Documentation Produit
Service d'authentification adaptative
Voir PDF

Service d’authentification adaptative Citrix

March 8, 2023
Contributeur: 
C

Les clients Citrix Cloud peuvent utiliser Citrix Workspace pour fournir une authentification adaptative à Citrix DaaS. Authentification adaptative est un service Citrix Cloud qui permet une authentification avancée pour les clients et les utilisateurs qui se connectent à Citrix Workspace. Le service Authentification adaptative est un ADC géré par Citrix et hébergé sur Citrix Cloud qui fournit toutes les fonctionnalités d’authentification avancées, telles que les suivantes :

Authentification multifacteur : L’authentification multifacteur améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. Les clients peuvent configurer différentes combinaisons de facteurs dans le mécanisme d’authentification multifacteur en fonction des besoins de l’entreprise. Pour plus de détails, voir Exemples de configurations d’authentification.

Analyses de position de l’appareil : les utilisateurs peuvent être authentifiés en fonction de l’état de sécurité de l’appareil L’analyse de l’état de sécurité de l’appareil, également appelée analyse des points de terminaison, vérifie si l’appareil est conforme. Par exemple, si l’appareil exécute la dernière version du système d’exploitation, les Service Packs et les clés de registre sont définis. La conformité à la sécurité implique des analyses pour vérifier si un antivirus est installé ou si le pare-feu est activé, etc. L’état de l’appareil peut également vérifier si l’appareil est géré ou non, s’il appartient à l’entreprise ou s’il est BYOL.

Authentification conditionnelle : en fonction des paramètres de l’utilisateur, tels que l’emplacement du réseau, l’état de l’appareil, le groupe d’utilisateurs, l’heure de la journée, l’authentification conditionnelle peut être activée. Vous pouvez utiliser l’un de ces paramètres ou une combinaison de ces paramètres pour effectuer une authentification conditionnelle. Exemple d’authentification basée sur l’état de sécurité de l’appareil : vous pouvez effectuer une analyse de l’état de l’appareil pour vérifier si l’appareil est géré par l’entreprise ou s’il s’agit d’un appareil BYOD. Si l’appareil est un appareil géré par l’entreprise, vous pouvez défier l’utilisateur avec le simple AD (nom d’utilisateur et mot de passe). Si l’appareil est un BYOD, vous pouvez défier l’utilisateur avec l’authentification AD plus RADIUS.

Si vous envisagez d’énumérer de manière sélective les applications et les bureaux virtuels en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée pour ces groupes de mise à disposition à l’aide de stratégies Citrix Studio au lieu de Workspace. Lors de la création d’un groupe de mise à disposition, dans le paramètre utilisateurs, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs suivants ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela active l’onglet Stratégie d’accès sous Groupe de mise à disposition pour configurer l’accès adaptatif.

Accès contextuel à Citrix DaaS : Adaptive Authentication permet un accès contextuel à Citrix DaaS. Adaptive Authentication affiche toutes les informations de stratégie concernant l’utilisateur sur Citrix DaaS. Les administrateurs peuvent utiliser ces informations dans leurs configurations de stratégie pour contrôler les actions des utilisateurs qui peuvent être effectuées sur Citrix DaaS. L’action de l’utilisateur, par exemple, peut être l’activation ou la désactivation de l’accès au presse-papiers et la redirection d’imprimante du mappage du lecteur client

Un accès contextuel à Secure Internet Access et à d’autres services Citrix Cloud via l’authentification adaptative est prévu dans les prochaines versions.

Personnalisation de la page d’ouverture de session : Adaptive Authentication aide l’utilisateur à personnaliser fortement la page d’ouverture de session Citrix Cloud.

Fonctions d’authentification adaptative

Voici les fonctionnalités prises en charge dans Citrix Workspace avec authentification adaptative.

  • Support LDAP (Active Directory)
  • Support LDAPS (Active Directory)
  • Prise en charge des annuaires pour AD, Azure AD, Okta
  • Prise en charge RADIUS (Duo, Symantec)
  • MFA intégré au jeton AD +
  • SAML 2.0
  • Prise en charge OAuth, OIDC
  • Authentification par certificat
  • Évaluation de l’état de sécurité de l’appareil (analyse des points de terminaison)
  • Intégration avec des fournisseurs d’authentification tiers
  • Notification push via l’application
  • reCAPTCHA
  • Authentification conditionnelle/en fonction d’une stratégie
  • Stratégies d’authentification pour SmartAccess (accès contextuel)
  • Personnalisation de la page de connexion
  • Réinitialisation en libre-service du mot

Responsabilités de sécurité partagées

Actions requises de la part des clients

Voici quelques-unes des mesures prises par les clients dans le cadre des meilleures pratiques de sécurité.

  • Informations d’identification pour accéder à l’interface utilisateur d’authentification adaptative : le client est responsable de la création et de la gestion des informations d’identification permettant d’accéder à l’interface utilisateur Si le client travaille avec le support Citrix pour résoudre un problème, il peut avoir besoin de partager ces informations d’identification avec le personnel de support.

  • Sécurité d’accès à l’interface de ligne de commande distante : Citrix fournit un accès CLI distant Cependant, les clients sont responsables du maintien de la sécurité de l’instance pendant l’exécution.

  • Clés privées SSL : Citrix ADC étant sous le contrôle du client, Citrix n’a aucun accès au système de fichiers. Les clients doivent s’assurer qu’ils protègent les certificats et les clés qu’ils hébergent sur l’instance Citrix ADC.

  • Sauvegarde des données : sauvegardez la configuration, les certificats, les clés, les personnalisations du portail et toute autre modification du système de fichiers.

  • Images disque des instances ADC : Maintenez et gérez l’espace disque Citrix ADC et le nettoyage du disque. Le client est responsable de l’exécution de ces tâches en toute sécurité.

  • Mise à niveau : planifiez la mise à niveau des instances d’authentification adaptative Pour plus de détails, consultez Planifier la mise à niveau de vos instances d’authentification adaptative

  • Ne mettez pas à niveau les instances Adaptive Authentication vers des versions RTM aléatoires. Toutes les mises à niveau sont gérées par Citrix Cloud.

  • Les mises à niveau des instances d’authentification adaptative étant gérées par Citrix, les clients doivent s’assurer qu’il y a suffisamment d’espace dans le répertoire VAR pour la mise à niveau. Pour plus d’informations sur la manière de libérer de l’espace dans le répertoire VAR, consultez Comment libérer de l’espace dans le répertoire VAR pour la journalisation des problèmes liés à une appliance Citrix ADC.

  • Ne modifiez pas le statut de haute disponibilité de ENABLED à STAY PRIMARY ou STAY SECONDARY. L’état de haute disponibilité doit être ACTIVÉ pour l’authentification adaptative.

  • Pour un exemple de configuration LDAPS à charge équilibrée, voir Exemple de configuration LDAPS à charge équilibrée.

Actions requises à la fois de la part du client et de Citrix

  • Reprise après sinistre : dans les régions Azure prises en charge, les instances haute disponibilité Citrix ADC sont provisionnées dans des zones de disponibilité distinctes pour se protéger contre la perte de données. En cas de perte de données Azure, Citrix récupère autant de ressources que possible dans l’abonnement Azure géré par Citrix.

    En cas de perte d’une région Azure complète, le client est responsable de la reconstruction de son réseau virtuel géré par le client dans une nouvelle région et de la création d’un nouvel appairage de réseau virtuel.

  • Accès sécurisé via l’adresse IP de gestion publique :

    Sécurisez l’accès aux interfaces de gestion par des adresses IP publiques attribuées et autorisez la connectivité sortante à Internet.

Limitations

  • Le téléchargement d’un bundle de certificats n’est pas pris
  • L’équilibrage de charge avec le serveur RADIUS n’est pas pris en charge.
  • L’authentification RADIUS est affectée pendant quelques minutes si le connecteur servant la requête RADIUS tombe en panne. Dans ce cas, l’utilisateur doit se réauthentifier.

  • Le tunneling DNS n’est pas pris en charge. Des enregistrements statiques doivent être ajoutés sur l’appliance Citrix ADC pour les noms de domaine complets utilisés dans les stratégies/profils d’authentification (LDAP/RADIUS) pour les serveurs d’authentification du centre de données local du client. Pour plus de détails sur l’ajout d’enregistrements statiques DNS, voir Créer des enregistrements d’adresses pour un nom de domaine.

  • Letest de connectivité réseau dans le profil LDAP peut donner un résultat incorrect car « Le serveur est accessible » même si la connectivité au serveur LDAP n’est pas établie. Des messages d’erreur tels que « le port n’est pas ouvert » ou « le serveur n’est pas LDAP » peuvent s’afficher pour indiquer l’échec. Citrix recommande de collecter les traces dans ce scénario et de poursuivre le dépannage.
  • Pour que les analyses EPA fonctionnent sous macOS, vous devez lier les courbes ECC par défaut au serveur virtuel d’authentification et d’autorisation en sélectionnant l’option Courbe ECC sur ALL.

Qualité de service

L’authentification adaptative est un service haute disponibilité (actif-veille).

Service d’authentification adaptative Citrix
March 8, 2023
Contributeur: 
C
March 8, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.