Pass-through depuis Citrix Gateway
Lors de l’utilisation d’un Citrix Gateway pour l’accès à distance à un magasin, il est généralement configuré de manière à ce que les utilisateurs doivent d’abord s’authentifier auprès de la passerelle. Pour éviter que StoreFront n’ait à réauthentifier l’utilisateur, vous pouvez activer l’authentification Pass-through depuis Citrix Gateway. Ceci présente trois variantes :
- La passerelle transmet le nom d’utilisateur et le mot de passe Active Directory à StoreFront, StoreFront les utilise pour authentifier l’utilisateur.
- La passerelle transmet le nom d’utilisateur Active Directory mais pas de mot de passe à StoreFront. StoreFront est configuré pour faire confiance à la passerelle et n’authentifie pas l’utilisateur.
- La passerelle transmet un jeton d’accès Entra ID à StoreFront. StoreFront est configuré pour faire confiance à la passerelle et n’authentifie pas l’utilisateur. StoreFront recherche les informations utilisateur à l’aide de l’API Microsoft Graph.
La méthode d’authentification Pass-through depuis Citrix Gateway est automatiquement activée lorsque vous configurez pour la première fois l’accès à distance à un magasin. Pour plus d’informations sur la configuration de StoreFront pour l’accès via un Citrix Gateway, consultez Configurer un Citrix Gateway.
Méthodes d’authentification Citrix Gateway prises en charge
StoreFront prend en charge le pass-through avec les méthodes d’authentification Citrix Gateway suivantes :
- Domaine Les utilisateurs se connectent à l’aide de leur nom d’utilisateur et de leur mot de passe Active Directory.
- RSA Les utilisateurs se connectent à l’aide de codes d’accès dérivés de codes de jetons générés par des jetons de sécurité, parfois combinés à des numéros d’identification personnels. Si vous activez l’authentification pass-through uniquement par jeton de sécurité, assurez-vous que les ressources que vous mettez à disposition ne nécessitent pas de formes d’authentification supplémentaires ou alternatives, telles que les informations d’identification de domaine Microsoft Active Directory des utilisateurs.
- Carte à puce Les utilisateurs se connectent à l’aide d’une carte à puce liée à leur compte Active Directory.
- RSA + Domaine Les utilisateurs se connectent à l’aide de leurs informations d’identification de domaine et de leurs codes d’accès de jeton de sécurité.
-
SAML Les utilisateurs sont redirigés vers un IdP tiers pour se connecter via SAML. L’assertion SAML doit inclure l’UPN du compte Active Directory de l’utilisateur. Pour plus d’informations, consultez NetScaler en tant que SP SAML.
- Pour configurer SAML avec Entra ID, consultez Configurer Microsoft Entra ID en tant qu’IdP SAML et NetScaler en tant que SP SAML. L’utilisateur doit avoir une identité hybride. StoreFront ne prend pas en charge les identités Entra ID pures lors de l’utilisation de SAML.
- OIDC avec Entra ID Les utilisateurs sont redirigés vers Microsoft Entra ID pour l’authentification. L’utilisateur peut être purement Entra ID ou avoir une identité hybride. Pour plus d’informations, consultez Authentification Entra ID à l’aide d’OIDC.
Pour activer le pass-through, dans le profil de session, vous devez sélectionner Single Sign-on to Web Application. Si vous avez désactivé ce paramètre ou si vous n’utilisez pas la passerelle pour l’authentification, l’authentification Pass-through from Citrix Gateway n’est pas utilisée et vous devez configurer l’une des autres méthodes d’authentification StoreFront.
Authentification à double source
Si vous configurez l’authentification à double source pour Citrix Gateway pour les utilisateurs distants accédant aux magasins depuis l’application Citrix Workspace, vous devez créer deux stratégies d’authentification sur Citrix Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) comme méthode d’authentification principale et LDAP (Lightweight Directory Access Protocol) comme méthode secondaire. Modifiez l’index d’informations d’identification pour utiliser la méthode d’authentification secondaire dans le profil de session afin que les informations d’identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez l’appliance Citrix Gateway à votre configuration StoreFront, définissez le type d’ouverture de session sur Domain and security token. Pour plus d’informations, consultez http://support.citrix.com/article/CTX125364
Authentification multi-domaine
Pour activer l’authentification multi-domaine via Citrix Gateway vers StoreFront, définissez l’attribut de nom SSO sur userPrincipalName dans la stratégie d’authentification LDAP de Citrix Gateway pour chaque domaine. Vous pouvez demander aux utilisateurs de spécifier un domaine sur la page d’ouverture de session de Citrix Gateway afin de déterminer la stratégie LDAP appropriée à utiliser. Lorsque vous configurez les profils de session Citrix Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine d’ouverture de session unique. Vous devez configurer des relations d’approbation entre chacun des domaines. Assurez-vous que vous autorisez les utilisateurs à se connecter à StoreFront depuis n’importe quel domaine en ne restreignant pas l’accès aux seuls domaines explicitement approuvés.
Activer le pass-through de la passerelle
Pour activer ou désactiver l’authentification pass-through de la passerelle pour un magasin lors de la connexion via les applications Workspace, dans la fenêtre Authentication Methods, cochez ou décochez Pass-through from Citrix Gateway.
L’activation de l’authentification pass-through Citrix Gateway pour un magasin l’active par défaut également pour tous les sites Web de ce magasin. Vous pouvez désactiver l’authentification par nom d’utilisateur et mot de passe pour un site Web spécifique dans l’onglet Authentication methods.
Configurer les domaines utilisateur approuvés
Si votre Citrix Gateway est configuré pour utiliser l’authentification LDAP, vous pouvez restreindre l’accès à des domaines spécifiques.
-
Dans la fenêtre « Manage Authentication methods », dans le menu déroulant Pass-through from Citrix Gateway > Settings, sélectionnez Configure Trusted Domains.
-
Sélectionnez Trusted Domains only et cliquez sur Add pour saisir le nom d’un domaine approuvé. Les utilisateurs ayant des comptes dans ce domaine peuvent se connecter à tous les magasins qui utilisent le service d’authentification. Pour modifier un nom de domaine, sélectionnez l’entrée dans la liste Trusted domains et cliquez sur Edit. Pour interrompre l’accès aux magasins pour les comptes d’utilisateurs d’un domaine, sélectionnez le domaine dans la liste et cliquez sur Remove.
La manière dont vous spécifiez le nom de domaine détermine le format dans lequel les utilisateurs doivent saisir leurs informations d’identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification au format nom d’utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d’identification au format de nom d’utilisateur principal, ajoutez le nom de domaine complet à la liste. Si vous souhaitez permettre aux utilisateurs de saisir leurs informations d’identification à la fois au format nom d’utilisateur de domaine et au format de nom d’utilisateur principal, vous devez ajouter à la fois le nom NetBIOS et le nom de domaine complet à la liste.
-
Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Default domain le domaine qui est sélectionné par défaut lorsque les utilisateurs se connectent.
-
Si vous souhaitez afficher la liste des domaines approuvés sur la page d’ouverture de session, cochez la case Show domains list in the logon page.

Authentification déléguée
Par défaut, StoreFront valide le nom d’utilisateur et le mot de passe qu’il reçoit de Citrix Gateway. Si votre Citrix Gateway n’utilise pas les informations d’identification Active Directory via LDAP comme facteur, par exemple lors de l’utilisation de SAML ou de cartes à puce, vous devez configurer StoreFront pour qu’il fasse confiance à la validation effectuée par la passerelle. Dans ce cas, il est important que vous saisissiez une URL de rappel lors de la configuration de la passerelle afin que StoreFront puisse vérifier que la demande provient de Citrix Gateway, voir Gérer les Citrix Gateways.
-
Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Pass-through depuis Citrix Gateway > Paramètres, sélectionnez Configurer l’authentification déléguée.
-
Sélectionnez Déléguer entièrement la validation des informations d’identification à Citrix Gateway.
.
PowerShell
Pour configurer le magasin afin de déléguer l’authentification à Citrix Gateway à l’aide de PowerShell, exécutez l’applet de commande Set-STFCitrixAGBasicOptions.
- Pour déléguer l’authentification à la passerelle, définissez
CredentialValidationModesurAuto. - Pour que StoreFront valide les informations d’identification, définissez
CredentialValidationModesurPassword.
Validation du mot de passe
Vous pouvez choisir si StoreFront valide lui-même les informations d’identification ou demande au Delivery Controller de les valider. Pour plus d’informations, consultez Authentification par nom d’utilisateur et mot de passe - validation du mot de passe.
Si l’option Déléguer entièrement la validation des informations d’identification à Citrix Gateway est sélectionnée, le paramètre de validation des mots de passe à l’aide du Delivery Controller n’a aucun effet. Dans ce cas, StoreFront doit être en mesure de rechercher l’utilisateur dans Active Directory, de sorte que le domaine du serveur StoreFront doit toujours avoir une relation d’approbation avec le domaine de l’utilisateur.
Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion
Si votre Citrix Gateway est configuré pour utiliser l’authentification LDAP (nom d’utilisateur et mot de passe), vous pouvez configurer NetScaler pour autoriser la modification des mots de passe expirés lors de la connexion.
- Connectez-vous au site web d’administration NetScaler®
- Dans le menu latéral, accédez à Authentification > Tableau de bord.
- Cliquez sur le serveur d’authentification.
- Sous Autres paramètres, cochez Autoriser le changement de mot de passe.
Autoriser les utilisateurs à changer de mot de passe après la connexion
Vous pouvez configurer StoreFront pour permettre aux utilisateurs de changer leur mot de passe après s’être connectés. Cette fonctionnalité est uniquement disponible lorsque la passerelle utilise l’authentification LDAP et lorsque l’utilisateur accède au magasin via un navigateur, et non via l’application Citrix Workspace installée localement.
La configuration par défaut de StoreFront empêche les utilisateurs de changer leur mot de passe, même si celui-ci a expiré. Si vous décidez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de changer leur mot de passe. Permettre aux utilisateurs de changer leur mot de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder à l’un des magasins utilisant le service d’authentification. Si votre organisation a une politique de sécurité qui réserve les fonctions de changement de mot de passe utilisateur à un usage interne uniquement, assurez-vous qu’aucun des magasins n’est accessible depuis l’extérieur de votre réseau d’entreprise.
-
Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Pass-through depuis Citrix Gateway > Paramètres, sélectionnez Gérer les options de mot de passe
-
Pour autoriser les utilisateurs à changer de mot de passe, cochez la case Autoriser les utilisateurs à changer de mot de passe.

Remarque :
Si vous cochez ou décochez Autoriser les utilisateurs à changer de mot de passe, cela affecte également les paramètres sous Gérer les options de mot de passe pour l’authentification Nom d’utilisateur et mot de passe.
PowerShell
Pour modifier les options de changement de mot de passe à l’aide de PowerShell, exécutez l’applet de commande Set-STFExplicitCommonOptions.
Configurer Delivery Controller™ pour faire confiance à StoreFront
Lorsque le Citrix Gateway est configuré avec l’authentification LDAP, il transmet les informations d’identification à StoreFront. Pour les autres méthodes d’authentification, StoreFront n’a pas accès aux informations d’identification et ne peut donc pas s’authentifier auprès de Citrix Virtual Apps and Desktops. Vous devez par conséquent configurer le Delivery Controller pour qu’il fasse confiance aux requêtes de StoreFront, voir Considérations de sécurité et meilleures pratiques de Citrix Virtual Apps and Desktops.
Entra ID à l’aide d’OIDC
Si vous avez configuré la passerelle pour l’authentification Entra ID à l’aide d’OIDC, vous devez configurer StoreFront pour qu’il lise le jeton d’accès fourni par la passerelle NetScaler et recherche les informations utilisateur dans l’API Microsoft Graph.
- Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Pass-through depuis Citrix Gateway > Paramètres, sélectionnez Gérer les options de mot de passe
- Sélectionnez Activé.
- Saisissez l’ID de locataire Entra.
- Saisissez éventuellement l’URL de l’API Graph. Si non spécifié, il utilise
https://graph.microsoft.com/v1.0.

PowerShell
Exécutez le script PowerShell suivant, en remplaçant l’ID de locataire par l’ID de votre locataire Entra ID et /Citrix/EntraStore par le chemin du magasin.
$store = Get-STFStoreService /Citrix/EntraStore
$authenticationService = Get-STFAuthenticationService -Store $store
Set-STFEntraIdSettings -AuthenticationService $authenticationService -TenantId "<Your tenant id>" -Enabled $true
<!--NeedCopy-->
Authentification unique vers les VDA
Utilisation des informations d’identification Active Directory
Lorsqu’un utilisateur s’authentifie auprès de la passerelle à l’aide de l’authentification LDAP, la passerelle transmet les informations d’identification à StoreFront pour l’authentification auprès du VDA, offrant ainsi l’authentification unique. Cela ne nécessite aucune configuration supplémentaire.
Utilisation du Service d’authentification fédérée
Lorsqu’un utilisateur s’authentifie auprès de la passerelle à l’aide de méthodes d’authentification autres que LDAP, StoreFront n’a pas accès aux informations d’identification de l’utilisateur, de sorte que l’authentification unique n’est pas disponible par défaut. Vous pouvez configurer le Service d’authentification fédérée pour fournir l’authentification unique.
Utilisation d’Entra ID
Si vous avez configuré le Citrix Gateway pour utiliser l’authentification Entra ID, vous pouvez activer l’authentification unique Entra ID. Cette fonctionnalité nécessite StoreFront 2603 ou une version ultérieure. Pour plus d’informations, consultez Configurer l’authentification unique Entra ID pour VDA.
Dans cet article
- Méthodes d’authentification Citrix Gateway prises en charge
- Activer le pass-through de la passerelle
- Configurer les domaines utilisateur approuvés
- Authentification déléguée
- Validation du mot de passe
- Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion
- Autoriser les utilisateurs à changer de mot de passe après la connexion
- Configurer Delivery Controller™ pour faire confiance à StoreFront
- Entra ID à l’aide d’OIDC
- Authentification unique vers les VDA