Installation et configuration

Séquence d’installation et de configuration

1. Installez le Service d’authentification fédérée (FAS)
2. Activez le plug-in FAS sur les magasins StoreFront
3. Configurez le Delivery Controller
4. Configurez la stratégie de groupe
5. Utilisez la console d’administration FAS pour :
   1. Déployer des modèles de certificat
   2. Configurer des autorités de certification
   3. Autoriser FAS à utiliser vos autorités de certification
   4. Configurer des règles
   5. Connecter FAS à Citrix Cloud (facultatif)

• Installer le Service d’authentification fédérée

• Pour des raisons de sécurité, Citrix recommande d’installer le Service d’authentification fédérée (FAS) sur un serveur dédié. Ce serveur doit être sécurisé de la même manière qu’un contrôleur de domaine ou une autorité de certification. FAS peut être installé à partir de :

• le programme d’installation Citrix Virtual Apps and Desktops™ (à partir du bouton Service d’authentification fédérée sur l’écran de démarrage d’exécution automatique lorsque l’ISO est insérée), ou

• le fichier d’installation FAS autonome (disponible sous forme de fichier MSI sur Téléchargements Citrix).

• Ces installations comprennent les composants suivants :

• Service d’authentification fédérée
• Cmdlets de composant logiciel enfichable PowerShell pour la configuration FAS avancée
• Console d’administration FAS
• Modèles de stratégie de groupe FAS (CitrixFederatedAuthenticationService.admx/adml)
• Fichiers de modèle de certificat
• Compteurs de performance et journaux d’événements

Mise à niveau de FAS

Vous pouvez mettre à niveau FAS vers une version plus récente à l’aide d’une mise à niveau sur place. Avant la mise à niveau, tenez compte des points suivants :

• Tous les paramètres du serveur FAS sont conservés lors d’une mise à niveau sur place.
• Assurez-vous de fermer la console d’administration FAS avant de mettre à niveau FAS.
• Assurez-vous qu’au moins un serveur FAS est toujours disponible. Si aucun serveur n’est accessible par un serveur StoreFront™ compatible avec le Service d’authentification fédérée, les utilisateurs ne peuvent pas se connecter ou démarrer des applications.

Pour démarrer une mise à niveau, installez FAS à partir du programme d’installation Citrix Virtual Apps and Desktops ou du fichier d’installation FAS autonome.

Activer le plug-in FAS sur les magasins StoreFront

Remarque :

Cette étape n’est pas nécessaire si vous utilisez FAS uniquement avec Citrix Cloud.

Pour activer l’intégration FAS sur un magasin StoreFront, exécutez les cmdlets PowerShell suivantes en tant que compte Administrateur. Si le magasin a un nom différent, modifiez $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Pour cesser d’utiliser FAS, utilisez le script PowerShell suivant :

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Configurer le Delivery Controller™

Remarque :

Cette étape n’est pas nécessaire si vous utilisez FAS uniquement avec Citrix Cloud.

Pour utiliser FAS, configurez le Delivery Controller Citrix Virtual Apps ou Citrix Virtual Desktops™ pour qu’il fasse confiance aux serveurs StoreFront qui s’y connectent : exécutez la cmdlet PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true. Exécutez cette commande une fois par site, quel que soit le nombre de Delivery Controllers sur le site.

Configurer la stratégie de groupe

Après avoir installé FAS, utilisez les modèles de stratégie de groupe fournis dans l’installation pour spécifier les noms de domaine complets (FQDN) des serveurs dans la stratégie de groupe.

Important :

Assurez-vous que les serveurs StoreFront demandant des tickets et les Virtual Delivery Agents (VDA) échangeant des tickets ont une configuration identique des FQDN, y compris la numérotation automatique des serveurs appliquée par l’objet de stratégie de groupe.

Par souci de simplicité, les exemples suivants configurent une stratégie unique au niveau du domaine qui s’applique à toutes les machines. Cependant, ce n’est pas obligatoire. FAS fonctionne tant que les serveurs StoreFront, les VDA et la machine exécutant la console d’administration FAS voient la même liste de FQDN. Voir l’étape 6.

• Étape 1. Sur le serveur où vous avez installé FAS, localisez les fichiers C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx et CitrixBase.admx, ainsi que le dossier en-US.

• 

Étape 2. Copiez ces fichiers sur vos contrôleurs de domaine et placez-les dans les sous-dossiers C:\Windows\PolicyDefinitions et fr-FR.

Étape 3. Exécutez la console de gestion Microsoft (mmc.exe à partir de la ligne de commande). Dans la barre de menus, sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. Ajoutez l’Éditeur de gestion des stratégies de groupe.

Lorsque vous êtes invité à sélectionner un objet de stratégie de groupe, sélectionnez Parcourir, puis Stratégie de domaine par défaut. Vous pouvez également créer et sélectionner un objet de stratégie approprié pour votre environnement, à l’aide des outils de votre choix. La stratégie doit être appliquée à toutes les machines exécutant les logiciels Citrix concernés (VDA, serveurs StoreFront, outils d’administration).

Étape 4. Accédez à la stratégie Service d’authentification fédérée dans Configuration ordinateur/Stratégies/Modèles d’administration/Composants Citrix/Authentification.

• Remarque :

• Le paramètre de stratégie du service d’authentification fédérée n’est disponible sur l’objet de stratégie de groupe (GPO) de domaine que lorsque vous ajoutez le fichier de modèle CitrixBase.admx/CitrixBase.adml au dossier PolicyDefinitions. Après l’étape 3, le paramètre de stratégie du service d’authentification fédérée est répertorié dans le dossier Modèles d’administration > Composants Citrix > Authentification.

Étape 5. Ouvrez la stratégie du service d’authentification fédérée et sélectionnez Activé. Cela vous permet de sélectionner le bouton Afficher, où vous configurez les FQDN de vos serveurs FAS.

• Étape 6. Saisissez les FQDN des serveurs FAS.

• Important :

  Si vous saisissez plusieurs FQDN, l’ordre de la liste doit être cohérent tel qu’il est vu par les VDA, les serveurs StoreFront (le cas échéant) et les serveurs FAS. Consultez Paramètres de stratégie de groupe.

Étape 7. Cliquez sur OK pour quitter l’assistant de stratégie de groupe et appliquer les modifications de stratégie de groupe. Vous devrez peut-être redémarrer vos machines (ou exécuter gpupdate /force à partir de la ligne de commande) pour que la modification prenne effet.

Comportement en session

Cette stratégie active un processus d’agent dans la session VDA de l’utilisateur qui prend en charge les certificats en session, le consentement et la déconnexion au verrouillage. Les certificats en session ne sont disponibles que si cette stratégie est activée et si la règle FAS utilisée pour créer le certificat autorise l’utilisation en session. Consultez Configurer les règles.

Activer active cette stratégie et permet à un processus d’agent FAS de s’exécuter dans la session VDA de l’utilisateur.

Désactiver désactive la stratégie et empêche le processus d’agent FAS de s’exécuter.

Portée de l’invite

Si cette stratégie est activée, Portée de l’invite contrôle la manière dont les utilisateurs sont invités à donner leur consentement pour autoriser une application à utiliser un certificat en session. Il existe trois options :

• Aucun consentement requis—Cette option désactive l’invite de sécurité et les clés privées sont utilisées en silence.
• Consentement par processus—Chaque programme en cours d’exécution demande individuellement le consentement.
• Consentement par session—Une fois que l’utilisateur a cliqué sur OK, cette option s’applique à tous les programmes de la session.

Délai d’expiration du consentement

Si cette stratégie est activée, Délai d’expiration du consentement contrôle la durée (en secondes) du consentement. Par exemple, avec 300 secondes, les utilisateurs voient une invite toutes les cinq minutes. Une valeur de zéro invite les utilisateurs pour chaque opération de clé privée.

Déconnexion au verrouillage

Si cette stratégie est activée, la session de l’utilisateur est automatiquement déconnectée lorsqu’il verrouille l’écran. Ce comportement est similaire à la stratégie de « déconnexion lors du retrait de la carte à puce ». Utilisez cette fonctionnalité lorsque les utilisateurs ne disposent pas d’informations d’identification de connexion Active Directory.

Remarque :

• La stratégie de déconnexion au verrouillage s’applique à toutes les sessions sur le VDA.

• Utilisation de la console d’administration du service d’authentification fédérée

Remarque :

Bien que la console d’administration FAS convienne à la plupart des déploiements, l’interface PowerShell offre des options plus avancées. Pour plus d’informations sur les cmdlets PowerShell FAS, consultez Cmdlets PowerShell.

La console d’administration FAS est installée dans le cadre de FAS. Une icône (Citrix Federated Authentication Service) est placée dans le menu Démarrer.

La première fois que vous utilisez la console d’administration, elle vous guide à travers les processus suivants pour :

• Déployer des modèles de certificat.
• Configurer l’autorité de certification.
• Autoriser FAS à utiliser l’autorité de certification.

Vous pouvez également utiliser les outils de configuration du système d’exploitation pour effectuer certaines des étapes manuellement.

La console d’administration FAS se connecte au service FAS local par défaut. Si nécessaire, vous pouvez vous connecter à un service distant à l’aide de Se connecter à un autre serveur en haut à droite de la console.

Déployer des modèles de certificat

Pour éviter les problèmes d’interopérabilité avec d’autres logiciels, FAS fournit trois modèles de certificat Citrix pour son propre usage.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Ces modèles doivent être enregistrés auprès d’Active Directory. Cliquez sur le bouton Déployer, puis sur OK.

La configuration des modèles se trouve dans les fichiers XML avec l’extension .certificatetemplate qui sont installés avec FAS dans :

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si vous n’avez pas l’autorisation d’installer ces fichiers de modèle, transmettez-les à votre administrateur Active Directory.

Pour installer manuellement les modèles, vous pouvez exécuter les commandes PowerShell suivantes à partir du dossier contenant les modèles :

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Configurer les services de certificats Active Directory

Après avoir installé les modèles de certificat Citrix, ils doivent être publiés sur un ou plusieurs serveurs d’autorité de certification Microsoft Enterprise. Reportez-vous à la documentation Microsoft sur la façon de déployer les services de certificats Active Directory.

Un utilisateur disposant des autorisations d’administrateur de l’autorité de certification doit publier les modèles sur au moins un serveur. Utilisez Configurer l’autorité de certification pour les publier.

(Les modèles de certificat peuvent également être publiés à l’aide de la console d’autorité de certification Microsoft.)

Autoriser le service d’authentification fédérée

Cette étape lance l’autorisation de FAS. La console d’administration utilise le modèle Citrix_RegistrationAuthority_ManualAuthorization pour générer une demande de certificat, puis l’envoie à l’une des autorités de certification qui publient ce modèle.

Une fois la demande envoyée, elle apparaît dans la liste Demandes en attente de la console d’autorité de certification Microsoft en tant que demande en attente du compte d’ordinateur FAS. L’administrateur de l’autorité de certification doit émettre ou refuser la demande avant que la configuration de FAS puisse se poursuivre.

La console d’administration FAS affiche un indicateur de progression (« spinner ») jusqu’à ce que l’administrateur choisisse Émettre ou Refuser.

Dans la console d’autorité de certification Microsoft, cliquez avec le bouton droit sur Toutes les tâches, puis sélectionnez Émettre ou Refuser pour la demande de certificat. Si vous choisissez Émettre, la console d’administration FAS affiche le certificat d’autorisation. Si vous choisissez Refuser, la console affiche un message d’erreur.

La console d’administration FAS détecte automatiquement la fin de ce processus. Cela peut prendre quelques minutes.

Configurer les règles

FAS utilise les règles pour autoriser l’émission de certificats pour l’ouverture de session VDA et l’utilisation en session, comme indiqué par StoreFront.

Chaque règle spécifie les éléments suivants :

• Serveurs StoreFront approuvés pour demander les certificats.
• Ensemble d’utilisateurs pour lesquels les certificats sont demandés.
• Ensemble de machines VDA autorisées à utiliser les certificats.

Citrix recommande de créer une règle nommée « default », car StoreFront demande une règle portant le même nom lors de la communication avec FAS.

Vous pouvez créer d’autres règles personnalisées pour référencer différents modèles de certificat et autorités de certification, et les configurer pour qu’elles aient des propriétés et des autorisations différentes. Ces règles peuvent être configurées pour être utilisées par différents serveurs StoreFront ou par Workspace. Configurez les serveurs StoreFront pour qu’ils demandent la règle personnalisée par son nom à l’aide des options de configuration de stratégie de groupe.

Cliquez sur Créer (ou Créer une règle dans l’onglet « Règles ») pour lancer l’assistant de création de règles qui recueille les informations nécessaires à la création de la règle. L’onglet « Règles » affiche un résumé de chaque règle.

L’assistant recueille les informations suivantes :

Modèle : Le modèle de certificat utilisé pour émettre les certificats utilisateur. Il doit s’agir du modèle Citrix_SmartcardLogon, ou d’une copie modifiée de celui-ci (voir Modèles de certificat).

Autorité de certification : L’autorité de certification qui émet les certificats utilisateur et publie le modèle. FAS prend en charge l’ajout de plusieurs autorités de certification pour la bascule et l’équilibrage de charge. Assurez-vous que le statut affiche « Modèle disponible » pour l’autorité de certification que vous choisissez. Voir Administration de l’autorité de certification.

Utilisation en session : L’option Autoriser l’utilisation en session contrôle si un certificat peut être utilisé après l’ouverture de session sur le VDA.

• Autoriser l’utilisation en session non sélectionné (par défaut, recommandé) — le certificat est utilisé uniquement pour l’ouverture de session ou la reconnexion, et les utilisateurs n’ont pas accès au certificat après l’authentification.

• Autoriser l’utilisation en session sélectionné — les utilisateurs ont accès au certificat après l’authentification. La plupart des clients ne doivent pas sélectionner cette option. Les ressources accessibles depuis la session VDA, telles que les sites web intranet ou les partages de fichiers, peuvent être consultées à l’aide de l’authentification unique Kerberos, et un certificat en session n’est donc pas requis.

  Si vous sélectionnez Autoriser l’utilisation en session, la stratégie de groupe Comportement en session doit également être activée et appliquée au VDA. Les certificats sont ensuite placés dans le magasin de certificats personnel de l’utilisateur après l’ouverture de session pour une utilisation par l’application. Par exemple, si vous exigez l’authentification TLS aux serveurs web au sein de la session VDA, Internet Explorer peut utiliser le certificat.

Contrôle d’accès : Liste des machines de serveur StoreFront approuvées qui sont autorisées à demander des certificats pour la connexion ou la reconnexion des utilisateurs. Pour toutes ces autorisations, vous pouvez ajouter des objets ou des groupes AD individuels.

Important :

Le paramètre Contrôle d’accès est critique pour la sécurité et doit être géré avec soin.

Remarque :

Si vous utilisez le serveur FAS uniquement avec Citrix Cloud, vous n’avez pas besoin de configurer le contrôle d’accès. Lorsqu’une règle est utilisée par Citrix Cloud, les autorisations d’accès StoreFront sont ignorées. Vous pouvez utiliser la même règle avec Citrix Cloud et avec un déploiement StoreFront sur site. Les autorisations d’accès StoreFront sont toujours appliquées lorsque la règle est utilisée par un StoreFront sur site.

L’autorisation par défaut (« Assert Identity » autorisée) refuse tout. Par conséquent, vous devez autoriser explicitement vos serveurs StoreFront.

Restrictions : Liste des machines VDA qui peuvent connecter des utilisateurs à l’aide de FAS et liste des utilisateurs auxquels des certificats peuvent être délivrés via FAS.

• Gérer les autorisations VDA vous permet de spécifier quels VDA peuvent utiliser FAS pour connecter l’utilisateur. La liste des VDA est par défaut « Ordinateurs du domaine ».

• Gérer les autorisations utilisateur vous permet de spécifier quels utilisateurs peuvent utiliser FAS pour se connecter à un VDA. La liste des utilisateurs est par défaut « Utilisateurs du domaine ».

Remarque :

Si le domaine du serveur FAS diffère de celui des VDA et des utilisateurs, les restrictions par défaut doivent être modifiées.

Règle Cloud : Indique si la règle est appliquée lorsque des assertions d’identité sont reçues de Citrix Workspace. Lorsque vous vous connectez à Citrix Cloud, vous choisissez la règle à utiliser pour Citrix Cloud. Vous pouvez également modifier la règle après vous être connecté à Citrix Cloud à partir d’un lien dans la section Se connecter à Citrix Cloud.

Se connecter à Citrix Cloud

Vous pouvez connecter le serveur FAS à Citrix Cloud avec Citrix Workspace. Consultez cet article de Citrix Workspace.

1. Dans l’onglet Configuration initiale, sous Se connecter à Citrix Cloud, cliquez sur Connecter.

   

2. Sélectionnez le cloud auquel vous souhaitez vous connecter et cliquez sur Suivant.

   

   Remarque

   Seul Citrix Cloud est disponible dans l’aperçu.

3. La fenêtre affiche un code d’enregistrement unique, qui doit être approuvé dans Citrix Cloud. Pour plus d’informations, consultez Enregistrer les produits sur site auprès de Citrix Cloud.

   

4. Une fois le code d’enregistrement validé, sélectionnez l’emplacement des ressources requis dans la liste déroulante.

   

5. Sélectionnez le compte client, le cas échéant, et sélectionnez l’emplacement des ressources où vous souhaitez connecter le serveur FAS. Cliquez sur Continuer, puis fermez la fenêtre de confirmation.

6. Dans la section Choisir une règle, utilisez une règle existante ou créez-en une. Cliquez sur Suivant.

   

7. Dans la section Résumé, cliquez sur Terminer pour finaliser la connexion à Citrix Cloud.

   

Citrix Cloud enregistre le serveur FAS et l’affiche sur la page Emplacements des ressources de votre compte Citrix Cloud.

Remarque

Un serveur FAS sur site peut émettre des certificats utilisateur pour permettre l’accès à Citrix Cloud et à Citrix Virtual Apps and Desktops simultanément.

Se déconnecter de Citrix Cloud

Après avoir supprimé le serveur FAS de votre emplacement de ressources Citrix Cloud, comme décrit dans cet article de Citrix Workspace, dans Se connecter à Citrix Cloud, sélectionnez Désactiver.