Matrice d’authentification pass-through au domaine
Si vous utilisez Citrix Workspace et que vous souhaitez obtenir une authentification pass-through au domaine, les tableaux des sous-sections décrivent les différents scénarios et indiquent si vous pouvez réaliser l’authentification pass-through au domaine pour chaque scénario.
Voici les différents éléments d’en-tête des tableaux, ainsi que des informations supplémentaires sur ces éléments :
- Point de terminaison joint à : spécifie le répertoire auquel le point de terminaison est joint. Le répertoire fournit un contrôle d’accès aux ressources locales. Il peut s’agir du répertoire Active Directory (AD) local, du répertoire Azure Active Directory (AAD) ou d’un système hybride.
- Fournisseur d’identité (IdP) : entité utilisée pour fournir des services d’authentification à Citrix Workspace. Elle vous permet de vous connecter aux ressources.
- Federated Authentication Service (FAS) : pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix.
- Virtual Delivery Agent (VDA) : pour plus d’informations, consultez Installer les VDA.
- VDA joint à : spécifie le répertoire auquel l’appareil VDA est joint. Pour de plus amples informations, consultez la section Gestion des identités et des accès.
- SSO (Single Sign-On) vers Citrix Workspace/VDA : la valeur Oui ou Non indique si l’authentification pass-through au domaine vers Citrix Workspace ou le VDA est pris en charge.
- Application Citrix Workspace : pour obtenir Single Sign-On ou l’authentification unique, consultez la section Configurer l’authentification Single Sign-On lors d’une nouvelle installation dans Authentification pass-through au domaine.
Remarque :
Vous pouvez avoir besoin de la dernière version de l’application Citrix Workspace pour bénéficier de la prise en charge de l’authentification pass-through au domaine dans certains des scénarios suivants.
Prise en charge de l’authentification pass-through au domaine pour Citrix Workspace
Point de terminaison joint à | Fournisseur d’identité | VDA joint à | SSO vers Citrix Workspace | SSO vers VDA | documentation |
---|---|---|---|---|---|
AD | Passerelle Citrix Gateway locale | AD | Oui | Application Citrix Workspace/FAS | Authentification pass-through au domaine pour Citrix Workspace à l’aide d’une instance Citrix Gateway locale en tant que fournisseur d’identité |
AD | Authentification adaptative | AD | Oui | Application Citrix Workspace/FAS | Pour configurer l’authentification adaptative, consultez la section Service d’authentification adaptative et suivez les instructions de la section Authentification pass-through au domaine pour Citrix Workspace en utilisant un Citrix Gateway local en tant que fournisseur d’identité. |
AD | Citrix Gateway fédéré vers un autre fournisseur d’identité (AAD/Okta) | AD | Oui | Application Citrix Workspace/FAS | Configurez le fournisseur d’identité à l’aide de la section Configurer l’authentification unique SAML et reportez-vous à la documentation du fournisseur d’identité utilisé pour configurer l’authentification pass-through au domaine. |
AD | Okta | AD | Oui | Application Citrix Workspace/FAS | Authentification pass-through au domaine pour Citrix Workspace en utilisant Okta en tant que fournisseur d’identité |
Joint à AD/Hybride | AAD (AD avec AAD Connect) | AD | Oui | Application Citrix Workspace/FAS ** | Authentification pass-through au domaine pour Citrix Workspace en utilisant Azure Active Directory en tant que fournisseur d’identité |
AD | Tout fournisseur d’identité basé sur SAML (par exemple, ADFS) | AD | Oui | Application Citrix Workspace/FAS | Consultez Connecter SAML en tant que fournisseur d’identité à Citrix Cloud et reportez-vous à la documentation relative au fournisseur d’identité utilisé pour configurer l’authentification pass-through au domaine. |
AD | AD | AD | Non | Non pris en charge | S/O |
AD | AD + OTP | AD | Non | Non pris en charge | S/O |
AD | AAD | AAD | Non | Non pris en charge | S/O |
AAD | AAD sans domaine AD local | AD | Oui | FAS | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique (SSO) sur Workspace. L’authentification unique (SSO) vers VDA est prise en charge via FAS. Pour plus d’informations, consultez Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix. |
AAD | AAD | AAD | Oui | L’utilisateur doit saisir ses informations d’identification | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique (SSO) sur Workspace. L’authentification unique (SSO) au VDA n’est pas prise en charge. |
Non-joint à un domaine | Fournisseur d’identité prenant en charge l’authentification sans mot de passe - lien | AD | Non | FAS | Citrix Workspace utilise Microsoft Edge WebView qui permet l’authentification unique (SSO) sur Workspace. L’authentification unique (SSO) vers VDA est prise en charge via FAS. Pour plus d’informations, consultez la section Autres méthodes d’authentification auprès de Citrix Workspace. |
Remarques :
- Le domaine AD doit pouvoir accéder au client pour que Kerberos fonctionne.
- **Citrix Single Sign-On (SSONSVR.exe) fonctionne uniquement avec le nom d’utilisateur ou le mot de passe du client. Si l’utilisateur utilise Windows Hello pour se connecter, le Service d’authentification fédérée (FAS) est requis.
- L’authentification peut ne pas être totalement silencieuse dans le cloud si LLT est activé ou si la stratégie d’acceptation de l’utilisateur final est configurée.
- Il est recommandé de configurer FAS tel qu’il s’applique aux plates-formes autres que Windows.
Prise en charge de l’authentification pass-through au domaine pour StoreFront
Point de terminaison joint à | Fournisseur d’identité | VDA joint à | SSO vers Citrix Workspace | SSO vers VDA | documentation |
---|---|---|---|---|---|
AD | StoreFront | AD | Oui | Application Citrix Workspace | Authentification pass-through au domaine |
Joint à AD/Hybride/Windows Hello Entreprise | StoreFront | AD | Oui(1) | Application Citrix Workspace /FAS (2) | Authentification pass-through au domaine et Activer l’authentification unique pour les espaces de travail avec Service d’authentification fédérée de Citrix |
AD | Citrix Gateway - Authentification avancée | AD | Oui | Application Citrix Workspace(3) | |
AD | Citrix Gateway - Authentification de base | AD | Oui | Application Citrix Workspace(4) | Authentification pass-through au domaine |
Remarques :
Dans l’Éditeur du Registre, accédez au chemin suivant et définissez la chaîne
SSONCheckEnabled
surFalse
si le composant d’authentification unique n’est pas installé.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
The key prevents the Citrix Workspace app authentication manager from checking for the single sign-on component and allows Citrix Workspace app to authenticate to StoreFront.
- Si vous utilisez Windows Hello pour vous connecter, le Service d’authentification fédérée (FAS) est requis et la configuration du registre est requise pour activer l’authentification unique (SSO).
- Le domaine AD doit pouvoir accéder au client car il utilise Kerberos.
- Fonctionne même si le domaine AD ne peut pas accéder au client. N’utilise pas Kerberos.