Informations d’identification dérivées

Les informations d’identification dérivées fournissent une authentification forte pour les appareils mobiles. Les informations d’identification, dérivées d’une carte à puce, se trouvent dans un appareil mobile plutôt que sur la carte. La carte à puce est une carte Personal Identity Verification (PIV).

Les informations d’identification dérivées sont un certificat d’inscription qui contient l’identifiant de l’utilisateur, tel qu’un UPN (nom d’utilisateur principal). XenMobile enregistre les informations d’identification obtenues à partir du fournisseur d’informations d’identification dans un coffre sécurisé sur l’appareil.

XenMobile peut utiliser les informations d’identification dérivées pour l’inscription et l’authentification d’appareils. S’il est configuré pour des informations d’identification dérivées, XenMobile ne prend pas en charge les invitations d’inscription ou autres modes d’inscription. Citrix prend en charge l’utilisation d’une application d’informations d’identification dérivées lors de l’inscription d’iOS.

Architecture

Pour l’inscription, XenMobile Server se connecte aux composants, comme illustré dans le diagramme suivant.

Diagramme de l'architecture d'inscription des informations d'identification dérivées

  • Lors de l’inscription d’appareil, Secure Hub obtient les certificats à partir de l’application des informations d’identification dérivées.
  • L’application des informations d’identification dérivées communique avec le serveur de gestion d’informations d’identification lors de l’inscription.
  • Vous pouvez utiliser le même serveur ou un autre serveur comme serveur de gestion d’informations d’identification et un fournisseur PKI tiers.
  • XenMobile Server se connecte à votre serveur PKI tiers pour obtenir les certificats.

Exigences

  • Téléchargez et installez Citrix Secure Hub.
  • En fonction de votre solution d’identifications dérivées, téléchargez et configurez l’application :

    • Pour Entrust Datacard :
      • Téléchargez et installez l’application Citrix Derived Credential Manager sur vos appareils avant de vous inscrire à XenMobile. Derived Credential Manager est l’application de fournisseur d’identités de Citrix. Le logo de cette application est affiché ci-dessous. Image du logo de l'application d'informations d'identification dérivées

        Remarque :

        L’application Citrix Derived Credential Manager prend en charge les nouvelles inscriptions uniquement. Les utilisateurs d’appareil doivent se réinscrire.

      • XenMobile Server version 10.8 ou ultérieure.
      • XenMobile Server doit être configuré pour le mode Enterprise.
    • Autres fournisseurs d’informations d’identification dérivées : S’il est probable que la plupart des autres solutions d’informations d’identification soient compatibles avec XenMobile, testez leur intégration avant de les déployer en production.
  • Doit avoir le certificat racine de l’autorité de certification qui émet des certificats sur le serveur du fournisseur d’informations d’identification. Cette configuration permet à XenMobile d’accepter les certificats signés numériquement lors de l’inscription. Pour de plus amples informations sur l’ajout de certificats, consultez la section Certificats et authentification.
    • Si le domaine de messagerie utilisateur diffère du domaine LDAP, ajoutez le domaine de messagerie dans le paramètre Alias de domaine sous Paramètres > LDAP. Par exemple, si le domaine pour les adresses e-mail est citrix.com et le nom de domaine LDAP est sample.com, définissez Alias de domaine sur sample.com, citrix.com.
    • XenMobile ne prend pas en charge l’utilisation d’informations d’identification dérivées avec les appareils partagés.
  • Certificats d’identité utilisateur :
    • Le nom d’utilisateur dans le champ Autre nom de l’objet doit être formaté en tant que champ otherName, rfc822Name ou dNSName de l’extension SubjectAltName. Les autres champs ne sont pas pris en charge. Pour plus d’informations sur Autre nom de l’objet, veuillez consulter le RFC, https://www.ietf.org/rfc/rfc5280.txt.
    • L’identité utilisateur dans le champ Objet pour E-mail ou CN n’est pas prise en charge.
  • Citrix Gateway configuré pour l’authentification par certificat ou l’authentification par certificat + jeton de sécurité

Activer les informations d’identification dérivées

Par défaut, la console XenMobile n’inclut pas la page Paramètres > Informations d’identification dérivées.

Pour activer l’interface pour les informations d’identification dérivées :

  • Accédez à Paramètres > Propriétés du serveur, ajoutez derived.credentials.enable comme propriété de serveur et définissez la valeur de la propriété sur true.

Image de l'écran de configuration Propriétés du serveur

Configurer les informations d’identification dérivées

Nous supposons que vous disposez d’une configuration qui fonctionne pour le fournisseur d’informations d’identification dérivées que vous prévoyez d’intégrer à XenMobile. Vous pouvez configurer XenMobile pour communiquer avec ce serveur. Vous pouvez également choisir un certificat d’autorité de certification d’informations d’identification dérivées déjà ajouté à XenMobile ou importer le certificat.

Vous pouvez activer la prise en charge du protocole OCSP pour ce certificat d’autorité de certification. Pour plus d’informations sur le protocole OCSP, consultez la section « Autorités de certification discrétionnaire » dans Entités PKI.

  1. Dans la console XenMobile, accédez à Paramètres > Informations d’identification dérivées pour iOS.

  2. Sous Choisir un fournisseur d’informations d’identification dérivées, sélectionnez Autre pour Entrust Datacard. Saisissez dcapp://mode=SecureHub dans le champ URL de l’application (iOS).

    Image de l'écran de configuration Fournisseurs d'identités

  3. Paramètres facultatifs : certains fournisseurs d’informations d’identification dérivées exigent que des paramètres soient spécifiés pour la connexion. Par exemple, un fournisseur peut nécessiter que les adresses URL d’un serveur back-end soient spécifiées. Cliquez sur Ajouter pour fournir des paramètres.

  4. Spécifiez un certificat pour les informations d’identification dérivées : si le certificat est déjà chargé sur XenMobile, choisissez ce certificat depuis AC émettrice. Sinon, cliquez sur Importer pour ajouter un certificat. La boîte de dialogue Importer le certificat apparaît.

  5. Dans la boîte de dialogue Importer le certificat, cliquez sur Parcourir pour accéder à l’emplacement du certificat. Cliquez sur Parcourir pour accéder au fichier de clé privée.

    Image de l'écran de configuration Fournisseurs d'identités

  6. Configurez les paramètres.
    • Pour une application Citrix Derived Credential Manager : définissez Champ d’identificateur d’utilisateur sur Autre nom de l’objet et Type d’identificateur d’utilisateur sur userPrincipalName.
    • Contactez les autres fournisseurs d’informations d’identification dérivées pour obtenir leurs informations.
  7. Vous pouvez également utiliser un répondeur OCSP pour la vérification de révocation de certificat. Citrix recommande d’utiliser un répondeur OCSP pour des raisons de sécurité. Par défaut, la vérification OSP est définie sur Désactivée.

    • Si vous activez la prise en charge OCSP pour le certificat d’autorité de certification, sélectionnez une option pour Utiliser URL OCSP personnalisée. Par défaut, XenMobile récupère l’adresse URL du protocole OCSP depuis le certificat (l’option Utiliser définition du certificat pour la révocation). Pour spécifier une adresse URL de réponse, cliquez sur Utiliser URL personnalisée et entrez l’adresse URL.
    • AC répondeur : dans AC répondeur, choisissez un certificat. Ou, cliquez sur Importer, puis utilisez la boîte de dialogue Importer le certificat pour localiser le certificat.
  8. Cliquez sur Enregistrer. La boîte de dialogue Informations d’identification dérivées s’affiche.

    Image de l'écran de configuration Fournisseurs d'identités

    • Pour activer la configuration des informations d’identification dérivées, cliquez sur Enregistrer. Pour utiliser les informations d’identification dérivées, vous devez également configurer les paramètres d’inscription.

    • Pour activer la configuration des informations d’identification dérivées, puis accéder immédiatement à Paramètres > Inscription, cliquez sur Enregistrer et aller à Inscription.

  9. Pour activer les informations d’identification dérivées pour l’inscription : sur la page Paramètres > Inscription sous Inscription avancée, sélectionnez Informations d’identification dérivées (iOS uniquement), puis cliquez sur Activer.

    Image de l'écran de configuration Inscription

  10. Une boîte de dialogue de confirmation s’affiche. Pour activer les informations d’identification dérivées, sélectionnez la case à cocher et cliquez sur Activer.

    Image de l'écran de configuration Inscription

  11. Pour modifier les options des informations d’identification dérivées pour l’inscription, accédez à la page Paramètres > Inscription, sélectionnez Informations d’identification dérivées (iOS uniquement), puis cliquez sur Modifier.

Après avoir activé les informations d’identification dérivées : dans le rapport Inscription d’appareils, la colonne Mode d’inscription affiche derived_credentials.

Important :

Après avoir ajouté le fournisseur d’informations d’identification dérivées, redémarrez XenMobile Server.

Configurer XenMobile Server pour Secure Mail

Pour que Secure Mail fonctionne avec les informations d’identification dérivées, ajoutez la propriété client Attributs LDAP. Pour plus d’informations sur l’ajout d’une propriété de client, consultez la section Propriétés du client.

Utilisez les informations suivantes pour la propriété de client :

  • Touche : SEND_LDAP_ATTRIBUTES
  • Valeur : userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

Image de l'écran de configuration Propriétés du client

Activation des informations d’identification dérivées d’Entrust Datacard sur les appareils iOS

Remarque :

Lors de l’utilisation du site Web Entrust :

  • Assurez-vous que le navigateur Internet Explorer est activé pour Java, lorsque vous programmez la carte PIV.
  • Effacez le cache du navigateur lorsque vous changez la carte PIV.
  1. Pour demander de nouvelles informations d’identification intelligentes, utilisez un bureau ou un appareil pour vous connecter au site Entrust. Connectez-vous à l’aide du bouton Smart Credential Log In au bas de la page. Les utilisateurs insèrent leur carte à puce dans un lecteur relié à leur bureau.

    Image de la page de connexion Entrust

  2. Dans Self-Administration Actions, sélectionnez I’d like to enroll for a derived mobile smart credential et cliquez sur Done.

    Image des actions d'administration Entrust

  3. Dans l’écran Derived Mobile Smart Credential, indiquez le nom d’identité, Identity Name. L’utilisateur peut choisir un nom unique tel qu’un nom d’utilisateur ou des numéros d’identification.
  4. Sélectionnez Citrix DCAPP dans le menu de l’application des informations d’identification dérivées, puis cliquez sur OK.

    Image des informations d'identification intelligentes mobiles dérivées

    Un écran d’activation de code QR s’affiche et invite l’utilisateur à scanner le code avec son appareil mobile.

    Remarque :

    Par défaut, le code QR d’identification dérivée expire au bout de 3 minutes.

  5. Scannez le code QR à l’aide de l’application Derived Credential Manager sur l’appareil pour terminer l’activation.

    Image de l'activation de code QR des informations d'identification intelligentes mobiles dérivées

Appareils inscrits

Après avoir terminé la configuration décrite plus haut dans cet article, les utilisateurs peuvent inscrire leurs appareils à l’aide des informations d’identification dérivées.

Remarque :

Les captures d’écran de cette section utilisent Entrust Datacard comme exemple.

  1. Touchez pour ouvrir Secure Hub. Lorsque vous y êtes invité, saisissez le nom de domaine complet de XenMobile Server, puis cliquez sur Suivant.
  2. Cliquez sur Oui, inscrire. L’inscription de l’appareil dans Secure Hub démarre.

    Image d'inscription de Secure Hub

    Si XenMobile Server prend en charge les informations d’identification dérivées, Secure Hub invite l’utilisateur à créer et à confirmer un code PIN Citrix.

    Image de la confirmation du code PIN Secure Hub

    Une fois que vous avez confirmé le code PIN Citrix, l’écran de démarrage d’installation des informations d’identification dérivées s’affiche. Suivez les instructions pour activer les informations d’identification intelligentes.

  3. Appuyez sur Scanner le code. La caméra du téléphone mobile s’active.

    Image de l'écran de démarrage

    Remarque :

    Pour numériser le code QR, assurez-vous que votre appareil photo et votre microphone sont activés et qu’ils ont les autorisations d’accès requises.

  4. Dans l’application d’informations d’identification dérivées, scannez le code QR créé lors des étapes précédentes.

    Image du code QR scanné

  5. Une fois que le code QR a été scanné, dans l’écran Importer un nouveau certificat, un mot de passe s’affiche, entrez le mot de passe et cliquez sur OK.

    Image du mot de passe du certificat

    L’écran Importer un nouveau certificat s’affiche avec les champs remplis automatiquement.

    Image du nouveau certificat

  6. Une fois les certificats ajoutés correctement, dans l’écran Informations d’identification dérivées, cliquez sur Continuer vers Secure Hub.

    Image du démarrage de l'inscription

  7. Dans Secure Hub, entrez un nouveau code PIN lorsque vous y êtes invité.

    Après l’authentification du code PIN, Secure Hub télécharge les certificats. Suivez les invites pour terminer l’inscription.

Pour afficher des informations sur l’appareil dans la console XenMobile :

  • Accédez à Gérer > Appareils, puis sélectionnez un appareil pour afficher une zone de commande. Cliquez sur Afficher plus.
  • Accédez à Analyser > Tableau de bord.