Authentification conditionnelle (Technical Preview)
Remarque :
Les fonctionnalités présentées dans les versions Technical Preview sont disponibles à des fins d’utilisation dans les environnements hors production ou de production limitée, et pour permettre aux clients de partager leurs commentaires. Citrix n’offre pas de support pour les fonctionnalités présentées dans les versions Technical Preview, mais accepte les commentaires pour les améliorer. Vous pouvez nous faire part de vos commentaires sur cette fonctionnalité en cliquant sur Envoyez-nous vos commentaires. Citrix peut prendre en considération les commentaires en fonction de leur gravité, criticité et importance.
L’authentification conditionnelle est une nouvelle fonctionnalité de sécurité qui contribue à améliorer encore votre infrastructure Zero Trust. L’authentification conditionnelle permet aux administrateurs Citrix Cloud de rediriger les utilisateurs vers différents fournisseurs d’identité pendant le flux d’ouverture de session Workspace en fonction des conditions de stratégie que vous définissez. Ainsi, les différents utilisateurs bénéficieront de différents niveaux de vérification d’accès en fonction des facteurs de risque établis par l’administrateur.
Au moment de la rédaction de cet article, quatre conditions de commutateur différentes sont prises en charge. Elles dirigeront vos utilisateurs vers différentes instances de fournisseur d’identité en fonction des stratégies que vous définissez.
Cas d’utilisation courants
- Fusions et acquisitions, dans le cadre desquelles une grande organisation mère regroupe plusieurs petites entreprises en cours de fusion.
- Accorder l’accès à Workspace à des utilisateurs tiers et à des sous-traitants en les dirigeant vers un fournisseur d’identité, une application OIDC ou une application SAML dédié, différent de celui ou celle que les employés à temps plein de votre organisation sont normalement autorisés à utiliser.
- Grandes organisations comptant plusieurs succursales ou départements nécessitant différents mécanismes d’authentification.
Logiciels requis
- AD Directory synchronisé avec votre fournisseur d’identité et connecté à Citrix Cloud via Citrix Cloud Connector. L’allocation des ressources dans la console DaaS Web Studio nécessite Active Directory.
- Deux fournisseurs d’identité ou plus créés sur la page Citrix Cloud Gestion des identités et des accès
Configuration de l’authentification conditionnelle
-
Cliquez sur Créer un profil d’authentification conditionnelle.
-
Saisissez un nom pour votre profil, puis cliquez sur Créer une stratégie d’authentification.
-
Sélectionnez les conditions à appliquer à la stratégie selon vos besoins, puis cliquez sur Enregistrer.
-
Accédez à Configuration de Workspace et cliquez sur Authentification pour sélectionner votre fournisseur d’identité ou votre profil d’authentification conditionnelle.
Concepts d’authentification conditionnelle
Profil d’authentification conditionnelle
Un profil d’authentification conditionnelle se compose de plusieurs stratégies d’authentification conditionnelle qui contrôlent la manière dont vos utilisateurs s’authentifient auprès de Workspace en fonction des conditions que vous définissez. Ce profil permet de hiérarchiser et de réorganiser les stratégies, ce qui vous permet d’indiquer l’ordre dans lequel elles doivent être évaluées.
Stratégie d’authentification conditionnelle
Une stratégie d’authentification conditionnelle est une stratégie comprenant une ou plusieurs conditions. Ces conditions, lorsqu’elles sont remplies à l’aide de la logique AND, guident le processus d’ouverture de session de l’utilisateur vers une instance de fournisseur d’identité cible spécifique, comme Okta OIDC, SAML ou IDP Gateway. Les stratégies individuelles peuvent être clonées, ce qui permet de les modifier et de les renommer selon les besoins.
Chaque stratégie comprend les données suivantes :
- Règles de stratégie qui constituent une ou plusieurs conditions devant être remplies afin de diriger l’utilisateur vers une instance de fournisseur d’identité particulière. Par exemple, l’URL 1 de Workspace est utilisée ET l’utilisateur est membre de AD Group1.
- Résultat de la stratégie qui est l’instance de fournisseur d’identité cible vers laquelle l’utilisateur est dirigé pendant le processus d’ouverture de session. Par exemple, l’URL 1 de Workspace est utilisée ET l’utilisateur est membre de l’instance AD Group1 → Instance AAD SAML IDP.
- Nom de la stratégie : nom convivial pour les administrateurs utilisé pour identifier et décrire la stratégie.
Par exemple,
Workspace URL 1 AND Group1 - AAD SAML
. - Priorité de stratégie qui détermine l’ordre dans lequel la stratégie est évaluée. Les priorités sont évaluées par ordre décroissant. Par exemple : la priorité 1 est supérieure à la priorité 2.
Page de pré-authentification d’authentification conditionnelle
En fonction de la configuration de Workspace et des conditions définies dans votre profil d’authentification conditionnelle, vos utilisateurs Workspace peuvent voir apparaître une page de pré-authentification lors du processus d’ouverture de session. Cette page est essentielle pour capturer le format du nom d’utilisateur de l’utilisateur Workspace, qui est lui-même essentiel pour prendre des décisions basées sur des stratégies d’authentification conditionnelle. Cela garantit que le flux d’ouverture de session de l’utilisateur est dirigé vers l’instance de fournisseur d’identité appropriée.
Remplissage automatique d’ouverture de session
Lorsqu’une page de pré-authentification est nécessaire, nous avons ajouté une fonctionnalité de remplissage automatique d’ouverture de session qui remplit automatiquement le champ du nom d’utilisateur sur la page d’ouverture de session avec les données saisies par l’utilisateur depuis la page de pré-authentification. Cela évite aux utilisateurs d’avoir à saisir deux fois leur nom d’utilisateur.
La fonctionnalité de remplissage automatique d’ouverture de session est gérée et configurée par l’administrateur dans les paramètres Profil d’authentification conditionnelle, comme illustré ci-dessous :
-
Cliquez sur Gérer les paramètres sur la page Profil d’authentification conditionnelle.
-
Cliquez sur Modifier
-
Sélectionnez les fournisseurs d’identité pour lesquels vous souhaitez activer le remplissage automatique d’ouverture de session.
Important :
Le remplissage automatique d’ouverture de session n’est disponible que pour les fournisseurs d’identité qui le prennent en charge, et sera activé et appliqué par défaut pour AD et AD+TOTP (voir la capture d’écran ci-dessus pour les paramètres par défaut).
Certains fournisseurs d’identité s’attendent à un format d’ouverture de session spécifique ou peuvent prendre en charge plusieurs types de format de nom d’utilisateur. Par exemple, Google iCloud Identity demande aux utilisateurs d’ouvrir une session avec leur adresse e-mail (nom.dutilisateur@domaine.com), qui peut parfois être différente de leur UPN (nomdutilisateur@domaine.com). Si l’utilisateur de Workspace saisit un nom d’ouverture de session de niveau inférieur (domaine\nom d’utilisateur) sur la page de pré-authentification, il sera prérempli dans le champ du nom d’utilisateur de la page d’ouverture de la session de fournisseur d’identité, et cela provoquera une erreur lorsque l’utilisateur tentera de se connecter. Les administrateurs doivent prendre en compte la condition de stratégie de changement de fournisseur d’identité la plus appropriée et les formats de nom d’utilisateur qu’un fournisseur d’identité spécifique s’attend à recevoir lors du processus d’ouverture de session avant de configurer la fonctionnalité de remplissage automatique d’ouverture de session.
Types de conditions de stratégie
URL Workspace
Dans Configuration de Workspace > Accès, chaque URL de Workspace peut être liée à une instance de fournisseur d’identité distincte. En outre, plusieurs URL de Workspace peuvent être associées à la même stratégie, redirigeant ainsi vos utilisateurs vers la même instance de fournisseur d’identité.
Remarque :
Si un profil se compose exclusivement de stratégies avec des conditions d’URL de Workspace, les utilisateurs ignoreront la page de pré-authentification et seront directement redirigés vers le fournisseur d’identité. Toutefois, si le profil inclut une stratégie comportant des conditions autres que l’URL de Workspace, la page de pré-authentification sera présentée à l’utilisateur, que la stratégie correspondante soit du type URL de Workspace ou non.
Membre du groupe d’utilisateurs AD
L’appartenance à un groupe d’utilisateurs AD vous permet de désigner une instance de fournisseur d’identité pour un groupe spécifique d’utilisateurs Active Directory en fonction de leur appartenance à ce groupe.
Le suffixe UPN ou le nom d’ouverture de session de niveau inférieur du domaine sont deux conditions de stratégie qui s’excluent mutuellement. Elles déterminent le format de nom d’utilisateur requis que vos utilisateurs doivent saisir sur la page de pré-authentification. Vous ne pouvez pas utiliser ces deux conditions dans le cadre de la même stratégie.
Suffixe UPN : configurez une instance de fournisseur d’identité pour un ou plusieurs suffixes UPN, tels que username1@domain.com
ou username2@domain.net
.
Nom d’ouverture de session de niveau inférieur du domaine : allouez une instance de fournisseur d’identité à un ou plusieurs noms de domaine, tels que DOMAIN1\username1
ou DOMAIN1.COM\username1
.
Lorsque l’une des conditions s’excluant mutuellement est sélectionnée, l’option du menu déroulant correspondant à l’autre condition est désactivée pour empêcher son ajout à la même stratégie.
Problèmes connus et limitations
-
L’authentification conditionnelle prend actuellement en charge tous les fournisseurs d’identité répertoriés précédemment, mais ne prend en charge que le répertoire AD. Cette limitation sera supprimée dans les prochaines versions. Par conséquent, l’allocation des ressources aux utilisateurs dans Studio doit être effectuée via AD.
- L’allocation d’une priorité négative à une stratégie ne fonctionne pas comme prévu. Ce problème sera résolu dans les prochaines mises à jour.
- À l’heure actuelle, l’authentification conditionnelle ne prend pas en charge les domaines personnalisés. Cette fonctionnalité devrait être ajoutée dans les prochaines mises à jour.