Authentification
Vous pouvez configurer plusieurs types d’authentification pour votre application Citrix Workspace, y compris l’authentification pass-through (authentification unique, Single Sign-on ou SSON) au domaine, par carte à puce et pass-through Kerberos.
Authentification par Domain pass-through (Single Sign-On)
L’authentification pass-through au domaine (authentification unique, Single Sign-on ou SSON) vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) sans avoir à vous réauthentifier.
Remarque :
Si vous désactivez la stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe, la fonctionnalité d’authentification pass-through au domaine (Single Sign-On) n’est pas prise en charge sous Windows 11. Cette fonctionnalité est disponible dans l’application Citrix Workspace pour Windows versions 2012 et ultérieures.
Lorsque cette option est activée, le pass-through au domaine (authentification unique) met en cache vos informations d’identification, afin que vous puissiez vous connecter à d’autres applications Citrix sans avoir à vous connecter à chaque fois. Assurez-vous que seuls les logiciels conformes aux stratégies de votre entreprise s’exécutent sur votre appareil afin de limiter le risque de compromission des informations d’identification.
Lorsque vous ouvrez une session sur l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront avec les applications, les bureaux et les paramètres du menu Démarrer. Après avoir configuré Single Sign-On, vous pouvez ouvrir une session sur l’application Citrix Workspace et lancer des sessions d’applications et de bureaux virtuels sans ressaisir vos informations d’identification.
Tous les navigateurs Web requièrent la configuration de l’authentification unique à l’aide du modèle d’administration de l’objet de stratégie de groupe (GPO). Pour plus d’informations sur la configuration de l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO), reportez-vous à la section Configurer Single Sign-on avec Citrix Gateway.
Vous pouvez configurer l’authentification Single Sign-On lors d’une nouvelle installation ou d’une mise à niveau, à l’aide de l’une des options suivantes :
- Interface de ligne de commande
- GUI
Remarque :
Les termes authentification pass-through au domaine (ou unique), single sign-on et SSON peuvent être utilisés de manière interchangeable dans ce document.
Limitations :
Cette approche d’authentification pass-through au domaine à l’aide des informations d’identification de l’utilisateur présente les limitations suivantes :
- Ne prend pas en charge l’authentification sans mot de passe avec les méthodes d’authentification modernes telles que Windows Hello ou FIDO2. Un composant supplémentaire, le Service d’authentification fédérée ou FAS, est requis pour l’authentification unique (SSO).
- L’installation ou la mise à niveau de l’application Citrix Workspace avec l’authentification SSON activée requiert le redémarrage de l’appareil.
- Requiert l’activation des notifications MPR (Multi Provider Router) sur les machines Windows 11.R
- Doit figurer en haut de la liste des fournisseurs de réseaux.
Pour surmonter les limitations précédentes, utilisez l’authentification pass-through améliorée au domaine pour l’authentification unique (SSO améliorée).
Configurer l’authentification Single Sign-On lors d’une nouvelle installation
Pour configurer l’authentification Single Sign-On lors d’une nouvelle installation, suivez les étapes suivantes :
- Configuration sur StoreFront.
- Configurez les services d’approbation XML sur le Delivery Controller.
- Modifiez les paramètres d’Internet Explorer.
- Installez l’application Citrix Workspace avec Single Sign-On.
Configurer l’authentification unique sur StoreFront
Single Sign-on vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS depuis le même domaine sans procéder à une nouvelle authentification pour chaque application ou bureau.
Lorsque vous ajoutez un magasin à l’aide de l’utilitaire Storebrowse, vos informations d’identification sont transmises au serveur Citrix Gateway avec les applications et les bureaux énumérés pour vous, y compris les paramètres du menu Démarrer. Après avoir configuré Single Sign-on, vous pouvez ajouter le magasin, énumérer vos applications et bureaux et lancer les ressources nécessaires sans saisir à plusieurs reprises vos informations d’identification.
Selon le déploiement Citrix Virtual Apps and Desktops, l’authentification Single Sign-On peut être configurée sur StoreFront à l’aide de la console de gestion.
Utilisez le tableau ci-dessous pour différents cas d’utilisation et la configuration associée :
Cas d’utilisation | Détails de la configuration | Informations supplémentaires |
---|---|---|
SSON configuré sur StoreFront | Lancez Citrix Studio, accédez à Magasin > Gérer les méthodes d’authentification - Magasin > activez Authentification pass-through au domaine. | Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de Par le domaine à Par nom d’utilisateur et mot de passe, le cas échéant. |
Lorsque Workspace pour Web est requis | Lancez Magasins > Workspace pour Web > Gérer les méthodes d’authentification - Magasin > activez Authentification pass-through au domaine. | Lorsque l’application Citrix Workspace n’est pas configurée avec Single Sign-On, elle change automatiquement la méthode d’authentification de Par le domaine à Par nom d’utilisateur et mot de passe, le cas échéant. |
Configurer Single Sign-on avec Citrix Gateway
Vous pouvez activer Single Sign-On avec Citrix Gateway via le modèle d’administration d’objet de stratégie de groupe. Cependant, vous devez vous assurer que vous avez activé l’authentification de base et l’authentification à facteur unique (nFactor avec 1 facteur) sur Citrix Gateway.
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Single Sign-on pour Citrix Gateway.
- Sélectionnez Activé.
- Cliquez sur Appliquer, puis sur OK.
- Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.
Configurer les services d’approbation XML sur le Delivery Controller
Sur Citrix Virtual Apps and Desktops et Citrix DaaS, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :
asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True
Modifier les paramètres d’Internet Explorer
- Ajoutez le serveur StoreFront à la liste de sites de confiance à l’aide d’Internet Explorer. Pour ajouter :
- Lancez Options Internet à partir du panneau de configuration.
-
Cliquez sur Sécurité > Intranet local, puis sur Sites.
La fenêtre Intranet Local s’affiche.
- Sélectionnez Avancé.
- Ajoutez l’adresse URL ou le nom de domaine complet de StoreFront avec les protocoles HTTP ou HTTPS appropriés.
- Cliquez sur Appliquer, puis sur OK.
- Modifiez les paramètres Authentification utilisateur dans Internet Explorer. Pour modifier :
- Lancez Options Internet à partir du panneau de configuration.
- Cliquez sur l’onglet Sécurité > Intranet local.
- Cliquez sur Personnaliser le niveau. La fenêtre Paramètres de sécurité — Zone Intranet local s’affiche.
-
Dans le panneau Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuel.
- Cliquez sur Appliquer, puis sur OK.
Configurer Single Sign-On à l’aide de l’interface de ligne de commande
Installez l’application Citrix Workspace avec le commutateur /includeSSON
et redémarrez-la pour que les modifications prennent effet.
Configurer le Single Sign-On à l’aide de l’interface graphique
- Accédez au fichier d’installation de l’application Citrix Workspace (
CitrixWorkspaceApp.exe
). - Cliquez deux fois sur
CitrixWorkspaceApp.exe
pour lancer le programme d’installation. - Dans l’assistant d’installation Activer l’authentification unique, sélectionnez l’option Activer l’authentification unique.
- Cliquez sur Suivant et suivez les invites pour terminer l’installation.
Vous pouvez maintenant vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans fournir d’informations d’identification utilisateur.
Configurer Single Sign-on sur Citrix Workspace pour Web
Vous pouvez configurer Single Sign-on sur Workspace pour Web à l’aide du modèle d’administration d’objet de stratégie de groupe.
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de Workspace pour Web en exécutant gpedit.msc.
- Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur.
- Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
- Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour Web d’utiliser vos informations d’identification d’ouverture de session pour l’authentification sur le serveur distant.
- Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA. Cette option ignore toute restriction d’authentification et autorise le transfert des informations d’identification sur toutes les connexions.
- Cliquez sur Appliquer, puis sur OK.
- Redémarrez Workspace pour Web pour que les modifications prennent effet.
Vérifiez que Single Sign-on est activé. Pour cela, démarrez le gestionnaire des tâches et vérifiez si le processus ssonsvr.exe
est en cours d’exécution.
Configurer Single Sign-on à l’aide d’Active Directory
Procédez comme suit pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez obtenir l’authentification Single Sign-on sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.
-
Téléchargez et placez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l’application Citrix Workspace.
-
Obtenez le
CheckAndDeployCitrixReceiverPerMachineStartupScript.bat
modèle à partir de la page Téléchargement de l’application Citrix Workspace pour Windows. -
Modifiez le contenu pour refléter l’emplacement et la version de
CitrixWorkspaceApp.exe
. -
Dans la console Gestion des stratégies de groupe Active Directory, entrez
CheckAndDeployCitrixReceiverPerMachineStartupScript.bat
comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory. -
Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajout/Suppression de modèles pour ajouter le fichier
receiver.adml
. -
Après avoir ajouté le modèle
receiver.adml
, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur. Pour plus d’informations sur l’ajout de fichiers de modèle, consultez la section Modèle d’administration d’objet de stratégie de groupe. -
Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
-
Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.
-
Redémarrez la machine pour que les modifications prennent effet.
Configurer l’authentification unique sur StoreFront
Configuration du StoreFront
- Lancez Citrix Studio sur le serveur StoreFront et sélectionnez Magasins > Gérer les méthodes d’authentification - Magasin.
- Sélectionnez Authentification pass-through au domaine.
Jetons d’authentification
Les jetons d’authentification sont chiffrés et stockés sur le disque local, de sorte que vous n’avez pas besoin de saisir à nouveau vos informations d’identification lorsque votre système ou votre session redémarre. L’application Citrix Workspace offre une option permettant de désactiver le stockage des jetons d’authentification sur le disque local.
Pour une sécurité renforcée, nous fournissons maintenant une stratégie Objet de stratégie de groupe (GPO) pour configurer le stockage de jetons d’authentification.
Remarque :
Cette configuration ne s’applique qu’aux déploiements dans le cloud.
Pour désactiver le stockage des jetons d’authentification à l’aide de la stratégie Objet de stratégie de groupe (GPO) :
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Self-Service.
-
Dans la stratégie Stocker les jetons d’authentification, sélectionnez l’une des options suivantes :
- Activé : indique que les jetons d’authentification sont stockés sur le disque. Par défaut, cette option est définie sur Activé.
- Désactivé : indique que les jetons d’authentification ne sont pas stockés sur le disque. Saisissez à nouveau vos informations d’identification lorsque votre système ou votre session redémarre.
- Cliquez sur Appliquer, puis sur OK.
À compter de la version 2106, l’application Citrix Workspace offre une option supplémentaire permettant de désactiver le stockage des jetons d’authentification sur le disque local. En plus de la configuration d’objet de stratégie de groupe existante, vous pouvez également désactiver le stockage de jetons d’authentification sur le disque local à l’aide du Global App Configuration Service.
Dans Global App Configuration Service, définissez l’attribut Store Authentication Tokens
sur False
.
Vous pouvez configurer ce paramètre à l’aide de Global App Configuration Service selon l’une des méthodes suivantes :
- Interface utilisateur (UI) de Global App Configuration service : pour configurer à l’aide de l’interface utilisateur, voir Configurer l’application Citrix Workspace
- API : pour configurer les paramètres à l’aide d’API, consultez le document Citrix Developer.
Outil d’analyse de la configuration
L’Outil d’analyse de la configuration vous permet d’exécuter un test pour vous assurer que Single Sign-On est correctement configuré. Le test est exécuté sur les différents points de contrôle de la configuration de l’authentification Single Sign-On et affiche les résultats de la configuration.
- Cliquez avec le bouton droit de la souris sur l’icône de l’application Citrix Workspace dans la zone de notification et cliquez sur Préférences avancées. La boîte de dialogue Préférences avancées s’affiche.
-
Cliquez sur Outil d’analyse de la configuration. La fenêtre Outil de configuration Citrix s’affiche.
- Sélectionnez SSONChecker dans le volet Sélectionner.
- Cliquez sur Exécuter. Une barre de progression apparaît, affichant l’état du test.
La fenêtre Outil d’analyse de la configuration comporte les colonnes suivantes :
-
État : affiche le résultat d’un test sur un point de contrôle.
- Une coche verte indique que le point de contrôle est correctement configuré.
- Un I bleu indique des informations sur le point de contrôle.
- Un X rouge indique que le point de contrôle n’est pas configuré correctement.
- Fournisseur : affiche le nom du module sur lequel le test est exécuté. Dans ce cas, Single Sign-on.
- Suite : indique la catégorie du test. Par exemple, Installation.
- Test : indique le nom du test qui est exécuté.
- Détails : fournit des informations supplémentaires sur le test, pour la réussite et l’échec.
L’utilisateur dispose de plus d’informations sur chaque point de contrôle et les résultats correspondants.
Les tests suivants sont effectués :
- Installé avec Single Sign-on.
- Capture des informations d’identification d’ouverture de session.
- Enregistrement du fournisseur réseau : le résultat du test pour l’enregistrement du fournisseur de réseau affiche une coche verte uniquement si « Citrix Single Sign-On » est défini en tant que premier élément dans la liste des fournisseurs de réseau. Si Citrix Single Sign-On s’affiche ailleurs dans la liste, le résultat de test pour l’inscription du fournisseur réseau s’affiche avec un I bleu et des informations supplémentaires.
- Processus de Single Sign-On en cours d’exécution.
- Stratégie de groupe : par défaut, cette stratégie est configurée sur le client.
- Paramètres Internet pour les zones de sécurité : assurez-vous que vous ajoutez le magasin/l’adresse URL du service XenApp à la liste des zones de sécurité dans les Options Internet. Si les zones de sécurité sont configurées via une stratégie de groupe, toute modification de la stratégie requiert que la fenêtre Préférences avancées soit rouverte pour que les modifications soient prises en compte et pour afficher l’état correct du test.
- Méthode d’authentification pour StoreFront.
Remarque :
- Si vous accédez à Workspace pour Web, les résultats du test ne sont pas applicables.
- Si l’application Citrix Workspace est configurée avec plusieurs magasins, le test de la méthode d’authentification est exécuté sur tous les magasins configurés.
- Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.
Masquer l’outil d’analyse de la configuration dans la fenêtre Préférences avancées
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Accédez à Composants Citrix > Citrix Workspace > Libre-service > DisableConfigChecker.
- Cliquez sur Activé pour masquer l’Outil d’analyse de la configuration dans la fenêtre Préférences avancées.
- Cliquez sur Appliquer, puis sur OK.
- Exécutez la commande
gpupdate /force
.
Limitation :
L’outil d’analyse de la configuration ne comprend pas le point de contrôle pour la configuration de l’option Faire confiance aux requêtes envoyées au service XML sur les serveurs Citrix Virtual Apps and Desktops.
Test de balise
L’application Citrix Workspace vous permet d’effectuer un test de balise à l’aide du contrôleur de balises disponible dans l’outil d’analyse de la configuration. Un test de balise permet de vérifier si la balise (ping.citrix.com) est accessible. À partir de la version 2402 LTSR CU1 de l’application Citrix Workspace pour Windows, le test de balise fonctionne pour toutes les balises configurées dans le magasin et ajoutées dans l’application Citrix Workspace. Ce test de diagnostic permet d’éliminer l’une des nombreuses causes possibles de la lenteur de l’énumération des ressources, à savoir l’indisponibilité de la balise. Pour exécuter le test, cliquez avec le bouton droit de la souris sur l’application Citrix Workspace dans la zone de notification et sélectionnez Préférences avancées > Outil d’analyse de la configuration. Sélectionnez l’option Contrôleur de balises dans la liste de tests et cliquez sur Exécuter.
Les résultats du test peuvent être les suivants :
- Accessible : la balise peut contacter l’application Citrix Workspace.
- Inaccessible : l’application Citrix Workspace ne peut pas contacter la balise.
- Partiellement accessible : l’application Citrix Workspace peut contacter la balise par intermittence.
Remarque :
- Les résultats du test ne s’appliquent pas à Workspace pour Web.
- Vous pouvez enregistrer les résultats du test sous forme de rapports. Le format par défaut du rapport est .txt.
Authentification pass-through au domaine (Single Sign-On) avec Kerberos
Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS.
L’application Citrix Workspace prend en charge l’authentification pass-through au domaine (Single Sign-on ou SSON) Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).
Lorsque l’authentification Kerberos est activée, Kerberos gère l’authentification sans mots de passe pour l’application Citrix Workspace, ce qui évite les attaques de type cheval de Troie destinées à obtenir les mots de passe sur la machine utilisateur. Les utilisateurs peuvent se connecter à l’aide de n’importe quelle méthode d’authentification et accéder aux ressources publiées, par exemple, un identificateur biométrique tel qu’un lecteur d’empreintes digitales.
Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS configurés pour l’authentification par carte à puce, l’application Citrix Workspace effectue les opérations suivantes :
- capture le code PIN de la carte à puce pendant le processus Single Sign-on.
-
utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à l’application Citrix Workspace les informations relatives à la disponibilité de Citrix Virtual Apps and Desktops et Citrix DaaS.
Remarque :
Activez Kerberos pour éviter l’affichage d’invites de saisie de code PIN supplémentaires. Si vous n’utilisez pas l’authentification Kerberos, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.
- Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA afin de connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops et Citrix DaaS fournissent ensuite les ressources demandées.
Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, assurez-vous que la configuration de Kerberos respecte les critères suivants.
- Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs appartenant aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs sont approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
- Kerberos doit être activé sur le domaine et dans Citrix Virtual Apps and Desktops et Citrix DaaS. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non Kerberos sur le domaine.
- L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser les informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.
Avertissement :
Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous utilisez l’Éditeur du Registre à vos propres risques. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.
Authentification pass-through au domaine (Single Sign-on) avec Kerberos en vue de l’utilisation avec des cartes à puce
Avant de continuer, consultez la section Sécuriser votre déploiement de la documentation Citrix Virtual Apps and Desktops.
Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :
-
/includeSSON
Cette option installe le composant Single Sign-on sur l’ordinateur appartenant au domaine, ce qui permet à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant Single Sign-on mémorise le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX pour transmettre à distance le matériel et les informations d’identification de la carte à puce à Citrix Virtual Apps and Desktops et Citrix DaaS. Citrix Virtual Apps and Desktops et Citrix DaaS sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.
L’option associée
ENABLE_SSON
est activée par défaut.
Si une stratégie de sécurité vous empêche d’activer Single Sign-on sur une machine, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
- Sélectionnez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
- Sélectionnez Activer l’authentification pass-through.
-
Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.
Pour configurer StoreFront :
Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.
Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.
Prise en charge de l’accès conditionnel avec Azure Active Directory
L’accès conditionnel est un outil utilisé par Azure Active Directory pour appliquer les stratégies d’organisation. Les administrateurs de Workspace peuvent configurer et appliquer les stratégies d’accès conditionnel Azure Active Directory pour les utilisateurs qui s’authentifient auprès de l’application Citrix Workspace. Microsoft Edge WebView2 Runtime version 99 ou ultérieure doit être installé sur la machine Windows exécutant l’application Citrix Workspace.
Pour obtenir plus de détails et des instructions sur la configuration des stratégies d’accès conditionnel avec Azure Active Directory, consultez la documentation Azure AD relative à l’accès conditionnel sur docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/.
Remarque :
Cette fonctionnalité est prise en charge uniquement sur les déploiements Workspace (Cloud).
Prise en charge des méthodes d’authentification modernes pour les magasins StoreFront
Vous pouvez activer la prise en charge des méthodes d’authentification modernes pour les magasins StoreFront à l’aide du modèle d’objet de stratégie de groupe (GPO). Vous pouvez activer cette fonctionnalité à l’aide du service Global App Configuration.
Vous pouvez vous authentifier auprès des magasins Citrix StoreFront de l’une des manières suivantes :
- Utilisation des clés de sécurité Windows Hello et FIDO2. Pour plus d’informations, consultez la section Autres méthodes d’authentification.
- Authentification unique auprès des magasins Citrix StoreFront à partir de machines Azure Active Directory (AAD) jointes avec AAD en tant que fournisseur d’identité. Pour plus d’informations, consultez la section Autres méthodes d’authentification.
- Les administrateurs Workspace peuvent configurer et appliquer les stratégies d’accès conditionnel Azure Active Directory pour les utilisateurs qui s’authentifient sur les magasins Citrix StoreFront. Pour plus d’informations, consultez la section Prise en charge de l’accès conditionnel avec Azure AD.
Pour activer cette fonctionnalité, vous devez utiliser Microsoft Edge WebView2 comme navigateur sous-jacent pour l’authentification directe de StoreFront et de la passerelle.
Remarque :
Assurez-vous que la version de Microsoft Edge WebView2 Runtime est 102 ou ultérieure.
Vous pouvez activer des méthodes d’authentification modernes pour les magasins StoreFront à l’aide de Global App Config Service et du modèle d’objet de stratégie de groupe (GPO).
Utilisation de Global App Config Service
Pour activer cette fonctionnalité :
- Dans le menu Citrix Cloud, sélectionnez Configuration de l’espace de travail, puis sélectionnez Configuration d’applications.
- Cliquez sur Sécurité et authentification.
- Assurez-vous que la case Windows est cochée.
-
Sélectionnez Activé en regard de Windows dans la liste déroulante Microsoft Edge WebView pour l’authentification StoreFront.
Remarque :
Si vous sélectionnez Désactivé en regard de Windows dans la liste déroulante Microsoft Edge WebView pour l’authentification StoreFront, Internet Explorer WebView est utilisé dans l’application Citrix Workspace. Par conséquent, les méthodes d’authentification modernes pour les magasins Citrix StoreFront ne sont pas prises en charge.
Utilisation de GPO
Pour activer cette fonctionnalité :
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
- Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Authentification utilisateur.
-
Cliquez sur la stratégie Microsoft Edge WebView pour l’authentification StoreFront et définissez-la sur Activé.
- Cliquez sur Appliquer, puis sur OK.
Lorsque cette stratégie est désactivée, l’application Citrix Workspace utilise Internet Explorer WebView. Par conséquent, les méthodes d’authentification modernes pour les magasins Citrix StoreFront ne sont pas prises en charge.
Autres méthodes d’authentification
Vous pouvez configurer les mécanismes d’authentification suivants avec l’application Citrix Workspace. Pour que les mécanismes d’authentification suivants fonctionnent comme prévu, Microsoft Edge WebView2 Runtime version 99 ou version ultérieure doit être installé sur la machine Windows exécutant l’application Citrix Workspace.
-
Authentification basée sur Windows Hello : pour obtenir des instructions sur la configuration de l’authentification basée sur Windows Hello, consultez la section Configurer les paramètres de Windows Hello Entreprise - Certificat d’autorisation (docs.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings).
Remarque :
L’authentification basée sur Windows Hello avec pass-through au domaine (Single Sign-on ou SSON) n’est pas prise en charge.
- Authentification basée sur les clés de sécurité FIDO2 : les clés de sécurité FIDO2 permettent aux employés de l’entreprise de s’authentifier sans entrer de nom d’utilisateur ou de mot de passe. Vous pouvez configurer l’authentification basée sur les clés de sécurité FIDO2 sur Citrix Workspace. Si vous souhaitez que vos utilisateurs s’authentifient auprès de Citrix Workspace avec leur compte Azure AD à l’aide d’une clé de sécurité FIDO2, consultez la section Activer la connexion par clé de sécurité sans mot de passe (docs.microsoft.com/fr-fr/azure/active-directory/authentication/howto-authentication-passwordless-security-key).
- Vous pouvez également configurer l’authentification unique (SSO) auprès de l’application Citrix Workspace à partir de machines Azure Active Directory (AAD) jointes avec AAD en tant que fournisseur d’identité. Pour de plus amples informations sur la configuration d’Azure Active Directory Domain Services, consultez Présentation d’Azure Active Directory Domain Services sur docs.microsoft.com/fr-fr/azure/active-directory-domain-services/overview. Pour plus d’informations sur la façon de connecter Azure Active Directory à Citrix Cloud, consultez la section Connecter Azure Active Directory à Citrix Cloud.
Carte à puce
L’application Citrix Workspace pour Windows prend en charge l’authentification par carte à puce suivante :
-
Authentification pass-through (Single Sign-On) : l’authentification pass-through capture les informations d’identification de la carte à puce lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace. Citrix Workspace utilise les informations d’identification capturées comme suit :
- Les utilisateurs dont les machines appartiennent au domaine qui ouvrent une session sur l’application Citrix Workspace à l’aide de la de carte à puce peuvent démarrer des applications et des bureaux virtuels sans avoir à se réauthentifier.
- L’application Citrix Workspace qui s’exécute sur des machines n’appartenant pas au domaine avec des informations d’identification de carte à puce doivent de nouveau entrer leurs informations d’identification pour démarrer une application ou un bureau virtuel.
L’authentification pass-through requiert une configuration sur StoreFront et l’application Citrix Workspace.
-
Authentification bimodale : avec l’authentification bimodale, les utilisateurs peuvent choisir d’utiliser une carte à puce ou d’entrer leurs nom d’utilisateur et mot de passe. Cette fonctionnalité est utile lorsque vous ne pouvez pas utiliser de carte à puce. Par exemple, le certificat d’ouverture de session a expiré. Des magasins dédiés doivent être configurés pour chaque site pour permettre l’authentification bimodale et la méthode DisableCtrlAltDel doit être définie sur False pour autoriser les cartes à puce. L’authentification bimodale requiert la configuration de StoreFront.
L’authentification bimodale permet à l’administrateur StoreFront de proposer à la fois l’authentification par nom d’utilisateur et mot de passe et par carte à puce pour le même magasin en les sélectionnant dans la console StoreFront. Consultez la documentation StoreFront.
-
Certificats multiples : de multiples certificats peuvent être utilisés pour une seule carte à puce et si plusieurs cartes à puce sont utilisées. Lorsque vous insérez une carte à puce dans un lecteur de cartes, les certificats s’appliquent à toutes les applications qui s’exécutent sur la machine utilisateur, y compris l’application Citrix Workspace.
-
Authentification du certificat client : l’authentification du certificat client requiert la configuration de Citrix Gateway et de StoreFront.
- Pour accéder à StoreFront via Citrix Gateway, vous devez vous ré-authentifier après le retrait de la carte à puce.
- Lorsque la configuration SSL de Citrix Gateway est définie sur authentification du certificat client obligatoire, la sécurité des opérations est garantie. Toutefois, l’authentification du certificat client obligatoire n’est pas compatible avec l’authentification bimodale.
-
Sessions double hop : si une session double hop est nécessaire, une connexion est établie entre l’application Citrix Workspace et le bureau virtuel de l’utilisateur.
-
Applications activées pour carte à puce : les applications activées pour carte à puce, telles que Microsoft Outlook et Microsoft Office, permettent aux utilisateurs de signer numériquement ou de crypter des documents disponibles dans les sessions d’applications et de bureaux virtuels.
Limitations :
- Les certificats doivent être stockés sur une carte à puce et non sur la machine utilisateur.
- L’application Citrix Workspace n’enregistre pas le choix de certificat de l’utilisateur, mais mémorise le code PIN lors de la configuration. Le code PIN est mis en cache dans la mémoire non paginée uniquement pendant la session utilisateur et n’est pas stocké sur le disque.
- L’application Citrix Workspace ne reconnecte pas une session lorsqu’une carte à puce est insérée.
- Lorsqu’elle est configurée pour utiliser l’authentification par carte à puce, l’application Citrix Workspace ne prend pas en charge l’authentification unique avec réseau privé virtuel (VPN) ou le pré-lancement de session. Pour utiliser un VPN avec une authentification par carte à puce, installez le plug-in Citrix Gateway. Ouvrez une session via une page Web à l’aide de cartes à puce et de codes PIN pour vous authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.
- Les communications du programme de mise à jour de l’application Citrix Workspace avec citrix.com et Merchandising Server ne sont pas compatibles avec l’authentification par carte à puce sur Citrix Gateway.
Avertissement
Certaines configurations nécessitent des modifications du registre. Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.
Pour activer le Single Sign-On (SSO) pour l’authentification par carte à puce :
Pour configurer l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante lors de l’installation :
-
ENABLE_SSON=Yes
L’authentification pass-through est également appelée Single Sign-On (SSO). L’activation de ce paramètre empêche l’application Citrix Workspace d’afficher une seconde invite de saisie du code PIN.
-
Dans l’Éditeur du Registre, accédez au chemin suivant et définissez la chaîne
SSONCheckEnabled
surFalse
si le composant d’authentification unique n’est pas installé.HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
La clé empêche le gestionnaire d’authentification de l’application Citrix Workspace de rechercher le composant Single Sign-on, ce qui permet à Citrix Workspace de s’authentifier auprès de StoreFront.
Pour activer l’authentification par carte à puce sur StoreFront au lieu de Kerberos, installez l’application Citrix Workspace pour Windows à l’aide des options de ligne de commande suivantes.
-
/includeSSON
installe l’authentification Single Sign-On (authentification pass-through). Permet la mise en cache des informations d’identification et l’utilisation de l’authentification pass-through au domaine. -
Si l’utilisateur ouvre une session sur le point de terminaison avec une méthode d’authentification différente, par exemple, un nom d’utilisateur et un mot de passe, la ligne de commande est la suivante :
/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No
Ce type d’authentification empêche la capture des informations d’identification au moment de l’ouverture de session et permet à l’application Citrix Workspace de stocker le code PIN lors de l’ouverture de session sur l’application Citrix Workspace.
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
- Rendez-vous sur Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe locaux.
- Sélectionnez Activer l’authentification pass-through. En fonction de la configuration et des paramètres de sécurité, sélectionnez l’option Autoriser l’authentification pass-through pour toutes les connexions ICA pour que l’authentification pass-through fonctionne.
Pour configurer StoreFront :
- Lorsque vous configurez le service d’authentification, sélectionnez la case à cocher Carte à puce.
Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.
Pour activer l’utilisation de cartes à puce sur les machines utilisateur :
- Importez le certificat racine d’autorité de certification dans le keystore de la machine.
- Installez les logiciels intermédiaires de chiffrement du fournisseur de services.
- Installez et configurez l’application Citrix Workspace.
Pour modifier la façon dont les certificats sont sélectionnés :
Par défaut, si plusieurs certificats sont valides, l’application Citrix Workspace invite l’utilisateur à en choisir un dans la liste. Vous pouvez également configurer l’application Citrix Workspace pour qu’elle utilise le certificat par défaut (celui du fournisseur de carte à puce) ou le certificat présentant la date d’expiration la plus éloignée. S’il n’existe aucun certificat valide, l’utilisateur en est notifié et il a la possibilité d’utiliser une autre méthode d’ouverture de session, le cas échéant.
Un certificat valide doit présenter ces caractéristiques :
- L’heure actuelle de l’horloge sur l’ordinateur doit se situer dans la période de validité du certificat.
- La clé publique du sujet doit utiliser l’algorithme RSA et présenter une longueur de 1 024, 2 048 ou 4 096 bits.
- L’utilisation de la clé doit contenir une signature numérique.
- L’autre nom du sujet doit contenir le nom d’utilisateur principal (UPN).
- L’utilisation améliorée de la clé doit contenir l’ouverture de session par carte à puce et l’authentification client, ou toute utilisation de clé.
- L’une des autorités de certification sur la chaîne de l’émetteur du certificat doit correspondre à l’un des noms uniques autorisés (DN) envoyé par le serveur dans la négociation TLS.
Modifiez la manière dont les certificats sont sélectionnés en utilisant l’une des méthodes suivantes :
-
Spécifiez l’option
AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }
sur la ligne de commande de l’application Citrix Workspace.Prompt est la valeur par défaut. Pour
SmartCardDefault
ouLatestExpiry
, si plusieurs certificats répondent aux critères, l’application Citrix Workspace invite l’utilisateur à choisir un certificat. -
Ajoutez la valeur de clé suivante à la clé de registre HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
: CertificateSelectionMode={ PromptSmartCardDefault LatestExpiry }.
Les valeurs définies dans la HKEY_CURRENT_USER
ont priorité sur les valeurs définies dans la HKEY_LOCAL_MACHINE
afin d’aider l’utilisateur à sélectionner un certificat.
Pour utiliser des invites de code PIN CSP :
Par défaut, les invites de saisie du code PIN sont fournies par l’application Citrix Workspace pour Windows plutôt que par le fournisseur de service cryptographique (CSP) de la carte à puce. L’application Citrix Workspace invite les utilisateurs à entrer un code PIN lorsque cela est requis et transmet le code PIN au CSP de la carte à puce. Si votre site ou votre carte à puce impose des mesures de sécurité plus strictes, telles que la désactivation de la mise en cache du code PIN par processus ou par session, vous pouvez configurer l’application Citrix Workspace pour qu’elle utilise les composants du CSP pour gérer la saisie du code PIN, y compris l’invite de saisie du code PIN.
Modifiez la manière dont la saisie du code PIN est traitée en utilisant l’une des méthodes suivantes :
- Spécifiez l’option
AM_SMARTCARDPINENTRY=CSP
sur la ligne de commande de l’application Citrix Workspace. - Ajoutez la valeur de clé suivante à la clé de registre
HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager
: SmartCardPINEntry=CSP.
Modifications de la prise en charge et du retrait des cartes à puce
Une session Citrix Virtual Apps se déconnecte lorsque vous retirez la carte à puce. Si l’application Citrix Workspace est configuré avec l’authentification par carte à puce, configurez la stratégie correspondante sur l’application Citrix Workspace pour Windows pour appliquer la fermeture de session de Citrix Virtual Apps. L’utilisateur reste connecté à la session de l’application Citrix Workspace.
Limitation :
Lorsque vous ouvrez une session sur l’application Citrix Workspace à l’aide de l’authentification par carte à puce, le nom d’utilisateur est affiché comme Session ouverte.
Carte à puce rapide
La carte à puce rapide constitue une amélioration par rapport à la redirection de carte à puce PC/SC HDX existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des environnements WAN à latence élevée.
Les cartes à puce rapides sont uniquement prises en charge sur Windows VDA.
Pour activer une connexion par carte à puce rapide sur l’application Citrix Workspace :
La connexion par carte à puce rapide est activée par défaut sur le VDA et désactivée par défaut sur l’application Citrix Workspace. Pour activer une connexion par carte à puce rapide, incluez le paramètre suivant dans le fichier default.ica
du site StoreFront associé :
copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->
Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace :
Pour désactiver la connexion par carte à puce rapide sur l’application Citrix Workspace, supprimez le paramètre SmartCardCryptographicRedirection
du fichier default.ica
du site StoreFront associé.
Pour de plus amples informations, consultez la section Cartes à puce.
Authentification silencieuse pour Citrix Workspace
L’application Citrix Workspace introduit une stratégie d’objet de stratégie de groupe (GPO) pour activer l’authentification silencieuse pour Citrix Workspace. Cette stratégie permet à l’application Citrix Workspace de se connecter automatiquement à Citrix Workspace au démarrage du système. Utilisez cette stratégie uniquement lorsque le pass-through au domaine (authentification unique, Single Sign-on ou SSON) est configuré pour Citrix Workspace sur des appareils joints à un domaine. Cette fonctionnalité est disponible dans l’application Citrix Workspace pour Windows versions 2012 et ultérieures.
Pour que cette stratégie fonctionne, les critères suivants doivent être respectés :
- L’authentification unique doit être activée.
- La clé
SelfServiceMode
doit être définie surOff
dans l’éditeur du Registre.
Activation de l’authentification silencieuse :
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Libre-service.
- Cliquez sur la stratégie Authentification silencieuse pour Citrix Workspace et définissez la valeur sur Activé.
- Cliquez sur Appliquer, puis sur OK.
Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache
Par défaut, l’application Citrix Workspace pour Windows remplit automatiquement le dernier nom d’utilisateur saisi. Pour effacer le remplissage automatique du champ du nom d’utilisateur, modifiez le registre sur la machine utilisateur :
- Créez une valeur REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsername.
- Définissez sa valeur sur false.
Pour désactiver la case à cocher Mémoriser mon mot de passe et empêcher une connexion automatique, créez la clé de registre suivante sur la machine cliente sur laquelle l’application Citrix Workspace pour Windows est installée :
- Chemin : HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
- Type : REG_SZ
- Nom : SavePasswordMode
- Valeur : Never
Remarque :
Une utilisation incorrecte de l’Éditeur du Registre peut occasionner de sérieux problèmes qui pourraient nécessiter l’installation du système d’exploitation. Citrix ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de l’Éditeur du Registre. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.
Pour empêcher la mise en cache des informations d’identification pour les magasins StoreFront, consultez Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache dans la documentation StoreFront.
Prise en charge de plus de 200 groupes dans Azure AD
Avec cette version, un utilisateur d’Azure AD faisant partie de plus de 200 groupes peut voir les applications et les bureaux qui lui sont attribués. Auparavant, le même utilisateur ne pouvait pas voir ces applications et ces bureaux.
Remarque :
Les utilisateurs doivent se déconnecter de l’application Citrix Workspace et se reconnecter pour activer cette fonctionnalité.
Prise en charge de l’authentification par proxy
Auparavant, sur les machines clientes configurées pour l’authentification par proxy, si les informations d’identification de proxy n’étaient pas stockées dans le Gestionnaire d’informations d’identification Windows, vous ne pouviez pas vous authentifier auprès de l’application Citrix Workspace.
À partir de l’application Citrix Workspace version 2102, sur les machines clientes configurées pour l’authentification proxy, si les informations d’identification de proxy ne sont pas stockées dans le Gestionnaire d’informations d’identification de Windows, une invite d’authentification s’affiche et vous demande d’entrer les informations d’identification de proxy. L’application Citrix Workspace enregistre ensuite les informations d’identification du serveur proxy dans le Gestionnaire d’informations d’identification Windows. Cela se traduit par une expérience de connexion transparente car vous n’avez pas besoin d’enregistrer manuellement vos informations d’identification dans le Gestionnaire d’informations d’identification Windows avant d’accéder à l’application Citrix Workspace.
User-Agent
L’application Citrix Workspace envoie un user-agent sous forme de requêtes réseau qui peuvent être utilisées pour configurer des stratégies d’authentification, y compris la redirection de l’authentification vers d’autres fournisseurs d’identité (IDP).
Remarque :
Les numéros de version mentionnés dans le cadre des éléments User-Agent dans le tableau suivant sont des exemples et sont automatiquement mis à jour en fonction des versions que vous utilisez.
Le tableau suivant répertorie le scénario, la description et l’élément User-Agent correspondant pour chaque scénario :
Scénario | Description | User-Agent |
---|---|---|
Requêtes HTTP classiques | En général, une requête réseau émise par l’application Citrix Workspace contient un élément user-agent. Par exemple, des requêtes réseau telles que GET /Citrix/Roaming/Accounts et GET / AGServices/discover . |
CitrixReceiver/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) SelfService/23.5.0.63 (Release) X1Class CWACapable |
Magasins cloud | Lorsqu’un utilisateur s’authentifie auprès d’un magasin cloud dans l’application Citrix Workspace, les requêtes réseau sont effectuées avec un élément user-agent spécifique. Par exemple, des requêtes réseau avec le chemin /core/connect/authorize . |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |
Magasin local avec Gateway Advanced Auth à l’aide d’Edge WebView | Lorsqu’un utilisateur s’authentifie auprès de Gateway avec la configuration Advanced Auth sur l’application Citrix Workspace à l’aide d’Edge WebView, les requêtes réseau sont effectuées avec un élément user-agent spécifique. Par exemple, des requêtes réseau telles que GET /nf/auth/doWebview.do et GET /logon/LogonPoint/tmindex.html . |
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 Edg/108.0.1462.54 CWAWEBVIEW/23.2.0.2111 Windows/10.0 (22H2 Build 19045.2364) |
Magasin local avec Gateway Advanced Auth à l’aide d’IE WebView | Lorsqu’un utilisateur s’authentifie auprès de Gateway avec la configuration Advanced Auth sur l’application Citrix Workspace à l’aide d’Internet Explorer WebView, les requêtes réseau sont effectuées avec un élément user-agent spécifique. Par exemple, des requêtes réseau telles que GET /nf/auth/doWebview.do et GET /logon/LogonPoint/tmindex.html . |
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko, CWAWEBVIEW/23.5.0.43 |
Magasin Web personnalisé | Lorsqu’un utilisateur ajoute un magasin Web personnalisé à l’application Citrix Workspace, l’application envoie un élément user-agent. | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) |
Dans cet article
- Authentification par Domain pass-through (Single Sign-On)
- Jetons d’authentification
- Authentification pass-through au domaine (Single Sign-On) avec Kerberos
- Prise en charge de l’accès conditionnel avec Azure Active Directory
- Prise en charge des méthodes d’authentification modernes pour les magasins StoreFront
- Autres méthodes d’authentification
- Carte à puce
- Authentification silencieuse pour Citrix Workspace
- Empêcher l’application Citrix Workspace pour Windows de mettre les mots de passe et les noms d’utilisateur en cache
- Prise en charge de plus de 200 groupes dans Azure AD
- Prise en charge de l’authentification par proxy
- User-Agent