StoreFront

Authentification par carte à puce

Les utilisateurs s’authentifient à l’aide de cartes à puce et de codes PIN lorsqu’ils accèdent à leurs magasins. Lorsque vous installez StoreFront, l’authentification par carte à puce est désactivée par défaut. L’authentification par carte à puce peut être activée pour les utilisateurs se connectant à des magasins via l’application Citrix Workspace, des navigateurs Web et des adresses URL XenApp Services.

Utilisez l’authentification par carte à puce pour rationaliser le processus de connexion de vos utilisateurs tout en renforçant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau d’entreprise interne est protégé par une authentification à deux facteurs basée sur certificat à l’aide d’une infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d’un accès à leurs bureaux et applications à partir d’une large gamme de périphériques d’entreprise à l’aide de leurs cartes à puce et codes PIN.

Vous pouvez utiliser des cartes à puce pour l’authentification utilisateur via StoreFront aux bureaux et applications fournis par Citrix Virtual Apps and Desktops. Les utilisateurs de carte à puce qui ouvrent une session sur StoreFront peuvent également accéder aux applications fournies par Endpoint Management. Toutefois, les utilisateurs doivent s’authentifier à nouveau pour accéder aux applications Web de Endpoint Management qui utilisent l’authentification du certificat client.

Pour activer l’authentification par carte à puce, les comptes des utilisateurs doivent être configurés au sein du domaine Microsoft Active Directory contenant les serveurs StoreFront ou au sein d’un domaine doté d’une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront. Les déploiements contenant de multiples forêts impliquant des approbations bidirectionnelles sont pris en charge.

La configuration de l’authentification par carte à puce avec StoreFront dépend des machines utilisateur, des clients installés, et de l’appartenance des machines à un domaine. Dans ce contexte, les machines appartenant à un domaine sont des machines qui sont membres d’un domaine dans la forêt Active Directory contenant les serveurs StoreFront.

Le document Configuration des cartes à puce pour les environnements Citrix décrit comment configurer un déploiement Citrix pour les cartes à puce à l’aide d’un type de carte à puce spécifique. Des étapes similaires s’appliquent aux cartes à puce d’autres fournisseurs.

Pré-requis

  • Assurez-vous que les comptes de tous les utilisateurs sont configurés au sein du domaine Microsoft Active Directory dans lequel vous prévoyez de déployer vos serveurs StoreFront ou au sein d’un domaine doté d’une relation d’approbation bidirectionnelle directe avec le domaine du serveur StoreFront.
  • Si vous prévoyez d’activer l’authentification pass-through par carte à puce, vérifiez que votre lecteur de carte à puce, votre middleware, votre configuration et la stratégie de mise en cache du code PIN du middleware prennent en charge l’authentification pass-through.
  • Installez le middleware de carte à puce de votre fournisseur sur les machines physiques ou virtuelles exécutant le Virtual Delivery Agent qui fournit les bureaux et applications des utilisateurs. Pour de plus amples informations sur l’utilisation de cartes à puce avec Citrix Virtual Desktops, consultez la section Cartes à puce.
  • Assurez-vous que votre infrastructure de clé publique est configurée correctement. Vérifiez que le mappage du certificat sur le compte est correctement configuré pour votre environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.

Configurer StoreFront

  • Vous devez utiliser le protocole HTTPS pour les communications entre StoreFront et les machines des utilisateurs pour activer l’authentification par carte à puce. Voir Accès sécurisé à StoreFront à l’aide de HTTPS.

  • Pour activer l’authentification par carte à puce lors de la connexion à un magasin via l’application Citrix Workspace, cochez ou décochez la case Carte à puce dans Méthodes d’authentification.

  • L’activation par défaut de l’authentification par carte à puce pour un magasin l’active également pour tous les sites Web de ce magasin. Vous pouvez activer ou désactiver indépendamment l’authentification par carte à puce pour un site Web spécifique dans l’onglet Méthodes d’authentification - Gérer les sites Receiver pour Web.

  • Si vous configurez l’authentification par carte à puce et par nom d’utilisateur et mot de passe, les utilisateurs sont initialement invités à ouvrir une session à l’aide de leurs cartes à puce et codes PIN mais ont la possibilité de sélectionner l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce.

Configurer Delivery Controller pour qu’il approuve StoreFront

Lorsque vous utilisez l’authentification par carte à puce, StoreFront n’a pas accès aux informations d’identification de l’utilisateur et ne peut donc pas s’authentifier auprès de Citrix Virtual Apps and Desktops. Vous devez donc configurer le Delivery Controller pour qu’il approuve les demandes provenant de StoreFront. Consultez les considérations et les meilleures pratiques relatives à la sécurité de Citrix Virtual Apps and Desktops.

Accès à distance via Citrix Gateway

Pour l’accès à distance, vous pouvez activer la carte à puce sur Citrix Gateway, puis activer l’authentification pass-through à StoreFront à l’aide de l’authentification déléguée. Pour plus de détails, consultez Authentification pass-through passerelle.

Pour vous assurer que les utilisateurs ne reçoivent pas de demande d’informations d’identification supplémentaire sur le serveur virtuel lorsque les connexions à leurs ressources sont établies, créez une deuxième passerelle et désactivez l’authentification du client dans les paramètres SSL (Secure Sockets Layer). Pour plus d’informations, veuillez consulter la section Configuration de l’authentification par carte à puce. Lorsque vous accédez à StoreFront via Citrix Gateway avec authentification par carte à puce. Configurez le routage optimal de passerelle via ce serveur virtuel pour les connexions aux déploiements fournissant des bureaux et des applications au magasin. Pour plus d’informations, consultez la section Configurer un routage HDX optimal pour un magasin.

Authentification unique aux VDA

Vous pouvez activer l’authentification unique pour les VDA en transmettant les informations d’identification des cartes à puce des utilisateurs. Le magasin est accessible via un navigateur Web ou l’application Citrix Workspace pour Windows, mais la ressource doit être ouverte dans l’application Citrix Workspace pour Windows. Sur d’autres systèmes d’exploitation ou lorsqu’ils accèdent aux ressources via un navigateur, les utilisateurs doivent saisir à nouveau leurs informations d’identification lorsqu’ils se connectent à un VDA.

  1. Incluez le composant Single Sign On lors de l’installation de Citrix Workspace pour Windows et configurez-le pour l’authentification unique. Voir Configurer l’authentification pass-through au domaine.

  2. Utilisez un éditeur de texte pour ouvrir le fichier default.ica du magasin. Voir Paramètres de default-ica

  3. Pour permettre la transmission des informations d’identification de la carte à puce pour les utilisateurs accédant aux magasins via Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    DisableCtrlAltDel=Off

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through au domaine et l’authentification pass-through avec l’authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  4. Pour permettre la transmission des informations d’identification de la carte à puce pour les utilisateurs accédant aux magasins via Citrix Gateway, ajoutez le paramètre suivant dans la section [Application].

    UseLocalUserAndPassword=On

    Ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session pour accéder à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

Connexion via authentification unique aux VDA à l’aide de FAS

Vous pouvez également configurer le service d’authentification fédérée pour la connexion via authentification unique aux VDA lorsque vous utilisez l’application Citrix Workspace installée localement, mais pas l’application Citrix Workspace pour HTML5.

Remarques importantes

L’utilisation de cartes à puce pour l’authentification utilisateur avec StoreFront est soumise aux conditions et restrictions suivantes.

  • Pour utiliser des tunnels VPN avec l’authentification par carte à puce, les utilisateurs doivent installer Citrix Gateway Plug-in et ouvrir une session via une page Web à l’aide de leurs cartes à puce et codes PIN pour s’authentifier à chaque étape. L’authentification pass-through à StoreFront avec Citrix Gateway Plug-in n’est pas disponible pour les utilisateurs de cartes à puce.

  • Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur la même machine utilisateur, mais si vous activez l’authentification pass-through avec carte à puce, les utilisateurs doivent s’assurer qu’une seule carte à puce est insérée lors de l’accès à un bureau ou une application.

  • Lorsqu’une carte à puce est utilisée dans une application, pour la signature numérique ou le cryptage, des messages supplémentaires invitant l’utilisateur à insérer la carte à puce ou à saisir un code PIN peuvent s’afficher. Cela peut se produire si plusieurs cartes à puce sont insérées en même temps. Cela peut également être dû à des paramètres de configuration, tels que des paramètres de middleware comme la mise en cache du code PIN, qui sont généralement configurés à l’aide d’une stratégie de groupe. Les utilisateurs qui sont invités à insérer une carte à puce alors que celle-ci se trouve déjà dans le lecteur doivent cliquer sur Annuler. Si les utilisateurs sont invités à entrer un code PIN, ils doivent entrer de nouveau ce code.

  • Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Workspace pour Windows équipés de machines appartenant à un domaine qui n’accèdent pas aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through au domaine et l’authentification pass-through avec l’authentification par carte à puce à des bureaux et des applications, vous devez créer des magasins distincts pour chaque méthode d’authentification. Les utilisateurs doivent ensuite se connecter au magasin approprié à leur méthode d’authentification.

  • Si vous activez l’authentification pass-through avec carte à puce à Citrix Virtual Apps and Desktops pour les utilisateurs de Citrix Workspace pour Windows équipés de machines appartenant à un domaine accédant aux magasins via Citrix Gateway, ce paramètre s’applique à tous les utilisateurs du magasin. Pour activer l’authentification pass-through pour certains utilisateurs et exiger que d’autres ouvrent une session à leurs bureaux et applications, vous devez créer des magasins distincts pour chaque groupe d’utilisateurs. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Une seule méthode d’authentification peut être configurée pour chaque adresse URL XenApp Services et une seule URL est disponible par magasin. Si vous devez activer d’autres types d’authentification en plus de l’authentification par carte à puce, vous devez créer des magasins distincts, chacun avec une adresse URL XenApp Services pour chaque méthode d’authentification. Ensuite, pointez vos utilisateurs vers le magasin approprié pour leur méthode d’authentification.

  • Lorsque StoreFront est installé, la configuration par défaut dans Microsoft Internet Information Services (IIS) requiert uniquement que les certificats clients soient présentés pour les connexions HTTPS à l’adresse URL d’authentification du certificat du service d’authentification de StoreFront. IIS ne demande de certificats clients pour aucune des autres adresses URL de StoreFront. Cette configuration vous permet de fournir aux utilisateurs de cartes à puce l’option de revenir à l’authentification explicite s’ils rencontrent des problèmes avec leurs cartes à puce. Sous réserve que les paramètres de stratégie Windows appropriés sont activés, les utilisateurs peuvent également retirer leur carte à puce sans avoir à s’authentifier de nouveau.

    Si vous décidez de configurer IIS pour demander des certificats clients pour les connexions HTTPS à toutes les adresses URL de StoreFront, le service d’authentification et les magasins doit être colocalisés sur le même serveur. Vous devez utiliser un certificat client valide pour tous les magasins. Avec cette configuration de site IIS, les utilisateurs de carte à puce ne peuvent pas se connecter via Citrix Gateway et ne peuvent pas revenir à l’authentification explicite. Les utilisateurs doivent ouvrir une nouvelle session s’ils retirent leur carte à puce de leur périphérique.

Authentification par carte à puce