Amélioration de l’authentification pass-through au domaine pour l’authentification unique
La fonctionnalité d’amélioration de l’authentification pass-through au domaine pour l’authentification unique utilise Kerberos pour activer l’authentification unique dans l’application Citrix Workspace et dans les sessions d’applications et de bureaux virtuels lorsque vous utilisez des machines clientes connectées à Active Directory (AD) et Citrix StoreFront.
Remarque :
Cette fonctionnalité n’est pas prise en charge sur les systèmes d’exploitation 32 bits.
Elle remplace la fonctionnalité d’authentification unique d’ancienne génération basée Citrix Single Sign-on Service (ssonsvr.exe).
Configuration système requise
- Plan de contrôle
- Citrix DaaS
- Citrix Virtual Apps and Desktops version 2.3.1.1 ou ultérieure
- Virtual Delivery Agent
- Windows : version 2407 ou ultérieure
- Application Workspace
- Application Citrix Workspace pour Windows 2405.1 ou version ultérieure
- Machine cliente
- Joint au domaine Active Directory
- Windows 10 64 bits
- Windows 11 64 bits
- Hôtes de sessions multisessions :
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise multisession 22H2
- Windows 11 Enterprise multisession 22H2 ou version ultérieure
- Hôtes de sessions à session unique :
- Windows 10 version 22H2
- Windows 11 22H2 ou version ultérieure
Remarque :
La machine cliente doit disposer d’une connectivité directe aux contrôleurs de domaine. Si la machine se trouve en dehors du réseau, l’authentification unique n’est pas prise en charge.
Si vous utilisez les versions suivantes de l’application Citrix Workspace et du VDA, cette fonctionnalité ne sera pas prise en charge sous Windows 11 :
❖VDA : 2308, 2311, 2402
❖Application Citrix Workspace : 2309, 2309.1, 2311, 2402
Configuration du StoreFront
Vous devez activer l’authentification pass-through au domaine pour le magasin et le site Web correspondant.
Pour activer l’authentification pass-through au domaine pour le magasin, procédez comme suit :
- Ouvrez la console de gestion StoreFront.
-
Accédez à Magasin > Gérer les méthodes d’authentification. La fenêtre Gérer les méthodes d’authentification - Web s’affiche.
-
Cochez la case Authentification pass-through au domaine.
- Cliquez sur OK.
Pour activer l’authentification pass-through au domaine pour le site Web, procédez comme suit :
- Ouvrez la console de gestion StoreFront.
- Ouvrez l’onglet Magasins > Sites Receiver pour Web > Gérer les sites Receiver pour Web > Configurer > Méthodes d’authentification. La fenêtre Modifier le site Receiver pour Web - /Citrix/Web s’affiche.
-
Cochez la case Authentification pass-through au domaine.
- Cliquez sur OK.
Configuration de stratégie Citrix
Vous devez activer le paramètre à l’aide de la stratégie Citrix :
- Accédez à Citrix Studio ou à la console Web.
- Cliquez sur Stratégies > Créer une stratégie. La boîte de dialogue Créer une stratégie s’affiche.
- Recherchez la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On). La boîte de dialogue Modifier les paramètres s’affiche.
-
Sélectionnez l’option Autorisé pour activer la stratégie Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On).
- Cliquez sur OK.
Configuration de l’hôte de session
Après avoir activé la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) à l’aide de la stratégie Citrix, vous devez également activer un paramètre Windows sur les hôtes de session. Vous pouvez activer le paramètre Windows via une stratégie locale ou un GPO :
- Accédez à
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation
. -
Activez le paramètre L’hôte distant qui autorise la délégation des informations d’identification non exportables.
- Redémarrez l’hôte de session pour que le paramètre prenne effet.
Remarque :
Le paramètre L’hôte distant autorise la délégation des informations d’identification non exportables n’est pas disponible dans la stratégie locale de Windows Server 2016. Si vous devez configurer ce paramètre localement sur l’hôte de la session au lieu d’utiliser un GPO, vous devez ajouter les valeurs de registre suivantes :
Clé : HKLM\SOFTWARE\Citrix\Rcg
- Type de valeur : DWORD
- Nom de la valeur : ForceEnableRcg
- Valeur des données : 1
Clé : HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Type de valeur : DWORD
- Nom de la valeur : DisableRestrictedAdmin
- Données de valeur : 0
Configuration de la machine cliente
Vous devez effectuer les opérations suivantes sur la machine cliente :
- Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)
- Approuver le site Storefront
Activer la fonctionnalité Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On)
Vous devez activer la fonctionnalité amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On) sur la machine cliente. Pour cela, utilisez une stratégie locale ou un GPO.
- Accédez à
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication
. -
Activez le paramètre Amélioration de l’authentification pass-through au domaine pour l’authentification unique (Single Sign-On).
- Redémarrez l’application Citrix Workspace pour que les paramètres prennent effet.
Approuver le site Storefront
Vous devez vous assurer que votre URL Storefront est approuvée par les machines clientes. Si l’URL ne fait pas partie d’un domaine déjà approuvé, vous devez l’ajouter en tant que site intranet local ou site de confiance. Pour cela, utilisez une stratégie locale ou un GPO.
- Accédez à la page
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security
. -
Activez le paramètre Liste d’attribution du site à la zone et ajoutez les URL appropriées et l’attribution de zone correspondante.
-
Activez le paramètre Options d’ouverture de session et définissez-le sur Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels.