Service d’authentification fédérée pour Citrix Cloud et environnements locaux

Généralités

Le secteur informatique a déjà commencé à aller au-delà de l’authentification unique héritée pour accroître la sécurité grâce à de meilleures méthodes d’identification permettant l’accès à distance aux ressources internes. Les organisations adoptent des approches modernes d’authentification, principalement basées sur SAML (Security Assertion Markup Language), pour permettre un accès sécurisé aux services internes.

L’authentification moderne est un cadre de gestion des identités qui offre une authentification et une autorisation plus sécurisées des utilisateurs. La gestion des identités des utilisateurs avec l’authentification moderne offre aux administrateurs de nombreux outils différents qui offrent des systèmes de gestion des identités plus sécurisés. Ces méthodes d’authentification incluent des services tels que ADFS, Azure Active Directory, Okta, Google, Ping-Federate et d’autres. Ces méthodes offrent une gamme plus large d’options multifacteurs (texte, appel, code PIN) que le mot de passe traditionnel et le jeton de sécurité.

En plus d’éliminer la faiblesse du mot de passe lors de l’utilisation de l’authentification à facteur unique héritée, l’authentification SAML permet aux administrateurs de gérer un ensemble d’informations d’identification unique par utilisateur pour toutes les applications auxquelles ils doivent accéder. Lorsqu’un utilisateur quitte l’organisation, les administrateurs informatiques doivent révoquer un seul jeu d’informations d’identification. Les informations d’identification peuvent être révoquées sans se connecter à chaque application distincte.

Qu’est-ce que SAML

SAML est une structure basée sur XML standard pour l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services.

Federated-Authentication-Service-Image-1

Pour reconnaître les fournisseurs SAML :

  • Un fournisseur de services (SP) est une entité fournissant le service, généralement sous la forme d’une demande
  • Un fournisseur d’identité (IdP) est une entité fournissant les identités utilisateur, y compris la possibilité d’authentifier et d’autoriser un utilisateur.

L’authentification est le processus de vérification de l’identité et des informations d’identification de l’utilisateur (mot de passe, authentification à deux facteurs et multifacteurs).

L’autorisation est le processus qui indique au fournisseur de services quel accès accorder à l’utilisateur authentifié.

ASSERTION SAML

Une assertion SAML est un document XML signé cryptographiquement émis par le fournisseur d’identité envoie au fournisseur de services qui contient l’autorisation de l’utilisateur. Il existe trois types différents d’assertions SAML :

  • Authentification - Les assertions d’authentification prouvent l’identification de l’utilisateur et fournissent l’heure à laquelle l’utilisateur s’est connecté et quelle méthode d’authentification il a utilisée (Kerberos, multi-facteurs, etc.).

  • Attribut - L’assertion d’attribution transmet les attributs utilisateur SAML (données spécifiques qui fournissent des informations sur l’utilisateur comme UPN).

  • Décision d’autorisation - Une affirmation de décision d’autorisation indique si l’utilisateur est autorisé à utiliser le service ou si le fournisseur d’identité a refusé sa demande en raison d’une défaillance du mot de passe ou d’un manque de droits sur le service.

SAML modifie complètement la méthode d’authentification par laquelle un utilisateur se connecte pour accéder à un service. Une fois qu’une application ou un service configuré pour s’authentifier via SAML, l’échange d’authentification entre le fournisseur de services et le fournisseur d’identité configuré se produit. Le processus d’authentification vérifie l’identité et les autorisations de l’utilisateur, puis accorde ou refuse l’accès de cet utilisateur aux services. Chaque fournisseur d’identité et fournisseur de services doivent convenir d’une configuration similaire et exacte pour que l’authentification SAML fonctionne correctement.

Il est essentiel de souligner que SAML ne prend pas en charge l’envoi du mot de passe de l’utilisateur entre le fournisseur d’identité et le fournisseur de services. SAML fonctionne en transmettant des informations sur les utilisateurs, les assertions de connexion et les attributs entre le fournisseur d’identité et les fournisseurs de services. Un utilisateur se connecte une fois avec le fournisseur d’identité. Le fournisseur d’identité transmet ensuite l’assertion SAML au fournisseur de services lorsque l’utilisateur tente d’accéder à ces services d’application internes.

Service d’authentification fédérée

Le cadre d’authentification moderne pose un défi technique à l’environnement Citrix. Citrix Workspace qui dispose de différents fournisseurs d’identité à choisir, et en même temps, les VDA Windows ne prennent pas en charge SAML nativement. Les VDA (Virtual Delivery Agents) acceptent le nom d’utilisateur/mot de passe, Kerberos et les certificats comme méthodes d’authentification pour l’ouverture de session.

Avec l’authentification SAML, Citrix Gateway et StoreFront n’ont pas accès au mot de passe de l’utilisateur. Il n’a que l’assertion SAML, ne peut donc pas effectuer l’authentification unique au VDA pendant le lancement de la session. Avec le jeton SAML, il casse l’authentification unique (SSO) au VDA et invite à nouveau les utilisateurs à entrer leurs informations d’identification.

Citrix a introduit le service d’authentification fédérée (FAS) pour obtenir l’authentification unique lors du lancement de la session lors de l’utilisation de l’authentification SAML en émettant des certificats d’utilisateur de carte à puce virtuelle pour ouvrir une session sur le VDA. Citrix FAS est intégré à Microsoft Active Directory et aux services de certificats pour émettre automatiquement des certificats de classe de carte à puce au nom des utilisateurs Active Directory. Citrix FAS utilise des API similaires qui permettent aux administrateurs de provisionner des cartes à puce physiques pour émettre les certificats d’utilisateur de classe de carte à puce virtuelle.

Federated-Authentication-Service-Image-2

Citrix FAS doit s’intégrer à Workspace/StoreFront et au VDA pour échanger efficacement l’assertion SAML contre un certificat utilisateur. Ce certificat émis a été inséré dans le cadre du processus de lancement de session, ce qui permet d’obtenir l’authentification unique au VDA et d’éviter les invites d’authentification supplémentaires présentées à l’utilisateur. Le déploiement Citrix FAS est pris en charge pour les charges de travail du VDA Windows et Linux.

Installation du FAS et considérations

Citrix Cloud Connector

Pour les déploiements Citrix Cloud, Cloud Connector permet la communication entre l’emplacement des ressources (où réside le serveur FAS) et Citrix Cloud. Il est recommandé d’avoir deux ou plusieurs Cloud Connector pour chaque emplacement de ressource. Assurez-vous que les connecteurs Cloud peuvent communiquer avec les contrôleurs de domaine Active Directory et les agents de livraison virtuels à l’emplacement de ressources respectif.

Serveur FAS

Citrix FAS est pris en charge pour l’installation sur toutes les dernières versions de Windows Server. Toutefois, le déploiement Citrix FAS est pris en charge pour les charges de travail du VDA Windows et Linux. Il est recommandé d’installer les services FAS sur un serveur dédié qui ne contient aucun autre composant Citrix. Installez deux serveurs FAS ou plus pour chaque centre de données ou emplacement de ressource. Reportez-vous au Installation et configuration de Citrix FAS document.

Pour plus d’évolutivité et de haute disponibilité, reportez-vous à l’article Évolutivité FAS Citrix et document HA de la base de connaissances Citrix CTX225721. Lorsque nous effectuons une migration de local vers Citrix Cloud, les serveurs FAS existants déployés dans l’environnement local peuvent être utilisés et configurés pour communiquer avec Citrix Cloud via Cloud Connector.

Les serveurs FAS doivent être installés dans le segment de réseau interne sécurisé car il a besoin d’accéder aux contrôleurs de domaine Active Directory, aux services de certificat et au certificat d’autorité d’enregistrement et à la clé privée. Reportez-vous à la Configuration avancée documentation pour examiner le certificat, le réseau et d’autres considérations de sécurité.

Services de certificats

S’il n’est pas déjà déployé, vous devez concevoir et déployer les services d’autorité de certification Microsoft en mode Entreprise conformément aux normes de sécurité de votre organisation. Pour éviter les problèmes d’interopérabilité avec d’autres logiciels, FAS fournit trois modèles de certificats FAS Citrix pour son propre usage. L’un des modèles de certificat concerne l’ouverture de session par carte à puce à Citrix VDA. Les deux autres modèles de certificat doivent autoriser FAS en tant qu’autorité d’enregistrement de certificat. Ces modèles doivent être déployés et enregistrés auprès d’Active Directory à l’aide d’un compte d’administrateur disposant des autorisations pour administrer votre forêt Enterprise.

Active Directory

Il est recommandé d’avoir le niveau fonctionnel Server 2012 pour Active Directory. Les contrôleurs de domaine doivent être installés avec les certificats et modèles d’authentification du contrôleur de domaine (CTX218941). Les certificats sur les contrôleurs de domaine doivent prendre en charge l’authentification par carte à puce.

Chaque déploiement Active Directory est différent d’un autre déploiement, de sorte que des étapes supplémentaires peuvent être nécessaires pour que la solution FAS fonctionne dans votre environnement. Reportez-vous à la section Blog Citrix pour l’authentification sélective multi-forêt pour choisir l’architecture appropriée pour le déploiement. Il est conseillé de tester soigneusement votre solution dans un environnement de laboratoire avant de l’implémenter dans un environnement de production.

Chargez les trois modèles de certificat FAS dans Active Directory et configurez un serveur d’autorité de certification pour délivrer des certificats à l’aide des nouveaux modèles. L’un des modèles de certificat concerne l’ouverture de session par carte à puce à Citrix VDA. Les deux autres modèles de certificat doivent autoriser le SAF en tant qu’autorité d’enregistrement de certificat.

Installez les modèles ADMX de stratégie de groupe Citrix FAS dans le dossier Définitions de stratégie sur le contrôleur de domaine. Créez un objet de stratégie de groupe (GPO) et configurez l’objet de stratégie de groupe avec les adresses DNS des serveurs FAS. Cet objet de stratégie de groupe doit s’appliquer aux serveurs FAS, aux serveurs StoreFront et à chaque VDA avec le domaine respectif. Assurez-vous que la configuration de stratégie de groupe FAS a été correctement appliquée au StoreFront et aux VDA avant de créer le catalogue de machines et les groupes de mise à disposition.

L’ordre des adresses DNS de vos serveurs FAS dans la liste des objets de stratégie de groupe doit être cohérent pour tous les VDA, les serveurs StoreFront (le cas échéant) et les serveurs FAS. La liste des objets de stratégie de groupe est utilisée par le VDA pour localiser le serveur FAS choisi pour le lancement d’une application virtuelle ou d’un bureau.

Prise en charge des certificats dans la session

Par défaut, les VDA n’autorisent pas l’accès aux certificats après l’ouverture de session. Si nécessaire, utilisez le modèle de stratégie de groupe pour configurer le système pour les certificats en session. L’option Certificats en session dans l’objet de stratégie de groupe contrôle si un certificat peut être utilisé après la connexion au VDA. Sélectionnez cette option uniquement si les utilisateurs doivent avoir accès au certificat après l’authentification.

Si vous choisissez l’option en cours de session, elle place le certificat dans le magasin de certificats personnels de l’utilisateur après l’ouverture de session pour l’utilisation de l’application. Par exemple, l’authentification TLS aux serveurs Web dans la session VDA, le certificat est utilisé par le navigateur. Si cette option n’est pas sélectionnée, le certificat n’est utilisé que pour l’ouverture de session ou la reconnexion, et les utilisateurs n’ont pas accès au certificat après l’authentification.

Citrix Delivery Controller

Les Citrix Delivery Controller doivent être au minimum de la version 7.15, et les VDA doivent être au minimum de la version 7.15. Il est essentiel d’activer la confiance entre le Delivery Controller et les serveurs StoreFront en exécutant l’applet de commande Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell sur les Delivery Controller.

Citrix StoreFront

Citrix recommande vivement d’installer la dernière version du serveur StoreFront pour les déploiements locaux. Le serveur StoreFront doit être au minimum de la version 3.12. Assurez-vous que les serveurs StoreFront demandant des tickets et les VDA (Virtual Delivery Agents) d’utilisation des tickets ont la configuration identique des adresses DNS FAS.

Architecture conceptuelle de Citrix FAS

Le service d’authentification fédérée (FAS) est un composant Citrix qui s’intègre à Microsoft Active Directory et à l’autorité de certification (CA), permettant aux utilisateurs de s’authentifier en toute transparence dans un environnement Citrix. Il apporte des méthodes de connexion alternatives plus confortables ; par conséquent, les utilisateurs n’ont plus besoin de fournir des informations d’identification lors du lancement de la session VDA, ce qui permet d’obtenir l’authentification unique.

Pour l’environnement local, à partir de StoreFront 3.6, il est possible d’utiliser l’authentification SAML avec plusieurs fournisseurs d’identité externes, et qui s’intègre avec Citrix FAS permettant aux utilisateurs de s’authentifier à partir de Citrix Gateway ou directement via StoreFront.

Citrix a réalisé la version publique GA de Federated Authentication Service avec Citrix Cloud en juin 2020. Citrix FAS est désormais entièrement pris en charge avec Citrix Workspace pour obtenir l’authentification unique aux VDA lors de l’utilisation d’un fournisseur d’identité fédérée tel que Azure AD et Okta Identity Providers.

Citrix FAS pour déploiement local

L’architecture conceptuelle pour le déploiement Citrix FAS avec l’environnement local est la suivante. Examinons le cadre de conception de chaque couche de ce déploiement pour comprendre comment il fournit une solution complète pour votre organisation.

Federated-Authentication-Service-Image-3

Couche utilisateur : les utilisateurs accèdent à l’environnement Citrix via Citrix Gateway à l’aide de l’application ou du navigateur Citrix Workspace. L’application Citrix Workspace est disponible pour Windows, Mac, Android et iOS. Les utilisateurs externes peuvent également utiliser la version HTML5 de l’application Workspace via des navigateurs Web, où ils ne peuvent pas installer l’application Workspace sur les appareils.

Couche d’accès : cette couche explique le déploiement de Citrix Gateway et StoreFront. Citrix Gateway est déployé dans le réseau DMZ pour permettre l’accès aux utilisateurs distants, et les serveurs StoreFront sont déployés au sein du réseau d’entreprise pour les utilisateurs internes. L’administrateur Citrix a configuré les stratégies d’authentification SAML sur Citrix Gateway.

Pour activer l’intégration du Service d’authentification fédérée sur un magasin StoreFront, exécutez les applets de commande PowerShell en tant que compte Administrateur sur un nouveau magasin créé. Cette étape est requise si les utilisateurs accèdent via StoreFront et qu’aucune passerelle n’est impliquée. Reportez-vous à documentation Citrix la section pour plus d’informations sur les applets de commande PowerShell. La configuration du paramètre du fournisseur d’ouverture de session VDA indique à StoreFront de demander un certificat au FAS et au VDA pour le récupérer pendant le lancement de la session pour l’authentification au VDA. Une fois configurée, cette configuration s’applique à tous les lancements de session sur ce magasin.

Lors de l’utilisation de Citrix Gateway, configurez StoreFront avec les détails de Citrix Gateway et de l’URL de rappel, car la preuve d’ouverture de session est transmise via le rappel. La configuration du type d’ouverture de session en tant que « carte à puce » aide les clients natifs à effectuer l’authentification SAML. Le paramètre « Déléguer entièrement la validation des informations d’identification à la passerelle » permet aux serveurs StoreFront de déléguer l’authentification utilisateur à la passerelle, ce qui permet l’authentification SAML pass-through à partir de Citrix Gateway. L’administrateur informatique a créé l’objet de stratégie de groupe FAS contenant la liste des serveurs FAS approuvés et appliqué à l’unité d’organisation où les serveurs FAS, les VDA et les serveurs StoreFront résident dans le domaine AD.

Lors de l’utilisation de l’authentification SAML, l’authentification réelle a lieu au niveau du fournisseur d’identité. SAML Identity Provider peut être n’importe quoi comme ADFS, Azure AD, Okta, Google ou Ping Identity. Considérons les services de fédération Active Directory (ADFS) comme un fournisseur d’identité pour cette architecture conceptuelle.

ADFS fournit des fonctionnalités simplifiées et sécurisées de fédération d’identité et d’authentification unique (SSO) pour les utilisateurs finaux qui souhaitent accéder aux applications au sein des organisations partenaires d’entreprise et de fédération sécurisées. L’ADFS est étroitement intégré au domaine Active Directory et aux services de certificats de l’organisation.

A partir de maintenant, il est indiqué que le fournisseur de services SAML est Citrix Gateway ou StoreFront. Le fournisseur d’identité SAML est le Microsoft ADFS qui existe sur le domaine et configuré pour y accéder à partir de réseaux internes et externes pour l’authentification.

Discutons de l’énumération des ressources et des processus de lancement de session ainsi que le flux de travail d’authentification FAS à la fin de toutes les couches.

Couche de contrôle : Delivery Controller, SQL Database, Studio et Licensing sont les composants principaux déployés et gérés dans la couche de contrôle. L’administrateur a configuré les connexions d’hébergement pour communiquer avec les hyperviseurs afin de provisionner et de gérer les machines virtuelles. Les groupes de catalogue de machines et de mise à disposition sont créés et activés pour accéder aux groupes d’utilisateurs requis à l’aide de Citrix Studio. Citrix Director aide les administrateurs à surveiller l’environnement Citrix complet.

Pour le déploiement Citrix FAS, sur le Delivery Controller, définissez TrustRequestSSentTothExmlServicePort sur « true » qui approuvent les demandes XML envoyées par les serveurs StoreFront. Il permet la prise en charge de l’authentification « pass-through » et des connexions routées via Citrix Gateway. StoreFront Server communique avec Delivery Controller à l’aide de XML et énumère les ressources de l’utilisateur authentifié. L’utilisateur est saisi de la page StoreFront répertoriant les applications et les postes de travail auxquels il a droit.

Couche de ressources : La couche Ressource est l’endroit où résident toutes les charges de travail utilisateur (VDA) dans l’environnement Citrix. Avec l’aide de Citrix Studio et en utilisant les modèles d’image principale, l’administrateur a déployé des serveurs d’applications virtuelles à l’aide du système d’exploitation Windows Server. À l’aide de Citrix Provisioning (PVS), l’administrateur a créé des VDA Serveurs pour les tâches. Grâce à Machine Create Services (MCS), l’administrateur a déployé des postes de travail virtuels à l’aide de Windows 10 pour les travailleurs Power et des postes de travail Linux virtuels utilisant la distribution Red Hat Enterprise pour les utilisateurs Linux sur les hyperviseurs.

Virtual Delivery Agents installés avec ces machines virtuelles sont enregistrés auprès des Delivery Controller ; l’administrateur a créé des catalogues de machines et des groupes de mise à disposition avec les bureaux et applications pour permettre l’accès aux utilisateurs utilisant un groupe de sécurité AD. Les stratégies Citrix HDX sont créées et attribuées à l’aide de Citrix Studio pour les groupes de mise à disposition afin d’optimiser et de sécuriser les connexions HDX.

Pour le déploiement Citrix FAS, l’administrateur réseau a configuré règles de pare-feu pour les VDA de communiquer avec les serveurs FAS Citrix afin d’obtenir les certificats utilisateur lors du lancement de la session. L’administrateur Citrix a validé la stratégie de groupe contenant les serveurs FAS approuvés sont liés et activés avec les UO Active Directory où les VDA et les serveurs StoreFront résident dans AD.

Couche de plate-forme : Cette couche décrit la plate-forme matérielle requise pour héberger les composants de la couche de contrôle et les charges de travail utilisateur pour le déploiement local. L’administrateur Citrix a installé le logiciel d’hyperviseur sur le matériel du serveur et déployé les machines virtuelles requises pour l’infrastructure de contrôle et les charges de travail utilisateur. L’administrateur réseau a activé des règles de pare-feu pour que tous les composants Citrix communiquent entre eux dans l’environnement. L’administrateur du stockage a aidé à configurer et à attribuer un stockage adéquat à l’environnement Citrix.

Couche Opérations : Pour ce déploiement conceptuel, nous nous concentrons sur le déploiement du serveur FAS sous la couche Operations.

Pour le déploiement de Citrix FAS Server, l’administrateur Citrix a déployé deux nouvelles machines virtuelles Windows sur l’hyperviseur et installé les composants FAS. La console d’administration FAS est installée dans le cadre de l’installation du FAS. La première fois que la console d’administration est utilisée, elle vous guide au travers d’un processus qui déploie les modèles de certificat, configure l’autorité de certification et autorise FAS à utiliser l’autorité de certification.

En passant à côté de l’autorité de certification, FAS utilise des appels DCOM spécifiques aux autorités de certification Windows. Les autorités de certification tierces ou publiques ne peuvent pas être utilisées. Plusieurs détails de l’autorité de certification peuvent être spécifiés dans la console FAS pour une haute disponibilité. Une autorité de certification centrale peut prendre en charge plusieurs domaines via l’inscription inter-forêts. De même, StoreFront, FAS et les VDA s’authentifient mutuellement via Kerberos et, par conséquent, doivent être dans le même domaine ou domaines qui ont une approbation bidirectionnelle entre eux.

En outre, il est nécessaire de configurer la règle utilisateur, qui autorise l’émission de certificats pour l’ouverture de session VDA et l’utilisation en session, comme indiqué par StoreFront. Chaque règle spécifie les serveurs StoreFront qui sont approuvés pour demander des certificats, les utilisateurs pour lesquels ils peuvent être demandés, et les VDA autorisés à les utiliser. Reportez-vous à documentation Citrix, qui expliquent le processus plus en détail.

FAS dispose d’un certificat d’autorité d’inscription qui lui permet d’émettre des certificats de manière autonome de la part de vos utilisateurs de domaine. Par conséquent, il est essentiel d’élaborer et de mettre en œuvre une politique de sécurité pour protéger les serveurs FAS et pour restreindre leurs autorisations.

Pendant le lancement de la session, la génération de certificats utilisateur est la partie la plus coûteuse du processus. Le FAS doit générer dynamiquement un nouveau certificat pour un utilisateur. Il peut étendre légèrement le processus d’ouverture de session et ajouter à la charge CPU sur le serveur FAS. Toutefois, les serveurs FAS peuvent mettre en cache des certificats qui permettent à un utilisateur de se connecter presque aussi rapidement que l’authentification par mot de passe explicite. Le temps de connexion des utilisateurs s’améliore considérablement lorsque les certificats d’utilisateur sont prégénérés dans le serveur FAS. Reportez-vous à documentation de Citrix la section pour connaître les étapes détaillées à suivre.

Processus de lancement de session avec Citrix FAS

Examinons le flux d’authentification lors de l’utilisation de FAS avec Citrix Gateway et StoreFront aux VDA :

Federated-Authentication-Service-Image-4

Lorsqu’un utilisateur ouvre une session sur Citrix Gateway (Fournisseur de services), il répond en générant une demande de connexion SAML et redirige vers la page de connexion ADFS (Identity Provider). Les utilisateurs saisissez les informations d’identification sur la page ADFS Single Sign-On. ADFS authentifie l’utilisateur avec Active Directory et analyse la requête SAML en tant que réponse SAML. Réponse SAML codée avec le jeton signé remis au fournisseur de services (Citrix Gateway).

Citrix Gateway valide la réponse SAML à l’aide du certificat IdP. Il extrait l’assertion SAML pour rechercher l’identité de l’utilisateur (nom principal de l’utilisateur) et l’autorisation de lui accorder l’accès. Ensuite, il passe au StoreFront pour la validation et l’énumération des ressources. Les serveurs StoreFront valident à nouveau et vérifient l’assertion avec une passerelle approuvée, qui utilise la configuration de l’URL de rappel. La fonctionnalité de preuve d’ouverture de session FAS fournit des preuves d’ouverture de session transmises à FAS par Citrix Gateway et StoreFront. FAS peut valider les preuves pour s’assurer que le jeton a été émis par un fournisseur d’identité (IdP) approuvé. Pour plus d’informations sur les preuves d’ouverture de session, reportez-vous à la section documentation de Citrix.

Désormais, le service Fournisseur de données d’ouverture de session de StoreFront contacte le service d’authentification fédérée et demande de générer un certificat pour l’utilisateur authentifié. Le FAS se connecte à Active Directory pour vérifier l’utilisateur, puis parle aux services de certificats Active Directory (ADCS) et envoie une demande de certificat pour l’utilisateur.

L’autorité de certification émet un certificat valide pour l’utilisateur authentifié. Le FAS contient le certificat utilisateur et ses attributs. Ce certificat n’est pas partagé avec StoreFront. Toutefois, StoreFront est informé que l’utilisateur est valide et FAS a inscrit un certificat pour cet utilisateur d’authentification.

Désormais, StoreFront Server communique avec le Delivery Controller en utilisant XML et énumère les ressources de l’utilisateur authentifié. L’utilisateur est saisi de la page StoreFront répertoriant toutes les applications et bureaux auxquels il a droit.

Lorsqu’un utilisateur lance une application virtuelle ou un bureau dans son application d’espace de travail, la demande est envoyée à StoreFront pour obtenir le fichier ICA. StoreFront contacte le Delivery Controller et lui demande les détails du VDA pour cette session. Le Delivery Controller valide la demande et sélectionne le VDA, qui peut prendre cette session utilisateur et partager les détails VDA et STA (Secure Ticket Authority) avec StoreFront pour générer le fichier ICA. De plus, le serveur StoreFront sélectionne un serveur FAS dans la liste des objets de stratégie de groupe et contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur, qui est maintenant stocké sur le serveur FAS. StoreFront ajoute ce jeton FAS dans le fichier ICA et renvoyé à l’application d’espace de travail.

Federated-Authentication-Service-Image-5

L’application Workspace établit la session de lancement avec Citrix Gateway en fournissant le ticket STA pour valider et accorder la communication avec VDA. Le ticket STA est validé avec Delivery Controller, puis il passe à VDA pour le lancement de la session. Le ticket FAS est présenté avec VDA pendant ce temps pour valider avec les serveurs FAS. Le plugin d’identification VDA contacte le serveur FAS sélectionné dans la liste des objets de stratégie de groupe. Le serveur FAS valide le jeton et émet le certificat utilisateur valide. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée et présentée à l’utilisateur.

Déploiement Citrix FAS pour Citrix Cloud

L’architecture conceptuelle du déploiement FAS avec l’environnement Citrix Cloud est illustrée ci-dessous. Examinons le cadre de conception de chaque couche et le flux de travail FAS de ce déploiement pour comprendre comment il fournit une solution complète pour une organisation.

Federated-Authentication-Service-Image-6

Couche utilisateur : les utilisateurs, également appelés abonnés dans Citrix Cloud, peuvent accéder à l’environnement Citrix à l’aide de l’URL Cloud Workspace. Les utilisateurs disposent de l’URL Workspace à partir de Citrix Cloud pour se connecter à partir du navigateur ou de l’application d’espace de travail installée sur leurs terminaux.

Couche d’accès : Citrix Workspace ou Gateway Service est l’interface frontale ou le point d’entrée permettant aux utilisateurs d’accéder à l’environnement Citrix. L’administrateur peut modifier l’URL de l’espace de travail et les options d’authentification à l’aide du portail cloud. L’installation de Cloud Connector permet d’étendre le domaine Active Directory du client à Citrix Cloud. La configuration de l’authentification dans l’espace de travail permet à l’administrateur de sélectionner la source d’authentification permettant aux utilisateurs de se connecter et d’accéder aux ressources Citrix.

Considérons Microsoft Azure Active Directory (AAD) comme une source d’authentification pour que cette architecture conceptuelle se déplace. Citrix Cloud inclut une application Azure AD qui permet aux clients de connecter leur abonnement Citrix Cloud à Azure AD. Pour plus d’informations sur la connexion d’Azure Active Directory avec Citrix Cloud, reportez-vous au documentation de Citrix. Lors de l’activation de l’authentification Azure AD, l’accès aux utilisateurs et aux groupes doit être géré à l’aide des bibliothèques dans Citrix Cloud.

La page de configuration de l’authentification de l’espace de travail est activée avec la nouvelle option « Configurer l’authentification avec le service d’authentification fédérée ». Le FAS est désactivé par défaut. L’administrateur active l’authentification FAS à l’aide du bouton « Activer FAS ».

Federated-Authentication-Service-Image-7

Lorsque les utilisateurs commencent à accéder à l’environnement à l’aide de l’URL de l’espace de travail, les utilisateurs sont redirigés vers les fournisseurs d’identité correspondants en fonction de la configuration. Dans ce cas, l’utilisateur est redirigé vers la page de connexion fournie par Azure. L’utilisateur entre des informations d’identification Azure AD valides, puis le navigateur est redirigé vers Citrix Workspace et présenté avec la page des ressources où il affiche les applications et bureaux, qui sont attribués à l’utilisateur.

Les processus de lancement de session, ainsi que le flux de travail d’authentification FAS, sont discutés à la fin de toutes les couches.

Couche de contrôle : pour l’environnement Citrix Cloud, les Delivery Controller, la base de données SQL, Studio, Director et les licences sont les composants principaux de la couche de contrôle déployés par Citrix sur le Cloud lors de l’activation du service Virtual Apps and Desktops. L’administrateur a configuré les emplacements de ressources et les connexions d’hébergement pour communiquer avec les hyperviseurs locaux. Les catalogues de machines sont créés à l’aide du portail Cloud Studio et Citrix Director aide à surveiller l’environnement.

Lorsque l’administrateur active l’authentification FAS sur Citrix Workspace, il permet aux services FAS µ-supplémentaires sur Citrix Cloud de communiquer avec les serveurs FAS locaux. Serveurs FAS déployés à l’emplacement des ressources connectant le service Cloud FAS µ-via la connexion SSL sortante.

Couche de ressources : Cette couche fait référence à un emplacement de ressource où toutes les charges de travail utilisateur résident dans ce déploiement. Comme point de départ de l’intégration des charges de travail utilisateur locales avec Citrix Cloud, l’administrateur a installé Citrix Cloud Connector, qui permet la communication entre les composants locaux et les services Citrix Cloud.

Les VDA installés dans les emplacements de ressources sont enregistrés auprès de Cloud Delivery Controller. L’administrateur crée des catalogues de machines et des groupes de mise à disposition. Les stratégies Citrix HDX sont créées et attribuées à l’aide de Citrix Studio pour les groupes de mise à disposition afin d’optimiser et de sécuriser les connexions HDX.

Couche de plate-forme : Cette couche décrit la plate-forme matérielle requise pour héberger les charges de travail de l’utilisateur et d’autres composants requis pour l’emplacement des ressources. L’administrateur Citrix a installé le logiciel de l’hyperviseur sur le matériel du serveur et déployé les machines virtuelles requises pour les charges de travail utilisateur et d’autres composants tels que les serveurs FAS. L’administrateur réseau a activé des règles de pare-feu pour que tous les composants Citrix communiquent entre eux dans l’environnement. L’administrateur du stockage a aidé à configurer et à attribuer un stockage adéquat à l’environnement Citrix.

Couche Opérations : Les outils et composants tels que les serveurs de fichiers, les serveurs Citrix WEM, les serveurs de licences RDS, les serveurs de Citrix App Layering et les serveurs FAS requis pour gérer les charges de travail des utilisateurs sont couverts dans la couche Opérations.

L’administrateur a déployé un cluster de serveurs de fichiers et un service Workspace Environment Manager pour configurer les profils utilisateur pour les VDA. L’administrateur informatique a créé des partages de fichiers dédiés et des partages NFS pour les profils utilisateur et la redirection de dossiers. L’administrateur Citrix a également appliqué des stratégies de gestion des ressources pour optimiser l’utilisation du processeur et de la mémoire sur les agents VDA. L’administrateur informatique a configuré le serveur de licences d’accès client Services Bureau à distance (RDS) pour délivrer les licences RDS pour les charges de travail Virtual Apps.

Pour synchroniser les utilisateurs et groupes Active Directory avec Azure AD, l’administrateur a installé le nombre requis de serveurs Azure AD Connect et configuré avec leur abonnement Azure. Pour le déploiement Citrix FAS, l’administrateur Citrix a déployé deux nouvelles machines virtuelles Windows et a suivi le processus d’installation pour installer et configurer les services FAS Citrix.

À l’aide de la console d’administration FAS avec les autorisations élevées, l’administrateur a configuré les serveurs FAS via un processus qui déploie des modèles de certificat, configure l’autorité de certification et autorise FAS à utiliser l’autorité de certification. Pour obtenir des étapes détaillées, reportez-vous à la section documentation de Citrix.

Federated-Authentication-Service-Image-8

En outre, il est nécessaire de configurer la règle utilisateur, qui autorise l’émission de certificats pour l’ouverture de session VDA. Chaque règle spécifie les serveurs StoreFront qui sont approuvés pour demander des certificats, les utilisateurs pour lesquels ils peuvent être demandés, et les VDA autorisés à les utiliser. Toutefois, lorsqu’une règle est utilisée avec Citrix Cloud, les autorisations d’accès StoreFront sont ignorées. Lorsque nous utilisons les serveurs FAS existants, le programme d’installation FAS détecte la configuration existante et marque en vert à côté de ces options.

La même règle peut être utilisée avec Citrix Cloud et le déploiement StoreFront local. Les autorisations d’accès StoreFront sont toujours appliquées lorsqu’un StoreFront local utilise la règle. Reportez-vous à documentation Citrix, qui expliquent le processus plus en détail.

Installez les modèles ADMX de stratégie de groupe Citrix FAS dans le dossier Définitions de stratégie sur le contrôleur de domaine. Créez et configurez l’objet de stratégie de groupe avec les adresses DNS des serveurs FAS. Cet objet de stratégie de groupe doit s’appliquer aux serveurs FAS, aux serveurs StoreFront et à chaque VDA avec le domaine respectif. Assurez-vous que la configuration de stratégie de groupe FAS a été correctement appliquée au StoreFront et aux VDA avant de créer le catalogue de machines et les groupes de mise à disposition.

Comme dernière étape de la configuration des serveurs FAS sur Citrix Cloud et de la connexion des serveurs FAS locaux à Citrix Cloud, l’administrateur a choisi l’option « Se connecter à Citrix Cloud. «  Une fois connectés avec Citrix Cloud, les administrateurs sélectionnent le compte client et l’emplacement des ressources. Maintenant, Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources.

Federated-Authentication-Service-Image-9

Processus de lancement de session lors de l’utilisation de Citrix FAS avec Citrix Cloud

Lorsqu’un utilisateur commence à accéder à l’environnement à l’aide de l’URL Workspace, il est redirigé vers la page de connexion Azure. L’utilisateur entre des informations d’identification Azure valides sur la page Azure Single Sign-On. Azure authentifie l’utilisateur et redirige l’utilisateur vers la page Citrix Workspace. Citrix Workspace a énuméré les ressources et les a présentées à la page Ressources à l’utilisateur.

Lorsqu’un utilisateur lance une application virtuelle ou un bureau dans son espace de travail, la demande est envoyée pour obtenir le fichier ICA. Les contrôleurs sélectionnent le VDA disponible à partir de l’emplacement de ressource. Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources que le VDA pour obtenir un ticket qui accorde l’accès au VDA à l’aide d’un certificat utilisateur fourni par l’autorité de certification, qui est maintenant stocké sur le serveur FAS. Citrix Workspace ajoute ce jeton FAS dans le fichier ICA et renvoyé au système utilisateur.

Federated-Authentication-Service-Image-10

L’application Workspace établit la connexion à l’aide du fichier ICA au VDA, et pour authentifier l’abonné, le VDA se connecte au FAS et présente le ticket. Le plugin d’identification VDA contacte le serveur FAS et valide le jeton. Maintenant, le serveur FAS fournit un certificat d’utilisateur valide au VDA. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée pour l’utilisateur.

Cas d’utilisation #1

Fournisseur de services Citrix (CSP) qui conçoit un environnement hybride Citrix Virtual Apps and Desktops qui permettrait à plusieurs clients d’y accéder. Compte tenu de la croissance future, CSP doit également envisager l’intégration d’un plus grand nombre de nouveaux clients. La spécification de conception suggère de fournir un fournisseur d’identité différent pour chaque client et évite de créer des approbations de domaine.

Citrix Service Provider propose fréquemment des clients à leur environnement Citrix Virtual Apps and Desktops, et la solution exigeait que Citrix Gateway fournisse sélectivement un fournisseur d’identité SAML différent basé sur le suffixe UPN. Par exemple, le client A est configuré pour utiliser Azure AD, et le client B est configuré pour utiliser les services de fédération Active Directory (ADFS), etc. Configuration de différents fournisseurs d’identité pour chaque client, environnement nécessaire pour fournir une authentification unique aux VDA Citrix à l’aide de Citrix FAS.

Federated-Authentication-Service-Image-11

Reportez-vous à la Blog Citrix, qui contient des étapes détaillées pour configurer l’environnement. Discutons du flux de travail et du processus de lancement de session pour chaque client. La configuration significative se produit au niveau de Citrix Gateway avec l’utilisation des stratégies de session Citrix ADC AAA, nFactor et Citrix Gateway pour répondre à plusieurs demandes d’utilisateurs clients.

  1. Lorsqu’un utilisateur se connecte à Citrix Gateway (Fournisseur de services), l’utilisateur est identifié en fonction du suffixe UPN et redirige vers la page de connexion du fournisseur d’identité respective. Les utilisateurs entrent les informations d’identification, et maintenant le fournisseur d’identité authentifie l’utilisateur et répond avec le jeton SAML en tant que réponse. Réponse SAML codée avec le jeton signé remis au fournisseur de services Citrix Gateway, où les certificats d’autorité de certification racine des fournisseurs d’identité ont été installés pour valider les jetons.

  2. Citrix Gateway valide la réponse SAML à l’aide du certificat IdP. Il extrait l’assertion SAML pour rechercher l’identité de l’utilisateur (nom principal de l’utilisateur) et l’autorisation de lui accorder l’accès. Ensuite, il passe au StoreFront pour la validation et l’énumération des ressources.

  3. Désormais, le service Fournisseur de données d’ouverture de session de StoreFront contacte le service d’authentification fédérée et demande de générer un certificat pour l’utilisateur authentifié. Le FAS se connecte à Active Directory pour vérifier l’utilisateur et ses comptes clichés. Ensuite, il parle aux services de certificats Active Directory (AD CS) et envoie une demande de certificat pour l’utilisateur. L’autorité de certification émet un certificat valide pour l’utilisateur authentifié.

  4. Lorsqu’un utilisateur lance une application virtuelle ou un bureau dans son application d’espace de travail, la demande est envoyée à StoreFront pour obtenir le fichier ICA. StoreFront valide la demande et contacte le Delivery Controller pour lui demander des détails sur le VDA pour cette session. Le contrôleur de livraison valide la demande et partage les détails VDA et STA (Secure Ticket Authority) avec StoreFront pour générer le fichier ICA. De plus, le serveur StoreFront sélectionne un serveur FAS dans la liste des objets de stratégie de groupe et contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur, qui est maintenant stocké sur le serveur FAS. StoreFront ajoute ce jeton FAS dans le fichier ICA et renvoyé à l’application d’espace de travail.

  5. L’application d’espace de travail initie une connexion pour démarrer la session avec Citrix Gateway en fournissant le ticket STA pour valider et accorder la communication. Lors de la validation, la connexion est passée au VDA pour le lancement de la session. Le ticket FAS est présenté avec VDA au moment de l’authentification pour valider par rapport aux serveurs FAS. Le plugin d’identification VDA contacte le serveur FAS sélectionné dans la liste des objets de stratégie de groupe. Le serveur FAS valide le jeton et émet le certificat utilisateur valide. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée.

Cas d’utilisation #2

Company-A a récemment acquis Company-B. Par conséquent, la société A souhaitait accorder l’accès aux employés de l’entreprise B sur leur environnement Citrix Virtual Apps and Desktops existant. Pour simplifier l’authentification entre les deux domaines d’entreprise, les administrateurs ont établi une connexion fédérée entre les domaines en implémentant la solution Fournisseurs d’identité SAML externes comme Azure Active Directory. L’authentification SAML permet aux utilisateurs de se connecter de manière transparente à l’environnement AD de l’autre société pour accéder aux ressources. Dans les deux sociétés, les utilisateurs peuvent utiliser leurs informations d’identification spécifiques à l’entreprise, dans lesquelles un compte parallèle est utilisé et mappé dans la société A pour accéder aux ressources.

Federated-Authentication-Service-Image-12

Pour se connecter au VDA Citrix, chaque utilisateur doit disposer d’un compte Active Directory dans un domaine approuvé par le VDA. Pour les utilisateurs fédérés, nous devons créer des comptes clichés pour (entreprise-B) chaque utilisateur fédéré dans le domaine Compagnon A. Ces comptes clichés nécessitent un UPN correspondant à l’attribut SAML (généralement l’adresse e-mail) fourni par l’IdP SAML. Si l’adresse e-mail fournie par l’IdP SAML ne correspond pas au suffixe UPN du domaine de la société, nous devons ajouter le suffixe UPN correspondant au suffixe de messagerie fourni par l’IdP SAML sur le composant logiciel enfichable Domaines et approbations Active Directory.

  1. L’utilisateur Company-B accède à l’URL de la passerelle et l’utilisateur est redirigé vers le fournisseur d’identité SAML. Dans ce cas, il s’agit d’un Azure Active Directory. Les domaines Entreprise A et Entreprise B ont été synchronisés avec un seul locataire Azure AD.

  2. L’utilisateur entre les informations d’identification de l’entreprise B pour s’authentifier auprès de l’AAD et redirigé vers la passerelle avec le jeton SAML.

  3. Gateway analyse le jeton SAML, puis utilise ce jeton SAML pour vérifier l’identité de l’utilisateur à l’aide du compte instantané. Ensuite, il passe à StoreFront pour l’énumération des ressources.

  4. Désormais, le service Fournisseur de données d’ouverture de session de StoreFront contacte le service d’authentification fédérée et demande de générer un certificat pour l’utilisateur de compte instantané authentifié. Le FAS se connecte à Active Directory pour vérifier l’utilisateur (compte parallèle). Ensuite, il parle aux services de certificats Active Directory (AD CS) et envoie une demande de certificat pour l’utilisateur. L’autorité de certification émet un certificat valide pour l’utilisateur authentifié.

  5. StoreFront a créé la page des ressources, renvoyée à l’utilisateur.

  6. Lorsqu’un utilisateur lance une application virtuelle ou un bureau dans son application d’espace de travail, la demande est envoyée à StoreFront pour obtenir le fichier ICA. StoreFront valide la demande et contacte le Delivery Controller pour lui demander des détails sur le VDA pour cette session. Le contrôleur de livraison valide la demande et partage les détails VDA et STA (Secure Ticket Authority) avec StoreFront pour générer le fichier ICA. De plus, le serveur StoreFront sélectionne un serveur FAS dans la liste des objets de stratégie de groupe et contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur, qui est maintenant stocké sur le serveur FAS. StoreFront ajoute ce jeton FAS dans le fichier ICA et renvoyé à l’application d’espace de travail.

  7. L’application d’espace de travail initie une connexion pour démarrer la session avec Citrix Gateway en fournissant le ticket STA pour valider et accorder la communication. Lors de la validation, la connexion est passée au VDA pour le lancement de la session. Le ticket FAS est présenté avec VDA au moment de l’authentification pour valider par rapport aux serveurs FAS. Le plugin d’identification VDA contacte le serveur FAS sélectionné dans la liste des objets de stratégie de groupe. Le serveur FAS valide le jeton et émet le certificat utilisateur valide. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée.

Cas d’utilisation #3

Un client Citrix d’entreprise existant souhaite migrer son environnement Citrix existant dans le cadre d’un plan de mise à niveau et d’actualisation technique. Le plan de migration exige que l’infrastructure de contrôle d’un environnement Citrix soit déplacée vers Citrix Cloud. Pour déployer les charges de travail des utilisateurs, ils ont prévu d’utiliser le matériel existant disponible dans le centre de données régional et Azure Cloud, ce qui leur permet d’améliorer la gestion des utilisateurs et l’allocation des ressources. En outre, le client a choisi d’utiliser Citrix Gateway existant déployé dans chaque centre de données régional pour une connexion HDX optimale. Enfin, pour l’authentification, le client a choisi d’utiliser Azure Active Directory comme il prévoyait de migrer les contrôleurs de domaine vers les Azure Active Directory Domain Services.

Selon le plan de migration, l’administrateur de domaine a installé et configuré AD Connect pour synchroniser les utilisateurs et les groupes avec Azure Active Directory, puis vers Azure AD Domain Services. Le client a acheté un abonnement Citrix Cloud. Par conséquent, les composants de l’infrastructure de contrôle sont déployés et gérés par Citrix. Citrix Admin a configuré Azure AD comme méthode d’authentification pour les utilisateurs et créé des emplacements de ressources en installant Cloud Connector sur chaque centre de données de région.

Pour utiliser les passerelles Citrix existantes installées dans chaque région, l’administrateur a configuré l’option « Gateway » sur Citrix Cloud, pointant vers une passerelle locale, ce qui aide à lancer la connexion HDX de l’utilisateur via la passerelle locale. Les administrateurs ont déployé les charges de travail utilisateur requises sur le matériel existant dans le centre de données respectif, et les VDA sont désormais enregistrés auprès des contrôleurs Citrix Cloud. L’administrateur de domaine a créé des groupes de sécurité AD au niveau régional pour le provisionnement des utilisateurs vers les ressources Citrix. L’administrateur Citrix a activé l’accès aux ressources de la page bibliothèque du portail Citrix Cloud à l’aide de groupes de sécurité AD spécifiques à une région, ce qui permet aux utilisateurs d’accéder à leurs bureaux et applications publiés à partir de leur même région.

Pour obtenir une authentification unique au VDA lors de l’utilisation d’Azure AD pour l’authentification avec Citrix Workspace, le client a décidé d’utiliser la solution FAS Citrix. L’administrateur Citrix a installé le nombre requis de serveurs FAS et les a configurés pour communiquer avec les services FAS Citrix Cloud sur chaque emplacement de ressources de Citrix Cloud. La stratégie de groupe contenant la liste des serveurs FAS à la région respective est liée au niveau de l’unité d’organisation ; par conséquent, le VDA récupère la liste des serveurs FAS à partir du même centre de données.

Federated-Authentication-Service-Image-13

Maintenant, laissez-nous passer en revue le flux de travail de lancement de session pour les utilisateurs :

  1. Lorsqu’un utilisateur commence à accéder à l’environnement à l’aide de l’URL Workspace, il est redirigé vers la page de connexion Azure. L’utilisateur entre des informations d’identification Azure valides sur la page Azure Single Sign-On. Azure authentifie l’utilisateur et redirige l’utilisateur vers Citrix Workspace.

  2. Citrix Workspace se connecte aux contrôleurs de nuage et énumère les ressources affectées à l’utilisateur et les a présentées à l’utilisateur.

  3. L’utilisateur lance une application virtuelle ou un bureau dans son espace de travail et la demande est envoyée pour obtenir le fichier ICA. Les contrôleurs cloud sélectionnent le VDA disponible à partir de l’emplacement de ressources où les ressources sont mappées pour cet utilisateur. Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources pour obtenir un ticket qui accorde l’accès au VDA. Le serveur FAS demande un certificat utilisateur à l’autorité de certification, qui est maintenant stocké sur le serveur FAS. Citrix Workspace ajoute ce jeton FAS et Cloud Connector en tant que STA dans le fichier ICA et renvoyé au système utilisateur.

  4. L’application Workspace analyse le fichier ICA et établit la connexion à la passerelle locale pour la connexion HDX au VDA.

  5. Citrix Gateway valide la connexion à l’aide du ticket STA avec Cloud Connector et transmet la connexion au VDA.

  6. Pour authentifier l’utilisateur, le VDA se connecte au serveur FAS à partir de la liste des objets de stratégie de groupe. Le plugin d’identification VDA contacte le serveur FAS et valide le jeton. Maintenant, le serveur FAS fournit un certificat d’utilisateur valide au VDA.

  7. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée pour l’utilisateur.

Cas d’utilisation #4

Un nouveau client Citrix souhaite déployer l’environnement Citrix Virtual Apps pour permettre l’accès aux ressources internes qui ne sont pas exposées sur Internet, comme le portail Intranet et les boîtes aux lettres Exchange. Pour garantir une disponibilité élevée de l’environnement, le Client a choisi de déployer l’environnement sur deux sites en conception active/active. Les serveurs critiques sont disponibles comme redondants à chaque emplacement pour éviter les défaillances au niveau des composants. Le client souhaite utiliser Microsoft 365 pour l’authentification multifacteur et l’accès conditionnel avec l’environnement Citrix pour l’authentification. L’objectif principal du Client est de donner accès à un utilisateur qui peut accéder aux applications virtuelles depuis n’importe quel centre de données.

Conformément à la conception, le client a déployé un site XenDesktop (Virtual Apps and Desktops) dédié à chaque emplacement, composé de 3 serveurs StoreFront, 3 x Delivery Controller, serveurs SQL toujours en service, 3 serveurs PVS, serveurs de licences et directeurs. Chaque emplacement possède une paire de configuration Citrix ADC pour GSLB, Gateway et Load Balancer. Étant donné que le client souhaite utiliser l’authentification Azure AD, une paire de serveurs FAS Citrix doit être déployée à chaque emplacement.

L’environnement a été configuré conformément à la conception et aux exigences du client.

  1. L’équilibrage de charge global du serveur (GSLB) a été configuré entre les sites pour équilibrer la charge et acheminer les utilisateurs vers le site disponible.

  2. Les serveurs StoreFront sont équilibrés en charge à l’aide de Citrix ADC Gateway.

  3. Les serveurs StoreFront sont configurés pour communiquer avec les Delivery Controller des deux emplacements ; par conséquent, les utilisateurs peuvent accéder aux ressources du centre de données 1 ou 2.

  4. Il est recommandé de configurer l’objet de stratégie de groupe pour que les serveurs StoreFront pointent uniquement vers les serveurs FAS du centre de données local afin d’optimiser le processus de demande de certificat.

Dans cet environnement client, où StoreFront énumère les ressources des deux centres de données, il est nécessaire de configurer les VDA pour qu’ils soient conscients de tous les serveurs FAS des deux centres de données. Le VDA peut récupérer le certificat du serveur FAS qui a reçu la demande de StoreFront (qui peut se trouver dans un centre de données différent). Les serveurs StoreFront communiquaient uniquement avec les deux serveurs FAS du même centre de données. Les stratégies d’objet de stratégie de groupe répertoriant les serveurs FAS utiliseraient des espaces vides pour s’assurer que le serveur StoreFront récupère la liste des serveurs FAS dans l’index approprié, comme illustré dans l’image suivante.

Federated-Authentication-Service-Image-14

Lors de la configuration, ces alignements « Index » de l’objet de stratégie de groupe doivent être pris en compte. Les listes de serveurs FAS sur StoreFront et les VDA doivent aligner, comme la liste des Delivery Controller, un VDA n’accepte pas une demande de lancement d’un Delivery Controller qu’il ignore.

Avec Citrix FAS, le VDA peut récupérer un certificat à partir du serveur FAS répertorié. La considération supplémentaire est le fait que l’ordre des serveurs FAS dans les registres StoreFront et VDA doit correspondre parce que les serveurs FAS se voient attribuer un numéro d’index basé sur l’ordre dans lequel ils sont répertoriés dans le Registre. Parfois, il est nécessaire de laisser des entrées vides dans le registrer/la stratégie appliquée aux groupes de serveurs StoreFront pour s’assurer que l’index correspond entre StoreFront et VDA.

Federated-Authentication-Service-Image-15

Maintenant, laissez-nous passer en revue le flux de travail de lancement de session pour les utilisateurs :

  1. Lorsqu’un utilisateur commence à accéder à l’environnement, la demande de l’utilisateur atterrit vers Datacenter-1 ou Datacenter-2 basé sur l’ADNS GSLB.

  2. La passerelle redirige l’utilisateur vers la page de connexion Azure. L’utilisateur entre des informations d’identification Azure valides sur la page Azure Single Sign-On. Azure authentifie l’utilisateur et redirige l’utilisateur vers la passerelle.

  3. Citrix Gateway se connecte aux serveurs StoreFront et énumère les ressources affectées à l’utilisateur et les a présentées à l’utilisateur.

  4. L’utilisateur lance une application virtuelle et la demande est envoyée pour obtenir le fichier ICA. StoreFront se connecte au Delivery Controller et sélectionne le VDA disponible dans le groupe de mise à disposition où l’utilisateur a mappé pour accéder aux ressources. StoreFront sélectionne un serveur FAS au même emplacement via l’objet de stratégie de groupe pour obtenir un ticket qui accorde l’accès au VDA. Le serveur FAS demande un certificat utilisateur à l’autorité de certification, qui est maintenant stocké sur le serveur FAS. StoreFront ajoute ce jeton FAS et Delivery Controller en tant que STA dans le fichier ICA et renvoyé au système utilisateur.

  5. L’application d’espace de travail analyse le fichier ICA et établit la connexion à la passerelle locale pour la connexion HDX au VDA.

  6. Citrix Gateway valide la connexion à l’aide du ticket STA avec le Delivery Controller et transmet la connexion au VDA.

  7. Pour authentifier l’utilisateur, le VDA se connecte au serveur FAS à partir de la liste des objets de stratégie de groupe. Le plugin d’identification VDA contacte le serveur FAS et valide le jeton. Maintenant, le serveur FAS fournit un certificat d’utilisateur valide au VDA. Après validation réussie du certificat utilisateur, l’authentification unique est obtenue et la session VDA est lancée pour l’utilisateur.

Synthèse

Citrix Federated Authentication Service aide dans tous les déploiements où les clients souhaitent éliminer la méthode d’identification de mot de passe héritée et passer aux méthodes d’authentification modernes telles que SAML et d’autres. Enfin, Citrix FAS est un service essentiel. Par conséquent, il s’agit d’un élément approuvé par l’équipe de sécurité d’une entreprise avant d’être déployé. Examiner et mettre en œuvre les contrôles de sécurité requis pour les Services SAF.

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter cette tâche, nous aimerions vous fournir des diagrammes source que vous pouvez adapter dans vos propres conceptions détaillées et guides de mise en œuvre : diagrammes source.

Références

Installation et configuration de Citrix FAS

Évolutivité FAS Citrix et document HA

Service d’authentification fédérée Haute disponibilité et évolutivité - CTX225721

Configuration FAS avancée

Certificats et modèles d’authentification du contrôleur de domaine

Authentification sélective multi-forêt

Applets de commande PowerShell pour Citrix FAS

Règles de pare-feu pour Citrix FAS

Configuration de la règle utilisateur

Pré-génération de certificats utilisateur

Preuve d’ouverture de session

Connecter Azure Active Directory à Citrix Cloud

Déploie des modèles de certificat FAS