphérique.