Authentification unique avec Azure Active Directory
Le service d’authentification fédérée (FAS) de Citrix fournit une authentification unique (SSO) aux Virtual Delivery Agents (VDA) joints à un domaine. FAS réalise l’authentification unique en fournissant au VDA un certificat utilisateur, que le VDA utilise pour authentifier l’utilisateur auprès d’Active Directory (AD). Une fois connecté à la session VDA, vous pouvez accéder aux ressources AD sans vous réauthentifier.
Il est courant d’implémenter Azure Active Directory (AAD) avec synchronisation entre votre AD et AAD, ce qui crée des identités hybrides pour les utilisateurs et les ordinateurs. Cet article décrit la configuration supplémentaire requise pour implémenter SSO sur AAD à partir de votre session VDA lors de l’utilisation de FAS, ce qui permet à l’utilisateur d’accéder à des applications protégées par AAD sans se réauthentifier.
Remarque :
- Aucune configuration spéciale n’est requise pour que FAS puisse utiliser SSO avec AAD.
- Vous n’avez pas besoin de certificats dans les sessions FAS.
- Vous pouvez utiliser n’importe quelle version de FAS.
- Vous pouvez utiliser n’importe quelle version de VDA qui prend en charge FAS.
Les techniques de SSO pour AAD sont résumées dans le tableau suivant :
Type d’authentification AAD | Le VDA est joint à un domaine | Le VDA est joint hybride |
---|---|---|
Géré | Utiliser SSO transparent AAD | Utiliser authentification basée sur certificat AAD |
Fédérée vers Active Directory Federation Services (ADFS) | Activer l’authentification Windows sur ADFS | Assurez-vous que le point de terminaison certificatemixedWS-Trust est activé |
Fédérée à un fournisseur d’identité tiers | Utiliser une solution tierce | Utiliser une solution tierce |
-
Un domaine AAD géré est un domaine dans lequel l’authentification utilisateur s’effectue auprès d’AAD, parfois appelée authentification AAD native.
-
Un domaine AAD fédéré est un domaine dans lequel AAD est configuré pour rediriger l’authentification ailleurs. Par exemple, à ADFS ou à un fournisseur d’identité tiers.
-
Un VDA joint hybride est joint à AD et à AAD.
VDA joints à un domaine
Pour les VDA joints à un domaine, effectuez une authentification SSO vers AAD à l’aide de l’authentification Windows (traditionnellement appelée authentification Windows intégrée, ou Kerberos). L’authentification auprès d’AAD se produit lorsque l’utilisateur accède à une application protégée par AAD depuis la session VDA. Le schéma suivant montre le processus d’authentification de haut niveau :
Les détails exacts varient selon que le domaine AAD est géré ou fédéré.
Pour plus d’informations sur la configuration du domaine AAD géré, consultez Authentification unique transparente.
Pour un domaine AAD fédéré à ADFS, activez l’authentification Windows sur le serveur ADFS.
Pour un domaine AAD fédéré à un fournisseur d’identité tiers, une solution similaire existe. Contactez votre fournisseur d’identité pour obtenir de l’aide.
Remarque :
Vous pouvez également utiliser les solutions répertoriées pour les VDA joints à un domaine pour les VDA joints hybrides. Toutefois, aucun jeton d’actualisation principal (PRT) AAD n’est généré lors de l’utilisation de FAS.
VDA joints hybrides
Les VDA joints hybrides sont joints à AD et à AAD en même temps. Lorsque l’utilisateur se connecte au VDA, les artefacts suivants sont créés :
- Un ticket TGT (Ticket Granting Ticket), pour s’authentifier auprès des ressources AD
- Un jeton d’actualisation principal (PRT), pour s’authentifier auprès des ressources AAD
Le PRT contient des informations à la fois sur l’utilisateur et sur l’ordinateur. Ces informations sont utilisées dans une stratégie d’accès conditionnel AAD si nécessaire.
Étant donné que FAS authentifie l’utilisateur en fournissant un certificat au VDA, un PRT ne peut être créé que si l’authentification basée sur des certificats pour AAD est implémentée. Le schéma suivant montre le processus d’authentification de haut niveau :
Les détails exacts varient selon que le domaine AAD est géré ou fédéré.
Pour un domaine AAD géré, configurez une CBA (Authentification basée sur les certificats) AAD. Pour plus d’informations, consultez la section Présentation de l’authentification basée sur les certificats Azure AD. Le VDA utilise la CBA AAD pour authentifier l’utilisateur auprès d’AAD à l’aide du certificat FAS de l’utilisateur.
Remarque :
La documentation Microsoft décrit comment se connecter à l’aide d’un certificat de carte à puce, mais la technique sous-jacente s’applique lors de la connexion à l’aide d’un certificat utilisateur FAS.
Pour un domaine AAD fédéré vers ADFS, le VDA utilise le point de terminaison certificatemixed WS-Trust du serveur ADFS pour authentifier l’utilisateur auprès d’AAD à l’aide du certificat FAS de l’utilisateur. Ce point de terminaison est activé par défaut.
Pour un domaine AAD fédéré auprès d’un fournisseur d’identité tiers, une solution similaire peut exister. Le fournisseur d’identité doit implémenter un point de terminaison certificatemixed WS-Trust. Contactez votre fournisseur d’identité pour obtenir de l’aide.