Authentification
À partir de l’application Citrix Workspace 2012, vous pouvez afficher la boîte de dialogue d’authentification dans l’application Citrix Workspace et stocker les détails sur l’écran de connexion. Cette amélioration améliore l’expérience utilisateur.
Les jetons d’authentification sont cryptés et stockés afin que vous n’ayez pas besoin de saisir de nouveau les informations d’identification lorsque votre système ou votre session redémarre.
Remarque :
cette amélioration de l’authentification ne s’applique qu’aux déploiements dans le cloud.
Conditions préalables :
Installez la bibliothèque libsecret
.
Cette fonctionnalité est activée par défaut.
Storebrowse
Amélioration de l’authentification pour À partir de la version 2205, la boîte de dialogue d’authentification est présente dans l’application Citrix Workspace et les détails du magasin s’affichent sur l’écran d’ouverture de session pour une meilleure expérience utilisateur. Les jetons d’authentification sont chiffrés et stockés. Ainsi, vous n’avez pas besoin de saisir de nouveau les informations d’identification lorsque votre système ou votre session redémarre.
L’amélioration de l’authentification prend en charge storebrowse
pour les opérations suivantes :
-
Storebrowse -E
: répertorie les ressources disponibles. -
Storebrowse -L
: lance une connexion à une ressource publiée. -
Storebrowse -S
: dresse la liste des ressources auxquelles vous avez souscrit. -
Storebrowse -T
: met fin à toutes les sessions du magasin spécifié. -
Storebrowse -Wr
: reconnecte les sessions déconnectées mais actives du magasin spécifié. L’option [r] reconnecte toutes les sessions déconnectées. -
storebrowse -WR
: reconnecte les sessions déconnectées mais actives du magasin spécifié. L’option [R] reconnecte toutes les sessions déconnectées et actives. -
Storebrowse -s
: abonne la ressource spécifiée à partir d’un magasin donné. -
Storebrowse -u
: annule l’abonnement de la ressource spécifiée dans un magasin donné. -
Storebrowse -q
: lance une application à l’aide de l’URL directe Cette commande fonctionne uniquement pour les magasins StoreFront.
Remarque :
- Vous pouvez continuer à utiliser les commandes
storebrowse
restantes comme précédemment (en utilisant AuthManagerDaemon).- L’amélioration de l’authentification s’applique uniquement aux déploiements dans le cloud.
- Grâce à cette amélioration, la fonction de connexion permanente est prise en charge.
Prise en charge de plus de 200 groupes dans Azure AD
À partir de la version 2305, un utilisateur d’Azure AD faisant partie de plus de 200 groupes peut consulter les applications et les bureaux qui lui sont attribués. Auparavant, le même utilisateur ne pouvait pas voir ces applications et ces bureaux.
Pour activer cette fonctionnalité, procédez comme suit :
-
Accédez à $ICAROOT/config/AuthManConfig.xml et ajoutez les entrées suivantes :
<compressedGroupsEnabled>true</compressedGroupsEnabled> <!--NeedCopy-->
Remarque :
Les utilisateurs doivent se déconnecter de l’application Citrix Workspace et se reconnecter pour activer cette fonctionnalité.
Amélioration de l’authentification pour la configuration Storebrowse
Par défaut, la fonction d’amélioration de l’authentification est désactivée.
Si gnome-keyring n’est pas disponible, le jeton est stocké dans la mémoire du processus Selfservice.
Pour forcer le stockage du jeton en mémoire, désactivez gnome-keyring en procédant comme suit :
- Accédez à
/opt/Citrix/ICAClient/config/AuthmanConfig.xml
. -
Ajouter l’entrée suivante :
<GnomeKeyringDisabled>true</GnomeKeyringDisabled> <!--NeedCopy-->
Carte à puce
Pour configurer la prise en charge de carte à puce dans l’application Citrix Workspace pour Linux, vous devez configurer le serveur StoreFront dans la console StoreFront.
L’application Citrix Workspace prend en charge les lecteurs de cartes à puce compatibles avec les pilotes PCSC-Lite et PKCS#11. Par défaut, l’application Citrix Workspace place désormais opensc-pkcs11.so
dans l’un des emplacements standards.
L’application Citrix Workspace peut trouver opensc-pkcs11.so
dans un emplacement non standard ou un autre pilote PKCS\#11
. Vous pouvez stocker l’emplacement respectif en suivant la procédure suivante :
- Recherchez le fichier de configuration :
$ICAROOT/config/AuthManConfig.xml
. -
Localisez la ligne <key>PKCS11module</key> et ajoutez l’emplacement du pilote à l’élément <value> qui suit immédiatement la ligne.
Remarque :
Si vous entrez un nom de fichier, l’application Citrix Workspace accède à ce fichier dans le répertoire
$ICAROOT/PKCS\ #11
. Vous pouvez également utiliser un chemin absolu commençant par « / ».
Après avoir supprimé une carte à puce, configurez le comportement de l’application Citrix Workspace en mettant à jour SmartCardRemovalAction
en procédant comme suit :
- Recherchez le fichier de configuration :
$ICAROOT/config/AuthManConfig.xml
. - Localisez la ligne <key>SmartCardRemovalAction</key> et ajoutez
noaction
ouforcelogoff
à l’élément <value> qui suit immédiatement la ligne.
Le comportement par défaut est noaction
. Aucune action n’est effectuée pour effacer les informations d’identification stockées et les jetons générés lors du retrait de la carte à puce.
L’action forcelogoff
efface toutes les informations d’identification et tous les jetons stockés dans StoreFront lors du retrait de la carte à puce.
Limitation :
- Les tentatives de démarrage d’une session VDA de serveur à l’aide de l’authentification par carte à puce peuvent échouer pour les cartes à puce comportant plusieurs utilisateurs. [HDX-44255]
Activation de la prise en charge des cartes à puce
L’application Citrix Workspace prend en charge divers lecteurs de cartes à puce si la carte à puce est activée à la fois sur le serveur et sur l’application Citrix Workspace.
Vous pouvez utiliser des cartes à puce aux fins suivantes :
- Authentification d’ouverture de session par carte à puce : vous authentifie auprès des serveurs Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
- Prise en charge des applications recourant à une carte à puce : permet aux applications publiées recourant à une carte à puce d’accéder aux lecteurs de carte à puce locaux.
Les données de carte à puce sont sensibles en matière de sécurité et doivent être transmises au moyen d’un canal authentifié sécurisé (TLS, par exemple).
Pré-requis de la prise en charge des cartes à puce :
- Les lecteurs de carte à puce et les applications publiées doivent être conformes aux normes PC/SC de l’industrie.
- Installez le pilote approprié au lecteur de carte à puce.
- Installez le package PC/SC Lite.
- Installez et exécutez le démon
pcscd
, qui fournit le middleware permettant d’accéder à la carte à puce à l’aide de PC/SC. - Sur un système 64 bits, les versions 64 bits et 32 bits du package « libpscslite1 » doivent être présentes.
Pour plus d’informations sur la configuration de la prise en charge des cartes à puce sur vos serveurs, veuillez consulter Cartes à puce dans la documentation de Citrix Virtual Apps and Desktops.
Améliorations apportées à la prise en charge des cartes à puce
À compter de la version 2112, l’application Citrix Workspace prend en charge la fonctionnalité Plug and Play pour le lecteur de carte à puce.
Lorsque vous insérez une carte à puce, le lecteur de carte à puce la détecte dans le serveur et le client.
Vous pouvez utiliser la fonctionnalité Plug and Play sur différentes cartes en même temps, et elles seront toutes détectées.
Logiciels requis :
Installez la bibliothèque libpcscd
sur le client Linux.
Remarque :
Cette bibliothèque peut être installée par défaut dans les versions récentes de la plupart des distributions Linux. Cependant, il se peut que vous deviez installer la bibliothèque
libpcscd
dans des versions antérieures de certaines distributions Linux, telles qu’Ubuntu 1604.
Pour désactiver cette amélioration :
- Naviguez jusqu’au dossier
<ICAROOT>/config/module.ini
. - Accédez à la section
SmartCard
. - Définissez le
DriverName=VDSCARD.DLL
.
Prise en charge des nouvelles cartes PIV
À partir de la version 2303, l’application Citrix Workspace prend en charge les nouvelles cartes PIV (Personal Identity Verification) suivantes :
- Carte à puce IDEMIA de nouvelle génération
- Carte à puce DELL TicTok
Optimisation des performances pour le pilote de carte à puce
La version 2303 de l’application Citrix Workspace inclut des correctifs et des optimisations liés aux performances pour le pilote de carte à puce VDSCARDV2.DLL
. Ces améliorations permettent de surpasser le pilote VDSCARD.DLL
version 1.
Prise en charge de l’authentification multifacteur (nFactor)
L’authentification multifacteur améliore la sécurité d’une application en exigeant des utilisateurs qu’ils fournissent d’autres preuves d’identification pour y accéder.
L’authentification multifacteur rend les étapes d’authentification et les formulaires de collecte d’informations d’identification associés configurables par l’administrateur.
L’application Citrix Workspace native prend en charge ce protocole en s’appuyant sur le support de formulaires de connexion déjà mis en œuvre pour StoreFront. Les pages de connexion Web pour les serveurs virtuels Citrix Gateway et Traffic Manager utilisent également ce protocole.
Pour de plus amples informations, consultez Authentification SAML et Authentification multifacteur (nFactor) dans la documentation de Citrix ADC.
Prise en charge de l’authentification à l’aide de FIDO2 dans une session HDX
À partir de la version 2303, vous pouvez vous authentifier au sein d’une session HDX à l’aide de clés de sécurité FIDO2 sans mot de passe. Les clés de sécurité FIDO2 permettent aux employés de l’entreprise de s’authentifier auprès d’applications ou de bureaux prenant en charge FIDO2 sans entrer de nom d’utilisateur ou de mot de passe. Pour plus d’informations sur FIDO2, consultez Authentification FIDO2.
Remarque :
Si vous utilisez le périphérique FIDO2 via la redirection USB, supprimez la règle de redirection USB de votre périphérique FIDO2. Vous pouvez accéder à cette règle depuis le fichier
usb.conf
du dossier$ICAROOT/
. Cette mise à jour vous permet de passer au canal virtuel FIDO2.
Par défaut, l’authentification FIDO2 est désactivée. Pour activer l’authentification FIDO2, procédez comme suit :
- Accédez au fichier
<ICAROOT>/config/module.ini
. - Accédez à la section
ICA 3.0
. - Définissez
FIDO2= On
.
Cette fonctionnalité prend actuellement en charge les authentificateurs itinérants (USB uniquement) avec code PIN et fonctionnalités tactiles. Vous pouvez configurer l’authentification basée sur les clés de sécurité FIDO2. Pour plus d’informations sur les conditions préalables et l’utilisation de cette fonctionnalité, consultez Autorisation locale et authentification virtuelle à l’aide de FIDO2.
Lorsque vous accédez à une application ou à un site Web qui prend en charge FIDO2, une invite s’affiche, demandant l’accès à la clé de sécurité. Si vous avez déjà enregistré votre clé de sécurité avec un code PIN, vous devez saisir le code PIN lors de la connexion. Le code PIN peut être composé d’un minimum de 4 et d’un maximum de 64 caractères.
Si vous avez préalablement enregistré votre clé de sécurité sans code PIN, il vous suffit de toucher la clé de sécurité pour vous connecter.
Limitation :
Vous risquez de ne pas enregistrer le second appareil sur un même compte à l’aide de l’authentification FIDO2.
Prise en charge de plusieurs clés d’accès dans une session HDX
Auparavant, lorsque plusieurs clés d’accès étaient associées à une clé de sécurité ou à un périphérique FIDO2, vous n’aviez pas la possibilité de sélectionner une clé d’accès appropriée. Par défaut, la première clé d’accès était utilisée pour l’authentification.
À partir de la version 2405, vous pouvez sélectionner une clé d’accès appropriée dans l’interface utilisateur de l’application Citrix Workspace. Cette fonctionnalité est activée par défaut. Lorsqu’il existe plusieurs clés d’accès, la première est sélectionnée par défaut. Cependant, vous pouvez sélectionner la clé d’accès appropriée comme suit :
Prise en charge de l’authentification à l’aide de FIDO2 lors de la connexion à des magasins locaux
À partir de la version 2309 de l’application Citrix Workspace pour Linux, les utilisateurs peuvent s’authentifier à l’aide de clés de sécurité FIDO2 sans mot de passe lorsqu’ils se connectent à des magasins locaux. Les clés de sécurité prennent en charge différentes méthodes d’accès, tels que les codes PIN de sécurité, les données biométriques, la lecture de cartes, les cartes à puce et les certificats de clé publique. Pour plus d’informations sur FIDO2, consultez Authentification FIDO2.
L’application Citrix Workspace utilise Citrix Enterprise Browser comme navigateur par défaut pour l’authentification FIDO2. Les administrateurs peuvent configurer le type de navigateur à utiliser pour l’authentification auprès de l’application Citrix Workspace.
Pour activer cette fonctionnalité, accédez à $ICAROOT/config/AuthManConfig.xml
et ajoutez les entrées suivantes :
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Pour modifier le navigateur par défaut, accédez à $ICAROOT/config/AuthManConfig.xml
et modifiez les paramètres du navigateur selon vos besoins. Les valeurs possibles sont CEB
, chromium
, firefox
et chromium-browser
.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Prise en charge de l’authentification à l’aide de FIDO2 lors de la connexion à des magasins cloud
À partir de la version 2405 de l’application Citrix Workspace pour Linux, les utilisateurs peuvent s’authentifier à l’aide de clés de sécurité FIDO2 sans mot de passe lorsqu’ils se connectent à des magasins cloud. Les clés de sécurité prennent en charge différentes méthodes d’accès, tels que les codes PIN de sécurité, les données biométriques, la lecture de cartes, les cartes à puce et les certificats de clé publique. Pour plus d’informations, consultez Authentification FIDO2.
L’application Citrix Workspace utilise Citrix Enterprise Browser comme navigateur par défaut pour l’authentification FIDO2. Les administrateurs peuvent configurer le type de navigateur à utiliser pour l’authentification auprès de l’application Citrix Workspace.
Pour activer cette fonctionnalité, accédez à $ICAROOT/config/AuthManConfig.xml
et ajoutez les entrées suivantes :
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Pour modifier le navigateur par défaut, accédez à $ICAROOT/config/AuthManConfig.xml
et modifiez les paramètres du navigateur selon vos besoins. Les valeurs possibles sont CEB, chromium, firefox et chromium-browser.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Configurer l’authentification FIDO2 à l’aide de GACS
Pour activer l’authentification FIDO2 pour l’URL du magasin à l’aide de GACS, effectuez les étapes suivantes :
-
Connectez-vous à Citrix Cloud.
-
Dans le coin supérieur gauche, cliquez sur l’icône en forme de hamburger, sur Configuration de l’espace de travail, puis sur Configuration de l’application.
-
Cliquez sur Espace de travail, puis sur le bouton Configurer.
-
Cliquez sur Sécurité et authentification, puis sur Authentification.
-
Cliquez sur Authentification FIDO2, cochez la case Linux, puis basculez le bouton sur Activé.
-
Cliquez sur Publier le brouillon.
Authentification personnalisée
Le tableau suivant répertorie les types d’authentification personnalisée disponibles pour l’application Citrix Workspace :
Utilitaire | SDK | Type d’authentification | Bibliothèques utilisées | Binaires | Détection du type d’authentification |
---|---|---|---|---|---|
Fast Connect | Credential Insertion SDK | Nom d’utilisateur/mot de passe/carte à puce/authentification pass-through au domaine | libCredInject.so | cis |
Paramètres : utilisés par les intégrations d’authentificateurs tiers |
Custom Dialog | SDK d’optimisation de la plate-forme | Nom d’utilisateur/mot de passe/carte à puce | UIDialogLib.so and UIDialogLibWebKit3.so | Non | Détection automatique : utilisée par les clients légers et les partenaires |
Storebrowse |
Application Citrix Workspace | Nom d’utilisateur/mot de passe | Non | Storebrowse |
Paramètres |