Authentification par transmission de domaine (authentification unique)

L’authentification par transmission de domaine (authentification unique ou SSON), également connue sous le nom de transmission de domaine héritée (SSON), vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops™ et Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops) sans avoir à vous réauthentifier.

Remarque :

• La stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe doit être activée pour prendre en charge la fonctionnalité d’authentification par transmission de domaine (authentification unique) sur Windows 11. Par défaut, cette stratégie est désactivée sur Windows 11 24H2. Par conséquent, si vous effectuez une mise à niveau vers Windows 11 24H2, vous devez activer la stratégie Activer les notifications MPR pour le système.

• Cette fonctionnalité est disponible à partir de la version 2012 de l’application Citrix Workspace pour Windows et des versions ultérieures.

• Vous ne pouvez pas utiliser l’authentification par transmission de domaine héritée (SSON) et la transmission de domaine améliorée ensemble pour l’authentification.

Lorsqu’elle est activée, l’authentification par transmission de domaine (authentification unique) met en cache vos informations d’identification, ce qui vous permet de vous connecter à d’autres applications Citrix® sans avoir à vous connecter à chaque fois. Assurez-vous que seul le logiciel conforme aux politiques de votre entreprise est exécuté sur votre appareil afin d’atténuer le risque de compromission des informations d’identification.

• Lorsque vous vous connectez à l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront, ainsi que les applications et les bureaux et les paramètres du menu Démarrer. Après avoir configuré l’authentification unique, vous pouvez vous connecter à l’application Citrix Workspace et lancer des sessions d’applications et de bureaux virtuels sans avoir à retaper vos informations d’identification.

Tous les navigateurs web vous obligent à configurer l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO). Pour plus d’informations sur la configuration de l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO), consultez Configurer l’authentification unique avec Citrix Gateway.

Vous pouvez configurer l’authentification unique lors d’une nouvelle installation ou d’une mise à niveau, en utilisant l’une des options suivantes :

• Interface de ligne de commande

• Interface graphique

• Remarque :

  Les termes transmission de domaine, authentification unique et SSON peuvent être utilisés de manière interchangeable dans ce document.

Limitations :

La transmission de domaine utilisant les informations d’identification de l’utilisateur présente les limitations suivantes :

• Ne prend pas en charge l’authentification sans mot de passe avec les méthodes d’authentification modernes telles que Windows Hello ou FIDO2. Un composant supplémentaire appelé Federated Authentication Service (FAS) est requis pour l’authentification unique (SSO).
• L’installation ou la mise à niveau de l’application Citrix Workspace avec SSON activé nécessite un redémarrage de l’appareil.
• Nécessite l’activation des notifications Multi Provider Router (MPR) sur les machines Windows 11.
• Doit être en tête de liste de l’ordre des fournisseurs de réseau.

Pour surmonter les limitations précédentes, utilisez Transmission de domaine améliorée pour l’authentification unique (SSO améliorée).

Configurer l’authentification unique lors d’une nouvelle installation

Pour configurer l’authentification unique lors d’une nouvelle installation, procédez comme suit :

1. Configuration sur StoreFront.
2. Configurez les services de confiance XML sur le Delivery Controller.
3. Modifiez les paramètres d’Internet Explorer.
4. Installez l’application Citrix Workspace avec l’authentification unique.

Configurer l’authentification unique sur StoreFront

L’authentification unique vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS à partir du même domaine sans avoir à vous réauthentifier auprès de chaque application ou bureau.

Lorsque vous ajoutez un magasin à l’aide de l’utilitaire Storebrowse, vos informations d’identification sont transmises au serveur Citrix Gateway, ainsi que les applications et les bureaux énumérés pour vous, y compris les paramètres de votre menu Démarrer. Après avoir configuré l’authentification unique, vous pouvez ajouter le magasin, énumérer vos applications et bureaux, et lancer les ressources requises sans avoir à taper vos informations d’identification plusieurs fois.

Selon le déploiement de Citrix Virtual Apps and Desktops, l’authentification unique peut être configurée sur StoreFront à l’aide de la console de gestion.

Utilisez le tableau suivant pour les différents cas d’utilisation et leur configuration respective :

Configurer l’authentification unique avec Citrix Gateway

Vous activez l’authentification unique avec Citrix Gateway à l’aide du modèle d’administration d’objet de stratégie de groupe. Cependant, vous devez vous assurer que vous avez activé l’authentification de base et l’authentification à facteur unique (nFactor avec 1 facteur) sur le Citrix Gateway.

1. Ouvrez le modèle d’administration GPO de l’application Citrix Workspace en exécutant gpedit.msc.
2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur, et sélectionnez la stratégie Authentification unique pour Citrix Gateway.
3. Sélectionnez Activé.
4. Cliquez sur Appliquer et OK.
5. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer les services de confiance XML sur le Delivery Controller

Sur Citrix Virtual Apps and Desktops et Citrix DaaS™, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modifier les paramètres d’Internet Explorer

1. Ajoutez le serveur StoreFront à la liste des sites de confiance à l’aide d’Internet Explorer. Pour l’ajouter :
   1. Lancez les Options Internet depuis le Panneau de configuration.

   2. Cliquez sur Sécurité > Intranet local, puis sur Sites.

      La fenêtre Intranet local s’affiche.

   3. Sélectionnez Avancé.
   4. Ajoutez l’URL du nom de domaine complet (FQDN) de StoreFront avec les protocoles HTTP ou HTTPS appropriés.
   5. Cliquez sur Appliquer, puis sur OK.
2. Modifiez les paramètres d’Authentification de l’utilisateur dans Internet Explorer. Pour les modifier :
   1. Lancez les Options Internet depuis le Panneau de configuration.
   2. Cliquez sur l’onglet Sécurité > Intranet local.
   3. Cliquez sur Niveau personnalisé. La fenêtre Paramètres de sécurité – Zone Intranet local s’affiche.

   4. Dans le volet Authentification de l’utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.

      

   5. Cliquez sur Appliquer, puis sur OK.

Configurer l’authentification unique à l’aide de l’interface de ligne de commande

Installez l’application Citrix Workspace avec le commutateur /includeSSON et redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer l’authentification unique à l’aide de l’interface graphique

1. Localisez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe).
2. Double-cliquez sur CitrixWorkspaceApp.exe pour lancer le programme d’installation.
3. Dans l’assistant d’installation Activer l’authentification unique, sélectionnez l’option Activer l’authentification unique.
4. Cliquez sur Suivant et suivez les invites pour terminer l’installation.

Vous pouvez désormais vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans saisir les informations d’identification de l’utilisateur.

• Configurer l’authentification unique sur Workspace pour le Web

• Vous pouvez configurer l’authentification unique sur Workspace pour le Web à l’aide du modèle d’administration d’objet de stratégie de groupe.

1. Ouvrez le modèle d’administration GPO de Workspace pour le Web en exécutant gpedit.msc.
2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composant Citrix > Citrix Workspace > Authentification de l’utilisateur.
3. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
4. Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour le Web d’utiliser vos informations d’identification de connexion pour l’authentification sur le serveur distant.
5. Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA®. Cette option contourne toute restriction d’authentification et permet aux informations d’identification de passer à travers toutes les connexions.

• 1. Cliquez sur Appliquer, puis sur OK.

1. Redémarrez Workspace pour le Web pour que les modifications prennent effet.

Vérifiez que l’authentification unique est activée en lançant le Gestionnaire des tâches et en vérifiant si le processus ssonsvr.exe est en cours d’exécution.

Configurer l’authentification unique à l’aide d’Active Directory

Suivez les étapes ci-dessous pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez réaliser l’authentification unique sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.

1. Téléchargez et placez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l’application Citrix Workspace.

2. Obtenez le modèle CheckAndDeployCitrixReceiverPerMachineStartupScript.bat depuis la page Téléchargement de l’application Citrix Workspace pour Windows.

3. Modifiez le contenu pour refléter l’emplacement et la version de CitrixWorkspaceApp.exe.

4. Dans la console Gestion des stratégies de groupe Active Directory, saisissez CheckAndDeployCitrixReceiverPerMachineStartupScript.bat comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory.

5. Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajouter/Supprimer des modèles pour ajouter le fichier receiver.adml.

6. Après avoir ajouté le modèle receiver.adml, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification de l’utilisateur. Pour plus d’informations sur l’ajout des fichiers de modèle, consultez le modèle d’administration d’objet de stratégie de groupe.

7. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.

8. Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.

9. Redémarrez la machine pour que les modifications prennent effet.

Configurer l’authentification unique sur StoreFront

Configuration de StoreFront

1. Lancez Citrix Studio sur le serveur StoreFront et sélectionnez Magasins > Gérer les méthodes d’authentification - Magasin.
2. Sélectionnez Pass-through de domaine.

Authentification pass-through de domaine (authentification unique) avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows et StoreFront, Citrix Virtual Apps and Desktops, et Citrix DaaS.

L’application Citrix Workspace prend en charge Kerberos pour l’authentification pass-through de domaine (authentification unique ou SSON) pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses dans l’authentification Windows intégrée (IWA).

Lorsqu’il est activé, Kerberos s’authentifie sans mot de passe pour l’application Citrix Workspace. Par conséquent, il empêche les attaques de type cheval de Troie sur le périphérique utilisateur qui tentent d’accéder aux mots de passe. Les utilisateurs peuvent se connecter à l’aide de n’importe quelle méthode d’authentification et accéder aux ressources publiées, par exemple, un authentificateur biométrique tel qu’un lecteur d’empreintes digitales.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS configurés pour l’authentification par carte à puce, l’application Citrix Workspace :

1. Capture le code PIN de la carte à puce pendant l’authentification unique.

2. Utilise l’IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à votre application Citrix Workspace des informations sur les applications et bureaux virtuels Citrix Virtual Apps and Desktops et Citrix DaaS disponibles.

   Remarque :

   Activez Kerberos pour éviter une invite de code PIN supplémentaire. Si l’authentification Kerberos n’est pas utilisée, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

3. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA pour connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops et Citrix DaaS fournissent ensuite les ressources demandées.

Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, vérifiez si la configuration Kerberos est conforme aux points suivants.

• Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs qui appartiennent aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs sont approuvés pour la délégation, une option que vous configurez via l’outil de gestion Utilisateurs et ordinateurs Active Directory.
• Kerberos doit être activé à la fois sur le domaine et sur Citrix Virtual Apps and Desktops et Citrix DaaS. Pour une sécurité renforcée et pour vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non-Kerberos sur le domaine.
• La connexion Kerberos n’est pas disponible pour les connexions des services Bureau à distance configurées pour utiliser l’authentification de base, toujours utiliser les informations de connexion spécifiées ou toujours demander un mot de passe.

Avertissement :

Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir que les problèmes résultant d’une mauvaise utilisation de l’Éditeur du Registre puissent être résolus. Utilisez l’Éditeur du Registre à vos propres risques. Assurez-vous de sauvegarder le Registre avant de le modifier.

Authentification pass-through de domaine (authentification unique) avec Kerberos pour une utilisation avec des cartes à puce

Avant de continuer, consultez la section Sécuriser votre déploiement dans la documentation de Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

• /includeSSON

  Cette option installe le composant d’authentification unique sur l’ordinateur joint au domaine, permettant à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de l’IWA (Kerberos). Le composant d’authentification unique stocke le code PIN de la carte à puce, utilisé par le moteur HDX lorsqu’il transfère à distance le matériel et les informations d’identification de la carte à puce vers Citrix Virtual Apps and Desktops et Citrix DaaS. Citrix Virtual Apps and Desktops et Citrix DaaS sélectionnent automatiquement un certificat de la carte à puce et obtiennent le code PIN du moteur HDX.

  Une option associée, ENABLE_SSON, est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer l’authentification unique sur un périphérique, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
2. Choisissez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification de l’utilisateur > Nom d’utilisateur et mot de passe locaux.
3. Sélectionnez Activer l’authentification pass-through.

4. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

   

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Pass-through de domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous avez également des clients non joints au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation des cartes à puce avec StoreFront, consultez Configurer le service d’authentification dans la documentation de StoreFront.