Installer et configurer

Séquence d’installation et de configuration

1. Installer le service d’authentification fédérée (FAS)
2. Activer le plug-in FAS sur les magasins StoreFront
3. Configurer la stratégie de groupe
4. Utilisez la console d’administration FAS pour : (a) Déployer les modèles fournis, (b) Configurer les autorités de certification, et (c) Autoriser FAS à utiliser votre autorité de certification
5. Configurer les règles utilisateur

• Installer le service d’authentification fédérée

• Pour des raisons de sécurité, Citrix® recommande d’installer le service d’authentification fédérée (FAS) sur un serveur dédié, sécurisé de la même manière qu’un contrôleur de domaine ou une autorité de certification. FAS peut être installé à partir du bouton Federated Authentication Service sur l’écran de démarrage automatique lorsque l’ISO est insérée.

• Ceci installe les composants suivants :

• Service d’authentification fédérée
• Applets de commande du composant logiciel enfichable PowerShell pour configurer FAS à distance
• Console d’administration FAS
• Modèles de stratégie de groupe FAS (CitrixFederatedAuthenticationService.admx/adml)
• Fichiers de modèle de certificat pour une configuration simple de l’autorité de certification
• Compteurs de performance et journaux d’événements

Activer le plug-in FAS sur les magasins StoreFront™

Pour activer l’intégration de FAS sur un magasin StoreFront, exécutez les applets de commande PowerShell suivantes en tant que compte Administrateur. Si vous avez plusieurs magasins, ou si le magasin a un nom différent, le texte du chemin ci-dessous peut différer.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Pour cesser d’utiliser FAS, utilisez le script PowerShell suivant :

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurer le Delivery Controller™

Pour utiliser FAS, configurez le Delivery Controller Citrix Virtual Apps ou Citrix Virtual Desktops™ pour qu’il fasse confiance aux serveurs StoreFront qui peuvent s’y connecter : exécutez l’applet de commande PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.

Configurer la stratégie de groupe

Après avoir installé FAS, vous devez spécifier les adresses DNS complètes des serveurs FAS dans la stratégie de groupe à l’aide des modèles de stratégie de groupe fournis lors de l’installation.

Important :

Assurez-vous que les serveurs StoreFront demandant des tickets et les Virtual Delivery Agents (VDA) échangeant des tickets ont une configuration identique des adresses DNS, y compris la numérotation automatique des serveurs appliquée par l’objet de stratégie de groupe.

Par souci de simplicité, les exemples suivants configurent une seule stratégie au niveau du domaine qui s’applique à toutes les machines ; cependant, ce n’est pas obligatoire. FAS fonctionnera tant que les serveurs StoreFront, les VDA et la machine exécutant la console d’administration FAS verront la même liste d’adresses DNS. Notez que l’objet de stratégie de groupe ajoute un numéro d’index à chaque entrée, qui doit également correspondre si plusieurs objets sont utilisés.

Étape 1. Sur le serveur où vous avez installé FAS, localisez les fichiers C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx et CitrixBase.admx, ainsi que le dossier en-US.

Étape 2. Copiez-les sur votre contrôleur de domaine et placez-les dans le sous-dossier C:\Windows\PolicyDefinitions et en-US.

Étape 3. Exécutez la console de gestion Microsoft (mmc.exe à partir de la ligne de commande). Dans la barre de menus, sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. Ajoutez l’Éditeur de gestion des stratégies de groupe.

Lorsque vous êtes invité à sélectionner un objet de stratégie de groupe, sélectionnez Parcourir, puis Stratégie de domaine par défaut. Vous pouvez également créer et sélectionner un objet de stratégie approprié pour votre environnement, en utilisant les outils de votre choix. La stratégie doit être appliquée à toutes les machines exécutant le logiciel Citrix concerné (VDA, serveurs StoreFront, outils d’administration).

Étape 4. Accédez à la stratégie Federated Authentication Service située dans Configuration ordinateur/Stratégies/Modèles d’administration/Composants Citrix/Authentification.

Remarque :

Le paramètre de stratégie du service d’authentification fédérée est disponible uniquement sur l’objet de stratégie de groupe (GPO) de domaine lorsque vous ajoutez le fichier de modèle CitrixBase.admx/CitrixBase.adml au dossier PolicyDefinitions. Le paramètre de stratégie du service d’authentification fédérée est ensuite répertorié dans le dossier Modèles d’administration > Composants Citrix > Authentification.

Étape 5. Ouvrez la stratégie du service d’authentification fédérée et sélectionnez Activé. Cela vous permet de sélectionner le bouton Afficher, où vous configurez les adresses DNS de vos serveurs FAS.

Étape 6. Entrez les noms de domaine complets (FQDN) des serveurs hébergeant FAS.

N’oubliez pas : Si vous entrez plusieurs FQDN, l’ordre de la liste doit être cohérent entre les serveurs StoreFront et les VDA. Cela inclut les entrées de liste vides ou inutilisées.

Étape 7. Cliquez sur OK pour quitter l’assistant de stratégie de groupe et appliquer les modifications de la stratégie de groupe. Vous devrez peut-être redémarrer vos machines (ou exécuter gpupdate /force à partir de la ligne de commande) pour que la modification prenne effet.

Prise en charge des certificats en session et déconnexion au verrouillage

Prise en charge des certificats en session

Par défaut, les VDA n’autorisent pas l’accès aux certificats après l’ouverture de session. Si nécessaire, vous pouvez utiliser le modèle de stratégie de groupe pour configurer le système pour les certificats en session. Cela place les certificats dans le magasin de certificats personnel de l’utilisateur après l’ouverture de session pour une utilisation par les applications. Par exemple, si vous avez besoin d’une authentification TLS auprès de serveurs web au sein de la session VDA, le certificat peut être utilisé par Internet Explorer.

Déconnexion au verrouillage

Si cette stratégie est activée, la session de l’utilisateur est automatiquement déconnectée lorsque l’écran est verrouillé. Cette fonctionnalité offre un comportement similaire à la stratégie de « déconnexion lors du retrait de la carte à puce » et est utile dans les situations où les utilisateurs ne disposent pas d’informations d’identification de connexion Active Directory.

Remarque :

La stratégie de déconnexion au verrouillage s’applique à toutes les sessions sur le VDA.

Utilisation de la console d’administration du service d’authentification fédérée

La console d’administration FAS est installée dans le cadre de FAS. Une icône (Citrix Federated Authentication Service) est placée dans le menu Démarrer.

La première fois que la console d’administration est utilisée, elle vous guide à travers un processus qui déploie des modèles de certificat, configure l’autorité de certification et autorise FAS à utiliser l’autorité de certification. Certaines des étapes peuvent également être effectuées manuellement à l’aide des outils de configuration du système d’exploitation.

Déployer des modèles de certificat

Pour éviter les problèmes d’interopérabilité avec d’autres logiciels, FAS fournit trois modèles de certificat Citrix pour son propre usage.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Ces modèles doivent être enregistrés auprès d’Active Directory. Si la console ne peut pas les localiser, l’outil Déployer des modèles de certificat peut les installer. Cet outil doit être exécuté en tant que compte disposant des autorisations nécessaires pour administrer votre forêt d’entreprise.

• 

• La configuration des modèles se trouve dans les fichiers XML avec l’extension .certificatetemplate qui sont installés avec FAS dans :

• C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si vous n’avez pas l’autorisation d’installer ces fichiers de modèle, transmettez-les à votre administrateur Active Directory.

Pour installer manuellement les modèles, vous pouvez utiliser les commandes PowerShell suivantes :

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurer les services de certificats Active Directory

Après l’installation des modèles de certificat Citrix, ceux-ci doivent être publiés sur un ou plusieurs serveurs d’autorité de certification Microsoft. Reportez-vous à la documentation Microsoft pour savoir comment déployer les services de certificats Active Directory.

Si les modèles ne sont pas publiés sur au moins un serveur, l’outil Configurer l’autorité de certification propose de les publier. Vous devez exécuter cet outil en tant qu’utilisateur disposant des autorisations nécessaires pour administrer l’autorité de certification.

(Les modèles de certificat peuvent également être publiés à l’aide de la console d’autorité de certification Microsoft.)

Autoriser le service d’authentification fédérée

Cette étape lance l’autorisation de FAS. La console d’administration utilise le modèle Citrix_RegistrationAuthority_ManualAuthorization pour générer une demande de certificat, puis l’envoie à l’une des autorités de certification qui publient ce modèle.

Une fois la demande envoyée, elle apparaît dans la liste Demandes en attente de la console d’autorité de certification Microsoft. L’administrateur de l’autorité de certification doit choisir d’Émettre ou de Refuser la demande avant que la configuration de FAS ne puisse se poursuivre. Notez que la demande d’autorisation apparaît comme une Demande en attente provenant du compte machine FAS.

Cliquez avec le bouton droit sur Toutes les tâches, puis sélectionnez Émettre ou Refuser pour la demande de certificat. La console d’administration FAS détecte automatiquement la fin de ce processus. Cela peut prendre quelques minutes.

Configurer les règles utilisateur

Une règle utilisateur autorise l’émission de certificats pour l’ouverture de session VDA et l’utilisation en session, selon les directives de StoreFront. Chaque règle spécifie les serveurs StoreFront autorisés à demander des certificats, l’ensemble des utilisateurs pour lesquels ils peuvent être demandés et l’ensemble des machines VDA autorisées à les utiliser.

Pour terminer la configuration de FAS, vous devez définir la règle par défaut. Cliquez sur Créer pour créer une règle ou passez à l’onglet « Règles » et cliquez sur Créer une règle. L’assistant recueille les informations nécessaires pour définir une règle.

Les informations suivantes sont recueillies par l’assistant :

Modèle : Le modèle de certificat utilisé pour émettre les certificats utilisateur. Il doit s’agir du modèle Citrix_SmartcardLogon, ou d’une copie modifiée de celui-ci.

Autorité de certification : L’autorité de certification qui émet les certificats utilisateur. Le modèle doit être publié par l’autorité de certification. FAS prend en charge l’ajout de plusieurs autorités de certification pour le basculement et l’équilibrage de charge.

Utilisation en session : L’option Autoriser l’utilisation en session contrôle si un certificat peut être utilisé après l’ouverture de session sur le VDA. Sélectionnez cette option uniquement si vous souhaitez que les utilisateurs aient accès au certificat après l’authentification. Si cette option n’est pas sélectionnée, le certificat est utilisé uniquement pour l’ouverture de session ou la reconnexion, et les utilisateurs n’ont pas accès au certificat après l’authentification.

Contrôle d’accès : La liste des machines de serveur StoreFront approuvées qui sont autorisées à demander des certificats pour l’ouverture de session ou la reconnexion des utilisateurs.

Important :

Le paramètre Contrôle d’accès est critique pour la sécurité et doit être géré avec soin.

Restrictions : La liste des machines VDA qui peuvent connecter les utilisateurs à l’aide de FAS et la liste des utilisateurs qui peuvent se voir délivrer des certificats via FAS. La liste des VDA est par défaut Ordinateurs du domaine et la liste des utilisateurs est par défaut Utilisateurs du domaine ; ces valeurs peuvent être modifiées si les valeurs par défaut sont inappropriées.

Règle de cloud : Actuellement non pris en charge.

Utilisation avancée

Vous pouvez créer des règles supplémentaires pour référencer différents modèles de certificat et autorités, qui peuvent être configurés pour avoir des propriétés et des autorisations différentes. Ces règles peuvent être configurées pour être utilisées par différents serveurs StoreFront, qui devront être configurés pour demander la nouvelle règle par son nom. Par défaut, StoreFront demande default lors de la communication avec FAS. Cela peut être modifié à l’aide des options de configuration de la stratégie de groupe.

Pour créer un nouveau modèle de certificat, dupliquez le modèle Citrix_SmartcardLogon dans la console de l’autorité de certification Microsoft, renommez-le (par exemple, Citrix_SmartcardLogon2) et modifiez-le selon les besoins. Créez une nouvelle règle utilisateur en cliquant sur Ajouter pour référencer le nouveau modèle de certificat.

Considérations relatives à la mise à niveau

• Tous les paramètres du serveur FAS sont conservés lorsque vous effectuez une mise à niveau sur place.
• Mettez à niveau FAS en exécutant le programme d’installation complet de Virtual Apps and Desktops.
• Avant de mettre à niveau FAS, mettez à niveau le Controller et les VDA (ainsi que les autres composants principaux) vers la version requise.
• Assurez-vous que la console d’administration FAS est fermée avant de mettre à niveau FAS.
• Assurez-vous qu’au moins un serveur FAS est disponible à tout moment. Si aucun serveur n’est accessible par un serveur StoreFront compatible avec le service d’authentification fédérée, les utilisateurs ne peuvent pas se connecter ou démarrer des applications.

Considérations relatives à la sécurité

FAS dispose d’un certificat d’autorité d’enregistrement qui lui permet d’émettre des certificats de manière autonome au nom de vos utilisateurs de domaine. À ce titre, il est important de développer et de mettre en œuvre une politique de sécurité pour protéger les serveurs FAS et limiter leurs autorisations.

Agents d’inscription délégués

FAS émet des certificats utilisateur en agissant en tant qu’agent d’inscription. L’autorité de certification Microsoft permet de contrôler les modèles que le serveur FAS peut utiliser, ainsi que de limiter les utilisateurs pour lesquels le serveur FAS peut émettre des certificats.

Citrix recommande fortement de configurer ces options afin que FAS ne puisse émettre des certificats que pour les utilisateurs prévus. Par exemple, il est recommandé d’empêcher FAS d’émettre des certificats aux utilisateurs d’un groupe Administration ou Utilisateurs protégés.

Configuration de la liste de contrôle d’accès

Comme décrit dans la section Configurer les règles utilisateur, vous devez configurer une liste de serveurs StoreFront qui sont approuvés pour affirmer les identités des utilisateurs auprès de FAS lors de l’émission de certificats. De même, vous pouvez restreindre les utilisateurs auxquels des certificats seront émis, et les machines VDA auxquelles ils peuvent s’authentifier. Ceci s’ajoute à toutes les fonctionnalités de sécurité standard d’Active Directory ou d’autorité de certification que vous configurez.

Paramètres du pare-feu

Toutes les communications vers les serveurs FAS utilisent des connexions réseau Kerberos Windows Communication Foundation (WCF) mutuellement authentifiées sur le port 80.

Surveillance des journaux d’événements

FAS et le VDA écrivent des informations dans le journal d’événements Windows. Ceci peut être utilisé pour la surveillance et l’audit des informations. La section Journaux d’événements répertorie les entrées de journal d’événements qui peuvent être générées.

Modules de sécurité matériels

Toutes les clés privées, y compris celles des certificats utilisateur émis par FAS, sont stockées en tant que clés privées non exportables par le compte Service réseau. FAS prend en charge l’utilisation d’un module de sécurité matériel cryptographique, si votre politique de sécurité l’exige.

Une configuration cryptographique de bas niveau est disponible dans le fichier FederatedAuthenticationService.exe.config. Ces paramètres s’appliquent lorsque les clés privées sont créées pour la première fois. Par conséquent, différents paramètres peuvent être utilisés pour les clés privées de l’autorité d’enregistrement (par exemple, 4096 bits, protégées par TPM) et les certificats utilisateur d’exécution.

SDK PowerShell

Bien que la console d’administration FAS convienne aux déploiements simples, l’interface PowerShell offre des options plus avancées. Lorsque vous utilisez des options qui ne sont pas disponibles dans la console, Citrix recommande d’utiliser uniquement PowerShell pour la configuration.

La commande suivante ajoute les cmdlets PowerShell :

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Utilisez Get-Help <nom de la cmdlet> pour afficher l’aide de la cmdlet. Le tableau suivant répertorie plusieurs commandes où * représente un verbe PowerShell standard (tel que New, Get, Set, Remove).

Les cmdlets PowerShell peuvent être utilisées à distance en spécifiant l’adresse d’un serveur FAS.

Pour plus d’informations sur les cmdlets PowerShell FAS, consultez Cmdlets PowerShell.

Compteurs de performances

FAS inclut un ensemble de compteurs de performances à des fins de suivi de la charge.

Le tableau suivant répertorie les compteurs disponibles. La plupart des compteurs sont des moyennes mobiles sur cinq minutes.

Journaux d’événements

Les tableaux suivants répertorient les entrées du journal d’événements générées par FAS.

Événements d’administration [Federated Authentication Service]

[Source d’événement : Citrix.Authentication.FederatedAuthenticationService]

Ces événements sont consignés en réponse à une modification de configuration sur le serveur FAS.

• Codes de journal

• [S001] ACCÈS REFUSÉ : L’utilisateur [{0}] n’est pas membre du groupe Administrateurs.
  [S002] ACCÈS REFUSÉ : L’utilisateur [{0}] n’est pas un administrateur du rôle [{1}].
  [S003] L’administrateur [{0}] définit le mode maintenance sur [{1}].
  [S004] L’administrateur [{0}] s’inscrit auprès de l’autorité de certification [{1}] avec les modèles [{2}] et [{3}].
  [S005] L’administrateur [{0}] désautorise l’autorité de certification [{1}].
  [S006] L’administrateur [{0}] crée une nouvelle définition de certificat [{1}].
  [S007] L’administrateur [{0}] met à jour la définition de certificat [{1}].
  [S008] L’administrateur [{0}] supprime la définition de certificat [{1}].
  [S009] L’administrateur [{0}] crée un nouveau rôle [{1}].
  [S010] L’administrateur [{0}] met à jour le rôle [{1}].
  [S011] L’administrateur [{0}] supprime le rôle [{1}].
  [S012] L’administrateur [{0}] crée un certificat [upn : {1} sid : {2} rôle : {3} Définition de certificat : {4} Contexte de sécurité : {5}].
  [S013] L’administrateur [{0}] supprime les certificats [upn : {1} rôle : {2} Définition de certificat : {3} Contexte de sécurité : {4}].
  [S015] L’administrateur [{0}] crée une demande de certificat [TPM : {1}].
  [S016] L’administrateur [{0}] importe un certificat d’autorisation [Référence : {1}].
  Codes de journal
  [S401] Mise à niveau de la configuration – [De la version {0} à la version {1}].
  [S402] ERREUR : Le service Citrix Federated Authentication doit être exécuté en tant que service réseau [actuellement exécuté en tant que : {0}].
  [S404] Suppression forcée de la base de données Citrix Federated Authentication Service.
  [S405] Une erreur s’est produite lors de la migration des données du registre vers la base de données : [{0}].
  [S406] La migration des données du registre vers la base de données est terminée (remarque : les certificats utilisateur ne sont pas migrés).
  [S407] Les données basées sur le registre n’ont pas été migrées vers une base de données car une base de données existait déjà.
  [S408] Impossible de rétrograder la configuration – [De la version {0} à la version {1}].
  [S409] MinThreads du ThreadPool ajusté de [workers : {0} completion : {1}] à : [workers : {2} completion : {3}].
  [S410] Échec de l’ajustement de MinThreads du ThreadPool de [workers : {0} completion : {1}] à : [workers : {2} completion : {3}].

Création d’assertions d’identité [Federated Authentication Service]

[Source d’événement : Source d’événement : Citrix.Authentication.FederatedAuthenticationService]

Ces événements sont consignés au moment de l’exécution sur le serveur FAS lorsqu’un serveur approuvé affirme une connexion utilisateur.

Agir en tant que partie de confiance [Federated Authentication Service]

[Source d’événement : Source d’événement : Citrix.Authentication.FederatedAuthenticationService]

Ces événements sont consignés au moment de l’exécution sur le serveur FAS lorsqu’un VDA connecte un utilisateur.

Serveur de certificats de session [Service d’authentification fédérée]

[Source d’événement : Source d’événement : Citrix.Authentication.FederatedAuthenticationService]

Ces événements sont enregistrés sur le serveur FAS lorsqu’un utilisateur utilise un certificat de session.

Plug-in d’assertion FAS [Federated Authentication Service]

[Source d’événement : Source d’événement : Citrix.Authentication.FederatedAuthenticationService]

Ces événements sont enregistrés par le plug-in d’assertion FAS.

Ouverture de session [VDA]

[Source d’événement : Citrix.Authentication.IdentityAssertion]

Ces événements sont enregistrés sur le VDA pendant la phase d’ouverture de session.

Certificats de session [VDA]

[Source d’événement : Citrix.Authentication.IdentityAssertion]

Ces événements sont enregistrés sur le VDA lorsqu’un utilisateur tente d’utiliser un certificat de session.

Demande de certificat et génération de paire de clés [Federated Authentication Service]

[Source d’événement : Citrix.Fas.PkiCore]

Ces événements sont enregistrés lorsque le serveur FAS effectue des opérations cryptographiques de bas niveau.

Informations connexes

• Les déploiements FAS courants sont résumés dans Architectures de déploiement.
• Les articles « Comment faire » sont présentés dans Configuration avancée.