Documentation produit
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
Voir PDF

Configuration de la sécurité et du réseau

April 28, 2026
Contributeur: 
C

Le service d’authentification fédérée (FAS) est étroitement intégré à Microsoft Active Directory et à l’autorité de certification Microsoft. Assurez-vous que le système est géré et sécurisé de manière appropriée, en élaborant une politique de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.

Ce document fournit un aperçu des problèmes de sécurité à prendre en compte lors du déploiement de FAS. Il présente également les fonctionnalités disponibles qui pourraient vous aider à sécuriser votre infrastructure.

Architecture réseau et sécurité

Le diagramme suivant présente les principaux composants et les limites de sécurité utilisés dans un déploiement FAS.

Le serveur FAS fait partie de l’infrastructure critique pour la sécurité, au même titre que l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix Gateway et Citrix StoreFront sont des composants qui effectuent l’authentification des utilisateurs. Les autres composants de Citrix Virtual Apps and Desktops™ ne sont pas affectés par l’introduction de FAS.

Diagramme montrant les serveurs et les protocoles

| Serveur | Connexions | |——————————————————————————————————————-|——————————————————————————————————————|

  • Service d’authentification fédérée [entrée] HTTP avec sécurité Kerberos depuis StoreFront™ et les VDA, [sortie] DCOM vers l’autorité de certification Microsoft
  • Citrix Gateway [entrée] HTTPS depuis les machines clientes, [entrée/sortie] HTTPS vers/depuis le serveur StoreFront, [sortie] HDX vers le VDA
  • StoreFront [entrée] HTTPS depuis Citrix Gateway, [sortie] HTTPS vers Delivery Controller™, [sortie] HTTP avec sécurité Kerberos vers FAS
  • Delivery Controller [entrée] HTTPS depuis le serveur StoreFront, [entrée/sortie] HTTP avec sécurité Kerberos depuis les VDA
    VDA [entrée/sortie] HTTP avec sécurité Kerberos depuis Delivery Controller, [entrée] HDX depuis Citrix Gateway, [sortie] HTTP avec sécurité Kerberos vers FAS
    Autorité de certification Microsoft [entrée] DCOM depuis FAS

  • Communication entre StoreFront et FAS

  • Lors du lancement d’un VDA, le serveur StoreFront contacte le serveur FAS pour obtenir un ticket à usage unique dont le Citrix Virtual Delivery Agent (VDA) a besoin pour connecter l’utilisateur.

  • StoreFront se connecte à FAS en utilisant SOAP sur HTTP. Par défaut, il utilise le port 80.

  • Il s’authentifie en utilisant Kerberos mutuel avec l’identité Kerberos HOST/fqdn du serveur FAS et l’identité du compte machine Kerberos du serveur StoreFront.

  • Les données sont chiffrées à l’aide de la sécurité au niveau du message. Aucune configuration supplémentaire n’est requise pour activer le chiffrement.

Communication entre VDA et FAS 

-  Lorsqu'une session HDX™ est connectée au VDA, le VDA contacte le serveur FAS pour demander un certificat.

-  Le VDA se connecte au serveur FAS en utilisant SOAP sur HTTP. Par défaut, il utilise le port 80.

-  Il s'authentifie en utilisant Kerberos mutuel avec l'identité Kerberos HOST/fqdn du serveur FAS et l'identité de la machine Kerberos du VDA. De plus, le VDA doit fournir le « handle d'informations d'identification » pour accéder au certificat et à la clé privée.
  • Les données sont chiffrées à l’aide de la sécurité au niveau du message. Aucune configuration supplémentaire n’est requise pour activer le chiffrement.

Communication entre FAS et l’autorité de certification Microsoft 

-  Lorsqu'un utilisateur lance un VDA, si le serveur FAS ne possède pas déjà un certificat pour l'utilisateur, il communique avec l'autorité de certification pour demander un certificat. L'autorité de certification exige que le serveur FAS fournisse un paquet CMC signé par un certificat d'agent d'inscription approuvé.

  • Le serveur FAS communique avec l’autorité de certification Microsoft à l’aide de DCOM. Pour plus d’informations sur les ports requis, consultez la documentation Microsoft.

    • Il s’authentifie à l’aide de Kerberos.

Connexions entre Citrix Federated Authentication Service et Citrix Cloud™

Si vous connectez FAS à Citrix Cloud, vos serveurs FAS doivent pouvoir accéder aux adresses suivantes via le port HTTPS 443.

Citrix Cloud :

-  Console d'administration FAS qui s'exécute sous le compte de l'utilisateur
-  `*.cloud.com`
-  `*.citrixworkspacesapi.net`
-  Adresses requises par un fournisseur d'identité tiers, si l'un est utilisé dans votre environnement
  • Service FAS qui s’exécute sous le compte Network Service :
    • *.citrixworkspacesapi.net
    • *.citrixnetworkapi.net

Citrix Cloud Japan :

  • Console d’administration FAS, sous le compte de l’utilisateur
    • *.citrixcloud.jp
    • *.citrixworkspacesapi.jp
    • Adresses requises par un fournisseur d’identité tiers, si l’un est utilisé dans votre environnement
    • Service FAS, sous le compte Network Service :
    • *.citrixworkspacesapi.jp
    • *.citrixnetworkapi.jp

Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte Network Service est configurée à l’aide de netsh ou d’un outil similaire.

Informations complémentaires

Pour plus d’informations sur la sécurisation de la communication entre d’autres composants Citrix, consultez les articles suivants :

Considérations de sécurité

FAS dispose d’un certificat d’autorité d’enregistrement qui lui permet d’émettre des certificats de manière autonome pour les utilisateurs de votre domaine. Cela aide à développer et à mettre en œuvre une politique de sécurité pour protéger les serveurs FAS et à restreindre leurs autorisations.

Agents d’inscription délégués

FAS émet des certificats utilisateur en agissant comme un agent d’inscription. L’autorité de certification Microsoft vous permet de restreindre les agents d’inscription, les modèles de certificat et les utilisateurs pour lesquels les agents d’inscription peuvent émettre des certificats.

Boîte de dialogue Agents d'inscription

Vous pouvez utiliser la boîte de dialogue donnée pour vous assurer que :

  • La liste Agents d’inscription contient uniquement des serveurs FAS.
  • La liste Modèles de certificat contient uniquement les modèles FAS.
  • La liste Autorisations contient les utilisateurs autorisés à utiliser FAS. Par exemple, il est recommandé de ne pas émettre de certificats aux administrateurs ou au groupe Utilisateurs protégés.

Configuration de la liste de contrôle d’accès

Comme décrit dans la section Configurer les règles, vous devez configurer une liste de serveurs StoreFront. Ces serveurs StoreFront affirment les identités des utilisateurs à FAS lorsque des certificats sont émis. De même, vous pouvez restreindre les utilisateurs auxquels des certificats sont émis et les machines VDA auxquelles ils peuvent s’authentifier. Cette fonctionnalité s’ajoute à toutes les fonctionnalités de sécurité standard d’Active Directory ou d’autorité de certification que vous configurez.

L’installateur FAS peut éventuellement configurer le pare-feu Windows. Pour plus d’informations, consultez Options de l’installateur FAS.

Modifier le port du serveur FAS

Le serveur FAS utilise le port 80 par défaut. Vous pouvez personnaliser le port :

Remarque :

Vous pouvez modifier le port du serveur FAS pour le port 443, mais cela ne modifie pas le protocole utilisé par FAS. FAS n’utilise pas HTTPS même s’il est configuré sur le port 443.

  1. Exécutez la ligne de commande suivante sur votre serveur FAS :

    "C:\Program Files\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe" /SVCPORT [port] /CONFIGUREFIREWALL
<!--NeedCopy-->

    En remplaçant [port] par le numéro de port que vous souhaitez utiliser.

    Le commutateur /CONFIGUREFIREWALL entraîne la mise à jour du pare-feu Windows pour autoriser les connexions entrantes sur le port spécifié.

    1. Redémarrez le service FAS.

  1. Dans votre objet de stratégie de groupe FAS, mettez à jour la liste des serveurs FAS pour inclure le port (par exemple, fas.example.com:[port]).

  2. Propager la modification au serveur FAS, à StoreFront et au VDA (par exemple, en utilisant gpupdate /force)

Surveillance du journal des événements

FAS et le VDA écrivent des informations dans le journal des événements Windows. Ce journal peut être utilisé pour la surveillance et l’audit des informations. La section Journaux des événements répertorie les entrées de journal des événements qui peuvent être générées.

Modules de sécurité matériels

Toutes les clés privées, y compris les clés de certificat utilisateur émises par FAS, sont stockées en tant que clés privées non exportables par le compte Service réseau. FAS prend en charge l’utilisation d’un module de sécurité matériel cryptographique, si votre politique de sécurité l’exige.

La configuration cryptographique de bas niveau est disponible à l’aide des commandes PowerShell. Différents paramètres peuvent être utilisés pour les clés privées de certificat d’autorisation FAS et les clés de certificat utilisateur. Pour plus de détails, consultez Protection des clés privées

Responsabilités d’administration

L’administration de l’environnement peut être divisée en les groupes suivants :

Nom Responsabilité
Administrateur d’entreprise Installer et sécuriser les modèles de certificat dans la forêt
Administrateur de domaine Configurer les paramètres de stratégie de groupe
Administrateur d’autorité de certification Configurer l’autorité de certification
Administrateur FAS Installer et configurer le serveur FAS
Administrateur StoreFront/Citrix Gateway Configurer l’authentification des utilisateurs
Administrateur Citrix Virtual Desktops™ Configurer les VDA et les contrôleurs

Chaque administrateur contrôle différents aspects du modèle de sécurité global, permettant une approche de défense en profondeur pour sécuriser le système.

Paramètres de stratégie de groupe

Les machines FAS approuvées sont identifiées par une table de correspondance « numéro d’index -> FQDN » configurée via la stratégie de groupe. Lors de la prise de contact avec un serveur FAS, les clients vérifient l’identité Kerberos HOST\<fqdn> du serveur FAS. Tous les serveurs qui accèdent au serveur FAS doivent avoir des configurations FQDN identiques pour le même index ; sinon, StoreFront et les VDA peuvent contacter différents serveurs FAS.

Citrix recommande d’appliquer une politique unique à toutes les machines de l’environnement pour éviter les erreurs de configuration. Soyez prudent lors de la modification de la liste des serveurs FAS, en particulier lors de la suppression ou du réordonnancement des entrées.

Le contrôle de cette GPO doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent les serveurs FAS. Veillez à éviter de réutiliser un nom FQDN de machine peu de temps après la désactivation d’un serveur FAS.

Modèles de certificat

Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec FAS, vous pouvez en modifier une copie. Les modifications suivantes sont prises en charge.

Renommer un modèle de certificat

Si vous souhaitez renommer le Citrix_SmartcardLogon pour qu’il corresponde à la norme de dénomination de modèle de votre organisation, vous devez :

  • Créer une copie du modèle de certificat et le renommer pour qu’il corresponde à la norme de dénomination de modèle de votre organisation.
  • Utiliser les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur administrative. (L’interface utilisateur administrative est uniquement destinée à être utilisée avec les noms de modèles par défaut de Citrix.)
    • Soit utiliser le composant logiciel enfichable Modèles de certificat MMC de Microsoft, soit la commande Publish-FasMsTemplate pour publier votre modèle, et
    • Utiliser la commande New-FasCertificateDefinition pour configurer FAS avec le nom de votre modèle.

Modifier les propriétés générales

Par défaut, la durée de vie d’un certificat utilisateur est de sept jours. Vous pouvez modifier la période de validité dans le modèle de certificat.

Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat à mi-chemin de sa période de validité.

Modifier les propriétés de gestion des requêtes

Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et désélectionne Renouveler avec la même clé.

  • Modifier les propriétés de cryptographie

  • Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.

Reportez-vous à Protection de la clé privée pour connaître les paramètres équivalents fournis par FAS.

Modifier les propriétés d’attestation de clé

Ne modifiez pas ces propriétés. FAS ne prend pas en charge l’attestation de clé.

Modifier les propriétés des modèles remplacés

Ne modifiez pas ces propriétés. FAS ne prend pas en charge les modèles remplacés.

Modifier les propriétés des extensions

Vous pouvez modifier ces paramètres pour qu’ils correspondent à la politique de votre organisation.

Remarque :

Des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou des certificats inutilisables.

Modifier les propriétés de sécurité

Citrix vous recommande de modifier ces paramètres pour n’autoriser les autorisations Lecture et Inscription que pour les comptes d’ordinateur des serveurs FAS. Le service FAS ne nécessite aucune autre autorisation. Cependant, comme pour les autres modèles de certificat, vous pouvez :

  • autoriser les administrateurs à lire ou à écrire le modèle
  • autoriser les utilisateurs authentifiés à lire le modèle

image localisée

Modifier les propriétés du nom du sujet

Citrix vous recommande de ne pas modifier ces propriétés.

Le modèle a l’option Construire à partir de ces informations Active Directory sélectionnée, ce qui amène l’autorité de certification à inclure le SID de l’utilisateur dans une extension de certificat, ce qui fournit un mappage fort vers le compte Active Directory de l’utilisateur.

Modifier les propriétés du serveur

Bien que Citrix ne le recommande pas, vous pouvez modifier ces paramètres pour qu’ils correspondent à la politique de votre organisation, si nécessaire.

Modifier les propriétés des exigences d’émission

Ne modifiez pas ces paramètres. Ces paramètres doivent être tels qu’indiqués :

image localisée

Modifier les propriétés de compatibilité

Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Autorités de certification Windows Server 2003 (version de schéma 2). Cependant, FAS ne prend en charge que les autorités de certification Windows Server 2008 et ultérieures. De plus, comme expliqué ci-dessus, FAS ignore les paramètres supplémentaires disponibles en sélectionnant Autorités de certification Windows Server 2008 (version de schéma 3) ou Autorités de certification Windows Server 2012 (version de schéma 4).

Administration de l’autorité de certification

L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de la clé privée du certificat d’émission qu’il utilise.

Publication de modèles

Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur d’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.

Une pratique de sécurité simple consiste à publier uniquement les modèles de certificat d’autorité d’enregistrement lors de l’installation des serveurs FAS, ou à insister sur un processus d’émission complètement hors ligne. Dans les deux cas, l’administrateur de l’autorité de certification doit conserver un contrôle total sur l’autorisation des requêtes de certificat d’autorité d’enregistrement et disposer d’une politique pour l’autorisation des serveurs FAS.

Paramètres du pare-feu

L’administrateur de l’autorité de certification contrôle les paramètres du pare-feu réseau de l’autorité de certification, ce qui permet de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer les règles DCOM TCP et de pare-feu de manière à ce que seuls les serveurs FAS puissent demander des certificats.

Inscription restreinte

Par défaut, tout détenteur d’un certificat d’autorité d’enregistrement peut délivrer des certificats à n’importe quel utilisateur, en utilisant n’importe quel modèle de certificat qui autorise l’accès. Cette délivrance de certificats doit être restreinte à un groupe d’utilisateurs non privilégiés à l’aide de la propriété d’autorité de certification « Restreindre les agents d’inscription ».

localized image

Modules de stratégie et audit

Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour suivre et refuser la délivrance de certificats.

Administration de FAS

FAS dispose de plusieurs fonctionnalités de sécurité.

Restreindre StoreFront, les utilisateurs et les VDA via une ACL

Au cœur du modèle de sécurité de FAS se trouve le contrôle des comptes Kerberos autorisés à accéder aux fonctionnalités :

Vecteur d’accès Description
StoreFront [IdP] Ces comptes Kerberos sont considérés comme fiables pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration de FAS.
VDA [Partie de confiance] Ce sont les machines autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par l’IdP est également nécessaire, de sorte qu’un compte VDA compromis dans ce groupe a une portée limitée pour attaquer le système.
Utilisateurs Cette option contrôle quels utilisateurs peuvent être attestés par l’IdP. Notez qu’il existe un chevauchement avec les options de configuration de l’« Agent d’inscription restreint » au niveau de l’autorité de certification. En général, il est conseillé d’inclure uniquement des comptes non privilégiés dans cette liste. Cela empêche un compte StoreFront compromis d’élever ses privilèges à un niveau administratif supérieur. En particulier, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL.

Configurer les règles

Les règles sont utiles si plusieurs déploiements indépendants de Citrix Virtual Apps™ ou Citrix Virtual Desktops utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’un ensemble distinct d’options de configuration ; en particulier, les listes de contrôle d’accès (ACL) Kerberos peuvent être configurées indépendamment.

Configurer l’autorité de certification et les modèles

Différents modèles de certificat et autorités de certification peuvent être configurés pour différents droits d’accès. Les configurations avancées peuvent choisir d’utiliser des certificats moins ou plus puissants, selon l’environnement. Par exemple, les utilisateurs identifiés comme « externes » peuvent avoir un certificat avec moins de privilèges que les utilisateurs « internes ».

Certificats de session et d’authentification

L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification est disponible pour une utilisation dans la session de l’utilisateur.

Par exemple, un utilisateur peut n’avoir que des certificats de « signature » disponibles en session, le certificat de « connexion » plus puissant n’étant utilisé qu’à la connexion.

Protection des clés privées et longueur des clés

L’administrateur FAS peut configurer FAS pour stocker les clés privées dans un module de sécurité matérielle (HSM) ou un module de plateforme sécurisée (TPM). Citrix recommande qu’au moins la clé privée du certificat d’autorisation FAS soit protégée en la stockant dans un TPM.

De même, les clés privées des certificats utilisateur peuvent être stockées dans un TPM ou un HSM. Toutes les clés doivent être générées comme non exportables et avoir une longueur d’au moins 2048 bits si RSA est utilisé.

Remarque :

Bien que FAS puisse générer et stocker les clés de certificat utilisateur dans un TPM ou un HSM, le matériel peut être trop lent ou limité en taille pour les déploiements importants.

Pour plus de détails, consultez Protection des clés privées.

Journaux d’événements

Le serveur FAS fournit des journaux d’événements détaillés de configuration et d’exécution, qui peuvent être utilisés pour l’audit et la détection d’intrusion.

Accès administratif et outils d’administration

FAS inclut des fonctionnalités et des outils d’administration à distance (Kerberos à authentification mutuelle). Les membres du « Groupe des administrateurs locaux » ont un contrôle total sur la configuration de FAS. La configuration de FAS doit être correctement maintenue.

Administrateurs Citrix Virtual Apps, Citrix Virtual Desktops et VDA

L’utilisation de FAS ne modifie pas le modèle de sécurité des administrateurs de Delivery Controller et de VDA, car le « handle d’informations d’identification » de FAS remplace simplement le « mot de passe Active Directory ». Les groupes d’administration de Controller et de VDA ne doivent contenir que des utilisateurs de confiance. L’audit et les journaux d’événements doivent être maintenus.

Sécurité générale des serveurs Windows

Tous les serveurs doivent être entièrement mis à jour et disposer d’un pare-feu standard et d’un logiciel antivirus. Les serveurs d’infrastructure critiques pour la sécurité doivent être conservés dans un emplacement physiquement sécurisé, avec une attention particulière portée au chiffrement des disques et aux options de maintenance des machines virtuelles.

L’audit et les journaux d’événements doivent être stockés en toute sécurité sur une machine distante.

L’accès RDP doit être limité aux administrateurs autorisés. Citrix recommande la connexion par carte à puce pour les comptes utilisateur, en particulier pour les comptes d’autorité de certification et d’administrateur de domaine.

Prise en charge de la norme FIPS (Federal Information Processing Standard)

FAS utilise les algorithmes cryptographiques validés FIPS sur les ordinateurs Windows compatibles FIPS. Si vous configurez FAS pour utiliser un TPM ou un HSM pour le stockage des clés, consultez votre fournisseur de matériel pour obtenir des informations sur la conformité FIPS.

Informations connexes

Configuration de la sécurité et du réseau
April 28, 2026
Contributeur: 
C
April 28, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.