Product Documentation

Authentification unique avec Azure Active Directory

5 juin 2018

XenMobile Service prend en charge l’authentification unique avec les informations d’identification Azure Active Directory dans les scénarios suivants :

  • Inscription utilisateur via Citrix Secure Hub (Android ou iOS)
  • Pour le rôle utilisateur RBAC, authentification auprès du portail en libre-service XenMobile
  • Authentification administrateur auprès de la console XenMobile
  • Pour XenMobile Service, authentification administrateur auprès de l’API publique XenMobile pour les Services REST à l’aide d’un jeton récupéré via l’API Cloud Citrix.
  • Pour de plus amples informations, consultez la section 3.3.2 Login (Cloud Credentials) du PDF XenMobile Public API for REST Services.

XenMobile Service utilise le service Citrix Cloud appelé Plate-forme d’identité Citrix pour se fédérer avec Azure Active Directory. La plate-forme d’identité Citrix est un service de fournisseur d’identité.

Pour configurer ce service, vous devez configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité. Ensuite, configurez Plate-forme d’identité Citrix en tant que type de fournisseur d’identité pour XenMobile Server. Les utilisateurs peuvent ensuite se connecter à Secure Hub avec leurs informations d’identification Azure Active Directory. Secure Hub utilise l’authentification de certificat client pour les appareils MAM.

Citrix recommande d’utiliser Plate-forme d’identité Citrix plutôt qu’une connexion directe à Azure Active Directory.

Prérequis pour l’authentification unique avec Azure Active Directory

  • XenMobile Server configuré en mode MDM, MAM exclusif ou Enterprise
  • NetScaler Gateway, configuré pour l’authentification par certificat
  • Secure Hub 10.7.20 (version minimum)
  • Informations d’identification utilisateur Azure Active Directory

Configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité

Pour configurer Azure Active Directory dans Citrix Cloud :

  1. Accédez à https://citrix.cloud.com et connectez-vous à votre compte Citrix Cloud.

  2. Dans le menu Citrix Cloud, accédez à la page Gestion des identités et des accès et connectez-vous à Azure Active Directory.

    Image de l'écran Citrix Cloud

  3. Entrez votre URL de connexion administrateur, puis cliquez sur Connecter.

    Image de l'écran Citrix Cloud

  4. Une fois que vous vous êtes connecté, votre compte Azure Active Directory se connecte à Citrix Cloud. La page Gestion des identités et des accès > Authentification indique les comptes à utiliser pour vous connecter à vos comptes Citrix Cloud et Azure AD.

    Image de l'écran Citrix Cloud

Configurer Plate-forme d’identité Citrix en tant que type de fournisseur d’identité pour XenMobile Server

Après avoir configuré Azure Active Directory dans Citrix Cloud, configurez XenMobile Server comme suit.

  1. Dans la console XenMobile, accédez à Paramètres > Fournisseur d’identité (IDP), puis cliquez sur Ajouter.

  2. Dans la page Fournisseur d’identité (IDP), configurez les éléments suivants :

    Image de l'écran de configuration IDP

    • Nom IdP : entrez un nom unique pour identifier la connexion de fournisseur d’identité que vous créez.
    • Type de fournisseur d’identité : choisissez Plate-forme d’identité Citrix.
    • Domaine d’authentification : sélectionnez le domaine de Citrix Cloud. Si vous ne savez pas lequel choisir, votre domaine apparaît sur la page Citrix Cloud Gestion des identités et des accès > Authentification.
  3. Cliquez sur Suivant. Dans la page Utilisation des revendications IdP, configurez les éléments suivants :

    Image de l'écran de configuration IDP

    • Type d’identificateur d’utilisateur : ce champ est défini sur userPrincipalName.
    • Chaîne d’identificateur d’utilisateur : ce champ est renseigné automatiquement.
  4. Cliquez sur Suivant, vérifiez la page Résumé, puis cliquez sur Enregistrer.

    Les utilisateurs de Hub Secure, de la console XenMobile et du portail en libre-service peuvent maintenant se connecter avec leurs informations d’identification Azure Active Directory.

Flux de l’authentification administrateur et utilisateur de XenMobile

L’écran de connexion de la console XenMobile et du portail en libre-service XenMobile comprend le lien Se connecter avec mes identifiants d’entreprise.

Image de connexion à XenMobile

Cliquez sur ce lien pour entrer vos informations d’identification Azure Active Directory. Après vous être authentifié avec succès, XenMobile ne vous demande plus de vous connecter pour les accès ultérieurs.

Si vous vous connectez à la console ou au portail en libre-service XenMobile à partir d’appareils joints au domaine, cliquez sur le lien Se connecter avec mes identifiants d’entreprise : XenMobile offre une expérience d’authentification unique. Aucune invite d’authentification n’apparaît.

Flux d’authentification Secure Hub

Une fois que XenMobile est configuré pour utiliser la Plate-forme d’identité Citrix en tant que fournisseur d’identité, le flux de l’authentification de Secure Hub est comme suit pour un appareil qui est inscrit via Secure Hub :

  1. Un utilisateur démarre Secure Hub.
  2. Secure Hub transmet la demande d’authentification à la Plate-forme d’identité Citrix, qui transmet la demande à Azure Active Directory.
  3. L’utilisateur tape son nom d’utilisateur et son mot de passe.
  4. Azure Active Directory valide l’utilisateur et envoie un code à la Plate-forme d’identité Citrix.
  5. La Plate-forme d’identité Citrix envoie le code à Secure Hub, qui envoie le code à XenMobile Server.
  6. XenMobile obtient un jeton d’identification en utilisant le code et le secret, puis valide les informations utilisateur contenues dans le jeton d’identification. XenMobile renvoie un ID de session.

Les utilisateurs d’appareils appartenant au domaine peuvent utiliser leurs informations d’identification Azure Active Directory pour une expérience d’authentification unique. Pour les comptes locaux XenMobile, l’authentification unique n’est pas disponible.