Service d’authentification fédérée

Le service d’authentification fédérée (FAS) Citrix est un composant privilégié conçu pour s’intégrer aux services de certificats Active Directory. Il émet dynamiquement des certificats pour les utilisateurs, leur permettant de se connecter à un environnement Active Directory comme s’ils possédaient une carte à puce. Le FAS permet à StoreFront™ d’utiliser un plus large éventail d’options d’authentification, telles que les assertions SAML (Security Assertion Markup Language). SAML est couramment utilisé comme alternative aux comptes d’utilisateurs Windows traditionnels sur Internet.

Le diagramme suivant montre l’intégration du FAS avec une autorité de certification pour fournir des services à StoreFront et aux agents de livraison virtuels (VDA) XenApp et XenDesktop®.

Les serveurs StoreFront approuvés contactent le service d’authentification fédérée (FAS) lorsque les utilisateurs demandent l’accès à l’environnement Citrix. Le FAS accorde un ticket qui permet à une seule session XenApp® ou XenDesktop de s’authentifier avec un certificat pour cette session. Lorsqu’un VDA doit authentifier un utilisateur, il se connecte au FAS et échange le ticket. Seul le FAS a accès à la clé privée du certificat de l’utilisateur. Le VDA envoie au FAS chaque opération de signature et de déchiffrement qu’il requiert avec le certificat.

Exigences

Le service d’authentification fédérée est pris en charge sur les serveurs Windows (Windows Server 2008 R2 ou version ultérieure).

• Citrix recommande d’installer le FAS sur un serveur qui ne contient pas d’autres composants Citrix.
• Le serveur Windows doit être sécurisé. Il a accès à un certificat d’autorité d’enregistrement et à la clé privée correspondante. Le serveur utilise ces accès pour émettre le certificat aux utilisateurs du domaine. Une fois émis, le serveur a également accès aux certificats d’utilisateur et aux clés privées.
• Le SDK PowerShell du FAS nécessite l’installation de Windows PowerShell 64 bits sur le serveur FAS.
• Une autorité de certification telle que Microsoft Enterprise ou toute autre autorité de certification validée dans le programme Citrix Ready est requise pour émettre des certificats d’utilisateur.

• Pour les autorités de certification autres que Microsoft, assurez-vous des points suivants :

  • L’autorité de certification (CA) est enregistrée dans Active Directory en tant que service d’inscription.
  • Le certificat de l’autorité de certification (CA) se trouve dans le magasin NTAuth sur le contrôleur de domaine. Pour plus d’informations, consultez Comment importer des certificats d’autorité de certification (CA) tiers dans le magasin NTAuth d’entreprise.

Dans le site XenApp ou XenDesktop :

• Les Delivery Controller doivent être au moins de la version 7.15.
• Les VDA doivent être au moins de la version 7.15. Assurez-vous d’appliquer la configuration de la stratégie de groupe FAS aux VDA avant de créer le catalogue de machines. Pour plus d’informations, consultez Configurer la stratégie de groupe.
• Le serveur StoreFront doit être au moins de la version 3.12 (l’ISO XenApp et XenDesktop 7.15 prend en charge la version 3.12 de StoreFront).

Lors de la planification du déploiement de ce service, consultez la section Considérations de sécurité.

Références :

• Services de certificats Active Directory

https://docs.microsoft.com/fr-fr/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831740(v=ws.11)?redirectedfrom=MSDN

• Configuration de Windows pour l’ouverture de session par certificat

https://support.citrix.com/article/CTX206156

Séquence d’installation et de configuration

1. Installer le service d’authentification fédérée
2. Activer le plug-in du service d’authentification fédérée sur les serveurs StoreFront
3. Configurer la stratégie de groupe
4. Utilisez la console d’administration du service d’authentification fédérée pour : (a) Déployer les modèles fournis, (b) Configurer les autorités de certification, et (c) Autoriser le service d’authentification fédérée à utiliser votre autorité de certification
5. Configurer les règles utilisateur

Installer le service d’authentification fédérée

Pour des raisons de sécurité, Citrix recommande d’installer FAS sur un serveur dédié, similaire au contrôleur de domaine ou à l’autorité de certification. FAS peut être installé à partir du bouton Federated Authentication Service sur l’écran de démarrage automatique lorsque l’ISO est inséré.

Ce processus installe les composants suivants :

• Service d’authentification fédérée
• Cmdlets de composant logiciel enfichable PowerShell (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#powershell-sdk) pour configurer à distance le service d’authentification fédérée
• Console d’administration (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#using-the-federated-authentication-service-administration-console) du service d’authentification fédérée
• Modèles de stratégie de groupe du service d’authentification fédérée (CitrixFederatedAuthenticationService.admx/adml)
• Fichiers de modèle de certificat pour une configuration simple de l’autorité de certification
• Compteurs de performance (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#performance-counters) et journaux d’événements (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html#event-logs)

Activer le plug-in du service d’authentification fédérée sur un magasin StoreFront

Pour activer l’intégration du service d’authentification fédérée sur un magasin StoreFront, exécutez les cmdlets PowerShell suivantes en tant que compte Administrateur. Si vous avez plusieurs magasins, ou si le magasin a un nom différent, le texte du chemin suivant peut différer.

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```

Pour arrêter d’utiliser le FAS, utilisez le script PowerShell suivant :

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```

Configurer le Delivery Controller™

Pour utiliser FAS, configurez le Delivery Controller XenApp ou XenDesktop pour qu’il fasse confiance aux serveurs StoreFront qui peuvent s’y connecter : exécutez la cmdlet PowerShell Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.

Configurer la stratégie de groupe

Après avoir installé FAS, spécifiez les adresses DNS complètes des serveurs FAS dans la stratégie de groupe à l’aide des modèles de stratégie de groupe fournis lors de l’installation.

Important : Assurez-vous que les serveurs StoreFront demandant des tickets et les VDA échangeant des tickets ont une configuration identique des adresses DNS, y compris la numérotation automatique des serveurs appliquée par l’objet de stratégie de groupe.

Les exemples suivants configurent une seule stratégie au niveau du domaine qui s’applique à toutes les machines. Cependant, FAS fonctionne tant que les serveurs StoreFront, les VDA et la machine exécutant la console d’administration FAS voient la même liste d’adresses DNS. L’objet de stratégie de groupe ajoute un numéro d’index à chaque entrée, qui doit également correspondre si plusieurs objets sont utilisés.

Étape 1. Sur le serveur où vous avez installé FAS, localisez le fichier C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx et le dossier en-US.

Étape 2. Copiez les fichiers et le dossier sur votre contrôleur de domaine et placez-les dans les sous-dossiers C:\Windows\PolicyDefinitions et en-US.

Étape 3. Exécutez la console de gestion Microsoft (mmc.exe à partir de la ligne de commande). Dans la barre de menus, sélectionnez Fichier > Ajouter/Supprimer un composant logiciel enfichable. Ajoutez l’Éditeur de gestion des stratégies de groupe.

Lorsque vous êtes invité à sélectionner un objet de stratégie de groupe, sélectionnez Parcourir, puis Stratégie de domaine par défaut. Vous pouvez également créer et sélectionner un objet de stratégie approprié pour votre environnement, à l’aide des outils de votre choix. La stratégie doit être appliquée à toutes les machines exécutant les logiciels Citrix concernés (VDA, serveurs StoreFront, outils d’administration).

Étape 4. Accédez à la stratégie Federated Authentication Service dans Configuration ordinateur/Stratégies/Modèles d’administration/Composants Citrix/Authentification.

Étape 5. Ouvrez la stratégie Federated Authentication Service et sélectionnez Activé. Cette option vous permet de sélectionner le bouton Afficher, où vous configurez les adresses DNS de vos serveurs FAS.

Étape 6. Saisissez les adresses DNS des serveurs hébergeant votre service d’authentification fédérée.

Rappel : Si vous saisissez plus d’une adresse, l’ordre de la liste, y compris les entrées vides ou inutilisées, doit être cohérent entre les serveurs StoreFront et les VDA.

Étape 7. Cliquez sur OK pour quitter l’assistant de stratégie de groupe et appliquer les modifications de stratégie de groupe. Vous devrez peut-être redémarrer vos machines (ou exécuter gpupdate /force à partir de la ligne de commande) pour que la modification prenne effet.

Activer la prise en charge des certificats en session et la déconnexion au verrouillage

Prise en charge des certificats en session

Le modèle de stratégie de groupe inclut la prise en charge de la configuration du système pour les certificats en session. Cela place les certificats dans le magasin de certificats personnel de l’utilisateur après l’ouverture de session pour une utilisation par les applications. Par exemple, si vous avez besoin d’une authentification TLS auprès de serveurs web au sein de la session VDA, Internet Explorer peut utiliser le certificat. Les VDA n’autoriseront pas l’accès aux certificats après l’ouverture de session par défaut.

Déconnexion au verrouillage

Si cette stratégie est activée, la session de l’utilisateur est automatiquement déconnectée lorsqu’il verrouille l’écran. Ce comportement est similaire à la stratégie de « déconnexion lors du retrait de la carte à puce » et est utile lorsque les utilisateurs ne disposent pas d’informations d’identification de connexion Active Directory.

Remarque :

La stratégie de déconnexion au verrouillage s’applique à toutes les sessions sur le VDA.

Utilisation de la console d’administration du service d’authentification fédérée

La console d’administration du service d’authentification fédérée est installée dans le cadre du service d’authentification fédérée. Une icône (Citrix Federated Authentication Service) est placée dans le menu Démarrer.

La console tente de localiser automatiquement les serveurs FAS dans votre environnement à l’aide de la configuration de la stratégie de groupe. Si ce processus échoue, consultez la section Configurer la stratégie de groupe.

Si votre compte d’utilisateur n’est pas membre du groupe Administrateurs sur la machine exécutant le service d’authentification fédérée, vous êtes invité à saisir des informations d’identification.

La première fois que vous utilisez la console d’administration, elle vous guide à travers un processus en trois étapes qui effectue les opérations suivantes :

• Déploie les modèles de certificat.
• Configure l’autorité de certification.
• Autorise le service d’authentification fédérée à utiliser l’autorité de certification.

Vous pouvez utiliser les outils de configuration du système d’exploitation pour effectuer certaines étapes manuellement.

Déployer les modèles de certificat

Pour éviter les problèmes d’interopérabilité avec d’autres logiciels, le service d’authentification fédérée fournit trois modèles de certificat Citrix pour son propre usage.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Ces modèles doivent être enregistrés auprès d’un Active Directory. Si la console ne peut pas les localiser, l’outil Déployer les modèles de certificat peut les installer. Cet outil doit être exécuté en tant que compte disposant des autorisations nécessaires pour administrer votre forêt d’entreprise.

La configuration des modèles se trouve dans les fichiers XML avec l’extension .certificatetemplate qui sont installés avec le service d’authentification fédérée dans :

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Si vous n’avez pas l’autorisation d’installer ces fichiers de modèle, donnez-les à votre administrateur Active Directory.

Pour installer manuellement les modèles, vous pouvez utiliser les commandes PowerShell suivantes :

```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")

 $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService

 $CertEnrol.InitializeImport($template)

 $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable

 $writabletemplate.Initialize($comtemplate)

 $writabletemplate.Commit(1, $NULL)
 <!--NeedCopy--> ```

Configurer les services de certificats Active Directory

Après avoir installé les modèles de certificat Citrix, vous devez les publier sur un ou plusieurs serveurs d’autorité de certification. Reportez-vous à la documentation Microsoft sur la façon de déployer les services de certificats Active Directory.

Si les modèles ne sont pas publiés sur au moins un serveur, l’outil Configurer l’autorité de certification propose de les publier. Vous devez exécuter cet outil en tant qu’utilisateur disposant des autorisations nécessaires pour administrer l’autorité de certification.

(Les modèles de certificat peuvent également être publiés à l’aide de la console d’autorité de certification Microsoft.)

Autoriser le service d’authentification fédérée

La dernière étape de configuration dans la console lance l’autorisation du service d’authentification fédérée. La console d’administration utilise le modèle Citrix_RegistrationAuthority_ManualAuthorization pour générer une demande de certificat. Elle envoie ensuite la demande à l’une des autorités de certification qui publie ce modèle.

Une fois la demande envoyée, vous pouvez la voir dans la liste Demandes en attente de la console d’autorité de certification Microsoft. L’administrateur de l’autorité de certification doit choisir d’Émettre ou de Refuser la demande avant que la configuration du service d’authentification fédérée puisse se poursuivre. La demande d’autorisation apparaît comme une Demande en attente provenant du compte machine FAS.

Cliquez avec le bouton droit sur Toutes les tâches, puis sélectionnez Émettre ou Refuser pour la demande de certificat. La console d’administration du service d’authentification fédérée détecte automatiquement la fin de ce processus. Cette étape peut prendre quelques minutes.

Configurer les règles utilisateur

Une règle utilisateur autorise l’émission de certificats pour la connexion VDA et l’utilisation en session, selon les directives de StoreFront. Chaque règle spécifie les éléments suivants :

• Serveurs StoreFront approuvés pour demander des certificats.
• Ensemble d’utilisateurs pour lesquels vous pouvez demander les certificats.
• Ensemble de machines VDA autorisées à utiliser les certificats.

L’administrateur doit définir la règle par défaut pour terminer la configuration du service d’authentification fédérée. Pour définir la règle par défaut, accédez à l’onglet Règles utilisateur de la console d’administration FAS, sélectionnez une autorité de certification à laquelle le modèle Citrix_SmartcardLogon est publié, et modifiez la liste des serveurs StoreFront. La liste des VDA est par défaut « Ordinateurs du domaine » et la liste des utilisateurs est par défaut « Utilisateurs du domaine » ; ces valeurs peuvent être modifiées si les valeurs par défaut ne conviennent pas.

Champs :

Autorité de certification et modèle de certificat : Le modèle de certificat et l’autorité de certification utilisés pour émettre les certificats utilisateur. Le modèle doit être le modèle Citrix_SmartcardLogon, ou une copie modifiée de celui-ci, sur l’une des autorités de certification où le modèle est publié.

Le FAS prend en charge l’ajout de plusieurs autorités de certification pour le basculement et l’équilibrage de charge, à l’aide de commandes PowerShell. De même, des options de génération de certificats plus avancées peuvent être configurées à l’aide de la ligne de commande et des fichiers de configuration. Consultez les sections PowerShell et Modules de sécurité matériels.

Certificats en session : La case à cocher Disponible après la connexion contrôle si un certificat peut également être utilisé comme certificat en session. Si la case n’est pas cochée, le certificat est utilisé uniquement pour la connexion ou la reconnexion, et l’utilisateur n’aura pas accès au certificat après l’authentification.

Liste des serveurs StoreFront pouvant utiliser cette règle : La liste des machines de serveurs StoreFront approuvées qui sont autorisées à demander des certificats pour la connexion ou la reconnexion des utilisateurs. Ce paramètre est critique pour la sécurité et doit être géré avec soin.

Liste des bureaux et serveurs VDA auxquels cette règle peut se connecter : La liste des machines VDA qui peuvent connecter des utilisateurs à l’aide du système de service d’authentification fédérée.

Liste des utilisateurs que StoreFront peut connecter à l’aide de cette règle : La liste des utilisateurs auxquels des certificats peuvent être émis via le service d’authentification fédérée.

Utilisation avancée

Vous pouvez créer d’autres règles pour référencer différents modèles de certificat et autorités, et les configurer pour qu’elles aient des propriétés et des autorisations différentes. Vous pouvez configurer ces règles pour qu’elles soient utilisées par différents serveurs StoreFront. Configurez les serveurs StoreFront pour qu’ils demandent la règle personnalisée par son nom à l’aide des options de configuration de la stratégie de groupe.

Par défaut, StoreFront demande default lorsqu’il contacte le service d’authentification fédérée. Cela peut être modifié à l’aide des options de configuration de la stratégie de groupe.

Pour créer un modèle de certificat, dupliquez le modèle Citrix_SmartcardLogon dans la console de l’autorité de certification Microsoft, renommez-le (par exemple, Citrix_SmartcardLogon2) et modifiez-le si nécessaire. Créez une règle utilisateur en cliquant sur Ajouter pour référencer le nouveau modèle de certificat.

Considérations relatives à la mise à niveau

• Tous les paramètres du serveur du service d’authentification fédérée sont conservés lorsque vous effectuez une mise à niveau sur place.
• Mettez à niveau le service d’authentification fédérée en exécutant le programme d’installation complet de XenApp et XenDesktop.
• Avant de mettre à niveau le service d’authentification fédérée de 7.15 LTSR vers 7.15 LTSR CU2 (ou une CU ultérieure prise en charge), mettez à niveau le Controller et les VDA (ainsi que les autres composants principaux) vers la version requise.
• Assurez-vous que la console du service d’authentification fédérée est fermée avant de mettre à niveau le service d’authentification fédérée.
• Assurez-vous qu’au moins un serveur du service d’authentification fédérée est toujours disponible. Si aucun serveur n’est accessible par un serveur StoreFront compatible avec le service d’authentification fédérée, les utilisateurs ne peuvent pas se connecter ni démarrer d’applications.

Considérations de sécurité

Le service d’authentification fédérée dispose d’un certificat d’autorité d’enregistrement qui lui permet d’émettre des certificats de manière autonome pour vos utilisateurs de domaine. Il est important de développer et de mettre en œuvre une politique de sécurité pour protéger les serveurs FAS et pour limiter leurs autorisations.

Agents d’inscription délégués

FAS émet des certificats utilisateur en agissant en tant qu’agent d’inscription. L’autorité de certification Microsoft contrôle les modèles que le serveur FAS peut utiliser. Elle détermine également les utilisateurs pour lesquels le serveur FAS peut émettre des certificats.

Citrix recommande fortement de configurer ces options afin que le service d’authentification fédérée ne puisse émettre des certificats que pour les utilisateurs prévus. Par exemple, il est recommandé d’empêcher le service d’authentification fédérée d’émettre des certificats aux utilisateurs d’un groupe Administration ou Utilisateurs protégés.

Configuration de la liste de contrôle d’accès

Comme décrit dans la section Configurer les règles utilisateur, vous devez configurer une liste de serveurs StoreFront approuvés pour affirmer les identités des utilisateurs auprès du service d’authentification fédérée lors de l’émission de certificats. De même, vous pouvez restreindre les utilisateurs auxquels des certificats sont délivrés, et les machines VDA auxquelles ils peuvent s’authentifier. Cette étape s’ajoute à toutes les fonctionnalités de sécurité standard d’Active Directory ou d’autorité de certification que vous configurez.

Paramètres du pare-feu

Toutes les communications vers les serveurs FAS utilisent des connexions réseau Kerberos Windows Communication Foundation (WCF) mutuellement authentifiées sur le port 80.

Surveillance du journal des événements

Le service d’authentification fédérée et le VDA écrivent des informations dans le journal des événements Windows. Ce journal peut être utilisé pour la surveillance et l’audit des informations. La section Journaux d’événements répertorie les entrées de journal d’événements qui peuvent être générées.

Modules de sécurité matériels

Toutes les clés privées, y compris les clés de certificats utilisateur émises par le service d’authentification fédérée, sont stockées en tant que clés privées non exportables par le compte Service réseau. Le service d’authentification fédérée prend en charge l’utilisation d’un module de sécurité matériel cryptographique, si votre politique de sécurité l’exige.

La configuration cryptographique de bas niveau est disponible dans le fichier FederatedAuthenticationService.exe.config. Ces paramètres s’appliquent lors de la première création des clés privées. Par conséquent, différents paramètres peuvent être utilisés pour les clés privées d’autorité d’enregistrement (par exemple, 4096 bits, protégées par TPM) et les certificats utilisateur d’exécution.

SDK PowerShell

Bien que la console d’administration du service d’authentification fédérée convienne aux déploiements simples, l’interface PowerShell offre des options plus avancées. Lorsque vous utilisez des options qui ne sont pas disponibles dans la console, Citrix recommande d’utiliser uniquement PowerShell pour la configuration.

La commande suivante ajoute les cmdlets PowerShell :

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Utilisez Get-Help <nom de la cmdlet> pour afficher l’aide de la cmdlet. Le tableau suivant répertorie plusieurs commandes où * représente un verbe PowerShell standard (tel que New, Get, Set, Remove).

Les cmdlets PowerShell peuvent être utilisées à distance en spécifiant l’adresse d’un serveur FAS.

Vous pouvez également télécharger un fichier zip contenant tous les fichiers d’aide des cmdlets PowerShell FAS ; consultez l’article PowerShell SDK.

Compteurs de performances

Le service d’authentification fédérée inclut un ensemble de compteurs de performances à des fins de suivi de charge.

Le tableau suivant répertorie les compteurs disponibles. La plupart des compteurs sont des moyennes mobiles sur cinq minutes.

Journaux d’événements

Les tableaux suivants répertorient les entrées du journal d’événements générées par le service d’authentification fédérée.

Événements d’administration

[Source de l’événement : Citrix.Authentication.FederatedAuthenticationService]

FAS enregistre ces événements en réponse aux modifications de configuration sur le serveur FAS.

Création d’assertions d’identité [Service d’authentification fédérée]

Ces événements sont enregistrés à l’exécution sur le serveur du service d’authentification fédérée lorsqu’un serveur approuvé affirme une ouverture de session utilisateur.

Agir en tant que partie de confiance [Federated Authentication Service]

Ces événements sont enregistrés au moment de l’exécution sur le serveur Federated Authentication Service lorsqu’un VDA connecte un utilisateur.

Serveur de certificats en session [Service d’authentification fédérée]

Ces événements sont enregistrés sur le serveur du Service d’authentification fédérée lorsqu’un utilisateur utilise un certificat en session.

Ouverture de session [VDA]

[Source de l’événement : Citrix.Authentication.IdentityAssertion]

Ces événements sont enregistrés sur le VDA pendant la phase d’ouverture de session.

Certificats de session [VDA]

Ces événements sont enregistrés sur le VDA lorsqu’un utilisateur tente d’utiliser un certificat de session.

Codes de demande et de génération de certificats [Federated Authentication Service]

[Source de l’événement : Citrix.TrustFabric]

Ces événements de bas niveau sont enregistrés lorsque le serveur du service d’authentification fédérée effectue des opérations cryptographiques de niveau journalisation.

Informations connexes

• Les déploiements FAS courants sont résumés dans l’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html) [Présentation des architectures du service d’authentification fédérée].
• Les articles pratiques sont présentés dans l’article (/fr-fr/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-config-manage.html).