Authentification
Dans un déploiement XenMobile, plusieurs considérations entrent en jeu lorsque vous choisissez la manière de configurer l’authentification. Cette section vous aide à comprendre les différents facteurs qui affectent l’authentification en discutant des éléments suivants :
- Principales stratégies MDX, propriétés du client XenMobile et paramètres Citrix Gateway impliqués dans l’authentification
- Interaction des stratégies, des propriétés client et des paramètres
- Compromis de chaque choix
Cet article contient également trois exemples de configurations recommandées pour augmenter le niveau de sécurité.
D’une manière générale, une sécurité renforcée entraîne une expérience utilisateur moins optimale, car les utilisateurs doivent s’authentifier plus souvent. La façon dont vous conciliez ces préoccupations dépend des besoins et des priorités de votre organisation. En examinant les trois configurations recommandées, vous devriez mieux comprendre l’interaction entre les mesures d’authentification disponibles et la meilleure façon de déployer votre propre environnement XenMobile.
Modes d’authentification
Authentification en ligne : permet aux utilisateurs d’accéder au réseau XenMobile. Nécessite une connexion Internet.
Authentification hors connexion : se produit sur l’appareil. Les utilisateurs déverrouillent un coffre sécurisé et disposent d’un accès hors connexion à des éléments, tels que le courrier téléchargé, les sites Web mis en cache et les notes.
Méthodes d’authentification
Facteur unique
LDAP : vous pouvez configurer une connexion dans XenMobile à un ou plusieurs annuaires, tels que Active Directory, qui sont compatibles avec le protocole LDAP (Lightweight Directory Access Protocol). Cette méthode est couramment utilisée pour fournir une authentification unique (SSO) aux environnements d’entreprise. Vous pouvez choisir le code PIN Citrix avec la mise en cache du mot de passe Active Directory pour améliorer l’expérience utilisateur avec LDAP tout en assurant la sécurité des mots de passe complexes lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.
Pour de plus amples informations, consultez la section Domaine ou domaine + STA.
Certificat client : XenMobile peut s’intégrer aux autorités de certification standard pour utiliser les certificats comme seule méthode d’authentification en ligne. XenMobile fournit ce certificat après l’inscription de l’utilisateur, ce qui nécessite un mot de passe à usage unique, une URL d’invitation ou des informations d’identification LDAP. Lorsque vous utilisez un certificat client comme méthode d’authentification principale, un code PIN Citrix est requis dans les environnements de certificat client uniquement pour sécuriser le certificat sur l’appareil.
XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, XenMobile utilise Citrix ADC pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous souhaitez configurer le paramètre Liste de révocation de certificats (CRL) Citrix ADC, Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. XenMobile émet un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.
Pour afficher un diagramme indiquant le déploiement requis si vous envisagez d’utiliser l’authentification par certificat pour les utilisateurs ou si vous devez utiliser votre autorité de certification d’entreprise pour émettre des certificats d’appareil, consultez l’article Architecture de référence pour les déploiements sur site.
Deux facteurs
LDAP + Certificat client : dans l’environnement XenMobile, cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur. Vous disposez des meilleures solutions d’authentification unique (SSO) couplées à une sécurité assurée par l’authentification à deux facteurs sur Citrix ADC. L’utilisation de LDAP et de certificats clients assure la sécurité à l’aide d’informations déjà connues des utilisateurs (leurs mots de passe Active Directory) et de composants dont ils disposent déjà (les certificats clients sur leurs appareils). Secure Mail (et certaines autres applications de productivité mobiles) peut offrir et configurer automatiquement une première expérience d’utilisation des plus simples grâce à l’authentification du certificat client. Il faut pour cela qu’un environnement de serveur d’accès au client Exchange soit correctement configuré. Pour une utilisabilité optimale, vous pouvez combiner cette option avec le code PIN Citrix et la mise en cache du mot de passe Active Directory.
LDAP + jeton : il s’agit de la configuration classique des informations d’identification LDAP plus un mot de passe à usage unique, via le protocole RADIUS. Pour une utilisabilité optimale, vous pouvez combiner cette option avec le code PIN Citrix et la mise en cache du mot de passe Active Directory.
Stratégies, paramètres et propriétés client clés liés à l’authentification
Les stratégies, paramètres et propriétés client suivants entrent en jeu avec les trois configurations recommandées suivantes :
Stratégies MDX
Code secret d’application : si cette option est définie sur Activé, un code PIN ou un code secret Citrix est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.
Pour configurer le délai d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans Propriétés du client sur l’onglet Paramètres. La valeur par défaut est 15 minutes. Pour désactiver le délai d’inactivité, de façon à ce qu’une invite de saisie du code PIN ou du code secret invite s’affiche uniquement lorsque l’application démarre, définissez la valeur sur zéro.
Remarque :
si vous sélectionnez Secure offline pour la stratégie Encryption keys, cette stratégie est automatiquement activée.
Session en ligne requise : si cette option est définie sur Activé, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active. Si cette option est définie sur Désactivé, aucune session active n’est requise pour accéder à l’application sur l’appareil. La valeur par défaut est Off.
Période hors connexion maximale (heures) : définit la durée maximale pendant laquelle une application peut s’exécuter sans avoir à reconfirmer les identifiants liés à l’application ni à actualiser les stratégies de XenMobile. Lorsque vous définissez la période hors connexion maximale, si Secure Hub pour iOS dispose d’un jeton Citrix Gateway valide, l’application récupère les nouvelles stratégies des applications MDX depuis XenMobile sans aucune interruption pour les utilisateurs. Si Secure Hub ne dispose pas d’un jeton Citrix ADC valide, les utilisateurs doivent s’authentifier via Secure Hub pour que les stratégies applicatives soient mises à jour. Le jeton Citrix ADC peut devenir non valide en cas d’absence d’activité dans la session Citrix Gateway ou de l’application d’une stratégie d’expiration de session. Lorsque les utilisateurs se connectent de nouveau à Secure Hub, ils peuvent continuer à exécuter l’application.
Les utilisateurs sont invités à se connecter 30, 15 et 5 minutes avant l’expiration de ce délai. Après expiration, l’application est bloquée jusqu’à ce que les utilisateurs se connectent. La valeur par défaut est 72 heures (3 jours). La période minimale est 1 heure.
Remarque :
N’oubliez pas que dans un scénario dans lequel les utilisateurs voyagent souvent et peuvent utiliser l’itinérance internationale, la valeur par défaut de 72 heures (3 jours) peut être trop courte.
Expiration du ticket des services d’arrière-plan : durée pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Lorsque Secure Mail se connecte au travers de Citrix Gateway à un serveur Exchange exécutant ActiveSync, XenMobile délivre un jeton que Secure Mail utilise pour se connecter au serveur Exchange interne. Ce paramètre de propriété détermine la durée pendant laquelle Secure Mail peut utiliser le jeton sans requérir de nouveau jeton pour l’authentification et la connexion au serveur Exchange. Lorsque la limite de temps expire, les utilisateurs doivent ouvrir une session à nouveau pour générer un nouveau jeton. La valeur par défaut est 168 heures (7 jours). Lorsque ce délai expire, les notifications par e-mail sont interrompues.
Période de grâce requise pour la session en ligne : détermine le nombre de minutes pendant lesquelles un utilisateur peut utiliser l’application hors ligne avant que la stratégie Session en ligne requise n’empêche son utilisation (jusqu’à ce que la session en ligne soit validée). La valeur par défaut est 0 (pas de période de grâce).
Pour plus d’informations sur les stratégies d’authentification, consultez
- Si vous utilisez le SDK MAM : Présentation du SDK MAM
- Si vous utilisez le MDX Toolkit : stratégies MDX pour iOS et stratégies MDX pour Android
Propriétés du client XenMobile
Remarque :
Les propriétés du client sont un paramètre global qui s’applique à tous les appareils qui se connectent à XenMobile.
Code PIN Citrix : pour une expérience de connexion simple, vous pouvez choisir d’activer le code PIN Citrix. Avec le code PIN, les utilisateurs n’ont pas besoin d’entrer d’autres informations d’identification de manière répétée, telles que leurs noms d’utilisateur et mots de passe Active Directory. Vous pouvez configurer le code PIN Citrix en tant qu’authentification hors connexion autonome uniquement, ou associer le code PIN avec la mise en cache du mot de passe Active Directory pour simplifier l’authentification pour une utilisabilité optimale. Vous pouvez configurer le code PIN Citrix dans Paramètres > Client > Propriétés du client dans la console XenMobile.
Vous trouverez ci-dessous un récapitulatif des propriétés les plus importantes. Pour de plus amples informations, consultez la section Propriétés du client.
ENABLE_PASSCODE_AUTH
Nom d’affichage : Enable Citrix PIN Authentication (Activer l’authentification du code PIN Citrix)
Cette clé permet d’activer la fonctionnalité de code PIN Citrix. Avec le code PIN ou code secret Citrix, les utilisateurs sont invités à définir un code PIN à utiliser à la place de leur mot de passe Active Directory. Vous devez activer ce paramètre si ENABLE_PASSWORD_CACHING est activé ou si XenMobile utilise l’authentification par certificat.
Valeurs possibles : true ou false
Valeur par défaut : False
ENABLE_PASSWORD_CACHING
Nom d’affichage : Enable User Password Caching (Activer la mise en cache du mot de passe de l’utilisateur)
Cette clé vous permet d’autoriser la mise en cache locale du mot de passe Active Directory de l’utilisateur sur l’appareil mobile. Lorsque vous définissez cette clé sur true, les utilisateurs sont invités à créer un code PIN ou code secret Citrix. La clé ENABLE_PASSCODE_AUTH doit être définie sur true lorsque vous définissez cette clé sur true.
Valeurs possibles : true ou false
Valeur par défaut : False
PASSCODE_STRENGTH
Nom d’affichage : PIN Strength Requirement (Exigences en matière de sûreté du code PIN)
Cette clé définit le niveau de sécurité du code PIN ou du code secret Citrix. Lorsque vous modifiez ce paramètre, les utilisateurs sont invités à définir un nouveau code PIN ou code secret Citrix la prochaine fois qu’ils sont invités à s’authentifier.
Valeurs possibles : Low, Medium ou Strong
Valeur par défaut : Medium
INACTIVITY_TIMER
Nom d’affichage : Inactivity Timer (Délai d’inactivité)
Cette clé définit la durée en minutes pendant laquelle les utilisateurs peuvent laisser leurs appareils inactifs et accéder à une application sans être invité à entrer un code PIN ou code secret Citrix. Pour activer ce paramètre pour une application MDX, vous devez définir le paramètre Code secret d’application sur Activé. Si le paramètre Code secret d’application est défini sur Désactivé, les utilisateurs sont redirigés vers Secure Hub pour effectuer une authentification complète. Lorsque vous modifiez ce paramètre, la valeur prend effet la prochaine fois que les utilisateurs sont invités à s’authentifier. La valeur par défaut est 15 minutes.
ENABLE_TOUCH_ID_AUTH
Nom d’affichage : Enable Touch ID Authentication (Activer l’authentification TouchID)
Permet l’utilisation du lecteur d’empreintes digitales (dans iOS uniquement) pour l’authentification hors connexion. L’authentification en ligne nécessite toujours la méthode d’authentification principale.
ENCRYPT_SECRETS_USING_PASSCODE
Nom d’affichage : Encrypt secrets using Passcode (Chiffrer les secrets à l’aide d’un code secret)
Cette clé permet de stocker les données sensibles sur l’appareil mobile dans un coffre sécurisé plutôt que dans un magasin natif basé sur la plate-forme, tel que le trousseau iOS Cette clé de configuration permet un cryptage renforcé des artefacts clés, mais ajoute également une entropie utilisateur (un code PIN généré de manière aléatoire connu uniquement de l’utilisateur).
Valeurs possibles : true ou false
Valeur par défaut : False
Paramètres de Citrix ADC
Session time-out : si vous activez ce paramètre, Citrix Gateway déconnecte la session si Citrix ADC ne détecte aucune activité réseau pour l’intervalle spécifié. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in Citrix Gateway, Citrix Receiver, Secure Hub ou via un navigateur Web. La valeur par défaut est 1440 minutes. Si vous passez cette valeur à 0, ce paramètre est désactivé.
Force time-out : si vous activez ce paramètre, Citrix Gateway déconnecte la session une fois ce délai expiré, quelle que soit l’activité de l’utilisateur à ce moment. Une fois ce délai expiré, l’utilisateur ne peut rien faire pour empêcher cette déconnexion. Ce paramètre est appliqué aux utilisateurs qui se connectent avec le plug-in Citrix Gateway, Citrix Receiver, Secure Hub ou via un navigateur Web. Si Secure Mail utilise STA, un mode Citrix ADC spécial, le paramètre Force time-out ne s’applique pas aux sessions de Secure Mail. La valeur par défaut est 1440 minutes. Si vous laissez cette valeur vide, le paramètre est désactivé.
Pour plus d’informations sur la configuration des paramètres de délai d’expiration dans Citrix Gateway, veuillez consulter la documentation relative à Citrix ADC.
Pour plus d’informations sur les scénarios qui invitent les utilisateurs à s’authentifier auprès de XenMobile en entrant des informations d’identification sur leurs appareils, consultez Scénarios d’invite d’authentification.
Paramètres de configuration par défaut
Ces paramètres sont les paramètres par défaut fournis par :
- Assistant NetScaler pour XenMobile
- SDK MAM ou MDX Toolkit
- Console XenMobile
| Paramètre | Où trouver le paramètre | Paramètre par défaut |
|---|---|---|
| Session time-out | Citrix Gateway | 1440 minutes |
| Force time-out | Citrix Gateway | 1440 minutes |
| Période hors connexion maximale | Stratégies MDX | 72 heures |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures (7 jours) |
| Session en ligne requise | Stratégies MDX | Désactivé |
| Période de grâce requise pour la session en ligne | Stratégies MDX | 0 |
| Code secret d’application | Stratégies MDX | On |
| Encrypt secrets using passcode | Propriétés du client XenMobile | false |
| Enable Citrix PIN Authentication | Propriétés du client XenMobile | false |
| PIN Strength Requirement | Propriétés du client XenMobile | Moyen |
| Type de code PIN | Propriétés du client XenMobile | Numeric |
| Enable User Password Caching | Propriétés du client XenMobile | false |
| Inactivity Timer | Propriétés du client XenMobile | 15 |
| Enable Touch ID Authentication | Propriétés du client XenMobile | false |
Configurations recommandées
Cette section présente des exemples de trois configurations XenMobile allant de la sécurité la plus faible à une expérience utilisateur optimale, en passant par la sécurité la plus élevée et une expérience utilisateur plus intrusive. Ces exemples doivent fournir des points de référence utiles pour déterminer où sur l’échelle vous souhaitez placer votre propre configuration. La modification de ces paramètres peut vous obliger à modifier d’autres paramètres. Par exemple, la période hors connexion maximale doit toujours être inférieure au délai d’expiration de la session.
Sécurité la plus élevée
Cette configuration offre le plus haut niveau de sécurité mais comporte des compromis importants en termes d’utilisabilité.
| Paramètre | Où trouver le paramètre | Réglage recommandé | Impact du comportement |
| Session time-out | Citrix Gateway | 1440 | Les utilisateurs entrent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise : toutes les 24 heures. |
| Force time-out | Citrix Gateway | 1440 | L’authentification en ligne est strictement requise toutes les 24 heures. L’activité ne prolonge pas la durée de la session. |
| Période hors connexion maximale | Stratégies MDX | 23 | Nécessite une actualisation de la stratégie tous les jours. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 72 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, un délai d’expiration STA plus long que le délai d’expiration de la session évite que les notifications par e-mail s’arrêtent sans que l’utilisateur ne soit invité à ouvrir l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Assure une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce requise pour la session en ligne | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code secret d’application | Stratégies MDX | On | Exige un code secret pour une application. |
| Encrypt secrets using passcode | Propriétés du client XenMobile | true | Une clé dérivée de l’entropie utilisateur protège le coffre. |
| Enable Citrix PIN Authentication | Propriétés du client XenMobile | true | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| PIN Strength Requirement | Propriétés du client XenMobile | Forte | Exigence de complexité pour le mot de passe élevée |
| Type de code PIN | Propriétés du client XenMobile | Alphanumérique | Le code PIN est une séquence alphanumérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | false | Le mot de passe Active Directory n’est pas mis en cache et le code PIN Citrix est utilisé pour les authentifications hors connexion. |
| Inactivity Timer | Propriétés du client XenMobile | 15 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, demandez une authentification hors connexion. |
| Enable Touch ID Authentication | Propriétés du client XenMobile | false | Désactive Touch ID pour les cas d’utilisation d’authentification hors connexion dans iOS. |
Sécurité plus élevée
Cette configuration, une approche intermédiaire, nécessite que les utilisateurs s’authentifient plus souvent, tous les 3 jours au plus, au lieu de 7, augmentant ainsi le niveau de sécurité. L’augmentation du nombre d’authentifications permet de verrouiller le conteneur plus souvent, assurant la sécurité des données lorsque les appareils ne sont pas utilisés.
| Paramètre | Où trouver le paramètre | Réglage recommandé | Impact du comportement |
| Session time-out | Citrix Gateway | 4320 | Les utilisateurs entrent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise : tous les 3 jours. |
| Force time-out | Citrix Gateway | Aucune valeur | Les sessions sont prolongées pour toute activité. |
| Période hors connexion maximale | Stratégies MDX | 71 | Nécessite une actualisation de la stratégie tous les 3 jours. La différence d’heure est pour permettre une actualisation avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 168 heures | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, un délai d’expiration STA plus long que le délai d’expiration de la session évite que les notifications par e-mail s’arrêtent sans que l’utilisateur ne soit invité à ouvrir l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Assure une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce requise pour la session en ligne | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code secret d’application | Stratégies MDX | On | Exige un code secret pour une application. |
| Encrypt secrets using passcode | Propriétés du client XenMobile | false | Ne nécessite pas d’entropie utilisateur pour crypter le coffre. |
| Enable Citrix PIN Authentication | Propriétés du client XenMobile | true | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| PIN Strength Requirement | Propriétés du client XenMobile | Moyen | Applique des règles de complexité de mot de passe moyennes. |
| Type de code PIN | Propriétés du client XenMobile | Numeric | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | true | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Inactivity Timer | Propriétés du client XenMobile | 30 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, demandez une authentification hors connexion. |
| Enable Touch ID Authentication | Propriétés du client XenMobile | true | Active Touch ID pour les cas d’utilisation d’authentification hors connexion dans iOS. |
Haute sécurité
Cette configuration, la plus pratique pour les utilisateurs, fournit une sécurité de base.
| Paramètre | Où trouver le paramètre | Réglage recommandé | Impact du comportement |
| Session time-out | Citrix Gateway | 10080 | Les utilisateurs entrent leurs informations d’identification Secure Hub uniquement lorsqu’une authentification en ligne est requise : tous les 7 jours. |
| Force time-out | Citrix Gateway | Aucune valeur | Les sessions sont prolongées pour toute activité. |
| Période hors connexion maximale | Stratégies MDX | 167 | Nécessite une actualisation de la stratégie chaque semaine (tous les 7 jours). La différence d’heure est pour permettre une actualisation avant l’expiration de la session. |
| Expiration du ticket des services d’arrière-plan | Stratégies MDX | 240 | Délai d’expiration pour STA, ce qui permet des sessions de longue durée sans jeton de session Citrix Gateway. Dans le cas de Secure Mail, un délai d’expiration STA plus long que le délai d’expiration de la session évite que les notifications par e-mail s’arrêtent sans que l’utilisateur ne soit invité à ouvrir l’application avant l’expiration de la session. |
| Session en ligne requise | Stratégies MDX | Désactivé | Assure une connexion réseau valide et une session Citrix Gateway pour utiliser les applications. |
| Période de grâce requise pour la session en ligne | Stratégies MDX | 0 | Aucune période de grâce (si vous avez activé la session en ligne requise). |
| Code secret d’application | Stratégies MDX | On | Exige un code secret pour une application. |
| Encrypt secrets using passcode | Propriétés du client XenMobile | false | Ne nécessite pas d’entropie utilisateur pour crypter le coffre. |
| Enable Citrix PIN Authentication | Propriétés du client XenMobile | true | Active le code PIN Citrix pour une expérience d’authentification simplifiée. |
| PIN Strength Requirement | Propriétés du client XenMobile | Faible | Aucune exigence de complexité pour le mot de passe |
| Type de code PIN | Propriétés du client XenMobile | Numeric | Un code PIN est une séquence numérique. |
| Activer la mise en cache du mot de passe | Propriétés du client XenMobile | true | Le code PIN de l’utilisateur met en cache et protège le mot de passe Active Directory. |
| Inactivity Timer | Propriétés du client XenMobile | 90 | Si l’utilisateur n’utilise pas les applications MDX ou Secure Hub pendant cette période, demandez une authentification hors connexion. |
| Enable Touch ID Authentication | Propriétés du client XenMobile | true | Active Touch ID pour les cas d’utilisation d’authentification hors connexion dans iOS. |
Utilisation de l’authentification renforcée
Certaines applications peuvent nécessiter une authentification améliorée (par exemple, un facteur d’authentification secondaire, tel qu’un jeton ou des délais d’expiration de session agressifs). Vous contrôlez cette méthode d’authentification via une stratégie MDX. La méthode nécessite également un serveur virtuel distinct pour contrôler les méthodes d’authentification (sur les mêmes appliances ou sur des appliances Citrix ADC distinctes).
| Paramètre | Où trouver le paramètre | Réglage recommandé | Impact du comportement |
|---|---|---|---|
| Citrix Gateway Alternatif | Stratégies MDX | Nécessite le nom de domaine complet et le port de l’appliance Citrix ADC secondaire. | Permet une authentification améliorée contrôlée par les stratégies d’authentification et de session de l’appliance Citrix ADC secondaire. |
Si un utilisateur ouvre une application qui se connecte à l’autre instance Citrix Gateway, toutes les autres applications utilisent cette instance Citrix Gateway pour communiquer avec le réseau interne. La session ne revient à l’instance Citrix Gateway de sécurité inférieure que lorsque la session de l’instance Citrix Gateway avec une sécurité renforcée expire.
Utilisation de Session en ligne requise
Pour certaines applications telles que Secure Web, vous pouvez vous assurer que les utilisateurs n’exécutent une application que lorsqu’ils ont une session authentifiée et que l’appareil est connecté à un réseau. Cette stratégie applique cette option et permet une période de grâce afin que les utilisateurs puissent terminer leur travail.
| Paramètre | Où trouver le paramètre | Réglage recommandé | Impact du comportement |
|---|---|---|---|
| Session en ligne requise | Stratégies MDX | On | S’assure que l’appareil est en ligne et possède un jeton d’authentification valide. |
| Période de grâce requise pour la session en ligne | Stratégies MDX | 15 | Autorise une période de grâce de 15 minutes avant que l’utilisateur ne puisse plus utiliser les applications |