Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix

Service d’authentification fédérée (FAS) de Citrix pour permettre l’authentification unique auprès de DaaS dans Citrix Workspace. FAS est généralement l’option adoptée si l’un des fournisseurs d’identité suivants est utilisé pour l’authentification Citrix Workspace :

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway
  • Google Cloud Identity

Avec FAS, les abonnés saisissent leurs informations d’identification une seule fois pour accéder à leurs applications et bureaux DaaS.

FAS n’est pas nécessaire pour l’authentification unique à DaaS si vous utilisez Active Directory (AD), AD + jeton ou des configurations spécifiques de Citrix Gateway. Pour plus d’informations sur la configuration de Citrix Gateway, consultez Créer une stratégie IdP OAuth sur Citrix Gateway local.

Serveurs FAS

Dans chaque emplacement de ressources, vous pouvez connecter plusieurs serveurs FAS à Citrix Cloud à des fins d’équilibrage de charge et de basculement.

Citrix Cloud prend en charge l’utilisation de serveurs FAS dans les scénarios suivants.

Dans les deux scénarios, les abonnés se connectant à leurs espaces de travail via un fournisseur d’identité fédéré ne saisissent leurs informations d’identification qu’une seule fois pour accéder aux applications et bureaux.

Serveurs FAS connectés à un seul emplacement de ressources

Si vos emplacements de ressources contiennent une infrastructure variée (par exemple, différents emplacements de ressources contiennent différentes forêts Active Directory), vous déployez des serveurs FAS vers l’emplacement de ressources où se trouvent vos VDA. L’authentification unique est active uniquement dans les emplacements de ressources où un ou plusieurs serveurs FAS sont connectés.

Serveurs FAS connectés à plusieurs emplacements de ressources

Si vous disposez d’une connectivité réseau entre vos emplacements de ressources et qu’ils contiennent une infrastructure similaire, vous pouvez connecter vos serveurs FAS à plusieurs emplacements de ressources. L’authentification unique est active pour les abonnés de l’espace de travail qui se connectent à des applications et des bureaux situés dans ces emplacements de ressources. Dans ce scénario, il n’est pas nécessaire de connecter des serveurs FAS distincts à chaque emplacement de ressources.

Lorsque les abonnés lancent une application ou un bureau virtuel, Citrix Cloud sélectionne un serveur FAS dans le même emplacement de ressources que l’application ou le bureau en cours de lancement. Citrix Cloud contacte le serveur FAS sélectionné pour obtenir un ticket qui accorde l’accès à un certificat utilisateur stocké sur le serveur FAS. Pour authentifier l’abonné, le VDA se connecte au serveur FAS et présente le ticket.

Vous pouvez utiliser le même serveur FAS pour l’authentification locale et Citrix Cloud à l’aide d’une configuration de règle appropriée.

Flux de requêtes du serveur FAS avec Citrix Cloud

Priorité de basculement pour plusieurs emplacements de ressources

Lors de l’utilisation de serveurs FAS avec plusieurs emplacements de ressources, les serveurs FAS d’un emplacement de ressources peuvent fournir un basculement vers des serveurs FAS situés dans d’autres emplacements de ressources. Lorsque vous ajoutez des serveurs FAS à d’autres emplacements de ressources, vous désignez chaque serveur comme serveur principal ou secondaire. Lorsque les abonnés lancent une application ou un bureau virtuel, Citrix Cloud utilise cette désignation de la manière suivante pour sélectionner un serveur FAS :

  • Les serveurs FAS désignés comme serveurs principaux dans l’emplacement de ressources donné sont pris en compte en premier lieu.
  • Si aucun serveur principal n’est disponible, les serveurs FAS désignés comme serveurs secondaires sont pris en compte.
  • Si aucun serveur secondaire n’est disponible, le lancement se poursuit, mais l’authentification unique ne se produit pas.

Présentation vidéo

Pour obtenir une vue d’ensemble du Service d’authentification fédérée pour Citrix Workspace, visionnez la vidéo Tech Insight :

Service d'authentification fédérée Citrix pour Citrix Workspace Service

Exigences

Exigences en matière de connectivité

Utilisez la console d’administration FAS pour connecter un serveur FAS à Citrix Cloud. Vous pouvez utiliser cette console pour configurer un serveur FAS local ou distant. Pour activer l’authentification unique pour les espaces de travail avec FAS, la console d’administration FAS et le service FAS accèdent aux adresses suivantes à l’aide du compte de compte de l’utilisateur de la console et du compte de service réseau, respectivement.

  • Console d’administration FAS avec utilisation du compte de l’utilisateur de la console :
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Adresses requises par un fournisseur d’identité tiers, si elles sont utilisées dans votre environnement
  • Service FAS avec utilisation du compte de service réseau :
    • *.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte de service réseau est configurée en fonction de votre environnement.

Configuration système requise pour FAS

La configuration système décrite dans cette section s’appliquent à tous les serveurs FAS que vous prévoyez de connecter à Citrix Cloud.

Pour connaître la configuration système complète requise pour le serveur FAS, consultez la section Configuration système requise dans la documentation produit de FAS.

Le Service d’authentification fédérée 2003 (version 10.1) ou version ultérieure doit être installé sur les serveurs FAS de votre environnement Citrix Virtual Apps and Desktops local.

Si votre serveur FAS existant est plus ancien que la version 10, vous pouvez télécharger le dernier logiciel FAS à partir de Citrix et mettre à niveau le serveur avant de créer cette connexion. Lorsque vous créez la connexion, vous sélectionnez l’emplacement de ressources dans lequel vous souhaitez que votre serveur FAS réside. L’authentification unique est active pour les abonnés uniquement dans les emplacements de ressources où les serveurs FAS sont présents.

Pour plus d’informations sur la mise à niveau d’un serveur FAS existant, consultez Installer et configurer dans la documentation produit de FAS. Le même serveur FAS peut être utilisé pour les déploiements Workspace et locaux.

Citrix Workspace

Vous devez avoir provisionné et activé Citrix DaaS dans Workspace. Par défaut, DaaS est activé dans Configuration de l’espace de travail une fois que vous êtes abonné au service. Toutefois, le service nécessite que vous déployiez des Citrix Cloud Connector pour permettre à Citrix Cloud de communiquer avec votre environnement local.

Cloud Connector

Citrix Cloud Connector permet la communication entre votre emplacement de ressources (où résident les VDA) et Citrix Cloud. Déployez au moins deux Cloud Connector pour garantir une haute disponibilité. Les serveurs sur lesquels vous installez le logiciel Cloud Connector doivent répondre aux exigences suivantes :

  • Exigences système décrites dans Détails techniques sur Cloud Connector.
  • Aucun autre composant Citrix ne doit être installé sur ces serveurs ; ils ne doivent pas être un contrôleur de domaine Active Directory ou une machine critique à votre infrastructure d’emplacement de ressources.
  • Les serveurs doivent être associés au domaine sur lequel résident vos VDA.

Pour plus d’informations sur le déploiement de Cloud Connector, reportez-vous aux articles suivants :

Présentation de la configuration

  1. Si vous déployez de nouveaux serveurs FAS, consultez la section Exigences et suivez les instructions décrites dans la section Installer et configurer FAS de cet article.
  2. Connectez votre serveur FAS à Citrix Cloud comme décrit dans la section Connecter un serveur FAS à Citrix Cloud dans cet article. L’exécution de cette tâche permet de connecter votre serveur FAS à un seul emplacement de ressources.
  3. Si vous envisagez de connecter votre serveur FAS à plusieurs emplacements de ressources, suivez les instructions de la section Ajouter un serveur FAS à plusieurs emplacements de ressources dans cet article.

Installer et configurer FAS

Suivez le processus d’installation et de configuration FAS décrit dans la documentation du produit FAS. Les étapes de configuration pour StoreFront ou le Delivery Controller ne sont pas requises.

Conseil :

Vous pouvez également télécharger le programme d’installation du Service d’authentification fédérée à partir de la console Citrix Cloud :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Sélectionnez la vignette Serveurs FAS, puis cliquez sur Télécharger.

Connecter les serveurs FAS à Citrix Cloud

Utilisez la console d’administration FAS pour connecter votre serveur FAS à Citrix Cloud, comme décrit dans la section Installer et configurer de la documentation du produit FAS.

Une fois l’étape de configuration Se connecter à Citrix Cloud effectuée, Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Page Emplacements des ressources avec serveur FAS ajouté

Si la page Emplacements des ressources est déjà chargée dans votre navigateur, actualisez-la pour afficher le serveur FAS enregistré.

Prise en charge des notifications du cloud

FAS prend désormais en charge les notifications cloud. Avec les nouvelles notifications cloud pour les serveurs FAS, vous recevez des notifications dans les cas suivants :

  • Un serveur FAS est en panne ou n’est pas disponible.
  • Le certificat d’autorité d’inscription (RA) d’un serveur FAS a expiré ou est sur le point d’expirer.
  • Une nouvelle version de FAS est disponible en téléchargement.

Déclenchement de notifications

Une vérification périodique des nouvelles notifications est effectuée et déclenchée dans la console de gestion Citrix Cloud. Les notifications apparaissent sous l’icône en forme de cloche dans le coin supérieur droit de la console de gestion Citrix Cloud. Sélectionnez Tout afficher sur l’icône de notification pour afficher toutes les notifications. Pour de plus amples informations, consultez la section Notifications.

Notifications cloud FAS

Remarque :

Lorsqu’une notification est émise, elle sera à nouveau émise périodiquement uniquement si le problème n’est pas résolu.

Toutes les notifications contiennent le nom de domaine complet du serveur FAS impacté. La notification d’expiration du certificat RA s’affiche uniquement pour les serveurs FAS dotés de la version 10.10.0.14 ou d’une version ultérieure.

Ajouter un serveur FAS à plusieurs emplacements de ressources

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources, puis l’onglet Serveurs FAS.
  2. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension (…) situés à droite de l’entrée, puis sélectionnez Gérer le serveur. Onglet Serveurs FAS avec option de menu Gérer le serveur mise en surbrillance
  3. Sélectionnez Ajouter à un emplacement de ressources, puis sélectionnez les emplacements de ressources souhaités. Boîte de dialogue Gérer les serveurs avec option Ajouter à un emplacement de ressources mise en surbrillance
  4. Sélectionnez Principal ou Secondaire pour spécifier la priorité de basculement du serveur FAS dans chaque emplacement de ressources sélectionné.
  5. Sélectionnez Enregistrer les modifications.

Pour afficher le serveur FAS ajouté, sélectionnez Emplacements des ressources dans le menu Citrix Cloud, puis sélectionnez l’onglet Serveurs FAS. La liste de tous les serveurs FAS pour tous les emplacements de ressources connectés s’affiche. Pour afficher les serveurs FAS associés à un emplacement de ressources spécifique, sélectionnez l’emplacement de ressources dans la liste déroulante.

Modifier la priorité de basculement d’un serveur FAS

  1. Sur la page Emplacements des ressources, sélectionnez la vignette Serveurs FAS pour l’emplacement de ressources que vous souhaitez gérer.
  2. Sélectionnez l’onglet Serveurs FAS .
  3. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Gérer le serveur.
  4. Localisez l’emplacement de ressources avec la priorité que vous souhaitez modifier et sélectionnez la nouvelle priorité dans la liste déroulante. Gérer les serveurs FAS avec la liste déroulante Priorité mise en surbrillance
  5. Sélectionnez Enregistrer les modifications.

Activer l’authentification fédérée pour les espaces de travail

  1. Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Authentification.
  2. Cliquez sur Activer FAS. Cette modification peut prendre jusqu’à cinq minutes pour être appliquée aux sessions des abonnés.

Page Configuration de l'espace de travail avec le bouton Activer FAS mis en surbrillance

Ensuite, le Service d’authentification fédérée est actif pour tous les lancements d’applications et de bureaux virtuels à partir de Citrix Workspace.

Page Configuration de l'espace de travail avec FAS activé

Lorsque les abonnés se connectent à leur espace de travail et lancent une application ou un bureau virtuel dans le même emplacement de ressources que le serveur FAS, l’application ou le bureau démarre sans demander d’informations d’identification.

Remarque :

Si tous les serveurs FAS d’un emplacement de ressources sont en panne ou en mode de maintenance, le lancement de l’application réussit, mais l’authentification unique n’est pas active. Les abonnés sont invités à fournir leurs informations d’identification AD pour accéder à chaque application ou bureau.

Supprimer un serveur FAS

Pour supprimer un serveur FAS d’un emplacement de ressources unique :

  1. Sur la page Emplacements des ressources, sélectionnez la vignette Serveurs FAS pour l’emplacement de ressources que vous souhaitez gérer.
  2. Sélectionnez l’onglet Serveurs FAS .
  3. Localisez le serveur FAS que vous souhaitez gérer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Gérer le serveur.
  4. Recherchez l’emplacement de ressources que vous souhaitez supprimer, puis cliquez sur l’icône X. Gérer les serveurs FAS avec les icônes de suppression mises en surbrillance

Pour supprimer un serveur FAS de tous les emplacements de ressources connectés :

  1. Dans le menu Citrix Cloud, sélectionnez Emplacements des ressources.
  2. Recherchez l’emplacement des ressources à gérer, puis sélectionnez la vignette Serveurs FAS.
  3. Localisez le serveur FAS que vous souhaitez supprimer, cliquez sur les points de suspension situés à droite de l’entrée, puis sélectionnez Supprimer serveur FAS. Menu de la commande Supprimer serveur FAS
  4. Sur la console d’administration FAS (sur votre serveur FAS local), dans Se connecter à Citrix Cloud, sélectionnez Déconnecter. Vous pouvez également désinstaller FAS. Console d'administration FAS avec commande Désactiver en surbrillance

Dépannage

Si le serveur FAS n’est pas disponible, un message d’avertissement s’affiche sur la page Serveurs FAS.

Page de la console Serveurs FAS

Pour établir un diagnostic du problème, ouvrez la console d’administration FAS sur votre serveur FAS local et inspectez l’état. Par exemple, ici, le serveur FAS n’est pas présent dans l’objet de stratégie de groupe du serveur FAS :

Serveur FAS non disponible dans la console d'administration du serveur FAS

Si la console d’administration FAS indique que le serveur fonctionne correctement, mais qu’il existe toujours des problèmes d’ouverture de session VDA, consultez le guide de dépannage FAS.

Informations supplémentaires

Configuration de Single Sign-On sur l’application Workspace