Amélioration de l’authentification pass-through au domaine pour l’authentification unique

La fonctionnalité d’amélioration de l’authentification pass-through au domaine pour l’authentification unique utilise Kerberos pour activer l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lorsque vous utilisez des machines clientes connectées à Active Directory (AD) et Citrix StoreFront.

Remarque :

• Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.

• Elle remplace la fonctionnalité d’authentification unique d’ancienne génération basée Citrix Single Sign-on Service (ssonsvr.exe).

• L’ancienne génération de l’authentification directe du domaine (SSON) nécessite l’activation de la stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe. Cependant, l’authentification directe du domaine améliorée permet de s’authentifier directement sans qu’il soit nécessaire d’activer cette stratégie.

• Vous ne pouvez pas utiliser conjointement l’authentification directe du domaine (SSON) d’ancienne génération et l’authentification directe du domaine améliorée.

• Si vous utilisez les versions suivantes de l’application Citrix Workspace et du VDA, cette fonctionnalité ne sera pas prise en charge sous Windows 11 :

• VDA : 2308, 2311, 2402
• Application Citrix Workspace : 2309, 2309.1, 2311, 2402, 2405

Configuration système requise

• Plan de contrôle
  • Citrix DaaS
  • Citrix Virtual Apps and Desktops version 2.3.1.1 ou ultérieure
• Virtual Delivery Agent
  • Windows : version 2308 ou ultérieure

  Remarque :

  Si vous utilisez les versions 2308 à 2402 de Virtual Delivery Agent, cette fonctionnalité n’est pas prise en charge sous Windows 11. La version 2407 ou ultérieure prend en charge cette fonctionnalité sur Windows 11.

• Application Citrix Workspace
  • Application Citrix Workspace 2309 pour Windows ou version ultérieure

  Remarque :

  Si vous utilisez les versions 2309 à 2405 de l’application Citrix Workspace, cette fonctionnalité n’est pas prise en charge sous Windows 11. La version 2405.10 ou ultérieure prend en charge cette fonctionnalité sur Windows 11.

• Machine cliente
  • Joint au domaine Active Directory
  • Windows 10 64 bits
  • Windows 11 64 bits
• Hôtes de sessions multisessions :
  • Windows Server 2016

Remarque :

Windows Server 2016 est déconseillé à partir de la version 2402 de VDA.

-  Windows Server 2019
-  Windows Server 2022
-  Windows 10 Enterprise multisession 22H2
-  Windows 11 Enterprise multisession 22H2 ou version ultérieure

• Hôtes de sessions à session unique :
  • Windows 10 version 22H2
  • Windows 11 22H2 ou version ultérieure

Remarque :

• La machine cliente doit disposer d’une connectivité directe aux contrôleurs de domaine. Si la machine se trouve en dehors du réseau, l’authentification unique n’est pas prise en charge.

Configuration du StoreFront

Vous devez activer l’authentification pass-through au domaine pour le magasin et le site Web correspondant.

Pour activer l’authentification pass-through au domaine pour le magasin, procédez comme suit :

1. Ouvrez la console de gestion StoreFront.

2. Accédez à Magasin > Gérer les méthodes d’authentification. La fenêtre Gérer les méthodes d’authentification - Web s’affiche.

3. Cochez la case Authentification pass-through au domaine.

   

4. Cliquez sur OK.

Pour activer l’authentification pass-through au domaine pour le site Web, procédez comme suit :

1. Ouvrez la console de gestion StoreFront.
2. Ouvrez Magasins > Sites Receiver pour Web onglet > Gérer Site Receiver pour Web > Configurer > Méthodes d’authentification. La fenêtre Modifier le site Receiver pour Web - /Citrix/Web s’affiche.

3. Cochez la case Authentification pass-through au domaine.

   

4. Cliquez sur OK.

Configuration de stratégie Citrix

Vous devez activer le paramètre à l’aide de la stratégie Citrix :

1. Accédez à Citrix Studio ou à la console Web.
2. Cliquez sur Stratégies > Créer stratégie. La boîte de dialogue Créer une stratégie s’affiche.
3. Recherchez la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On). La boîte de dialogue Modifier les paramètres s’affiche.

4. Sélectionnez l’option Autorisé pour activer la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On).

5. Cliquez sur OK.

Configuration de l’hôte de session

Après avoir activé la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou un GPO :

1. Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\Système\Délégation d'informations d'identification.

2. Activez le paramètre L’hôte distant qui autorise la délégation des informations d’identification non exportables.

   

3. Redémarrez l’hôte de session pour que le paramètre prenne effet.

Remarque :

Le paramètre Délégation d’informations d’identification non exportables autorisée par l’hôte distant n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de session au lieu d’utiliser le GPO, vous devez ajouter la valeur de registre suivante :

Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

• Type de valeur : DWORD
• Nom de la valeur : DisableRestrictedAdmin
• Données de valeur : 0

Configuration de la machine cliente

Vous devez effectuer les opérations suivantes sur la machine cliente :

• Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)
• Approuver le site Storefront

Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)

Vous devez activer la fonctionnalité amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) sur la machine cliente. Pour cela, utilisez une stratégie locale ou un GPO.

1. Accédez à Configuration ordinateur\Stratégies\ Modèles d'administration\Composants Citrix\Citrix Workspace\Authentification utilisateur.

2. Activez le paramètre Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On).

   

3. Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.

Approuver le site Storefront

Vous devez vous assurer que votre URL Storefront est approuvée par les machines clientes. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site de confiance. Pour cela, utilisez une stratégie locale ou un GPO.

1. Accédez à la page Configuration ordinateur\Stratégies\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Sécurité.

2. Activez le paramètre Liste d’attribution du site à la zone et ajoutez les URL appropriées et l’attribution de zone correspondante.

   

3. Activez le paramètre Options d’ouverture de session et définissez-le sur Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.