Authentification pass-through via Citrix Gateway
Les utilisateurs s’authentifient sur Citrix Gateway et leur session est automatiquement ouverte lorsqu’ils accèdent à leurs magasins. L’authentification pass-through via Citrix Gateway est activée par défaut lorsque vous configurez l’accès distant à un magasin pour la première fois. Les utilisateurs peuvent se connecter via Citrix Gateway aux magasins à l’aide de l’application Citrix Workspace installée localement ou d’un navigateur Web. Pour plus d’informations sur la configuration de StoreFront pour Citrix Gateway, consultez Configurer une instance de Citrix Gateway.
StoreFront prend en charge l’authentification pass-through avec les méthodes d’authentification Citrix Gateway suivantes.
- Domaine Les utilisateurs ouvrent une session à l’aide de leur nom d’utilisateur et de leur mot de passe Active Directory.
- RSA Les utilisateurs se connectent à Citrix Gateway à l’aide de codes d’accès dérivés de codes de jetons générés par des jetons de sécurité combinés, et dans certains cas, à des numéros d’identification personnels. Si vous activez l’authentification pass-through par jeton de sécurité uniquement, assurez-vous que les ressources que vous mettez à disposition ne requièrent pas d’authentification supplémentaire ou d’autres méthodes d’authentification, telles que les informations d’identification de domaine Microsoft Active Directory.
- Carte à puce Les utilisateurs se connectent à l’aide de cartes à puce
- RSA + Domaine Les utilisateurs qui ouvrent une session sur Citrix Gateway sont invités à entrer leurs informations d’identification de domaine et codes d’accès de jeton de sécurité.
Si vous avez désactivé l’authentification sur Citrix Gateway ou si vous avez désactivé l’authentification unique, l’authentification pass-through n’est pas utilisée et vous devez configurer l’une des autres méthodes d’authentification.
Si vous configurez une authentification double à Citrix Gateway pour les utilisateurs distants qui accèdent à des magasins dans l’application Citrix Workspace, vous devez créer deux stratégies d’authentification sur Citrix Gateway. Configurez RADIUS (Remote Authentication Dial-In User Service) en tant que méthode d’authentification principale et LDAP (Lightweight Directory Access Protocol) en tant que méthode secondaire. Modifiez l’index des informations d’identification afin d’utiliser la méthode d’authentification secondaire dans le profil de session afin que les informations d’identification LDAP soient transmises à StoreFront. Lorsque vous ajoutez l’appliance Citrix Gateway à votre configuration StoreFront, définissez le type de connexion sur Domaine et jeton de sécurité. Pour plus d’informations, consultez http://support.citrix.com/article/CTX125364
Pour activer l’authentification multi-domaines via Citrix Gateway vers StoreFront, définissez l’attribut de nom SSO sur userPrincipalName dans la stratégie d’authentification LDAP Citrix Gateway pour chaque domaine. Vous pouvez demander aux utilisateurs de spécifier un domaine sur la page d’ouverture de session de Citrix Gateway de façon à ce que la stratégie LDAP appropriée à utiliser puisse être déterminée. Lorsque vous configurez les profils de session Citrix Gateway pour les connexions à StoreFront, ne spécifiez pas de domaine à authentification pass-through. Vous devez configurer des relations d’approbation entre chaque domaine. Assurez-vous d’autoriser les utilisateurs à ouvrir une session à StoreFront à partir de n’importe quel domaine en prenant soin de ne pas limiter l’accès uniquement à des domaines approuvés de façon explicite.
Lorsque cela est pris en charge par votre déploiement Citrix Gateway, vous pouvez utiliser SmartAccess pour contrôler l’accès utilisateur aux ressources de Citrix Virtual Apps and Desktops sur la base de stratégies de session Citrix Gateway.
Activer l’authentification pass-through via Gateway
Pour activer ou désactiver l’authentification pass-through via Gateway pour un magasin lors de la connexion via les applications Workspace, cochez ou décochez la case Authentification pass-through via Citrix Gateway dans la fenêtre Méthodes d’authentification.
L’activation par défaut de l’authentification pass-through via Citrix Gateway pour un magasin l’active également pour tous les sites Web de ce magasin. Vous pouvez désactiver l’authentification par nom d’utilisateur et mot de passe pour un site Web spécifique dans l’onglet Méthodes d’authentification.
Configurer des domaines utilisateur approuvés
Si votre instance de Citrix Gateway est configurée pour utiliser l’authentification LDAP, vous pouvez limiter l’accès à des domaines spécifiques.
-
Dans la fenêtre « Gérer les méthodes d’authentification », dans le menu déroulant Authentification pass-through via Citrix Gateway > Paramètres, sélectionnez Configurer les domaines approuvés.
-
Sélectionnez Domaines approuvés uniquement, cliquez sur Ajouter pour entrer le nom d’un domaine approuvé. Les utilisateurs disposant de comptes dans ce domaine peuvent se connecter à tous les magasins qui utilisent ce service d’authentification. Pour modifier un nom de domaine, sélectionnez l’entrée correspondante dans la liste Domaines approuvés, puis cliquez sur Modifier. Sélectionnez un domaine dans la liste et cliquez sur Supprimer pour interrompre l’accès aux magasins des comptes utilisateur dans ce domaine.
La manière dont vous spécifiez le nom de domaine détermine le format auquel les utilisateurs devront saisir leurs informations d’identification. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification au format de nom d’utilisateur de domaine, ajoutez le nom NetBIOS à la liste. Pour exiger que les utilisateurs saisissent leurs informations d’identification au format de nom principal d’utilisateur, ajoutez le nom de domaine complet à la liste. Si vous souhaitez que les utilisateurs saisissent leurs informations d’identification aux formats de nom d’utilisateur de domaine et de nom principal d’utilisateur, vous devez ajouter le nom NetBIOS et le nom de domaine complet à la liste.
-
Si vous configurez plusieurs domaines approuvés, sélectionnez dans la liste Domaine par défaut le domaine sélectionné par défaut lorsque les utilisateurs ouvrent une session.
-
Si vous voulez dresser la liste des domaines approuvés sur la page d’ouverture de session, sélectionnez la case Afficher une liste de domaines sur la page d’ouverture de session.
Déléguer la validation des informations d’identification à Citrix Gateway
Par défaut, StoreFront valide le nom d’utilisateur et le mot de passe qu’il reçoit de Gateway. Si votre instance de Citrix Gateway est configurée pour utiliser des méthodes d’authentification sans mot de passe, telles que les cartes à puce, vous devez configurer StoreFront de telle sorte qu’il ne valide pas les informations d’identification et qu’il dépende donc de l’authentification de Gateway. Dans ce cas, il est recommandé de saisir une URL de rappel lors de la configuration de Gateway afin que StoreFront puisse vérifier que la demande provient de Gateway. Consultez Gérer des appliances Citrix Gateway.
-
Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through via Citrix Gateway > Paramètres, sélectionnez Configurer l’authentification déléguée.
-
Sélectionnez Déléguer entièrement la validation des informations d’identification à Citrix Gateway.
.
SDK PowerShell
Pour configurer le magasin afin de déléguer l’authentification à la passerelle à l’aide du SDK PowerShell, utilisez l’applet de commande Set-STFCitrixAGBasicOptions pour définir CredentialValidationMode
sur Auto
. Pour configurer StoreFront afin de valider les informations d’identification, définissez CredentialValidationMode
sur Password
.
Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion
Si votre appliance Citrix Gateway est configurée pour utiliser l’authentification LDAP (nom d’utilisateur et mot de passe), vous pouvez configurer NetScaler pour autoriser la modification des mots de passe expirés lors de la connexion.
- Se connecter au site Web d’administration de NetScaler
- Dans le menu latéral, accédez à Authentification > Tableau de bord.
- Cliquez sur le serveur d’authentification.
- Sous Autres paramètres, cochez Autoriser la modification du mot de passe.
Autoriser les utilisateurs à modifier leurs mots de passe après la connexion
Vous pouvez configurer StoreFront pour permettre aux utilisateurs de modifier leur mot de passe après leur connexion. Cette fonctionnalité n’est disponible que lorsque la passerelle utilise l’authentification LDAP et que l’utilisateur accède au magasin via un navigateur, et non via l’application Citrix Workspace installée localement.
La configuration par défaut de StoreFront empêche les utilisateurs de modifier leurs mots de passe, même s’ils ont expiré. Si vous choisissez d’activer cette fonctionnalité, assurez-vous que les stratégies des domaines contenant vos serveurs n’empêchent pas les utilisateurs de modifier leurs mots de passe. L’activation de la fonctionnalité permettant aux utilisateurs de modifier leurs mots de passe expose des fonctions de sécurité sensibles à toute personne pouvant accéder aux magasins qui utilisent ce service d’authentification. Si votre organisation possède une stratégie de sécurité qui restreint les fonctions de modification des mots de passe utilisateur à un usage interne uniquement, vous devez vous assurer qu’aucun des magasins ne sont accessibles depuis l’extérieur de votre réseau interne.
-
Dans la fenêtre Gérer les méthodes d’authentification, dans le menu déroulant Authentification pass-through via Citrix Gateway > Paramètres, sélectionnez Gérer les options de mot de passe
-
Pour autoriser les utilisateurs à modifier les mots de passe, cochez la case Autoriser les utilisateurs à modifier les mots de passe.
Remarque :
Si vous sélectionnez ou désactivez Autoriser les utilisateurs à modifier les mots de passe, cela affectera également les paramètres de la section Gérer les options de mot de passe pour l’authentification par nom d’utilisateur et mot de passe.
SDK PowerShell
Pour modifier les options de modification du mot de passe à l’aide du SDK PowerShell, utilisez l’applet de commande Set-STFExplicitCommonOptions.
Configurer Delivery Controller pour qu’il approuve StoreFront
Lorsque Citrix Gateway est configuré avec l’authentification LDAP, il transmet les informations d’identification à StoreFront. Pour les autres méthodes d’authentification, StoreFront n’a pas accès aux informations d’identification et ne peut donc pas s’authentifier auprès de Citrix Virtual Apps and Desktops. Vous devez donc configurer le Delivery Controller pour qu’il approuve les demandes provenant de StoreFront. Consultez les considérations et les meilleures pratiques relatives à la sécurité de Citrix Virtual Apps and Desktops.
Authentification unique aux VDA à l’aide du Service d’authentification fédérée
Lorsque la passerelle est configurée avec l’authentification LDAP, elle transmet les informations d’identification à StoreFront afin de permettre l’authentification unique (Single Sign-On) aux VDA. Pour les autres méthodes d’authentification, StoreFront n’a pas accès aux informations d’identification. L’authentification unique n’est donc pas disponible par défaut. Vous pouvez utiliser le Service d’authentification fédérée pour fournir une authentification unique.
Dans cet article
- Activer l’authentification pass-through via Gateway
- Configurer des domaines utilisateur approuvés
- Déléguer la validation des informations d’identification à Citrix Gateway
- Autoriser les utilisateurs à modifier les mots de passe expirés lors de la connexion
- Autoriser les utilisateurs à modifier leurs mots de passe après la connexion
- Configurer Delivery Controller pour qu’il approuve StoreFront
- Authentification unique aux VDA à l’aide du Service d’authentification fédérée