Documentation produit
XenApp and XenDesktop
7.15 LTSR
Voir PDF

Cartes à puce

May 20, 2026
Contributeur: 
C C

Les cartes à puce et les technologies équivalentes sont prises en charge conformément aux directives décrites dans cet article. Pour utiliser des cartes à puce avec XenApp ou XenDesktop® :

  • Comprenez la politique de sécurité de votre organisation concernant l’utilisation des cartes à puce. Ces politiques peuvent, par exemple, indiquer comment les cartes à puce sont émises et comment les utilisateurs doivent les protéger. Certains aspects de ces politiques pourraient devoir être réévalués dans un environnement XenApp® ou XenDesktop.
  • Déterminez quels types de périphériques utilisateur, systèmes d’exploitation et applications publiées doivent être utilisés avec des cartes à puce.
  • Familiarisez-vous avec la technologie des cartes à puce et le matériel et logiciel du fournisseur de cartes à puce que vous avez sélectionné.
  • Sachez comment déployer des certificats numériques dans un environnement distribué.

Types de cartes à puce

Les cartes à puce d’entreprise et grand public ont les mêmes dimensions, connecteurs électriques et s’adaptent aux mêmes lecteurs de cartes à puce.

Les cartes à puce à usage professionnel contiennent des certificats numériques. Ces cartes à puce prennent en charge la connexion Windows et peuvent également être utilisées avec des applications pour la signature numérique et le chiffrement de documents et d’e-mails. XenApp et XenDesktop prennent en charge ces utilisations.

Les cartes à puce à usage grand public ne contiennent pas de certificats numériques ; elles contiennent un secret partagé. Ces cartes à puce peuvent prendre en charge les paiements (tels qu’une carte de crédit à puce et signature ou à puce et code PIN). Elles ne prennent pas en charge la connexion Windows ni les applications Windows typiques. Des applications Windows spécialisées et une infrastructure logicielle appropriée (y compris, par exemple, une connexion à un réseau de cartes de paiement) sont nécessaires pour les utiliser avec ces cartes à puce. Contactez votre représentant Citrix® pour obtenir des informations sur la prise en charge de ces applications spécialisées sur XenApp ou XenDesktop.

Pour les cartes à puce d’entreprise, il existe des équivalents compatibles qui peuvent être utilisés de manière similaire.

  • Un jeton USB équivalent à une carte à puce se connecte directement à un port USB. Ces jetons USB ont généralement la taille d’une clé USB, mais peuvent être aussi petits qu’une carte SIM utilisée dans un téléphone mobile. Ils apparaissent comme la combinaison d’une carte à puce et d’un lecteur de carte à puce USB.
  • Une carte à puce virtuelle utilisant un module de plateforme sécurisée (TPM) Windows apparaît comme une carte à puce. Ces cartes à puce virtuelles sont prises en charge pour Windows 8 et Windows 10, en utilisant Citrix Receiver version 4.3 minimum.
    • Les versions de XenApp et XenDesktop antérieures à 7.6 FP3 ne prennent pas en charge les cartes à puce virtuelles.
    • Pour plus d’informations sur les cartes à puce virtuelles, consultez Présentation des cartes à puce virtuelles.

Remarque : Le terme « carte à puce virtuelle » est également utilisé pour décrire un certificat numérique simplement stocké sur l’ordinateur de l’utilisateur. Ces certificats numériques ne sont pas strictement équivalents aux cartes à puce.

La prise en charge des cartes à puce XenApp et XenDesktop est basée sur les spécifications standard Microsoft Personal Computer/Smart Card (PC/SC). Une exigence minimale est que les cartes à puce et les périphériques de carte à puce doivent être pris en charge par le système d’exploitation Windows sous-jacent et doivent être approuvés par les Microsoft Windows Hardware Quality Labs (WHQL) pour être utilisés sur des ordinateurs exécutant des systèmes d’exploitation Windows éligibles. Consultez la documentation Microsoft pour plus d’informations sur la conformité matérielle PC/SC. D’autres types de périphériques utilisateur peuvent être conformes à la norme PS/SC. Pour plus d’informations, reportez-vous au programme Citrix Ready à l’adresse https://www.citrix.com/ready/.

Généralement, un pilote de périphérique distinct est nécessaire pour la carte à puce ou l’équivalent de chaque fournisseur. Cependant, si les cartes à puce sont conformes à une norme telle que la norme NIST Personal Identity Verification (PIV), il peut être possible d’utiliser un seul pilote de périphérique pour une gamme de cartes à puce. Le pilote de périphérique doit être installé à la fois sur le périphérique utilisateur et sur le Virtual Delivery Agent (VDA). Le pilote de périphérique est souvent fourni dans le cadre d’un package de middleware de carte à puce disponible auprès d’un partenaire Citrix ; le package de middleware de carte à puce offrira des fonctionnalités avancées. Le pilote de périphérique peut également être décrit comme un Cryptographic Service Provider (CSP), un Key Storage Provider (KSP) ou un mini-pilote.

Les combinaisons de cartes à puce et de middleware suivantes pour les systèmes Windows ont été testées par Citrix comme exemples représentatifs de leur type. Cependant, d’autres cartes à puce et middleware peuvent également être utilisés. Pour plus d’informations sur les cartes à puce et les middleware compatibles Citrix, consultez https://www.citrix.com/ready.

Middleware Cartes correspondantes
ActivClient 7.0 (mode DoD activé) Carte DoD CAC
ActivClient 7.0 en mode PIV Carte NIST PIV
Mini-pilote Microsoft Carte NIST PIV
Mini-pilote GemAlto pour carte .NET GemAlto .NET v2+
Pilote natif Microsoft Cartes à puce virtuelles (TPM)

Pour plus d’informations sur l’utilisation des cartes à puce avec d’autres types d’appareils, consultez la documentation de Citrix Receiver™ pour cet appareil.

Pour plus d’informations sur l’utilisation des cartes à puce avec d’autres types d’appareils, consultez la documentation de Citrix Receiver pour cet appareil.

Accès PC distant

Les cartes à puce sont prises en charge uniquement pour l’accès à distance aux PC de bureau physiques exécutant Windows 10, Windows 8 ou Windows 7 ; les cartes à puce ne sont pas prises en charge pour les PC de bureau exécutant Windows XP.

Les cartes à puce suivantes ont été testées avec l’accès PC distant :

Middleware Cartes correspondantes
Minidriver Gemalto .NET Gemalto .NET v2+
ActivIdentity ActivClient 6.2 NIST PIV
ActivIdentity ActivClient 6.2 CAC
Minidriver Microsoft NIST PIV
Pilote natif Microsoft Cartes à puce virtuelles

Types de lecteurs de carte à puce

Un lecteur de carte à puce peut être intégré au périphérique utilisateur, ou être connecté séparément au périphérique utilisateur (généralement via USB ou Bluetooth). Les lecteurs de carte à contact conformes à la spécification USB Chip/Smart Card Interface Devices (CCID) sont pris en charge. Ils contiennent une fente ou un emplacement dans lequel l’utilisateur insère la carte à puce. La norme Deutsche Kreditwirtschaft (DK) définit quatre classes de lecteurs de carte à contact.

  • Les lecteurs de carte à puce de classe 1 sont les plus courants et ne contiennent généralement qu’une fente. Les lecteurs de carte à puce de classe 1 sont pris en charge, généralement avec un pilote de périphérique CCID standard fourni avec le système d’exploitation.
  • Les lecteurs de carte à puce de classe 2 contiennent également un clavier sécurisé auquel le périphérique utilisateur ne peut pas accéder. Les lecteurs de carte à puce de classe 2 peuvent être intégrés à un clavier doté d’un clavier sécurisé intégré. Pour les lecteurs de carte à puce de classe 2, contactez votre représentant Citrix ; un pilote de périphérique spécifique au lecteur peut être requis pour activer la fonctionnalité de clavier sécurisé.
  • Les lecteurs de carte à puce de classe 3 contiennent également un écran sécurisé. Les lecteurs de carte à puce de classe 3 ne sont pas pris en charge.
  • Les lecteurs de carte à puce de classe 4 contiennent également un module de transaction sécurisé. Les lecteurs de carte à puce de classe 4 ne sont pas pris en charge.

Remarque : La classe de lecteur de carte à puce n’est pas liée à la classe de périphérique USB.

Les lecteurs de carte à puce doivent être installés avec un pilote de périphérique correspondant sur le périphérique utilisateur.

Pour plus d’informations sur les lecteurs de carte à puce pris en charge, consultez la documentation du Citrix Receiver que vous utilisez. Dans la documentation de Citrix Receiver, les versions prises en charge sont généralement répertoriées dans un article sur les cartes à puce ou dans l’article sur la configuration système requise.

Expérience utilisateur

La prise en charge des cartes à puce est intégrée à XenApp et XenDesktop, à l’aide d’un canal virtuel de carte à puce ICA/HDX spécifique qui est activé par défaut.

Important : N’utilisez pas la redirection USB générique pour les lecteurs de carte à puce. Cette option est désactivée par défaut pour les lecteurs de carte à puce et n’est pas prise en charge si elle est activée.

Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur le même périphérique utilisateur, mais si l’authentification pass-through est utilisée, une seule carte à puce doit être insérée lorsque l’utilisateur démarre un bureau virtuel ou une application. Lorsqu’une carte à puce est utilisée au sein d’une application (par exemple, pour la signature numérique ou les fonctions de chiffrement), des invites supplémentaires peuvent apparaître pour insérer une carte à puce ou saisir un code PIN. Cela peut se produire si plusieurs cartes à puce ont été insérées en même temps.

  • Si les utilisateurs sont invités à insérer une carte à puce alors que celle-ci est déjà dans le lecteur, ils doivent sélectionner Annuler.
  • Si les utilisateurs sont invités à saisir le code PIN, ils doivent le saisir à nouveau.

Si vous utilisez des applications hébergées exécutées sur Windows Server 2008 ou 2008 R2 et avec des cartes à puce nécessitant le fournisseur de services cryptographiques de base pour cartes à puce de Microsoft, vous pourriez constater que si un utilisateur exécute une transaction de carte à puce, tous les autres utilisateurs qui utilisent une carte à puce dans le processus de connexion sont bloqués. Pour plus de détails et un correctif pour ce problème, consultez https://support.microsoft.com/kb/949538.

Vous pouvez réinitialiser les codes PIN à l’aide d’un système de gestion de cartes ou d’un utilitaire fourni par le fournisseur.

Important

Dans une session XenApp ou XenDesktop, l’utilisation d’une carte à puce avec l’application Connexion Bureau à distance de Microsoft n’est pas prise en charge. Ceci est parfois décrit comme une utilisation en « double saut ».

Avant de déployer des cartes à puce

  • Obtenez un pilote de périphérique pour le lecteur de carte à puce et installez-le sur le périphérique utilisateur. De nombreux lecteurs de carte à puce peuvent utiliser le pilote de périphérique CCID fourni par Microsoft.
  • Obtenez un pilote de périphérique et un logiciel de fournisseur de services cryptographiques (CSP) auprès de votre fournisseur de cartes à puce, et installez-les sur les périphériques utilisateur et les bureaux virtuels. Le pilote et le logiciel CSP doivent être compatibles avec XenApp et XenDesktop ; vérifiez la documentation du fournisseur pour la compatibilité. Pour les bureaux virtuels utilisant des cartes à puce qui prennent en charge et utilisent le modèle de minidriver, les minidrivers de carte à puce devraient se télécharger automatiquement, mais vous pouvez les obtenir sur https://catalog.update.microsoft.com ou auprès de votre fournisseur. De plus, si un middleware PKCS#11 est requis, obtenez-le auprès du fournisseur de cartes.
  • Important : Citrix recommande d’installer et de tester les pilotes et le logiciel CSP sur un ordinateur physique avant d’installer le logiciel Citrix.
  • Ajoutez l’URL de Citrix Receiver pour Web à la liste des sites de confiance pour les utilisateurs qui travaillent avec des cartes à puce dans Internet Explorer avec Windows 10. Dans Windows 10, Internet Explorer ne s’exécute pas en mode protégé par défaut pour les sites de confiance.
  • Assurez-vous que votre infrastructure à clé publique (PKI) est configurée de manière appropriée. Cela inclut de s’assurer que le mappage certificat-compte est correctement configuré pour l’environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.
  • Assurez-vous que votre déploiement répond aux exigences système des autres composants Citrix utilisés avec les cartes à puce, y compris Citrix Receiver et StoreFront.
  • Assurez l’accès aux serveurs suivants dans votre Site :
    • Le contrôleur de domaine Active Directory pour le compte utilisateur associé à un certificat d’ouverture de session sur la carte à puce
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Facultatif pour l’accès au PC distant) : Microsoft Exchange Server

Activer l’utilisation des cartes à puce

Étape 1. Émettez des cartes à puce aux utilisateurs conformément à votre politique d’émission de cartes.

Étape 2. (Facultatif) Configurez les cartes à puce pour permettre aux utilisateurs d’accéder au PC distant.

Étape 3. Installez et configurez le Delivery Controller et StoreFront (s’ils ne sont pas déjà installés) pour la redirection de cartes à puce.

Étape 4. Activez StoreFront pour l’utilisation des cartes à puce. Pour plus de détails, consultez Configurer l’authentification par carte à puce dans la documentation StoreFront.

Étape 5. Activez NetScaler Gateway/Access Gateway pour l’utilisation des cartes à puce. Pour plus de détails, consultez Configuration de l’authentification et de l’autorisation et Configuration de l’accès par carte à puce avec l’interface Web dans la documentation NetScaler.

Étape 6. Activez les VDA pour l’utilisation des cartes à puce.

  • Assurez-vous que le VDA dispose des applications et mises à jour requises.
  • Installez le middleware.
  • Configurez le renvoi de carte à puce, permettant la communication des données de carte à puce entre Citrix Receiver sur un périphérique utilisateur et une session de bureau virtuel.

Étape 7. Activez les périphériques utilisateur (y compris les machines jointes à un domaine ou non jointes à un domaine) pour l’utilisation de cartes à puce. Consultez la section Configurer l’authentification par carte à puce dans la documentation StoreFront pour plus de détails.

  • Importez le certificat racine de l’autorité de certification et le certificat de l’autorité de certification émettrice dans le magasin de clés du périphérique.
  • Installez le middleware de carte à puce de votre fournisseur.
  • Installez et configurez Citrix Receiver pour Windows, en veillant à importer icaclient.adm à l’aide de la console de gestion des stratégies de groupe et à activer l’authentification par carte à puce.

Étape 8. Testez le déploiement. Assurez-vous que le déploiement est correctement configuré en lançant un bureau virtuel avec la carte à puce d’un utilisateur de test. Testez tous les mécanismes d’accès possibles (par exemple, l’accès au bureau via Internet Explorer et Citrix Receiver).

Cartes à puce
May 20, 2026
Contributeur: 
C C
May 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.