Service d’authentification adaptative Citrix
Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace. Le service d’authentification adaptative vérifie l’identité de l’utilisateur et les niveaux d’autorisation en fonction de facteurs tels que l’emplacement, l’état de l’appareil et le contexte de l’utilisateur final. À l’aide de ces facteurs, le service d’authentification adaptative choisit intelligemment les méthodes d’authentification appropriées et permet l’accès aux ressources autorisées.
En outre, un administrateur peut également activer un accès contextuel permettant à ces utilisateurs d’accéder à leurs applications et à leurs postes de travail. Le service d’authentification adaptative peut être utilisé par les clients Citrix Secure Private Access et Citrix DaaS.
Capacités d’authentification avancées
Le service Adaptive Authentication est un ADC géré par Citrix et hébergé sur Citrix Cloud qui fournit toutes les fonctionnalités d’authentification avancées, telles que les suivantes :
Authentification multifacteur : L’authentification multifacteur améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. Les clients peuvent configurer différentes combinaisons de facteurs dans le mécanisme d’authentification multifacteur en fonction des besoins de l’entreprise. Pour plus de détails, voir Exemples de configurations d’authentification.
Analyses de position de l’appareil : les utilisateurs peuvent être authentifiés en fonction de l’état de sécurité de l’appareil L’analyse de l’état de sécurité de l’appareil, également appelée analyse des points de terminaison, vérifie si l’appareil est conforme. Par exemple, si l’appareil exécute la dernière version du système d’exploitation, les Service Packs et les clés de registre sont définis. La conformité à la sécurité implique des analyses pour vérifier si un antivirus est installé ou si le pare-feu est activé, etc. L’état de l’appareil peut également vérifier si l’appareil est géré ou non, s’il appartient à l’entreprise ou s’il est BYOL.
Service Device Posture : le service Device Posture applique les principes Zero Trust sur votre réseau en vérifiant la conformité des appareils finaux avant d’autoriser un utilisateur final à se connecter. Pour utiliser conjointement le service Adaptive Authentication et le service Device Posture, vous pouvez configurer le service Device Posture et continuer à utiliser la méthode d’authentification en tant qu’ authentification adaptative (Citrix Cloud > Identity and Access Management). Pour plus de détails sur le service Device Posture, voir Device Posture.
Remarque :
Si vous configurez la posture de l’appareil avec une authentification adaptative, ne configurez pas de stratégies EPA sur les instances d’authentification adaptative.
Authentification conditionnelle : en fonction des paramètres de l’utilisateur, tels que l’emplacement du réseau, l’état de l’appareil, le groupe d’utilisateurs, l’heure de la journée, l’authentification conditionnelle peut être activée. Vous pouvez utiliser l’un de ces paramètres ou une combinaison de ces paramètres pour effectuer une authentification conditionnelle.
Exemple d’authentification basée sur l’état de sécurité de l’appareil : vous pouvez effectuer une analyse de l’état de l’appareil pour vérifier si l’appareil est géré par l’entreprise ou s’il s’agit d’un appareil BYOD.
- Si l’appareil est un appareil géré par l’entreprise, vous pouvez défier l’utilisateur avec le simple AD (nom d’utilisateur et mot de passe).
- Si l’appareil est un BYOD, vous pouvez défier l’utilisateur avec l’authentification AD plus RADIUS.
Si vous envisagez d’énumérer de manière sélective les applications et les bureaux virtuels en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée pour ces groupes de mise à disposition à l’aide de stratégies Citrix Studio au lieu de Workspace. Lors de la création d’un groupe de mise à disposition, dans le paramètre utilisateurs, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs suivants ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela active l’onglet Stratégie d’accès sous Groupe de mise à disposition pour configurer l’accès adaptatif.
Accès contextuel à Citrix DaaS : Adaptive Authentication permet un accès contextuel à Citrix DaaS. Adaptive Authentication affiche toutes les informations de stratégie concernant l’utilisateur sur Citrix DaaS. Les administrateurs peuvent utiliser ces informations dans leurs configurations de stratégie pour contrôler les actions des utilisateurs qui peuvent être effectuées sur Citrix DaaS. L’action de l’utilisateur, par exemple, peut être l’activation ou la désactivation de l’accès au presse-papiers et la redirection d’imprimante du mappage du lecteur client
L’accès contextuel à Secure Private Access et à d’autres services Citrix Cloud via l’authentication adaptative est prévu dans les prochaines versions.
Personnalisation de la page d’ouverture de session : Adaptive Authentication aide l’utilisateur à personnaliser fortement la page d’ouverture de session Citrix Cloud.
Fonctionnalités d’authentification adaptative supplémentaires
Voici les fonctionnalités prises en charge dans Citrix Workspace avec authentification adaptative.
- Support LDAP (Active Directory)
- Support LDAPS (Active Directory)
- Prise en charge des annuaires pour AD, Azure AD, Okta
- Prise en charge RADIUS (Duo, Symantec)
- MFA intégré au jeton AD +
- SAML 2.0
- Prise en charge OAuth, OIDC
- Authentification par certificat
- Évaluation de l’état de sécurité de l’appareil (analyse des points de terminaison)
- Service Posture de l’appareil
- Intégration avec des fournisseurs d’authentification tiers
- Notification push via l’application
- Prise en charge de reCAPTCHA
- Authentification conditionnelle/en fonction d’une stratégie
- Stratégies d’authentification pour l’accès intelligent (accès contextuel)
- Personnalisation de la page de connexion
- Réinitialisation en libre-service du mot
Mise à niveau et maintenance des instances d’authentification adaptative
Toutes les mises à niveau et la maintenance des instances d’authentification adaptative sont gérées par l’équipe Citrix Cloud. Il est recommandé de ne pas mettre à niveau ou rétrograder les instances d’authentification adaptative vers des versions RTM aléatoires. Vous pouvez planifier les mises à niveau en fonction du trafic de vos clients. Planifiez la mise à niveau de vos instances d’authentification adaptative. L’équipe Citrix Cloud met ensuite à niveau vos instances en conséquence.
Important :
- L’équipe Citrix Cloud vérifie régulièrement la communication avec les instances. En cas de déconnexion, l’équipe d’assistance de l’authentification adaptative peut vous contacter pour reprendre la gestion des instances. Si le problème de gestion des instances n’est pas résolu, l’équipe d’authentification adaptative ne peut pas gérer les mises à niveau. Cela peut vous amener à exécuter une version vulnérable.
- Il est recommandé d’activer les notifications par e-mail pour recevoir des e-mails concernant l’expiration des droits et les détails relatifs à l’utilisation de l’espace disque. Pour plus de détails, consultez la section Notifications.
- Les mises à niveau des instances d’authentification adaptative étant gérées par Citrix, les clients doivent s’assurer qu’il y a suffisamment d’espace (au moins 7 Go) dans le répertoire VAR pour la mise à niveau. Pour plus de détails sur la façon de libérer de l’espace dans le répertoire VAR, consultez Comment libérer de l’espace dans le répertoire VAR.
- Ne modifiez pas le statut de haute disponibilité de ENABLED à STAY PRIMARY ou STAY SECONDARY. L’état de haute disponibilité doit être ACTIVÉ pour l’authentification adaptative.
- Ne modifiez pas le mot de passe de l’utilisateur (authadmin) sur les instances d’authentification adaptative. L’équipe d’authentification adaptative ne peut pas gérer les mises à niveau si le mot de passe est modifié.
Responsabilités de sécurité partagées
Actions requises de la part des clients
Voici quelques-unes des mesures prises par les clients dans le cadre des meilleures pratiques de sécurité.
-
Informations d’identification pour accéder à l’interface utilisateur d’authentification adaptative : le client est responsable de la création et de la gestion des informations d’identification pour accéder à l’interface utilisateur d’authentification adaptative. Si le client travaille avec le support Citrix pour résoudre un problème, il peut avoir besoin de partager ces informations d’identification avec le personnel de support.
-
Authentification multifactorielle : il est recommandé aux clients de configurer des stratégies d’authentification multifactorielle pour empêcher tout accès non autorisé aux ressources.
-
Informations d’authentification : les clients doivent configurer leurs informations d’authentification conformément aux normes générales de sécurité et de mot de passe.
-
Sécurité d’accès à l’interface de ligne de commande distante : Citrix fournit un accès CLI distant Cependant, les clients sont responsables du maintien de la sécurité de l’instance pendant l’exécution.
-
Clés privées SSL : le NetScaler étant sous le contrôle du client, Citrix n’a aucun accès au système de fichiers. Les clients doivent veiller à protéger les certificats et les clés qu’ils hébergent sur l’instance NetScaler.
-
Sauvegarde des données : sauvegardez la configuration, les certificats, les clés, les personnalisations du portail et toute autre modification du système de fichiers.
-
Images disque des instances NetScaler : Maintenez et gérez l’espace disque NetScaler et le nettoyage des disques. Pour plus de détails, consultez la section Gestion de l’espace disque pour les instances.
-
Pour un exemple de configuration LDAPS à charge équilibrée, voir Exemple de configuration LDAPS à charge équilibrée.
Actions requises à la fois de la part du client et de Citrix
-
Reprise après sinistre : dans les régions Azure prises en charge, les instances haute disponibilité NetScaler sont provisionnées dans des zones de disponibilité distinctes pour éviter toute perte de données. En cas de perte de données Azure, Citrix récupère autant de ressources que possible dans l’abonnement Azure géré par Citrix.
En cas de perte d’une région Azure complète, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouvel appairage de réseau virtuel.
-
Accès sécurisé via l’adresse IP de gestion publique :
Sécurisez l’accès aux interfaces de gestion par des adresses IP publiques attribuées et autorisez la connectivité sortante à Internet.
Limitations
- Le bundle de certificats n’est pris en charge que pour les certificats de type PEM. Pour les autres types de bundle, il est recommandé d’installer les certificats racine et intermédiaire et de les lier au certificat du serveur.
- L’équilibrage de charge avec un serveur RADIUS n’est pas pris en charge.
- L’authentification RADIUS est affectée pendant quelques minutes si le connecteur servant la requête RADIUS tombe en panne. Dans ce cas, l’utilisateur doit s’authentifier de nouveau.
-
Le tunneling DNS n’est pas pris en charge. Des enregistrements statiques doivent être ajoutés sur NetScaler pour les noms de domaine complets utilisés dans les stratégies/profils d’authentification (LDAP/RADIUS) pour les serveurs d’authentification du centre de données local du client.
Pour plus de détails sur l’ajout d’enregistrements statiques DNS, voir Création d’enregistrements d’adresses pour un nom de domaine.
- Letest de connectivité réseau dans le profil LDAP peut donner un résultat incorrect car « Le serveur est accessible » même si la connectivité au serveur LDAP n’est pas établie. Des messages d’erreur tels que « le port n’est pas ouvert » ou « le serveur n’est pas LDAP » peuvent s’afficher pour indiquer l’échec. Dans ce scénario, il est recommandé de collecter les traces et de poursuivre le dépannage.
- Pour que les analyses EPA fonctionnent sous macOS, vous devez lier les courbes ECC par défaut au serveur virtuel d’authentification et d’autorisation en sélectionnant l’option Courbe ECC sur ALL.
Qualité de service
L’authentification adaptative est un service haute disponibilité (actif-veille).