Espace de travail - Single Sign-On

L’identité principale de l’espace de travail d’un utilisateur l’autorise à accéder aux applications SaaS, mobiles, Web, virtuelles et postes de travail virtuels. De nombreuses ressources autorisées nécessitent une autre authentification, souvent avec une identité différente de l’identité principale de l’espace de travail de l’utilisateur. Citrix Workspace offre aux utilisateurs une expérience transparente en fournissant une authentification unique aux ressources secondaires.

Identité principale

La compréhension des différences entre les identités principale et secondaire d’un utilisateur fournit une base pour comprendre l’authentification unique Workspace.

Identité de l'espace de travail

Pour commencer, Citrix Workspace permet à chaque organisation de choisir une identité principale à partir d’une liste croissante d’options, qui inclut actuellement :

  • Windows Active Directory
  • Azure Active Directory
  • Okta
  • Citrix Gateway
  • Google

Dans Citrix Workspace, l’identité principale de l’utilisateur a deux objectifs :

  1. Authentifie l’utilisateur auprès de Citrix Workspace
  2. Autorise l’utilisateur à accéder à un ensemble de ressources dans Citrix Workspace

Une fois que l’utilisateur s’authentifie avec succès auprès de Citrix Workspace avec l’identité principale, il a l’autorisation de toutes les ressources secondaires. Il est essentiel pour les organisations de mettre en place des stratégies d’authentification fortes pour l’identité principale de l’utilisateur.

De nombreux fournisseurs d’identités incluent des options de stratégie d’authentification fortes, aidant à sécuriser l’authentification principale de l’utilisateur auprès de Citrix Workspace. Dans les cas où le fournisseur d’identité inclut uniquement un nom d’utilisateur et un mot de passe uniques, comme Active Directory, Citrix Workspace inclut des fonctionnalités supplémentaires pour améliorer la sécurité d’authentification principale, par exemple Mot de passe unique basé sur le temps.

Pour mieux comprendre l’identité principale de Citrix Workspace, reportez-vous au Fiche technique d’identité Workspace.

Identités secondaires

De nombreuses applications, postes de travail et ressources auxquels un utilisateur accède dans Citrix Workspace sont sécurisées avec un autre ensemble d’informations d’identification utilisateur, appelées identités secondaires. La plupart des identités secondaires sont différentes de l’identité principale de l’utilisateur.

Identités secondaires de l'espace de travail

Le service µ-Single Sign-on traduit l’identité principale de l’espace de travail de l’utilisateur en une identité spécifique à la ressource en utilisant des approches appropriées telles que :

  • SAML
  • Kerberos
  • Formulaires
  • Cartes à puce virtuelles

Avec Citrix Workspace, les utilisateurs s’authentifient une fois avec leur identité principale et tous les défis d’authentification ultérieurs pour les ressources secondaires sont automatiquement satisfaits.

La façon dont Citrix Workspace fournit l’authentification unique aux différentes ressources dépend du type de ressource accessible. Pour mieux comprendre les différentes approches, il est préférable de le décomposer en rubriques suivantes :

  • Applications SaaS
  • Applications Web
  • Applications mobiles (section bientôt disponible)
  • Applications et postes de travail virtuels
  • Chainage IdP

SSO : Applications SaaS

Du point de vue Citrix Workspace, une application SaaS est une application basée sur un navigateur hébergée dans le cloud par un tiers. Pour accéder à l’application, les utilisateurs doivent s’authentifier à l’aide d’un ensemble d’informations d’identification associées à l’application SaaS, appelée identité secondaire.

Pour obtenir une authentification unique à une application SaaS, Citrix Workspace fédère l’identité entre l’identité principale et l’identité secondaire. Le processus SSO utilise l’authentification basée sur SAML standard de l’industrie.

L’authentification basée sur SAML se concentre généralement sur trois entités principales :

  • Fournisseur d’identité : entité dans un lien SAML fournissant la preuve que l’identité de l’utilisateur est valide
  • Fournisseur de services : entité dans un lien SAML fournissant un service (application SaaS) basée sur une identité secondaire
  • Assertion : un paquet de données fournissant

L’authentification basée sur SAML fonctionne en associant deux comptes utilisateur différents (principal et secondaire) à des attributs communs, généralement un nom d’utilisateur principal (UPN) ou une adresse e-mail.

Présentation SAML

L’identité de l’utilisateur peut être différente entre l’identité principale du fournisseur d’identité et l’identité secondaire du fournisseur de services.

Avec l’authentification unique, l’utilisateur n’a pas besoin de connaître le nom d’utilisateur ou le mot de passe de son identité secondaire. De plus, de nombreuses applications SaaS ont la possibilité de désactiver le mot de passe (et l’accès direct au mot de passe) des comptes utilisateur lorsque l’authentification utilise SAML. Cela force l’authentification de l’utilisateur à toujours utiliser l’identité principale du fournisseur d’identité et non l’identité secondaire du fournisseur de services.

Citrix Workspace introduit un quatrième composant au processus SAML

  • Identity Broker : entité qui lie plusieurs fournisseurs d’identité à plusieurs fournisseurs de services (Citrix Workspace)

Présentation du courtage

Dans un lien SAML, il doit y avoir une entité agissant en tant que fournisseur de services (SP) et fournisseur d’identité (IdP). L’IdP ne doit pas contenir les identités de compte d’utilisateur principal. Dans cet exemple, l’identité de l’utilisateur principal est contenue dans le répertoire utilisateur principal (Dir).

Lorsqu’il agit en tant que courtier d’identité (IDB), Citrix Workspace prend des revendications concernant l’identité principale de l’utilisateur et les traduit en identités secondaires.

L’ajout d’un courtier d’identité (IDB) dans le flux d’authentification SAML nécessite toujours un attribut commun liant l’identité principale (IdP) de l’utilisateur à l’identité secondaire (SP).

Présentation du courtage

Pour que l’authentification SAML fonctionne, le broker identités associe la requête à une URL d’ouverture de session spécifique SAML pour chaque application SaaS. Cette URL reçoit l’assertion de l’utilisateur. Lorsque le fournisseur de services reçoit l’assertion, il doit valider l’assertion par rapport à l’entité qui a généré l’assertion, qui est l’URL de l’émetteur SAML du courtier d’identité.

URL SAML

Dans Citrix Workspace, le processus global d’authentification unique aux applications SaaS est le suivant :

URL SAML

Les applications SSO vers SaaS dans Citrix Workspace permettent de résoudre quelques défis liés à l’expérience utilisateur et administrateur :

  1. Les utilisateurs n’ont pas besoin de mémoriser un nom d’utilisateur et un mot de passe pour chaque identité secondaire
  2. Les utilisateurs n’ont pas besoin de créer des mots de passe complexes pour chaque identité secondaire
  3. Les utilisateurs n’ont pas à configurer/configurer les clés/jetons MFA pour chaque identité secondaire
  4. Les administrateurs peuvent désactiver l’accès à toutes les applications SaaS en désactivant l’identité principale de l’utilisateur
  5. Les administrateurs peuvent baser l’identité principale de l’utilisateur sur l’une des plus nombreuses de fournisseurs d’identité pris en charge

Pour assurer la sécurité de l’accès, les organisations doivent

  1. Mettre en œuvre des stratégies d’authentification solides pour l’identité de l’espace de travail principale
  2. Désactiver l’accès direct aux applications SaaS avec l’identité secondaire

SSO : Applications Web

Une application Web est une application basée sur un navigateur hébergée et gérée par l’organisation. L’application Web est hébergée dans le centre de données local. Pour accéder à une application Web, les utilisateurs doivent établir une connexion sécurisée à l’hôte et s’authentifier à l’aide d’un ensemble d’informations d’identification associées à l’application Web, appelée identité secondaire.

Flux SSO de l'application Web

Basé sur l’architecture conceptuelle, Gateway Connector établit une connexion de canal de contrôle sortant à l’abonnement Citrix Cloud de l’organisation. Une fois établies, les demandes d’authentification et d’accès à l’application Web locale se déplacent sur le canal de contrôle du connecteur Gateway, éliminant ainsi le besoin d’une connexion VPN.

Selon l’application Web, l’identité secondaire peut être la même identité que l’identité principale utilisée pour s’authentifier auprès de Citrix Workspace ou une identité unique gérée par un fournisseur d’identité différent.

Pour obtenir une authentification unique à une application Web, Citrix Workspace fédère l’identité entre l’identité principale (utilisée pour se connecter à Citrix Workspace) et l’identité secondaire (utilisée pour se connecter à l’application Web). Le processus SSO pour les applications Web utilise plusieurs approches pour être en mesure de prendre en charge un plus grand nombre d’applications Web. Ces approches peuvent être

  • Basic - utilisé lorsque le serveur d’applications Web présente aux utilisateurs un défi de base 401. L’authentification de base utilise les informations d’identification utilisées pour s’authentifier auprès de Citrix Workspace.
  • Kerberos - utilisé lorsque le serveur d’applications Web présente aux utilisateurs un défi négocie-401. Kerberos utilise les informations d’identification utilisées pour s’authentifier auprès de Citrix Workspace.
  • Formulaires : utilisé lorsque le serveur d’applications Web présente aux utilisateurs un formulaire d’authentification HTML. L’authentification basée sur les formulaires nécessite que l’administrateur identifie les champs appropriés sur la page d’authentification pour le nom d’utilisateur et le mot de passe.
  • SAML - utilisé lorsque le serveur d’applications Web est capable d’utiliser l’authentification basée sur SAML, où l’application Web agit en tant que fournisseur de services et Citrix Workspace en tant que fournisseur d’identité. L’identité principale de l’utilisateur utilisée pour se connecter à Citrix Workspace doit avoir un paramètre (UPN ou e-mail) aligné sur les informations d’identification dans l’application Web. Pour en savoir plus sur l’authentification unique basée sur SAML, consultez la Apps SSO vers SaaS section.
  • Aucun authentification unique - utilisé lorsque le serveur d’applications Web ne nécessite pas d’authentification utilisateur ou lorsque l’administrateur souhaite que l’utilisateur se connecte manuellement.

L’authentification unique aux applications Web dans Citrix Workspace permet de résoudre quelques problèmes d’expérience utilisateur et administrateur :

  • Les utilisateurs n’ont pas besoin de mémoriser un nom d’utilisateur et un mot de passe pour chaque application Web
  • Les utilisateurs n’ont pas à créer des mots de passe complexes pour chaque application Web
  • Les utilisateurs n’ont pas à configurer/configurer les clés/jetons MFA pour chaque application Web
  • Les utilisateurs n’ont pas besoin de démarrer une connexion VPN pour accéder à une application Web interne
  • Les administrateurs peuvent désactiver l’accès à toutes les applications Web en désactivant l’identité principale de l’utilisateur
  • Les administrateurs peuvent baser l’identité principale de l’utilisateur sur l’une des plus nombreuses de fournisseurs d’identité pris en charge
  • Une fois déployé, les administrateurs n’ont pas à mettre à jour les connecteurs de passerelle. Les services Citrix Cloud automatise les mises à jour selon les besoins.

Pour assurer la sécurité de l’accès, les organisations doivent

  • Mettre en œuvre des stratégies d’authentification solides pour l’identité de l’espace de travail principale
  • Désactiver l’accès VPN aux applications Web

Déployez des connecteurs de passerelle redondants pour maintenir la disponibilité lors de la mise à jour d’un connecteur. Un seul connecteur est mis à jour à la fois et le processus ne se poursuit pas tant qu’un résultat de réussite n’est pas reçu.

SSO : Applications mobiles (section à venir prochainement)

SSO : Virtual Apps and Desktops de travail

Citrix Virtual Apps and Desktops permet aux utilisateurs d’accéder à distance aux applications et bureaux Windows et Linux. Pour accéder à une application virtuelle ou à un bureau Windows, les utilisateurs doivent s’authentifier avec une identité Active Directory.

Lorsque l’identité principale de l’espace de travail d’un utilisateur est Active Directory, une session d’application virtuelle et de bureau utilise l’authentification directe pour fournir une authentification unique à la ressource secondaire. Toutefois, si une organisation souhaite utiliser un fournisseur d’identité non basé sur Active Directory pour l’identité principale de l’utilisateur, les fonctionnalités d’authentification unique de Citrix Workspace doivent traduire l’identité principale en identité secondaire Active Directory.

Pour obtenir une authentification unique à une application et à un bureau virtuels, Citrix Workspace utilise le service d’authentification fédérée, qui génère dynamiquement une carte à puce virtuelle basée sur Active Directory pour l’utilisateur.

Avant de générer une carte à puce virtuelle, Workspace doit pouvoir lier l’identité principale de l’utilisateur à l’identité secondaire basée sur Active Directory via un ensemble d’attributs communs.

Par exemple, lorsque Okta est l’identité principale de Citrix Workspace, l’identité Okta de l’utilisateur doit inclure trois paramètres supplémentaires (cip_sid, cip_upn et cip_oid). Les paramètres associent une identité Active Directory à une identité Okta.

URL SAML

Une fois que l’utilisateur s’authentifie avec succès auprès de l’identité principale, la fonctionnalité d’authentification unique dans Citrix Workspace utilise les paramètres pour demander une carte à puce virtuelle.

Dans Citrix Workspace, le processus global d’authentification unique à une application virtuelle et à un bureau Windows est le suivant :

SSO vers Citrix Virtual Apps and Desktops

Cet exemple suppose que Citrix Virtual Apps and Desktops est un déploiement local.

Si les organisations utilisent le Citrix Virtual Apps and Desktops Service basé sur le nuage, l’architecture ressemble à la suivante :

SSO vers Citrix Virtual Apps and Desktops Service

L’authentification unique vers les applications virtuelles et les postes de travail Windows dans Citrix Workspace permet de résoudre quelques défis liés à l’expérience utilisateur et administrateur :

  1. Les utilisateurs ne reçoivent pas d’invite d’authentification lors de l’accès à une application virtuelle ou à un bureau
  2. Les utilisateurs n’ont pas besoin de créer, mettre à jour et mémoriser des mots de passe complexes pour leur identité Active Directory
  3. Les administrateurs peuvent désactiver l’accès à toutes les applications virtuelles et postes de travail en désactivant l’identité principale de l’utilisateur

Pour intégrer correctement le service d’authentification fédérée, tenez compte des éléments suivants :

  • Synchronisation : l’identité d’espace de travail principale doit maintenir la synchronisation avec l’identité secondaire basée sur Active Directory. De nombreux fournisseurs d’identité principaux incluent un outil de synchronisation Active Directory qui aide à maintenir la synchronisation entre les identités principale et secondaire. Sans synchronisation correcte, le service d’authentification fédérée ne peut pas associer une identité Active Directory à la carte à puce virtuelle.
  • Authentification par carte à puce uniquement : avec un objet stratégie de groupe, les administrateurs peuvent forcer l’authentification par carte à puce uniquement. Cela élimine la possibilité pour un utilisateur de contourner l’identité primaire sécurisée en utilisant le nom d’utilisateur/mot de passe de l’identité secondaire. Toutefois, si un utilisateur doit utiliser le nom d’utilisateur/mot de passe pour ouvrir une session interactive à un service, l’authentification échoue lorsque ce paramètre de stratégie est activé.
  • Sécurité des cartes à puce virtuelles : Il est important de s’assurer que l’infrastructure du service d’authentification fédérée est gérée et sécurisée de manière appropriée. L’article suivant fournit recommandations de sécurité pour le service d’authentification fédérée.
  • Redondance : dans un déploiement de production, l’architecture globale doit intégrer la tolérance aux pannes dans la conception. Cela inclut les serveurs de services d’authentification fédérés redondants, les autorités de certification, etc. Selon l’échelle de l’environnement, les organisations peuvent avoir besoin de consacrer des autorités de certification subordonnées au lieu de pointer vers l’autorité de certification racine.
  • Autorité de certification : pour un déploiement en production, les organisations doivent concevoir l’autorité de certification pour gérer l’échelle. De plus, les organisations doivent concevoir correctement l’infrastructure de liste de révocation de certificats (LCR) associée pour surmonter les éventuelles interruptions de service.
  • Authentification tertiaire : dans une session de bureau virtuel, de nombreux sites Web internes exigent que les utilisateurs s’authentifient avec une identité Active Directory. La carte à puce virtuelle utilisée pour fournir l’authentification unique au bureau virtuel peut être utilisée pour fournir une authentification unique au site Web interne. Le service d’authentification fédérée autorise (via un objet de stratégie de groupe) les certificats en session où la carte à puce virtuelle est placée dans le magasin de certificats utilisateur. Cette capacité fournit une authentification unique à ces ressources tertiaires.

SSO : chaînage d’IdP

De nombreuses organisations s’appuient actuellement sur une solution tierce (Okta, Ping, Azure, etc.) pour fournir une authentification unique aux applications SaaS. Citrix Workspace peut intégrer les applications SaaS compatibles SSO dans le flux de ressources de l’utilisateur via un processus appelé IDP chaînage. Le chaînage IdP convertit essentiellement une assertion SAML en une autre assertion SAML. Le chaînage d’IdP permet aux organisations de maintenir leur fournisseur SSO actuel tout en s’intégrant pleinement à Citrix Workspace, y compris la mise en œuvre de stratégies de sécurité améliorées.

Lorsque Citrix Workspace fournit l’authentification unique aux applications SaaS, il utilise l’authentification SAML. L’authentification basée sur SAML fonctionne en associant deux comptes utilisateur différents (principal et secondaire) à des attributs communs, généralement un nom d’utilisateur principal (UPN) ou une adresse e-mail.

Avec l’authentification unique basée sur SAML, il existe deux partenaires :

  1. Fournisseur de services (SP) : entité qui fournit un service et contient une identité secondaire
  2. Fournisseur d’identité (IdP) : entité qui fournit la validation de l’identité principale de l’utilisateur. Le fournisseur d’identité d’un groupe SAML n’a pas besoin d’être l’autorité finale sur l’identité de l’utilisateur.

Présentation du courtage

L’annuaire principal des utilisateurs est l’autorité finale sur l’identité de l’utilisateur. Citrix Workspace, agissant en tant qu’identités Broker (IDB), obtient des revendications concernant l’utilisateur à partir de l’annuaire d’utilisateurs principal (Dir) pour créer une assertion SAML. L’assertion prouve l’identité de l’utilisateur auprès du fournisseur de services (SP) et remplit le processus d’authentification unique.

Lorsqu’une organisation utilise déjà un autre fournisseur SSO, le chaînage IdP ajoute un lien d’authentification SAML supplémentaire dans la chaîne d’authentification.

Vue d'ensemble du chaînage IdP

Dans cet exemple de chaînage d’IdP, Citrix Workspace, agissant en tant que courtier d’identité, authentifie l’utilisateur dans l’annuaire d’utilisateurs principal. Dans le premier lien SAML, Citrix Workspace utilise des revendications concernant l’utilisateur pour créer une assertion SAML pour une ressource spécifique à Okta, qui agit en tant que fournisseur de services. Dans le deuxième lien SAML, Okta utilise des revendications concernant l’utilisateur pour créer une assertion SAML pour une application SaaS spécifique, qui est le fournisseur de services.

Le chaînage IdP ajoute des liens supplémentaires entre l’identité principale de l’utilisateur et le service demandé. Dans chaque lien SAML, l’attribut commun entre le fournisseur d’identité et le fournisseur de services doit être le même. Au fur et à mesure que l’authentification passe à travers différents liens dans la chaîne, l’attribut commun peut changer.

IdP chaînage Attribut commun

Dans chaque lien SAML, le fournisseur d’identité associe la demande d’authentification à une URL d’ouverture de session spécifique SAML pour chaque application SaaS. Cette URL reçoit l’assertion de l’utilisateur, qui inclut l’attribut commun. Lorsque le fournisseur de services reçoit l’assertion, il doit valider l’assertion par rapport à l’entité qui a généré l’assertion, qui est l’URL de l’émetteur SAML du fournisseur d’identité.

Présentation de l'URL de chaînage d'IdP

Dans une chaîne IdP, le processus est identique, sauf que chaque application SSO activée dans le fournisseur SSO possède une URL spécifique à l’application. L’URL spécifique à l’application agit en tant que fournisseur de services. L’URL spécifique à l’application est utilisée comme URL de connexion SAML lorsque le fournisseur SSO assume le rôle de fournisseur de services.

Détails de l'URL de chaînage d'IdP

Dans cet exemple, lorsqu’un utilisateur sélectionne une application compatible OKTA à partir de Citrix Workspace, Citrix Workspace présente l’assertion à l’URL de connexion SAML pour l’application Okta demandée. Okta valide l’assertion avec l’URL de l’émetteur SAML de Citrix Workspace. Une fois réussi, Okta présente une assertion à l’URL de connexion SAML de l’application SaaS, qui valide l’assertion avec l’URL de l’émetteur SAML Okta.

La façon la plus simple de penser au chaînage des IdP est de se concentrer individuellement sur chaque maillon de la chaîne, qui comprend un fournisseur d’identité et un fournisseur de services. Dans cet exemple, les maillons de la chaîne sont :

  1. Citrix-à-Okta
  2. Okta au jour de travail

Cela se traduit par le flux d’authentification suivant :

Flux dechaînage d'IdP

La création d’une chaîne d’IdP permet aux organisations de maintenir leur fournisseur SSO actuel tout en unifiant toutes les ressources au sein de Citrix Workspace.

Espace de travail - Single Sign-On