Fiche technique : Options d’authentification simplifiées sur l’application Citrix Workspace
Vue d’ensemble
L’application Citrix Workspace (CWA) fournit aux utilisateurs une interface personnalisée qui permet un accès instantané aux applications virtuelles, aux postes de travail, aux applications SaaS et Web. Les utilisateurs bénéficient d’un accès fluide et sécurisé à toutes les applications nécessaires pour rester productifs, y compris des fonctionnalités telles que la navigation intégrée et l’authentification unique.
CWA propose plusieurs options d’authentification que les administrateurs peuvent activer en fonction du fournisseur d’identité activé dans votre organisation dans les environnements sur site et dans le cloud.
Forcer l’invite de connexion
Force Login Prompt est une fonctionnalité qui permet aux administrateurs de configurer CWA pour demander aux utilisateurs leurs informations de connexion chaque fois qu’ils accèdent à l’application, même s’ils se sont déjà connectés et disposent d’une session valide. L’IDP enregistre les informations d’identification des utilisateurs via des cookies persistants afin de permettre l’authentification unique (SSO) et de fournir une expérience utilisateur fluide. Toutefois, dans certains cas, les administrateurs souhaitent obliger les utilisateurs à saisir leurs informations de connexion chaque fois qu’ils accèdent à des ressources Citrix, par exemple lorsque l’utilisateur accède à des données ou à des applications sensibles ou en cas de problème de sécurité.
Le paramètre Force Login Prompt est activé par défaut. Ce paramètre permet aux administrateurs de forcer la connexion à Citrix Workspace pour annuler le délai d’expiration de l’IdP. Si le paramètre est désactivé, le délai d’expiration de l’IdP est respecté. Il est important de noter que l’activation de cette fonctionnalité peut avoir un impact sur la productivité des utilisateurs et augmenter la fréquence des problèmes de connexion. Par conséquent, utilisez ce paramètre de manière judicieuse et uniquement dans les scénarios nécessaires à des fins de sécurité ou de conformité.
Le paramètre Force Login Prompt doit être désactivé lorsque :
- Les administrateurs souhaitent fournir aux utilisateurs accédant au CWA via le Web (y compris les clients HTML5) un identifiant de connexion plus durable. Par exemple, si les administrateurs ont défini un délai d’expiration par défaut de 14 jours pour Azure Active Directory (AAD), aucune nouvelle connexion dans le navigateur ne se produit.
- CWA se connecterait automatiquement aux appareils clients connectés à AAD. Sinon, le CWA force l’invite à se connecter même si le SSO est activé.
| Type | CWA OS | Fournisseur d’identité | Assistance |
|---|---|---|---|
| Forcer l’invite de connexion | Toutes les versions de la CWA | Tous | Oui (activé par défaut) |
Connexion permanente à l’application Citrix Workspace
La connexion permanente est une fonctionnalité de CWA qui permet aux utilisateurs de rester connectés même après avoir fermé la session de leur bureau virtuel ou de leur application. Cela signifie que les utilisateurs n’ont pas à saisir leurs informations d’identification chaque fois qu’ils accèdent à Citrix, offrant ainsi une expérience plus simple et plus pratique.
La connexion permanente crée un jeton d’authentification de longue durée qui peut être défini entre 2 et 365 jours et stocké sur l’appareil de l’utilisateur. Ce jeton est crypté et peut être configuré pour expirer après une période définie ou lorsque l’utilisateur se déconnecte de Citrix. Lorsque l’utilisateur revient sur CWA, l’application recherche le jeton et, s’il le trouve, reconnecte automatiquement l’utilisateur.
La connexion permanente est compatible avec diverses méthodes d’authentification, notamment Active Directory, LDAP et SAML. Cette fonctionnalité contribue à améliorer la productivité des utilisateurs en leur évitant de saisir leurs informations d’identification à plusieurs reprises, tout en préservant la sécurité de l’environnement en exigeant une authentification lorsque le jeton expire ou que l’utilisateur se déconnecte. Pour tout magasin nouvellement configuré, il est activé par défaut avec une valeur de 30 jours.
Remarque
Au moment de la rédaction de cet article, l’option de délai d’authentification est disponible pour les applications clientes CWA. L’accès au navigateur n’est pas pris en charge. Il est recommandé d’utiliser le compteur d’inactivité si l’authentification fréquente est un cas d’utilisation pour votre environnement.
Comportement dans les magasins Cloud
| Type | CWA OS | Fournisseur d’identité | Assistance |
|---|---|---|---|
| Jeton à longue durée de vie pour l’application Workspace (pré-lancement et Cloud Store) | Windows, Mac, Linux, Android, iOS | Tous | Oui |
| ChromeOS, Navigateur + CWA natif, Navigateur + HTML5 | Tous | Non |
Remarque
La fonctionnalité de connexion permanente n’est actuellement pas prise en charge pour les magasins locaux.
Connexion permanente aux sessions VDI
L’option Connexion permanente aux sessions VDI permet aux utilisateurs d’accéder à des sessions VDI par authentification unique (SSO) à l’aide d’un mot de passe à longue durée de vie au lieu de saisir leurs informations d’identification chaque fois qu’ils accèdent à leur environnement VDI. Cela évite aux utilisateurs de saisir leurs informations d’identification à plusieurs reprises et simplifie le processus d’authentification. Cette valeur est identique à celle d’une connexion persistante à CWA entre 2 et 365 jours.
Les principaux facteurs à prendre en compte sont les suivants :
- La connexion à VDI avec SSO ne peut avoir lieu que lorsque l’IdP est AD, AD+TOTP ou NetScaler Gateway.
- Dans tous les autres cas (AAD, Okta, Google, SAML, etc.), le service d’authentification fédérée Citrix (FAS) est requis.
| Type | CWA OS | Fournisseur d’identité | VDA joint à | Assistance |
|---|---|---|---|---|
| Mots de passe durables pour les sessions SSO vers VDI | Windows, Mac, Android, iOS, Linux | AD, AD+OTP, passerelle, reste requis FAS | AD/AD hybride | Oui |
Minuteur d’inactivité pour l’application Citrix Workspace
L’option Minuteur d’inactivité pour l’application Citrix Workspace - Délais d’authentification permet aux administrateurs d’appliquer un contrôle d’authentification en cas d’inactivité de l’application par les utilisateurs finaux. Cette option est utilisée pour garantir un accès sécurisé aux ressources pour les utilisateurs légitimes utilisant leurs appareils ou des appareils partagés. Le délai d’inactivité peut être réglé à moins de 24 heures.
Comportement clé à noter :
- L’inactivité l’emporte sur l’expérience de connexion persistante.
- Sur les ordinateurs de bureau, les utilisateurs sont déconnectés après le délai d’inactivité.
- Sur mobile, les utilisateurs peuvent utiliser l’authentification biométrique après l’expiration du délai d’inactivité sans être déconnectés.
| Type | Système d’exploitation CWA pris en charge | Sur site et dans le cloud | Assistance |
|---|---|---|---|
| Inactivity Timer | Windows, Mac, Linux, Android, iOS, ChromeOS, Navigateur + CWA natif, Navigateur + HTML5 | Cloud | Oui |
| Windows, Mac, Linux, Android, iOS, ChromeOS, Navigateur + CWA natif, Navigateur + HTML5 | Sur site | Oui |
Prise en charge du transfert de domaine sur Citrix Workspace
La prise en charge du transfert de domaine pour Citrix Workspace permet aux utilisateurs d’accéder à des applications et des bureaux virtuels sans avoir à s’authentifier explicitement auprès de l’environnement Citrix. Au lieu de cela, les utilisateurs peuvent utiliser leurs informations d’identification de domaine Windows pour s’authentifier et accéder automatiquement à leurs applications et à leurs bureaux.
Lorsque la prise en charge du transfert de domaine est activée, les utilisateurs connectés à leur ordinateur de bureau ou portable Windows à l’aide de leurs informations d’identification de domaine peuvent accéder à leur compte Citrix Workspace et à tous les bureaux virtuels ou applications associés sans avoir à saisir à nouveau leurs informations d’identification. Cela évite aux utilisateurs de mémoriser plusieurs ensembles d’informations de connexion et simplifie le processus d’authentification.
Prérequis et conditions à noter :
- Citrix Workspace doit être configuré avec un IdP prenant en charge l’authentification Windows intégrée : par exemple, NetScaler Gateway, AAD (avec AAD Seamless SSO), Okta, SAML, etc.
- Cette option fonctionne mieux sur les clients Windows.
- Pour Windows, les clients peuvent être joints à AD ou à un AAD hybride.
- Les clients légers Linux peuvent également être configurés avec un profil Kerberos.
- iOS/Mac a également un concept de profil Kerberos. En outre, ils peuvent également être inscrits à AAD à l’aide d’Intune, qui permet l’authentification SSO vers AAD.
- Pour le SSO vers VDI sur des clients autres que Windows. Le FAS est obligatoire.
- La connexion de bout en bout à CWA pour Windows avec SSO to VDI fonctionne si l’utilisateur se connecte au système d’exploitation Windows à l’aide d’un nom d’utilisateur et d’un mot de passe.
| Point final joint à | Fournisseur d’identité | VDA joint à | SSO vers Workspace | SSO vers VDA |
|---|---|---|---|---|
| AD | Passerelle sur site | AD | Oui | SSONsvr / FAS |
| AD | Authentification adaptative | AD | Oui | SSONsvr / FAS |
| AD | passerelle fédérée vers un autre IdP (AAD/Okta) | AD | Oui | SSONsvr / FAS |
| AD | Okta | AD | Oui | SSONsvr / FAS |
| Joint à AD/Hybride | AAD (AD avec AAD Connect) | AD | Oui | SSONsvr / FAS |
| AD | N’importe quel IdP basé sur SAML | AD | Oui | SSONSvr / FAS |
| AD | AD | AD | Non | S/O |
| AD | AD + OTP | AD | Non | S/O |
| AD | AAD | AAD | Non | S/O |
| AAD | AAD sans domaine AD local | AD | Oui | FAS |
| AAD | AAD | AAD | Oui | L’utilisateur doit saisir ses informations d’identification |
| Non-joint à un domaine | IdP prenant en charge l’authentification sans mot de passe | AD | Non | FAS |
Remarques
Les clients doivent être joignables à AD pour que Kerberos fonctionne.
SSonSVR fonctionne uniquement avec un nom d’utilisateur et un mot de passe sur le client. Le FAS est requis si un utilisateur utilise Windows Hello pour se connecter et s’attend à une connexion sans mot de passe.
L’authentification peut ne pas être rapide dans le cloud si la fonction LLT est activée ou si la stratégie d’acceptation de l’utilisateur final est configurée.
Il est recommandé de configurer le FAS tel qu’il s’applique aux plateformes autres que Windows.
Support de transfert de domaine pour StoreFront
La prise en charge du transfert de domaine pour Citrix StoreFront permet aux utilisateurs d’accéder à des applications et des bureaux virtuels sans avoir à s’authentifier explicitement auprès de l’environnement Citrix. Au lieu de cela, les utilisateurs peuvent utiliser leurs informations d’identification de domaine Windows pour s’authentifier et accéder automatiquement à leurs applications et à leurs bureaux.
Lorsque la prise en charge du transfert de domaine est activée, les utilisateurs connectés à leur ordinateur de bureau ou portable Windows à l’aide de leurs informations d’identification de domaine peuvent accéder à leurs applications et bureaux Citrix sans avoir à saisir à nouveau leurs informations d’identification. Cela offre une expérience utilisateur plus fluide et contribue à réduire la charge de travail des équipes d’assistance informatique qui auraient autrement à gérer les réinitialisations de mots de passe et les problèmes d’authentification des utilisateurs.
Prérequis et conditions à noter :
- Configuré sous Windows.
- Insertion d’informations d’identification : les partenaires logiciels du secteur de la santé fournissent un nom d’utilisateur et un mot de passe à CWA pour authentifier les utilisateurs en silence.
- Ceci est également appliqué sous Linux et utilise un SDK d’insertion d’informations d’identification similaire. Le SSO vers VDI fonctionne de la même manière que le point 7 pour les magasins sur site.
| Point final joint à | StoreFront et passerelle | VDA joint à | SSO vers StoreFront | SSO vers VDA | | ——————— | ——————- | —- | ——– |———————| | AD | StoreFront | AD | Oui | SSONsvr | | Joint à AD/Hybride/Windows Hello Entreprise | StoreFront | AD | Oui | SSONsvr/FAS * | | AD | Passerelle - Authentification avancée | AD | Oui | SSONSvr | | AD | Passerelle - Authentification de base | Oui | SSONSVR |
Remarque
Nécessite un registre pour activer le SSO
Support pour les cartes à puce et les informations d’identification dérivées
L’authentification par carte à puce et l’authentification par informations d’identification dérivées sont deux méthodes d’authentification dans CWA et de connexion à la session VDI prise en charge par cette option.
L’authentification par carte à puce implique l’utilisation d’une carte à puce physique contenant les informations d’identité numérique de l’utilisateur, telles qu’un certificat de clé publique ou une clé privée. Lorsque l’utilisateur insère la carte à puce dans un lecteur de carte, le lecteur de carte lit les informations d’identité numériques et les envoie à CWA pour authentification. Cette méthode garantit une sécurité plus élevée que l’authentification traditionnelle par nom d’utilisateur et mot de passe, car la carte à puce ne peut pas être facilement dupliquée ou volée.
D’autre part, l’authentification par informations d’identification dérivées utilise un appareil mobile pour authentifier un utilisateur. Lorsqu’un utilisateur se connecte à CWA sur son appareil mobile, l’appareil génère un identifiant dérivé basé sur ses informations d’identité numériques. Les informations d’identification dérivées sont ensuite envoyées à CWA pour authentification plutôt qu’à la carte à puce physique de l’utilisateur. Cette méthode offre aux utilisateurs un niveau de confort supérieur, car ils peuvent s’authentifier à l’aide de leurs appareils mobiles sans avoir à se munir d’une carte à puce séparée.
Authentification sans mot de passe (Workspace)
| Type | CWA OS | Fournisseur d’identité | Assistance préalable au lancement | SSO vers VDA après le lancement (mise en cache des broches) | Utilisation de la carte à puce au cours de la session |
|---|---|---|---|---|---|
| Carte à puce | Windows | Passerelle sur site, AD/AAD | Oui | Non | Oui |
| Navigateur utilisant le CWA natif | Passerelle sur site, AD/AAD | Oui | Non | Oui | |
| Navigateur avec HTML5 | Passerelle sur site, AD/AAD | Non | Non | Non | |
| Mac | Passerelle sur site, AD/AAD | Non | Non | Oui | |
| Linux | Passerelle sur site, AD/AAD | Non | Non | Oui | |
| ChromeOS | Passerelle sur site, AD/AAD | Oui | Non | Oui | |
| iOS | Passerelle sur site, AD/AAD | Non | Non | Oui | |
| Android | Passerelle sur site, AD/AAD | Non | Non | Oui | |
| Informations d’identification dérivées | iOS | Passerelle sur site, AD/AAD | Non | Non | Oui ** |
| Android | Passerelle sur site, AD/AAD | Non | Non | Non |
Remarques
Tout IdP qui prend en charge l’authentification par carte à puce via la fédération peut prendre en charge le SSO.
Le support pour iOS existe uniquement avec Purebred.
Authentification sans mot de passe (StoreFront)
| Authentification via | OS | Assistance au lancement | Assistance à la connexion à StoreFront | Passerelle - Authentification de base | Passerelle - Authentification avancée | Carte à puce en cours de session |
|---|---|---|---|---|---|---|
| Carte à puce | Windows | Pré-lancement | Oui | Oui | Oui | Oui |
| Navigateur et CWA natif | Pré-lancement | Oui | Oui | Oui | Oui | |
| Navigateur - HTML5 | Pré-lancement | Non | Oui | Non | Non | |
| Mac | Pré-lancement | Oui | Oui | Oui | Oui | |
| Linux | Pré-lancement | Oui | Oui | Non | Oui | |
| ChromeOS | Pré-lancement | Oui | Oui | Non | Oui | |
| iOS | Pré-lancement | Oui | Oui | Non | Oui | |
| Android | Pré-lancement | Oui | Oui | Non | Oui | |
| Windows | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Oui | Oui | Non | Oui | |
| Navigateur et CWA natif | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Oui | |
| Navigateur - HTML5 | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Non | |
| Mac | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Oui | Oui | Non | Oui | |
| Linux | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Oui | Oui | Non | Oui | |
| ChromeOS | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Oui | |
| iOS | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Oui | |
| Android | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Non | |
| Informations d’identification dérivées | iOS | Pré-lancement | Oui | Oui | Non | Oui |
| Android | Pré-lancement | Non | Non | Non | Non | |
| iOS | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Oui | |
| Android | Après le lancement : SSO vers VDA (mise en cache des codes PIN) | Non | Non | Non | Non |
Support FIDO2 avec Workspace/Storefront - Authentification sans mot de passe
FIDO2 est une norme d’authentification qui permet aux utilisateurs de s’authentifier facilement et en toute sécurité auprès des services en ligne à l’aide de la cryptographie à clé publique. FIDO2 permet l’authentification sans mot de passe, ce qui évite aux utilisateurs d’avoir à créer et à mémoriser des mots de passe et réduit le risque de phishing et d’autres formes de cyberattaques.
Grâce au support CWA FIDO2, les utilisateurs peuvent profiter d’une expérience d’authentification sans mot de passe à la fois sûre et pratique. Ils peuvent se connecter à leur compte Citrix Workspace sans se souvenir des mots de passe, ce qui leur permet de travailler en toute sécurité où qu’ils se trouvent et sur n’importe quel appareil. Le support FIDO2 contribue également à améliorer la sécurité en réduisant le risque de cyberattaques liées aux mots de passe.
| Type | CWA OS | PDI pris en charge | Assistance préalable au lancement | Connexion au VDA avec clé de sécurité FIDO | Utilisation de la clé de sécurité FIDO au cours d’une session |
|---|---|---|---|---|---|
| FIDO | Windows | Oui | Non | Oui | |
| Navigateur utilisant le CWA natif | Oui | Non | Oui | ||
| Navigateur avec HTML5 | Oui | Non | Non | ||
| Mac | Tout IdP compatible avec FIDO | Non | Non | Oui | |
| Linux | Tout IdP compatible avec FIDO | Non | Non | Oui | |
| ChromeOS | Tout IdP compatible avec FIDO | Oui | Non | Non | |
| iOS | Tout IdP compatible avec FIDO | Non | Non | Non | |
| Android | Tout IdP compatible avec FIDO | Non | Non | Non |
Dans cet article
- Vue d’ensemble
- Forcer l’invite de connexion
- Connexion permanente à l’application Citrix Workspace
- Connexion permanente aux sessions VDI
- Minuteur d’inactivité pour l’application Citrix Workspace
- Prise en charge du transfert de domaine sur Citrix Workspace
- Support de transfert de domaine pour StoreFront
- Support pour les cartes à puce et les informations d’identification dérivées
- Support FIDO2 avec Workspace/Storefront - Authentification sans mot de passe