Authentification par Domain pass-through (Single Sign-On)

L’authentification pass-through au domaine (authentification unique, Single Sign-On ou SSON), également appelée authentification pass-through au domaine d’ancienne génération (SSON), vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) sans avoir à vous réauthentifier.

Remarque :

• La stratégie Activer les notifications MPR pour le système dans le modèle d’objet de stratégie de groupe doit être activée pour prendre en charge la fonctionnalité d’authentification directe du domaine (authentification unique) sous Windows 11. Par défaut, cette stratégie est désactivée sur Windows 11 24H2. Ainsi, en cas de mise à niveau avec Windows 11 24H2, vous devez activer la stratégie Activer les notifications MPR pour le système.

• Cette fonctionnalité est disponible dans l’application Citrix Workspace pour Windows versions 2012 et ultérieures.

• Vous ne pouvez pas utiliser simultanément l’authentification pass-through au domaine d’ancienne génération (SSON) et l’authentification pass-through au domaine améliorée.

Lorsque cette option est activée, le pass-through au domaine (authentification unique) met en cache vos informations d’identification, afin que vous puissiez vous connecter à d’autres applications Citrix sans avoir à vous connecter à chaque fois. Assurez-vous que seuls les logiciels conformes aux stratégies de votre entreprise s’exécutent sur votre appareil afin de limiter le risque de compromission des informations d’identification.

Lorsque vous ouvrez une session sur l’application Citrix Workspace, vos informations d’identification sont transmises à StoreFront avec les applications, les bureaux et les paramètres du menu Démarrer. Après avoir configuré Single Sign-On, vous pouvez ouvrir une session sur l’application Citrix Workspace et lancer des sessions d’applications et de bureaux virtuels sans ressaisir vos informations d’identification.

Tous les navigateurs Web requièrent la configuration de l’authentification unique à l’aide du modèle d’administration de l’objet de stratégie de groupe (GPO). Pour plus d’informations sur la configuration de l’authentification unique à l’aide du modèle d’administration d’objet de stratégie de groupe (GPO), reportez-vous à la section Configurer Single Sign-on avec Citrix Gateway.

Vous pouvez configurer l’authentification Single Sign-On lors d’une nouvelle installation ou d’une mise à niveau, à l’aide de l’une des options suivantes :

• Interface de ligne de commande
• GUI

Remarque :

Les termes authentification pass-through au domaine (ou unique), single sign-on et SSON peuvent être utilisés de manière interchangeable dans ce document.

Limitations :

Cette approche d’authentification pass-through au domaine à l’aide des informations d’identification de l’utilisateur présente les limitations suivantes :

• Ne prend pas en charge l’authentification sans mot de passe avec les méthodes d’authentification modernes telles que Windows Hello ou FIDO2. Un composant supplémentaire, le Service d’authentification fédérée ou FAS, est requis pour l’authentification unique (SSO).
• L’installation ou la mise à niveau de l’application Citrix Workspace avec l’authentification SSON activée requiert le redémarrage de l’appareil.
• Requiert l’activation des notifications MPR (Multi Provider Router) sur les machines Windows 11.R
• Doit figurer en haut de la liste des fournisseurs de réseaux.

Pour surmonter les limitations précédentes, utilisez l’authentification pass-through améliorée au domaine pour l’authentification unique (SSO améliorée).

Configurer l’authentification Single Sign-On lors d’une nouvelle installation

Pour configurer l’authentification Single Sign-On lors d’une nouvelle installation, suivez les étapes suivantes :

1. Configuration sur StoreFront.
2. Configurez les services d’approbation XML sur le Delivery Controller.
3. Modifiez les paramètres d’Internet Explorer.
4. Installez l’application Citrix Workspace avec Single Sign-On.

Configurer l’authentification unique sur StoreFront

Single Sign-on vous permet de vous authentifier auprès d’un domaine et d’utiliser Citrix Virtual Apps and Desktops et Citrix DaaS depuis le même domaine sans procéder à une nouvelle authentification pour chaque application ou bureau.

Lorsque vous ajoutez un magasin à l’aide de l’utilitaire Storebrowse, vos informations d’identification sont transmises au serveur Citrix Gateway avec les applications et les bureaux énumérés pour vous, y compris les paramètres du menu Démarrer. Après avoir configuré Single Sign-on, vous pouvez ajouter le magasin, énumérer vos applications et bureaux et lancer les ressources nécessaires sans saisir à plusieurs reprises vos informations d’identification.

Selon le déploiement Citrix Virtual Apps and Desktops, l’authentification Single Sign-On peut être configurée sur StoreFront à l’aide de la console de gestion.

Utilisez le tableau ci-dessous pour différents cas d’utilisation et la configuration associée :

Configurer Single Sign-on avec Citrix Gateway

Vous pouvez activer Single Sign-On avec Citrix Gateway via le modèle d’administration d’objet de stratégie de groupe. Cependant, vous devez vous assurer que vous avez activé l’authentification de base et l’authentification à facteur unique (nFactor avec 1 facteur) sur Citrix Gateway.

1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
2. Sous le nœud Configuration ordinateur, accédez à Modèle d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur, puis sélectionnez la stratégie Authentification unique pour Citrix Gateway.
3. Sélectionnez Activé.
4. Cliquez sur Appliquer, puis sur OK.
5. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer les services d’approbation XML sur le Delivery Controller

Sur Citrix Virtual Apps and Desktops et Citrix DaaS, exécutez la commande PowerShell suivante en tant qu’administrateur sur le Delivery Controller :

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Modifier les paramètres d’Internet Explorer

1. Ajoutez le serveur StoreFront à la liste de sites de confiance à l’aide d’Internet Explorer. Pour ajouter :
   1. Lancez Options Internet à partir du panneau de configuration.

   2. Cliquez sur Sécurité > Intranet local et cliquez sur Sites.

      La fenêtre Intranet Local s’affiche.

   3. Sélectionnez Avancé.
   4. Ajoutez l’adresse URL ou le nom de domaine complet de StoreFront avec les protocoles HTTP ou HTTPS appropriés.
   5. Cliquez sur Appliquer, puis sur OK.
2. Modifiez les paramètres Authentification utilisateur dans Internet Explorer. Pour modifier :
   1. Lancez Options Internet à partir du panneau de configuration.
   2. Cliquez sur l’onglet Sécurité > Intranet local.
   3. Cliquez sur Personnaliser le niveau. La fenêtre Paramètres de sécurité — Zone Intranet local s’affiche.

   4. Dans le panneau Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuel.

      

   5. Cliquez sur Appliquer, puis sur OK.

Configurer Single Sign-On à l’aide de l’interface de ligne de commande

Installez l’application Citrix Workspace à l’aide du commutateur /includeSSON et redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Configurer le Single Sign-On à l’aide de l’interface graphique

1. Accédez au fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe).
2. Double-cliquez sur CitrixWorkspaceApp.exe pour lancer le programme d’installation.
3. Dans l’assistant d’installation Activer l’authentification unique, sélectionnez l’option Activer l’authentification unique.
4. Cliquez sur Suivant et suivez les invites pour terminer l’installation.

Vous pouvez maintenant vous connecter à un magasin existant (ou configurer un nouveau magasin) à l’aide de l’application Citrix Workspace sans fournir d’informations d’identification utilisateur.

Configurer Single Sign-on sur Citrix Workspace pour Web

Vous pouvez configurer Single Sign-on sur Workspace pour Web à l’aide du modèle d’administration d’objet de stratégie de groupe.

1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de Workspace pour Web en exécutant gpedit.msc.
2. Sous le nœud Configuration ordinateur, accédez à Modèle d’administration > Composant Citrix > Citrix Workspace > Authentification utilisateur.
3. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.
4. Cliquez sur Activer l’authentification pass-through. Cette option permet à Workspace pour Web d’utiliser vos informations d’identification d’ouverture de session pour l’authentification sur le serveur distant.
5. Cliquez sur Autoriser l’authentification pass-through pour toutes les connexions ICA. Cette option ignore toute restriction d’authentification et autorise le transfert des informations d’identification sur toutes les connexions.
6. Cliquez sur Appliquer, puis sur OK.
7. Redémarrez Workspace pour Web pour que les modifications prennent effet.

Vérifiez que l’authentification unique est activée en lançant le Gestionnaire de tâches, puis vérifiez si le processus ssonsvr.exe est en cours d’exécution.

Configurer Single Sign-on à l’aide d’Active Directory

Procédez comme suit pour configurer l’application Citrix Workspace pour l’authentification pass-through à l’aide de la stratégie de groupe Active Directory. Dans ce scénario, vous pouvez obtenir l’authentification Single Sign-on sans utiliser les outils de déploiement de logiciels d’entreprise, tels que Microsoft System Center Configuration Manager.

1. Téléchargez et placez le fichier d’installation de l’application Citrix Workspace (CitrixWorkspaceApp.exe) sur un partage réseau approprié. Il doit être accessible par les machines cibles sur lesquelles vous installez l’application Citrix Workspace.

2. Téléchargez le modèle CheckAndDeployWorkspacePerMachineStartupScript.batdepuis la page de téléchargement de l’application Citrix Workspace pour Windows.

3. Modifiez le contenu pour refléter l’emplacement et la version de CitrixWorkspaceApp.exe.

4. Dans la console Gestion des stratégies de groupe Active Directory, tapez CheckAndDeployWorkspacePerMachineStartupScript.bat comme script de démarrage. Pour plus d’informations sur le déploiement des scripts de démarrage, consultez la section Active Directory.

5. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Ajouter/Supprimer modèles pour ajouter le fichier receiver.adml.

6. Après avoir ajouté le modèle receiver.adml, accédez à Configuration ordinateur > Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur. Pour plus d’informations sur l’ajout des fichiers de modèle, consultez Modèle d’administration d’objet de stratégie de groupe.

7. Sélectionnez la stratégie Nom d’utilisateur et mot de passe locaux et définissez-la sur Activé.

8. Sélectionnez Activer l’authentification pass-through et cliquez sur Appliquer.

9. Redémarrez la machine pour que les modifications prennent effet.

Configurer l’authentification unique sur StoreFront

Configuration du StoreFront

1. Lancez Citrix Studio sur le serveur StoreFront et sélectionnez Magasins > Gérer méthodes d’authentification - Magasin.
2. Sélectionnez Authentification pass-through au domaine.

Authentification pass-through au domaine (Single Sign-On) avec Kerberos

Cette rubrique s’applique uniquement aux connexions entre l’application Citrix Workspace pour Windows, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS.

L’application Citrix Workspace prend en charge l’authentification pass-through au domaine (Single Sign-on ou SSON) Kerberos pour les déploiements qui utilisent des cartes à puce. Kerberos est l’une des méthodes d’authentification incluses à l’authentification Windows intégrée (IWA).

Lorsque cette option est activée, Kerberos permet aux utilisateurs de s’authentifier sans mot de passe lors des connexions à l’application Citrix Workspace. Par conséquent, il empêche les attaques de type cheval de Troie sur l’appareil de l’utilisateur qui tentent d’accéder aux mots de passe. Les utilisateurs peuvent se connecter à l’aide de n’importe quelle méthode d’authentification et accéder aux ressources publiées, par exemple, un identificateur biométrique tel qu’un lecteur d’empreintes digitales.

Lorsque vous vous connectez à l’aide d’une carte à puce à l’application Citrix Workspace, StoreFront, Citrix Virtual Apps and Desktops et Citrix DaaS configurés pour l’authentification par carte à puce, l’application Citrix Workspace effectue les opérations suivantes :

1. capture le code PIN de la carte à puce pendant le processus Single Sign-on.

2. utilise IWA (Kerberos) pour authentifier l’utilisateur auprès de StoreFront. StoreFront fournit ensuite à l’application Citrix Workspace les informations relatives à la disponibilité de Citrix Virtual Apps and Desktops et Citrix DaaS.

   Remarque :

   Activez Kerberos pour éviter l’affichage d’invites de saisie de code PIN supplémentaires. Si vous n’utilisez pas l’authentification Kerberos, l’application Citrix Workspace s’authentifie auprès de StoreFront à l’aide des informations d’identification de la carte à puce.

3. Le moteur HDX (anciennement appelé client ICA) transmet le code PIN de la carte à puce au VDA afin de connecter l’utilisateur à la session de l’application Citrix Workspace. Citrix Virtual Apps and Desktops et Citrix DaaS fournissent ensuite les ressources demandées.

Pour utiliser l’authentification Kerberos avec l’application Citrix Workspace, assurez-vous que la configuration de Kerberos respecte les critères suivants.

• Kerberos fonctionne uniquement entre l’application Citrix Workspace et les serveurs appartenant aux mêmes domaines Windows Server ou à des domaines approuvés. Les serveurs sont approuvés pour délégation, une option configurée via l’outil de gestion des utilisateurs et machines Active Directory.
• Kerberos doit être activé sur le domaine et dans Citrix Virtual Apps and Desktops et Citrix DaaS. Pour renforcer la sécurité et vous assurer que Kerberos est utilisé, désactivez toutes les options IWA non Kerberos sur le domaine.
• L’ouverture de session Kerberos n’est pas disponible pour les connexions Services Bureau à distance configurées pour utiliser l’authentification de base, pour toujours utiliser les informations d’ouverture de session spécifiées, ou pour toujours inviter les utilisateurs à entrer un mot de passe.

Avertissement :

Une utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant nécessiter la réinstallation du système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous utilisez l’Éditeur du Registre à vos propres risques. Veillez à effectuer une copie de sauvegarde avant de modifier le registre.

Authentification pass-through au domaine (Single Sign-on) avec Kerberos en vue de l’utilisation avec des cartes à puce

Avant de continuer, consultez la section Sécuriser votre déploiement de la documentation Citrix Virtual Apps and Desktops.

Lorsque vous installez l’application Citrix Workspace pour Windows, incluez l’option de ligne de commande suivante :

• /includeSSON

  Cette option installe le composant Single Sign-on sur l’ordinateur appartenant au domaine, ce qui permet à votre espace de travail de s’authentifier auprès de StoreFront à l’aide de IWA (Kerberos). Le composant Single Sign-on mémorise le code PIN de la carte à puce, qui est ensuite utilisé par le moteur HDX pour transmettre à distance le matériel et les informations d’identification de la carte à puce à Citrix Virtual Apps and Desktops et Citrix DaaS. Citrix Virtual Apps and Desktops et Citrix DaaS sélectionne automatiquement un certificat à partir de la carte à puce et obtient le code PIN à partir du moteur HDX.

  Une option associée, ENABLE_SSON, est activée par défaut.

Si une stratégie de sécurité vous empêche d’activer Single Sign-on sur une machine, configurez l’application Citrix Workspace à l’aide du modèle d’administration d’objet de stratégie de groupe.

1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
2. Choisissez Modèles d’administration > Composants Citrix > Citrix Workspace > Authentification utilisateur > Nom d’utilisateur et mot de passe de compte local
3. Sélectionnez Activer l’authentification pass-through.

4. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

   

Pour configurer StoreFront :

Lorsque vous configurez le service d’authentification sur le serveur StoreFront, sélectionnez l’option Authentification pass-through au domaine. Ce paramètre active l’authentification Windows intégrée. Vous n’avez pas besoin de sélectionner l’option Carte à puce, sauf si vous disposez également de clients n’appartenant pas au domaine qui se connectent à StoreFront à l’aide de cartes à puce.

Pour plus d’informations sur l’utilisation de cartes à puce avec StoreFront, consultez la section Configurer le service d’authentification dans la documentation de StoreFront.