Citrix Virtual Apps and Desktops

Cartes à puce

Les cartes à puce et les technologies équivalentes sont prises en charge selon les indications décrites dans cet article. Pour utiliser des cartes à puce avec Citrix Virtual Apps ou Citrix Virtual Desktops :

  • Il est important de bien comprendre la stratégie de sécurité de votre organisation concernant l’utilisation des cartes à puce. Ces stratégies peuvent, par exemple, déterminer comment les cartes à puce sont délivrées et comment les utilisateurs doivent les protéger. Il peut être nécessaire de réévaluer certains aspects de ces stratégies dans un environnement Citrix Virtual Apps ou Citrix Virtual Desktops.
  • Déterminez les types de machine utilisateur, les systèmes d’exploitation et les applications publiées qui doivent être utilisés avec des cartes à puce.
  • Familiarisez-vous avec la technologie de carte à puce ainsi que le matériel et les logiciels de votre fournisseur de carte à puce.
  • Déterminez comment déployer des certificats numériques dans un environnement distribué.

Remarque :

L’inscription par carte à puce n’est pas prise en charge avec la carte à puce rapide. L’inscription par carte à puce peut fonctionner lorsque la carte à puce rapide est désactivée, mais dépend du type de carte à puce et de middleware. Contactez votre fournisseur de cartes à puce et de middleware pour obtenir des informations sur leur intégration avec Citrix Virtual Apps and Desktops et la prise en charge de l’inscription par carte à puce sur des sessions virtuelles.

Types de cartes à puce

Les cartes à puce d’entreprise et de consommateur ont les mêmes dimensions et connecteurs électriques et utilisent les mêmes lecteurs de carte à puce.

Les cartes à puce d’entreprise contiennent des certificats numériques. Ces cartes à puce prennent en charge l’ouverture de session Windows et peuvent également être utilisées avec des applications pour la signature numérique et le cryptage de documents et d’e-mails. Citrix Virtual Apps and Desktops prend en charge les utilisations suivantes :

Les cartes à puce de consommateur ne contiennent pas de certificats numériques ; elles contiennent un secret partagé. Ces cartes à puce peuvent prendre en charge les paiements (par carte de crédit avec puce et signature ou avec puce et code PIN). Elles ne prennent pas en charge l’ouverture de session Windows ou les applications Windows standard. Des applications Windows spécialisées et une infrastructure logicielle adaptée (notamment, par exemple, une connexion à un réseau de carte de paiement) sont requises pour utiliser ces cartes à puce. Contactez votre conseiller Citrix pour de plus amples informations sur la prise en charge de ces applications spécialisées sur Citrix Virtual Apps or Citrix Virtual Desktops.

Pour les cartes à puce d’entreprise, il existe des équivalents compatibles qui peuvent être utilisés de manière similaire.

  • Un jeton USB équivalent à une carte à puce se connecte directement à un port USB. Ces jetons USB sont généralement de la taille d’un lecteur flash USB, mais peuvent être aussi petits qu’une carte SIM utilisée dans un téléphone mobile. Ils se présentent comme une combinaison d’une carte à puce et d’un lecteur de carte à puce USB.
  • Une carte à puce virtuelle utilisant un module de plateforme sécurisée Windows (TPM) s’affiche en tant que carte à puce. Ces cartes à puce virtuelles sont prises en charge pour Windows 8 et Windows 10, à l’aide de l’application Citrix Workspace (Citrix Receiver 4.3 au minimum).
    • Les versions de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop) antérieures à XenApp et XenDesktop 7.6 FP3 ne prennent pas en charge les cartes à puce virtuelles.
    • Pour de plus amples informations sur les cartes à puce virtuelles, consultez la section Présentation des cartes à puce virtuelles.

    Remarque : le terme « carte à puce virtuelle » est également utilisé pour décrire un certificat numérique stocké sur l’ordinateur de l’utilisateur. Ces certificats numériques ne sont pas réellement similaires aux cartes à puce.

La prise en charge des cartes à puce de Citrix Virtual Apps and Desktops repose sur les spécifications standard PC/SC (Personal Computer/Smart Card) de Microsoft. La configuration minimale requise exige que les cartes à puce et les lecteurs de carte à puce soient pris en charge par le système d’exploitation Windows sous-jacent et soient certifiés WHQL (laboratoires Microsoft de contrôle qualité du matériel conçu pour Windows). Consultez la documentation Microsoft pour obtenir des informations supplémentaires sur le matériel PC/SC conformité. D’autres types de machines utilisateur peuvent respecter les normes PS/SC. Pour plus d’informations, reportez-vous au programme Citrix Ready.

En règle générale, un pilote de périphérique séparé est nécessaire pour la carte à puce ou équivalent de chaque fournisseur. Cependant, si des cartes à puce sont conformes à une norme telle que la norme NIST Personal Identity Verification (PIV), il est possible d’utiliser un seul pilote de périphérique pour une gamme de cartes à puce. Le pilote de périphérique doit être installé sur la machine utilisateur et le Virtual Delivery Agent (VDA). Le pilote de périphérique est souvent fourni dans le cadre du package de middleware de la carte à puce, disponible auprès d’un partenaire Citrix ; le package de middleware de carte à puce propose des fonctionnalités avancées. Le pilote de périphérique peut également être décrit comme fournisseur de service cryptographique (CSP), fournisseur de stockage de clés (KSP) ou minipilote.

Les combinaisons carte à puce et logiciel intermédiaire pour systèmes Windows suivantes ont été testées par Citrix comme exemples représentatifs de leur type. Cependant, d’autres cartes à puce et middleware peuvent également être utilisés. Pour de plus amples informations sur les cartes à puce et middleware compatibles avec Citrix, consultez http://www.citrix.com/ready.

Logiciels intermédiaires Correspondance des cartes
Gemalto Mini Driver pour carte .NET Gemalto .NET v2+

Pour de plus amples informations sur l’utilisation de cartes à puce avec d’autres types de périphériques, consultez la documentation relative à l’application Citrix Workspace pour ce périphérique.

Remote PC Access

Les cartes à puce sont uniquement prises en charge pour l’accès à distance vers les postes de travail physiques exécutant Windows 10, Windows 8 ou Windows 7.

Les cartes à puce suivantes ont été testées avec Remote PC Access :

Logiciels intermédiaires Correspondance des cartes
Minipilote Gemalto .NET Gemalto .NET v2+

Carte à puce rapide

La carte à puce rapide constitue une amélioration par rapport à la redirection de carte à puce PC/SC HDX existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des situations WAN à latence élevée. Lorsque la latence est élevée, l’amélioration des performances peut être significative (par exemple, 15 secondes pour une connexion rapide par carte à puce Windows contre plus d’une minute avec la redirection de carte à puce basée sur PC/SC).

La carte à puce rapide est activée par défaut sur les machines hôtes avec des VDA Windows actuellement pris en charge. Pour désactiver la carte à puce rapide côté hôte, par exemple à des fins de diagnostic, définissez le paramètre de registre correspondant à la ‘désactivation de la redirection cryptographique’ sur n’importe quelle valeur non nulle :

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Côté client, pour activer la carte à puce rapide, incluez le paramètre ICA SmartCardCryptographicRedirection dans le fichier default.ica du site StoreFront associé :

[WFClient]
SmartCardCryptographicRedirection=On

En outre, côté client, la carte à puce rapide peut être activée ou désactivée de force (par exemple, à des fins de diagnostic) avec les paramètres de registre suivants :

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (en tant que DWORD différent de zéro)

Ou

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (en tant que DWORD différent de zéro)

La ruche de Registre 32 bits doit être spécifiée (à l’aide de WOW6432Node) si la machine cliente est 64 bits.

Limitations :

  • Seule l’application Citrix Workspace pour Windows prend en charge les cartes à puce rapides. Si vous configurez des cartes à puce rapides dans le fichier default.ica, les applications Citrix Workspace non dédiées à Windows fonctionnent toujours avec la redirection PC/SC existante.
  • Les seuls scénarios à double saut (double-hop) qui prennent en charge les cartes à puce rapides sont ICA > ICA avec une carte à puce rapide activée sur les deux sauts. Étant donné que la carte à puce rapide ne prend pas en charge les scénarios ICA > RDP à double saut, ces scénarios ne fonctionnent pas.
  • La carte à puce rapide ne prend pas en charge Cryptography Next Generation. Une carte à puce rapide ne prend donc pas en charge les cartes à puce Elliptic Curve Cryptography (ECC).
  • La carte à puce rapide ne prend en charge que les opérations sur les conteneurs de clés en lecture seule.
  • La carte à puce rapide ne prend pas en charge la modification du code PIN de la carte à puce.

À partir de la version 2203 du VDA et de la version 2202 de l’application Citrix Workspace pour Windows (ou version ultérieure), la carte à puce rapide est compatible avec Cryptography Next Generation (CNG). En outre, les cartes à puce ECC (Elliptic Curve Cryptography) sont prises en charge avec les courbes suivantes : P-256, P-384, P-521 bits, pour ECDSA et ECDH.

À partir de la version 2203 du VDA, la carte à puce rapide permet de mettre en cache le code PIN de la carte à puce entre les applications à partir de la session d’ouverture de session du même utilisateur. Par exemple, si la mise en cache du code PIN de session est activée et que l’utilisateur a précédemment fourni le code PIN de sa carte à puce à Outlook, lorsque Word est ensuite utilisé pour signer un document, Word utilise le code PIN de carte à puce déjà mis en cache (envoyé à Outlook). La mise en cache du code PIN de session améliore l’expérience utilisateur en réduisant le nombre de fois où l’utilisateur doit entrer le code PIN de sa carte à puce. En outre, si la carte à puce est utilisée pour se connecter au VDA, le code PIN d’ouverture de session de la carte à puce Windows peut éventuellement être enregistré dans la mise en cache du code PIN de session. Cela peut encore améliorer l’expérience utilisateur.

La mise en cache du code PIN de session est désactivée par défaut. Elle peut être activée et contrôlée à l’aide des paramètres de registre suivants sur le VDA :

Dans HKLM\SOFTWARE\Citrix\SmartCard :

  • EnablePinSessionCache en tant que DWORD (non nul pour activer)
  • EnableLogonPinSessionCache en tant que DWORD (non nul pour activer)
  • PinSessionCacheEntryStaleTimeout en tant que DWORD (nombre de secondes avant qu’une entrée ne devienne obsolète, la valeur par défaut est 1 heure)

Types de lecteurs de carte à puce

Un lecteur de carte à puce peut être intégré à la machine utilisateur, ou être connecté séparément à la machine utilisateur (généralement via USB ou Bluetooth). Les lecteurs de carte avec contact qui sont conformes à la spécification USB CCID sont pris en charge. Ils contiennent une fente dans laquelle l’utilisateur insère la carte à puce. La norme Deutsche Kreditwirtschaft (DK) définit quatre catégories de lecteurs de carte de contact.

  • Les lecteurs de carte à puce de classe 1 sont les plus courants et sont généralement dotés d’une seule fente. Les lecteurs de carte à puce de classe 1 sont pris en charge, généralement avec un pilote de périphérique CCID standard fourni avec le système d’exploitation.
  • Les lecteurs de carte à puce de classe 2 présentent également un pavé numérique sécurisé qui n’est pas accessible par la machine utilisateur. Les lecteurs de carte à puce de classe 2 peuvent être intégrés à un clavier avec un pavé numérique sécurisé. Pour les lecteurs de carte à puce de classe 2, contactez votre conseiller Citrix ; un pilote de périphérique spécifique au lecteur peut être nécessaire pour activer la fonctionnalité de pavé numérique sécurisé.
  • Les lecteurs de carte à puce de classe 3 contiennent également un écran sécurisé. Les lecteurs de carte à puce de classe 3 ne sont pas pris en charge.
  • Les lecteurs de carte à puce de classe 4 contiennent également un module de transaction sécurisé. Les lecteurs de carte à puce de classe 4 ne sont pas pris en charge.

Remarque :

La classe du lecteur de carte à puce n’est pas liée à la classe du périphérique USB.

Les lecteurs de carte à puce doivent être installés avec un pilote de périphérique correspondant sur la machine utilisateur.

Pour plus d’informations sur les lecteurs de carte pris en charge, consultez la documentation correspondant à l’application Citrix Workspace que vous utilisez. Dans la documentation de l’application Citrix Workspace, les versions prises en charge sont répertoriées dans une section sur les cartes à puce où dans la section sur la configuration système requise.

Expérience utilisateur

La prise en charge des cartes à puce est intégrée dans Citrix Virtual Apps and Desktops à l’aide d’un canal virtuel de carte à puce ICA/HDX spécifique qui est activé par défaut.

Important : n’utilisez pas la redirection USB générique pour les lecteurs de carte à puce. Cette option est désactivée par défaut pour les lecteurs de carte à puce et n’est pas prise en charge si elle est activée.

Il est possible d’utiliser plusieurs cartes à puce et plusieurs lecteurs sur la même machine utilisateur, mais si l’authentification unique est en service, une seule carte à puce doit être insérée lorsque l’utilisateur démarre une application ou un bureau virtuel. En cas d’utilisation d’une carte à puce dans une application (par exemple pour les fonctions de signature numérique ou de cryptage), d’autres messages invitant à insérer la carte à puce ou à saisir un code PIN peuvent s’afficher. Cela peut se produire si plusieurs cartes à puce sont insérées en même temps.

  • Si les utilisateurs sont invités à insérer une carte à puce alors que celle-ci se trouve déjà dans le lecteur, ils doivent sélectionner Annuler.
  • Si les utilisateurs sont invités à entrer le code PIN, ils doivent le saisir à nouveau.

Vous pouvez réinitialiser les codes confidentiels à l’aide d’un système de gestion de carte ou d’un outil du fournisseur.

Important :

Dans une session Citrix Virtual Apps ou Citrix Virtual Desktops. l’utilisation d’une carte à puce avec l’application Connexion Bureau à distance Microsoft n’est pas prise en charge. Ceci est parfois décrit comme un scénario « double-hop ».

Avant de déployer les cartes à puce

  • Vous devez vous procurer un pilote de périphérique pour le lecteur de carte à puce et l’installer sur la machine utilisateur. De nombreux lecteurs de carte à puce peuvent utiliser le pilote de périphérique CCID fourni par Microsoft.
  • Vous devez vous procurer un pilote de périphérique et un logiciel de fournisseur de services de chiffrement (CSP) depuis votre fournisseur de carte à puce et les installer sur les machines utilisateur et les bureaux virtuels. Le pilote et le logiciel CSP doivent être compatibles avec Citrix Virtual Apps and Desktops. Consultez la documentation du fournisseur pour connaître leur compatibilité. Pour les bureaux virtuels utilisant des cartes à puce qui prennent en charge et utilisent le modèle minipilote, les minipilotes de carte à puce se téléchargent automatiquement, mais vous pouvez également les obtenir à partir de http://catalog.update.microsoft.com ou auprès votre fournisseur. En outre, si des middlewares PKCS #11 sont requis, obtenez-les auprès de votre fournisseur de carte.
  • Important : Citrix recommande d’installer et de tester les pilotes et le logiciel CSP sur un ordinateur physique avant d’installer le logiciel Citrix.
  • Ajoutez l’adresse URL de Citrix Receiver pour Web à la liste Sites de confiance pour les utilisateurs qui utilisent des cartes à puce dans Internet Explorer avec Windows 10. Dans Windows 10, Internet Explorer n’est pas exécuté par défaut en mode protégé pour les sites de confiance.
  • Assurez-vous que votre infrastructure de clé publique (PKI) est configurée correctement. Cela assure que le mappage de certificat vers le compte est correctement configuré pour l’environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.
  • Assurez-vous que votre déploiement répond à la configuration système requise des autres composants Citrix utilisé avec des cartes à puce, y compris application Citrix Workspace et StoreFront.
  • Vérifiez l’accès aux serveurs suivants de votre site :
    • Le contrôleur de domaine Active Directory pour le compte d’utilisateur associé à un certificat d’ouverture de session sur la carte à puce
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Facultatif pour Remote PC Access) : Microsoft Exchange Server

Activer l’authentification par carte à puce

Étape 1. Problème de cartes à puce pour les utilisateurs en fonction de votre stratégie d’émission de carte.

Étape 2. (Facultatif) Définissez des cartes à puce pour activer les utilisateurs pour Remote PC Access.

Étape 3. Installez et configurez le Delivery Controller et StoreFront (s’ils ne sont pas déjà installés pour l’utilisation des cartes à puce à distance).

Étape 4. Activez StoreFront pour l’utilisation des cartes à puce. Pour de plus amples informations, consultez la section Configurer l’authentification par carte à puce dans la documentation de StoreFront.

Étape 5. Activez Citrix Gateway/Access Gateway pour utiliser la carte à puce. Pour de plus amples informations, consultez la section Configuration de l’authentification et de l’autorisation et Configuration de l’accès par carte à puce avec l’Interface Web dans la documentation NetScaler.

Étape 6. Activez VDAs pour l’utilisation des cartes à puce.

  • Assurez-vous que le VDA possède les applications et les mises à jour requises.
  • Installez les logiciels intermédiaires.
  • Définissez l’utilisation d’une carte à puce à distance, l’activation de la communication des données de carte à puce entre l’application Citrix Workspace sur une machine utilisateur et une session de bureau virtuel.

Étape 7. Activez les machines utilisateur (y compris les machines appartenant à un domaine ou non) pour utiliser la carte à puce. Consultez la section Configurer l’authentification par carte à puce dans la documentation de StoreFront pour plus de détails.

  • Importez le certificat racine de l’autorité de certification et le certificat émis par l’autorité de certificat dans le magasin de clés de la machine.
  • Installez le middleware de carte à puce de votre fournisseur.
  • Installez et configurez application Citrix Workspace pour Windows, en vous assurant d’importer le fichier icaclient.adm à l’aide de la console de gestion des stratégies de groupe et d’activer l’authentification par carte à puce.

Étape 8. Testez le déploiement. Assurez-vous que votre déploiement est correctement configuré en démarrant un bureau virtuel avec une carte à puce d’utilisateur test. Testez tous les mécanismes d’accès possibles (par exemple, accès au bureau via Internet Explorer et l’application Citrix Workspace).

Suivre le nombre d’insertion du lecteur de carte à puce

Avec l’accès distant par carte à puce et la fonction SCardGetStatusChange, vous pouvez suivre le nombre de fois qu’une carte à puce a été insérée ou retirée d’un lecteur. La fonction met à jour un tableau de structures de données SCARD_READERSTATE (un tableau par lecteur que vous surveillez). Le mot élevé (16 bits) du champ dwEventState de chaque tableau SCARD_READERSTATE contient le nombre de lecteurs. Pour de plus amples informations, consultez les articles Microsoft SCardGetStatusChangeA function et SCARD_READERSTATEA structure.

Par défaut, le paramètre de suivi du nombre d’insertions du lecteur de carte à puce (Reader Insert Count Reporting) est désactivé. Pour activer le paramètre de suivi, ajoutez la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nom : EnableReaderInsertCountReporting

Type : DWORD

Valeur : toute valeur autre que zéro

Lorsque la session se déconnecte, le nombre se réinitialise à zéro.

Le paramètre de suivi du nombre d’insertions du lecteur de carte à puce (Reader Insert Count Reporting) est compatible avec les logiciels intermédiaires de carte à puce tiers.

Cartes à puce