Authentification à l’aide de domaines différents
Certaines organisations adoptent des stratégies qui ne leur permettent pas d’accorder à des développeurs tiers ou des sous-traitants l’accès aux ressources publiées dans un environnement de production. Cet article vous explique comment accorder l’accès aux ressources publiées dans un environnement de test en vous authentifiant via Citrix Gateway auprès d’un domaine. Vous pouvez utiliser un domaine différent pour vous authentifier auprès de StoreFront et du site Receiver pour Web. L’authentification via Citrix Gateway décrite dans cet article est prise en charge pour les utilisateurs se connectant via le site Receiver pour Web. Cette méthode d’authentification n’est pas prise en charge pour les utilisateurs de bureaux natifs, d’appliances Citrix Receiver mobiles ou d’applications Citrix Workspace.
Configurer un environnement de test
Cet exemple utilise un domaine de production appelé production.com et un domaine de test appelé development.com.
production.com
domaine
Le domaine production.com
dans cet exemple est configuré comme suit :
- Citrix Gateway avec la stratégie d’authentification LDAP
production.com
configurée. - L’authentification via la passerelle se produit à l’aide d’un compte production\testuser1 et d’un mot de passe.
development.com
domaine
Le domaine development.com
dans cet exemple est configuré comme suit :
- StoreFront, Citrix Virtual App and Desktops et les VDA se trouvent sur le même domaine
development.com
. - L’authentification sur le site Citrix Receiver pour Web se produit à l’aide d’un compte development\testuser1 et d’un mot de passe.
- Il n’existe aucune relation d’approbation entre les deux domaines.
Configurer une passerelle Citrix Gateway pour le magasin
Pour configurer une passerelle Citrix Gateway pour le magasin :
- Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer Citrix Gateway.
- Sur l’écran Gérer Citrix Gateway, cliquez sur le bouton Ajouter.
-
Complétez les paramètres généraux, les paramètres Secure Ticket Authority et les paramètres d’authentification.
Remarque :
Il sera peut-être nécessaire d’ajouter des redirecteurs conditionnels DNS afin que les serveurs DNS utilisés sur les deux domaines puissent résoudre les noms de domaine complets sur l’autre domaine. L’appliance Citrix ADC doit être en mesure de résoudre les noms de domaine complets du serveur STA sur le domaine
development.com
à l’aide de son serveur DNSproduction.com
. StoreFront doit également être en mesure de résoudre l’URL de rappel sur le domaineproduction.com
à l’aide de son serveur DNSdevelopment.com
. Un nom de domaine completdevelopment.com
peut également être utilisé qui résout l’adresse IP virtuelle (VIP) du serveur virtuel Citrix Gateway.
Activer l’authentification pass-through depuis Citrix Gateway
- Sélectionnez Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
- Sur l’écran Gérer les méthodes d’authentification, sélectionnez Authentification pass-through via Citrix Gateway.
- Cliquez sur OK.
Configurer le magasin pour l’accès distant à l’aide de Gateway
- Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres d’accès distant.
- Sélectionnez Activer l’accès à distance.
- Assurez-vous que vous avez enregistré la passerelle Citrix Gateway auprès de votre magasin. Si vous n’enregistrez pas la passerelle Citrix Gateway, la fonctionnalité de ticket STA ne fonctionnera pas.
Désactiver la cohérence des jetons
- Sélectionnez le nœud Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau des résultats, sélectionnez un magasin. Dans le panneau Actions, cliquez sur Configurer les paramètres du magasin.
- Sur la page Configurer les paramètres du magasin, sélectionnez Paramètres avancés.
-
Décochez la case Exiger la cohérence des jetons. Pour plus d’informations, consultez la section Paramètres de magasin avancés.
- Cliquez sur OK.
Remarque :
Le paramètre Exiger la cohérence des jetons est sélectionné (activé) par défaut. Si vous désactivez ce paramètre, les fonctionnalités SmartAccess utilisées pour l’analyse de point de terminaison (EPA) Citrix ADC cessent de fonctionner. Pour plus d’informations sur SmartAccess, consultez l’article CTX138110.
Désactiver l’authentification pass-through depuis Citrix Gateway pour le site Receiver pour Web
Important :
La désactivation de l’authentification pass-through depuis Citrix Gateway empêche Receiver pour Web d’utiliser les informations d’identification incorrectes du domaine
production.com
transmises depuis l’appliance Citrix ADC. Lorsque l’authentification pass-through est désactivée depuis Citrix Gateway, Receiver pour Web invite l’utilisateur à entrer des informations d’identification. Ces informations d’identification sont différentes des informations d’identification utilisées pour se connecter via Citrix Gateway.
- Sélectionnez le nœud Magasins dans le volet gauche de la console de gestion Citrix StoreFront.
- Sélectionnez le magasin que vous souhaitez modifier.
- Dans le panneau Actions, cliquez sur Gérer les sites Receiver pour Web.
- Dans Méthodes d’authentification, désactivez l’option Authentification pass-through via Citrix Gateway.
-
Cliquez sur OK.
production.com
et d’informations d’identification
Connexion à Gateway à l’aide d’un utilisateur Pour tester, connectez-vous à Gateway à l’aide d’un utilisateur production.com
et d’informations d’identification.
Après la connexion, l’utilisateur est invité à entrer des informations d’identification development.com
.
Ajouter une liste déroulante de domaine de confiance dans StoreFront (facultatif)
Ce paramètre est facultatif, mais il peut vous aider à empêcher l’utilisateur d’entrer accidentellement le domaine incorrect pour l’authentification via Citrix Gateway.
Si le nom d’utilisateur est le même pour les deux domaines, il y a davantage de chances qu’un domaine incorrect soit entré. De nouveaux utilisateurs peuvent également être utilisés pour exclure le domaine lorsqu’ils se connectent via Citrix Gateway. Il se peut que les utilisateurs oublient d’entrer le domaine\nomd’utilisateur pour le second domaine lorsqu’ils sont invités à se connecter au site Receiver pour Web.
- Sélectionnez Magasins dans le panneau gauche de la console de gestion Citrix StoreFront puis, dans le panneau Actions, cliquez sur Gérer les méthodes d’authentification.
- Sélectionnez la flèche déroulante à côté de Nom d’utilisateur et mot de passe.
- Cliquez sur Ajouter pour ajouter
development.com
comme domaine de confiance et sélectionnez la case Afficher la liste des domaines dans la page d’ouverture de session. - Cliquez sur OK.
Remarque :
La mise en cache du mot de passe de navigateur n’est pas recommandée dans ce scénario d’authentification. Si les utilisateurs disposent de mots de passe différents pour les deux comptes de domaine différents, la mise en cache du mot de passe peut entraîner une mauvaise expérience.
Stratégie d’action de session VPN Citrix Gateway sans client (CVPN)
- Si le paramètre Authentification unique auprès des applications Web est activé dans votre stratégie de session Citrix Gateway, les informations d’identification incorrectes envoyées par l’appliance Citrix ADC à Receiver pour Web sont ignorées car vous avez désactivé la méthode d’authentification Authentification pass-through via Citrix Gateway sur le site Receiver pour Web. Receiver pour Web vous invite à entrer les informations d’identification, quelle que soit la valeur de cette option.
-
Le remplissage des entrées de Single Sign-on dans les onglets Expérience client et Publier l’application de Citrix Gateway ne change pas le comportement décrit dans cet article.
Dans cet article
- Configurer un environnement de test
- Configurer une passerelle Citrix Gateway pour le magasin
- Activer l’authentification pass-through depuis Citrix Gateway
- Configurer le magasin pour l’accès distant à l’aide de Gateway
- Désactiver la cohérence des jetons
- Désactiver l’authentification pass-through depuis Citrix Gateway pour le site Receiver pour Web
- Connexion à Gateway à l’aide d’un utilisateur production.com et d’informations d’identification
- Ajouter une liste déroulante de domaine de confiance dans StoreFront (facultatif)
- Stratégie d’action de session VPN Citrix Gateway sans client (CVPN)