Authentification
Lors d’un déploiement XenMobile®, plusieurs considérations entrent en jeu pour décider comment configurer l’authentification. Cette section vous aide à comprendre les différents facteurs qui affectent l’authentification en abordant les points suivants :
- Les principales stratégies MDX, les propriétés client XenMobile et les paramètres Citrix Gateway impliqués dans l’authentification.
- La manière dont ces stratégies, propriétés client et paramètres interagissent.
- Les compromis de chaque choix.
Cet article comprend également trois exemples de configurations recommandées pour des degrés de sécurité croissants.
De manière générale, une sécurité renforcée se traduit par une expérience utilisateur moins optimale, car les utilisateurs doivent s’authentifier plus souvent. La manière dont vous équilibrez ces préoccupations dépend des besoins et des priorités de votre organisation. En examinant les trois configurations recommandées, vous devriez acquérir une meilleure compréhension de l’interaction des mesures d’authentification à votre disposition et de la meilleure façon de déployer votre propre environnement XenMobile.
Modes d’authentification
Authentification en ligne : Permet aux utilisateurs d’accéder au réseau XenMobile. Nécessite une connexion Internet.
Authentification hors ligne : Se produit sur l’appareil. Les utilisateurs déverrouillent le coffre-fort sécurisé et ont un accès hors ligne à des éléments tels que les e-mails téléchargés, les sites web mis en cache et les notes.
Méthodes d’authentification
Facteur unique
LDAP : Vous pouvez configurer une connexion dans XenMobile à un ou plusieurs annuaires, tels qu’Active Directory, qui est conforme au protocole LDAP (Lightweight Directory Access Protocol). Il s’agit d’une méthode couramment utilisée pour fournir l’authentification unique (SSO) dans les environnements d’entreprise. Vous pouvez opter pour le code PIN Citrix avec la mise en cache des mots de passe Active Directory afin d’améliorer l’expérience utilisateur avec LDAP tout en assurant la sécurité des mots de passe complexes lors de l’inscription, de l’expiration des mots de passe et du verrouillage des comptes.
Pour plus de détails, consultez Domaine ou domaine plus STA.
Certificat client : XenMobile peut s’intégrer à des autorités de certification standard de l’industrie pour utiliser les certificats comme seule méthode d’authentification en ligne. XenMobile fournit ce certificat après l’inscription de l’utilisateur, ce qui nécessite soit un mot de passe à usage unique, une URL d’invitation ou des informations d’identification LDAP. Lors de l’utilisation d’un certificat client comme méthode d’authentification principale, un code PIN Citrix est requis dans les environnements de certificat client uniquement pour sécuriser le certificat sur l’appareil.
XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une autorité de certification Microsoft, XenMobile utilise Citrix ADC pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, déterminez si vous devez configurer le paramètre de liste de révocation de certificats (CRL) de Citrix ADC, Activer l’actualisation automatique de la CRL. Cette étape garantit que l’utilisateur d’un appareil en mode MAM uniquement ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. XenMobile réémet un nouveau certificat, car il n’empêche pas un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre augmente la sécurité des entités PKI lorsque la CRL vérifie les entités PKI expirées.
Pour un diagramme montrant le déploiement nécessaire si vous prévoyez d’utiliser l’authentification basée sur des certificats pour les utilisateurs ou si vous devez utiliser votre autorité de certification (CA) d’entreprise pour émettre des certificats d’appareil, consultez Architecture de référence pour les déploiements sur site.
Double facteur
LDAP + Certificat client : Dans l’environnement XenMobile, cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur, avec les meilleures possibilités d’authentification unique (SSO) associées à la sécurité fournie par l’authentification à deux facteurs sur Citrix ADC. L’utilisation conjointe de LDAP et de certificats clients offre une sécurité basée à la fois sur ce que les utilisateurs connaissent (leurs mots de passe Active Directory) et ce qu’ils possèdent (les certificats clients sur leurs appareils). Secure Mail (et certaines autres applications de productivité mobile) peut configurer automatiquement et offrir une expérience utilisateur transparente dès la première utilisation avec l’authentification par certificat client, avec un environnement de serveur d’accès client Exchange correctement configuré. Pour une convivialité optimale, vous pouvez combiner cette option avec le code PIN Citrix et la mise en cache des mots de passe Active Directory.
LDAP + Jeton : Cette configuration permet la configuration classique des informations d’identification LDAP, plus un mot de passe à usage unique, en utilisant le protocole RADIUS. Pour une convivialité optimale, vous pouvez combiner cette option avec le code PIN Citrix et la mise en cache des mots de passe Active Directory.
Stratégies, paramètres et propriétés client importants impliqués dans l’authentification
Les stratégies, paramètres et propriétés client suivants entrent en jeu avec les trois configurations recommandées suivantes :
Stratégies MDX
Code secret de l’application : Si Activé, un code PIN ou un code secret Citrix est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.
Pour configurer le délai d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans la console XenMobile, dans Propriétés client sous l’onglet Paramètres. La valeur par défaut est 15 minutes. Pour désactiver le délai d’inactivité, afin qu’une invite de code PIN ou de code secret n’apparaisse qu’au démarrage de l’application, définissez la valeur sur zéro.
Remarque :
Si vous sélectionnez Sécuriser hors ligne pour la stratégie Clés de chiffrement, cette stratégie est automatiquement activée.
Session en ligne requise : Si Activé, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active pour accéder à l’application sur l’appareil. Si Désactivé, une session active n’est pas requise pour accéder à l’application sur l’appareil. La valeur par défaut est Désactivé.
Période hors ligne maximale (heures) : Définit la période maximale pendant laquelle une application peut s’exécuter sans reconfirmer les droits d’application et actualiser les stratégies depuis XenMobile. Lorsque vous définissez la période hors ligne maximale, si Secure Hub pour iOS dispose d’un jeton Citrix Gateway valide, l’application récupère les nouvelles stratégies pour les applications MDX depuis XenMobile sans aucune interruption pour les utilisateurs. Si Secure Hub ne dispose pas d’un jeton Citrix ADC valide, les utilisateurs doivent s’authentifier via Secure Hub pour que les stratégies d’application soient mises à jour. Le jeton Citrix ADC peut devenir invalide en raison d’une inactivité de session Citrix Gateway ou d’une stratégie de délai d’expiration de session forcée. Lorsque les utilisateurs se connectent à nouveau à Secure Hub, ils peuvent continuer à exécuter l’application.
Les utilisateurs sont invités à se connecter 30, 15 et 5 minutes avant l’expiration de la période. Après expiration, l’application est verrouillée jusqu’à ce que les utilisateurs se connectent. La valeur par défaut est 72 heures (3 jours). La période minimale est de 1 heure.
Remarque :
Gardez à l’esprit que dans un scénario où les utilisateurs voyagent souvent et peuvent utiliser l’itinérance internationale, la valeur par défaut de 72 heures (3 jours) pourrait être trop courte.
Expiration du ticket de services d’arrière-plan : La période pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Lorsque Secure Mail se connecte via Citrix Gateway à un serveur Exchange exécutant ActiveSync, XenMobile émet un jeton que Secure Mail utilise pour se connecter au serveur Exchange interne. Ce paramètre de propriété détermine la durée pendant laquelle Secure Mail peut utiliser le jeton sans nécessiter un nouveau jeton pour l’authentification et la connexion au serveur Exchange. Lorsque le délai expire, les utilisateurs doivent se reconnecter pour générer un nouveau jeton. La valeur par défaut est 168 heures (7 jours). Lorsque ce délai expire, les notifications par e-mail cessent.
Période de grâce requise pour la session en ligne : Détermine le nombre de minutes pendant lesquelles un utilisateur peut utiliser l’application hors ligne avant que la stratégie Session en ligne requise ne l’empêche de l’utiliser davantage (jusqu’à ce que la session en ligne soit validée). La valeur par défaut est 0 (aucune période de grâce).
Pour plus d’informations sur les stratégies d’authentification, consultez :
- Si vous utilisez le SDK MAM : Présentation du SDK MAM
- Si vous utilisez le kit d’outils MDX : Stratégies MDX pour iOS et Stratégies MDX pour Android
Propriétés du client XenMobile
Remarque :
Les propriétés du client sont un paramètre global qui s’applique à tous les appareils connectés à XenMobile.
Code PIN Citrix : Pour une expérience de connexion simplifiée, vous pouvez choisir d’activer le code PIN Citrix. Avec le code PIN, les utilisateurs n’ont pas à saisir leurs informations d’identification à plusieurs reprises, telles que leurs noms d’utilisateur et mots de passe Active Directory. Vous pouvez configurer le code PIN Citrix comme une authentification hors ligne autonome uniquement, ou combiner le code PIN avec la mise en cache du mot de passe Active Directory pour rationaliser l’authentification et optimiser la convivialité. Vous configurez le code PIN Citrix dans Paramètres > Client > Propriétés du client dans la console XenMobile.
Voici un résumé de quelques propriétés importantes. Pour plus d’informations, consultez Propriétés du client.
ENABLE_PASSCODE_AUTH
Nom d’affichage : Activer l’authentification par code PIN Citrix
Cette clé vous permet d’activer la fonctionnalité de code PIN Citrix. Avec le code PIN ou le code secret Citrix, les utilisateurs sont invités à définir un code PIN à utiliser à la place de leur mot de passe Active Directory. Vous devez activer ce paramètre si ENABLE_PASSWORD_CACHING est activé ou si XenMobile utilise l’authentification par certificat.
Valeurs possibles : true ou false
Valeur par défaut : false
ENABLE_PASSWORD_CACHING
Nom d’affichage : Activer la mise en cache du mot de passe utilisateur
Cette clé vous permet d’autoriser la mise en cache locale du mot de passe Active Directory des utilisateurs sur l’appareil mobile. Lorsque vous définissez cette clé sur true, les utilisateurs sont invités à définir un code PIN ou un code secret Citrix. La clé ENABLE_PASSCODE_AUTH doit être définie sur true lorsque vous définissez cette clé sur true.
Valeurs possibles : true ou false
Valeur par défaut : false
PASSCODE_STRENGTH
Nom d’affichage : Exigence de force du code PIN
Cette clé définit la force du code PIN ou du code secret Citrix. Lorsque vous modifiez ce paramètre, les utilisateurs sont invités à définir un nouveau code PIN ou code secret Citrix la prochaine fois qu’ils sont invités à s’authentifier.
Valeurs possibles : Faible, Moyenne ou Forte
Valeur par défaut : Moyenne
INACTIVITY_TIMER
Nom d’affichage : Délai d’inactivité
Cette clé définit le temps en minutes pendant lequel les utilisateurs peuvent laisser leurs appareils inactifs, puis accéder à une application sans être invités à saisir un code PIN ou un code secret Citrix. Pour activer ce paramètre pour une application MDX, vous devez définir le paramètre Code secret de l’application sur Activé. Si le paramètre Code secret de l’application est défini sur Désactivé, les utilisateurs sont redirigés vers Secure Hub pour effectuer une authentification complète. Lorsque vous modifiez ce paramètre, la valeur prend effet la prochaine fois que les utilisateurs sont invités à s’authentifier. La valeur par défaut est 15 minutes.
ENABLE_TOUCH_ID_AUTH
Nom d’affichage : Activer l’authentification Touch ID
Permet l’utilisation du lecteur d’empreintes digitales (sur iOS uniquement) pour l’authentification hors ligne. L’authentification en ligne nécessite toujours la méthode d’authentification principale.
ENCRYPT_SECRETS_USING_PASSCODE
Nom d’affichage : Chiffrer les secrets à l’aide du code secret
Cette clé permet de stocker les données sensibles sur l’appareil mobile dans un coffre-fort secret au lieu d’un magasin natif basé sur la plateforme, tel que le trousseau iOS. Cette clé de configuration permet un chiffrement fort des artefacts clés, mais ajoute également de l’entropie utilisateur (un code PIN aléatoire généré par l’utilisateur que seul l’utilisateur connaît).
Valeurs possibles : vrai ou faux
Valeur par défaut : faux
Paramètres Citrix ADC
Délai d’expiration de session : Si vous activez ce paramètre, Citrix Gateway déconnecte la session si Citrix ADC ne détecte aucune activité réseau pendant l’intervalle spécifié. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in Citrix Gateway, Citrix Receiver™, Secure Hub ou via un navigateur web. La valeur par défaut est de 1440 minutes. Si vous définissez cette valeur sur zéro, le paramètre est désactivé.
Délai d’expiration forcé : Si vous activez ce paramètre, Citrix Gateway déconnecte la session une fois l’intervalle de délai d’expiration écoulé, quelle que soit l’activité de l’utilisateur. Lorsque l’intervalle de délai d’expiration est écoulé, l’utilisateur ne peut prendre aucune mesure pour empêcher la déconnexion. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in Citrix Gateway, Citrix Receiver, Secure Hub ou via un navigateur web. Si Secure Mail utilise STA, un mode spécial de Citrix ADC, le paramètre Délai d’expiration forcé ne s’applique pas aux sessions Secure Mail. La valeur par défaut est de 1440 minutes. Si vous laissez cette valeur vide, le paramètre est désactivé.
Pour plus d’informations sur les paramètres de délai d’expiration dans Citrix Gateway, consultez la documentation Citrix ADC.
Pour plus d’informations sur les scénarios qui invitent les utilisateurs à s’authentifier auprès de XenMobile en saisissant des informations d’identification sur leurs appareils, consultez Scénarios d’invite d’authentification.
Paramètres de configuration par défaut
Ces paramètres sont les valeurs par défaut fournies par :
- NetScaler® pour l’assistant XenMobile
- Le SDK MAM ou le kit d’outils MDX
- La console XenMobile
| Paramètre | Où trouver le paramètre | Paramètre par défaut |
|---|---|---|
| Délai d’expiration de session | Citrix Gateway | 1440 minutes |
| Délai d’expiration forcé | Citrix Gateway | 1440 minutes |
| Période hors ligne maximale | Stratégies MDX | 72 heures |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures (7 jours) |
| Session en ligne requise | Stratégies MDX | Désactivé |
| Période de grâce pour session en ligne requise | Stratégies MDX | 0 |
| Code d’accès de l’application | Stratégies MDX | Activé |
| Chiffrer les secrets à l’aide du code d’accès | Propriétés du client XenMobile | faux |
| Activer l’authentification par code PIN Citrix | Propriétés du client XenMobile | faux |
| Exigence de force du code PIN | Propriétés du client XenMobile | Moyen |
| Type de code PIN | Propriétés du client XenMobile | Numérique |
| Activer la mise en cache du mot de passe utilisateur | Propriétés du client XenMobile | faux |
| Minuteur d’inactivité | Propriétés du client XenMobile | 15 |
| Activer l’authentification Touch ID | Propriétés du client XenMobile | faux |
Configurations recommandées
Cette section présente des exemples de trois configurations XenMobile allant du niveau de sécurité le plus bas et de l’expérience utilisateur optimale au niveau de sécurité le plus élevé et à l’expérience utilisateur plus intrusive. Ces exemples doivent vous fournir des points de référence utiles pour déterminer où vous souhaitez placer votre propre configuration sur l’échelle. La modification de ces paramètres peut également nécessiter la modification d’autres paramètres. Par exemple, la période hors ligne maximale doit toujours être inférieure au délai d’expiration de session.
Sécurité la plus élevée
Cette configuration offre le plus haut niveau de sécurité, mais présente des compromis significatifs en matière de convivialité.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
| Délai d’expiration de session | Citrix Gateway | 1440 | Les utilisateurs saisissent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise, toutes les 24 heures. |
| Délai d’expiration forcé | Citrix Gateway | 1440 | L’authentification en ligne est strictement requise toutes les 24 heures. L’activité ne prolonge pas la durée de vie de la session. |
| Période hors ligne maximale | Stratégies MDX | 23 | Nécessite un rafraîchissement de la stratégie tous les jours. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 72 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, rendre le délai d’expiration STA plus long que le délai d’expiration de session évite que les notifications de courrier ne s’arrêtent sans inviter l’utilisateur s’il n’ouvre pas l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Garantit une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce pour session en ligne requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code d’accès de l’application | Stratégies MDX | Activé | Exiger un code d’accès pour l’application. |
| Chiffrer les secrets à l’aide du code d’accès | Propriétés du client XenMobile | vrai | Une clé dérivée de l’entropie de l’utilisateur protège le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client XenMobile | vrai | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client XenMobile | Fort | Exigences de complexité de mot de passe élevées. |
| Type de code PIN | Propriétés du client XenMobile | Alphanumérique | Le code PIN est une séquence alphanumérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | faux | Le mot de passe Active Directory n’est pas mis en cache et le code PIN Citrix est utilisé pour les authentifications hors ligne. |
| Minuteur d’inactivité | Propriétés du client XenMobile | 15 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, une invite d’authentification hors ligne s’affiche. |
| Activer l’authentification Touch ID | Propriétés du client XenMobile | faux | Désactive Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Sécurité plus élevée
Une approche plus modérée, cette configuration exige que les utilisateurs s’authentifient plus souvent — tous les 3 jours, au maximum, au lieu de 7 — et une sécurité renforcée. Le nombre accru d’authentifications verrouille le conteneur plus souvent, garantissant la sécurité des données lorsque les appareils ne sont pas utilisés.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
| Délai d’expiration de session | Citrix Gateway | 4320 | Les utilisateurs saisissent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise, tous les 3 jours. |
| Délai d’expiration forcé | Citrix Gateway | Aucune valeur | Les sessions sont prolongées s’il y a une activité. |
| Période hors ligne maximale | Stratégies MDX | 71 | Nécessite un rafraîchissement de la stratégie tous les 3 jours. La différence d’une heure permet un rafraîchissement avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, rendre le délai d’expiration STA plus long que le délai d’expiration de session évite que les notifications de courrier ne s’arrêtent sans inviter l’utilisateur s’il n’ouvre pas l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Garantit une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce pour session en ligne requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code d’accès de l’application | Stratégies MDX | Activé | Exiger un code d’accès pour l’application. |
| Chiffrer les secrets à l’aide du code d’accès | Propriétés du client XenMobile | faux | Ne nécessite pas l’entropie de l’utilisateur pour chiffrer le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client XenMobile | vrai | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client XenMobile | Moyen | Applique des règles de complexité de mot de passe moyennes. |
| Type de code PIN | Propriétés du client XenMobile | Numérique | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | vrai | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Minuteur d’inactivité | Propriétés du client XenMobile | 30 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, une invite d’authentification hors ligne s’affiche. |
| Activer l’authentification Touch ID | Propriétés du client XenMobile | vrai | Active Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Sécurité élevée
Cette configuration, la plus pratique pour les utilisateurs, offre un niveau de sécurité de base.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
| Délai d’expiration de session | Citrix Gateway | 10080 | Les utilisateurs saisissent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise, tous les 7 jours. |
| Délai d’expiration forcé | Citrix Gateway | Aucune valeur | Les sessions sont prolongées s’il y a une activité. |
| Période hors ligne maximale | Stratégies MDX | 167 | Nécessite un rafraîchissement de la stratégie chaque semaine (tous les 7 jours). La différence d’une heure permet un rafraîchissement avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 240 | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, rendre le délai d’expiration STA plus long que le délai d’expiration de session évite que les notifications de courrier ne s’arrêtent sans inviter l’utilisateur s’il n’ouvre pas l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Garantit une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce pour session en ligne requise | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code d’accès de l’application | Stratégies MDX | Activé | Exiger un code d’accès pour l’application. |
| Chiffrer les secrets à l’aide du code d’accès | Propriétés du client XenMobile | faux | Ne nécessite pas l’entropie de l’utilisateur pour chiffrer le coffre-fort. |
| Activer l’authentification par code PIN Citrix | Propriétés du client XenMobile | vrai | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| Exigence de force du code PIN | Propriétés du client XenMobile | Faible | Aucune exigence de complexité de mot de passe. |
| Type de code PIN | Propriétés du client XenMobile | Numérique | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | vrai | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Minuteur d’inactivité | Propriétés du client XenMobile | 90 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, une invite d’authentification hors ligne s’affiche. |
| Activer l’authentification Touch ID | Propriétés du client XenMobile | vrai | Active Touch ID pour les cas d’utilisation d’authentification hors ligne sous iOS. |
Utilisation de l’authentification par élévation de privilèges
Certaines applications peuvent nécessiter une authentification améliorée (par exemple, un facteur d’authentification secondaire, tel qu’un jeton ou des délais d’expiration de session agressifs). Vous contrôlez cette méthode d’authentification via une stratégie MDX. La méthode nécessite également un serveur virtuel distinct pour contrôler les méthodes d’authentification (sur le même ou sur des appliances Citrix ADC distinctes).
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
|---|---|---|---|
| Citrix Gateway alternatif | Stratégies MDX | Nécessite le FQDN et le port de l’appliance Citrix ADC secondaire. | Permet une authentification améliorée contrôlée par les stratégies d’authentification et de session de l’appliance Citrix ADC secondaire. |
Si un utilisateur ouvre une application qui se connecte à l’instance Citrix Gateway alternative, toutes les autres applications utilisent cette instance Citrix Gateway pour communiquer avec le réseau interne. La session ne revient à l’instance Citrix Gateway de sécurité inférieure que lorsque la session expire de l’instance Citrix Gateway avec une sécurité améliorée.
Utilisation de la session en ligne requise
Pour certaines applications, telles que Secure Web, vous pouvez vouloir vous assurer que les utilisateurs n’exécutent une application que lorsqu’ils ont une session authentifiée et que l’appareil est connecté à un réseau. Cette stratégie applique cette option et permet une période de grâce afin que les utilisateurs puissent terminer leur travail.
| Paramètre | Où trouver le paramètre | Paramètre recommandé | Impact sur le comportement |
|---|---|---|---|
| Session en ligne requise | Stratégies MDX | Activé | Garantit que l’appareil est en ligne et dispose d’un jeton d’authentification valide. |
| Période de grâce pour session en ligne requise | Stratégies MDX | 15 | Accorde une période de grâce de 15 minutes avant que l’utilisateur ne puisse plus utiliser les applications. |