Citrix Workspace app for Windows

Amélioration de l’authentification pass-through au domaine pour l’authentification unique

La fonctionnalité d’amélioration de l’authentification pass-through au domaine pour l’authentification unique utilise Kerberos pour activer l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lorsque vous utilisez des machines clientes connectées à Active Directory (AD) et Citrix StoreFront.

Remarque :

  • Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.

  • Elle remplace la fonctionnalité d’authentification unique d’ancienne génération basée Citrix Single Sign-on Service (ssonsvr.exe).

Configuration système requise

  • Plan de contrôle
    • Citrix DaaS
    • Citrix Virtual Apps and Desktops version 2.3.1.1 ou ultérieure
  • Virtual Delivery Agent
    • Windows : version 2407 ou ultérieure
  • Application Workspace
    • Application Citrix Workspace pour Windows 2405.1 ou version ultérieure
  • Machine cliente
    • Joint au domaine Active Directory
    • Windows 10 64 bits
    • Windows 11 64 bits
  • Hôtes de sessions multisessions :
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise multisession 22H2
    • Windows 11 Enterprise multisession 22H2 ou version ultérieure
  • Hôtes de sessions à session unique :
    • Windows 10 version 22H2
    • Windows 11 22H2 ou version ultérieure

Remarque :

  • La machine cliente doit disposer d’une connectivité directe aux contrôleurs de domaine. Si la machine se trouve en dehors du réseau, l’authentification unique n’est pas prise en charge.

  • Si vous utilisez les versions suivantes de l’application Citrix Workspace et du VDA, cette fonctionnalité ne sera pas prise en charge sous Windows 11 :

    ❖VDA : 2308, 2311, 2402

    ❖Application Citrix Workspace : 2309, 2309.1, 2311, 2402

Configuration du StoreFront

Vous devez activer l’authentification pass-through au domaine pour le magasin et le site Web correspondant.

Pour activer l’authentification pass-through au domaine pour le magasin, procédez comme suit :

  1. Ouvrez la console de gestion StoreFront.
  2. Accédez à Magasin > Gérer les méthodes d’authentification. La fenêtre Gérer les méthodes d’authentification - Web s’affiche.

  3. Cochez la case Authentification pass-through au domaine.

    Gérer les méthodes d'authentification

  4. Cliquez sur OK.

Pour activer l’authentification pass-through au domaine pour le site Web, procédez comme suit :

  1. Ouvrez la console de gestion StoreFront.
  2. Ouvrez l’onglet Magasins > Sites Receiver pour Web > Gérer les sites Receiver pour Web > Configurer > Méthodes d’authentification. La fenêtre Modifier le site Receiver pour Web - /Citrix/Web s’affiche.
  3. Cochez la case Authentification pass-through au domaine.

    Modifier le site Receiver pour Web

  4. Cliquez sur OK.

Configuration de stratégie Citrix

Vous devez activer le paramètre à l’aide de la stratégie Citrix :

  1. Accédez à Citrix Studio ou à la console Web.
  2. Cliquez sur Stratégies > Créer une stratégie. La boîte de dialogue Créer une stratégie s’affiche.
  3. Recherchez la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On). La boîte de dialogue Modifier les paramètres s’affiche.
  4. Sélectionnez l’option Autorisé pour activer la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On). Modifier le site Receiver pour Web

  5. Cliquez sur OK.

Configuration de l’hôte de session

Après avoir activé la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou un GPO :

  1. Accédez à Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation.
  2. Activez le paramètre L’hôte distant qui autorise la délégation des informations d’identification non exportables.

    L'hôte distant autorise la délégation des informations d'identification non exportables

  3. Redémarrez l’hôte de session pour que le paramètre prenne effet.

Remarque :

Le paramètre L’hôte distant autorise la délégation des informations d’identification non exportables n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de la session au lieu d’utiliser un GPO, vous devez ajouter les valeurs de registre suivantes :

Clé : HKLM\SOFTWARE\Citrix\Rcg

  • Type de valeur : DWORD
  • Nom de la valeur : ForceEnableRcg
  • Valeur des données : 1

Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • Type de valeur : DWORD
  • Nom de la valeur : DisableRestrictedAdmin
  • Données de valeur : 0

Configuration de la machine cliente

Vous devez effectuer les opérations suivantes sur la machine cliente :

  • Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)
  • Approuver le site Storefront

Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)

Vous devez activer la fonctionnalité amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) sur la machine cliente. Pour cela, utilisez une stratégie locale ou un GPO.

  1. Accédez à Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication.
  2. Activez le paramètre Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On).

    Domaine amélioré sélectionné

  3. Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.

Approuver le site Storefront

Vous devez vous assurer que votre URL Storefront est approuvée par les machines clientes. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site de confiance. Pour cela, utilisez une stratégie locale ou un GPO.

  1. Accédez à la page Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security.
  2. Activez le paramètre Liste d’attribution du site à la zone et ajoutez les URL appropriées et l’attribution de zone correspondante.

    Du site à la zone

  3. Activez le paramètre Options d’ouverture de session et définissez-le sur Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.

    Options d'ouverture de session

    Options d'ouverture de session activées

Amélioration de l’authentification pass-through au domaine pour l’authentification unique