Configuration du service d’authentification fédérée
Le service d’authentification fédérée (FAS) fournit une authentification unique aux VDA à l’aide de l’authentification par certificat. Cette approche est utile lorsque vous avez activé des méthodes d’authentification telles que SAML, où StoreFront ne dispose pas des informations d’identification Active Directory de l’utilisateur. Une fois que vous activez FAS, il gère toujours l’authentification unique, même lorsque vous utilisez des méthodes d’authentification pour lesquelles StoreFront dispose du nom d’utilisateur et du mot de passe Active Directory.
Configurer FAS à l’aide de la console de gestion
Remarque :
Depuis StoreFront, vous pouvez configurer FAS à l’aide de la console de gestion. Pour les versions antérieures à 2511, la console de gestion n’expose pas ces paramètres, vous devez donc configurer FAS à l’aide de PowerShell.
Pour configurer FAS :
-
Configurez la liste des serveurs FAS à l’aide de la stratégie de groupe. Pour plus de détails, consultez la documentation FAS.
-
Sélectionnez le nœud Magasins dans le volet gauche de la console de gestion Citrix StoreFront, puis sélectionnez un magasin dans le volet central.
-
Dans le volet Actions, sélectionnez Configurer les paramètres du magasin.
-
Sur la page Configurer les paramètres du magasin, sélectionnez l’onglet Service d’authentification fédérée.
-
Pour activer l’authentification unique à l’aide de FAS, sélectionnez Activer le service d’authentification fédérée pour ce magasin.
-
Si le serveur FAS est indisponible, le lancement échoue par défaut. Cependant, vous pouvez configurer StoreFront de sorte que si le serveur FAS est indisponible, les utilisateurs puissent se connecter au VDA en saisissant leurs informations d’identification. Pour ce faire, cochez la case Revenir au nom d’utilisateur/mot de passe si aucun serveur FAS n’est disponible.
-
Par défaut, StoreFront sélectionne le serveur FAS au lancement. Vous pouvez modifier la Sélection du serveur FAS en Sélectionner à la connexion. Cela n’est normalement pas requis, mais vous pouvez l’activer si la sélection FAS est lente afin d’éviter des retards au lancement. Ce paramètre affecte tous les magasins partageant le même service d’authentification.
-
Cliquez sur OK pour enregistrer vos modifications.
Configurer FAS à l’aide de PowerShell
Pour activer FAS à l’aide de PowerShell, exécutez l’applet de commande Set-STFStoreLaunchOptions pour définir le fournisseur de données de connexion VDA sur FASLogonDataProvider.
Par exemple, pour activer FAS pour un magasin :
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
Pour désactiver FAS pour un magasin :
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Remplacez [VirtualPath] par le chemin virtuel approprié, par exemple /Citrix/Store.
Par défaut, le serveur FAS est sélectionné à la connexion. Pour configurer cela, exécutez l’applet de commande Set-STFClaimsFactoryNames avec le paramètre ClaimsFactoryName. Pour choisir le serveur FAS à la connexion, définissez-le sur FASClaimsFactory. Pour restaurer le comportement par défaut et choisir un serveur FAS au lancement, définissez-le sur standardClaimsFactory.
Par exemple, pour choisir un serveur FAS à la connexion :
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Pour activer le retour à l’authentification par nom d’utilisateur et mot de passe, exécutez l’applet de commande Set-STFStoreLaunchOptions avec le paramètre FederatedAuthenticationServiceFailover. Par exemple :
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->