Configuration de l’authentification par carte à puce
Vous pouvez configurer Citrix Gateway pour qu’elle utilise une carte à puce cryptographique pour authentifier les utilisateurs.
Pour configurer une carte à puce pour qu’elle fonctionne avec Citrix Gateway, vous devez effectuer les opérations suivantes :
- Créez une stratégie d’authentification de certificat. Pour de plus amples informations, consultez la section Configuration de l’authentification de certificat client.
- Liez la stratégie d’authentification à un serveur virtuel.
-
Ajoutez le certificat racine de l’autorité de certification qui émet les certificats client à Citrix Gateway. Pour de plus amples informations, consultez la section Pour installer un certificat racine sur Citrix Gateway.
Important : Lorsque vous ajoutez le certificat racine au serveur virtuel pour l’authentification par carte à puce, vous devez sélectionner le certificat dans la liste déroulante Sélectionner un certificat d’autorité de certification, comme illustré dans la figure suivante. Figure 1. Ajout d’un certificat racine pour l’authentification par carte à puce
Après avoir créé le certificat client, vous pouvez écrire le certificat, appelé flash, sur la carte à puce. Lorsque vous avez terminé cette étape, vous pouvez tester la carte à puce.
Si vous configurez l’interface Web pour l’authentification par carte à puce, si l’une des conditions suivantes existe, l’authentification unique à l’interface Web échoue :
- Si vous définissez le domaine sous l’onglet Applications publiées comme mondomaine.com à la place mondomaine.
- Si vous ne définissez pas le nom de domaine dans l’onglet Applications publiées et si vous exécutez la commande wi-sso-split-upn définissant la valeur sur 1. Dans ce cas, UserPrincipalName contient le nom de domaine “mydomain.com.”
Vous pouvez utiliser l’authentification par carte à puce pour rationaliser le processus d’ouverture de session de vos utilisateurs tout en améliorant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau interne d’entreprise est protégé par une authentification à deux facteurs basée sur des certificats à l’aide d’une infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d’un accès à leurs bureaux et applications à partir d’une large gamme de périphériques d’entreprise à l’aide de leurs cartes à puce et codes PIN.
Vous pouvez utiliser des cartes à puce pour l’authentification des utilisateurs via StoreFront pour les postes de travail et les applications fournis par Citrix Virtual Apps and Desktops. Les utilisateurs de cartes à puce qui se connectent à StoreFront peuvent également accéder aux applications fournies par Citrix Endpoint Management. Toutefois, les utilisateurs doivent s’authentifier à nouveau pour accéder aux applications Web Endpoint Management qui utilisent l’authentification par certificat client.
Pour plus d’informations, consultez Configurer l’authentification par carte à puce dans la documentation de StoreFront.
Configuration de l’authentification par carte à puce avec des connexions ICA sécurisées
Les utilisateurs qui ouvrent une session et établissent une connexion ICA sécurisée à l’aide d’une carte à puce avec authentification unique configurée sur Citrix Gateway peuvent recevoir des invites pour leur numéro d’identification personnel (PIN) à deux moments différents : lors de la connexion et lors de la tentative de démarrage d’une ressource publiée. Cette situation se produit si le navigateur Web et l’application Citrix Workspace utilisent le même serveur virtuel qui est configuré pour utiliser des certificats client. L’application Citrix Workspace ne partage pas de processus ou de connexion SSL (Secure Sockets Layer) avec le navigateur Web. Par conséquent, lorsque la connexion ICA termine la liaison SSL avec Citrix Gateway, le certificat client est requis une deuxième fois.
Pour empêcher les utilisateurs de recevoir la deuxième invite PIN, vous devez modifier deux paramètres :
- L’authentification du client sur le serveur virtuel VPN doit être désactivée.
- La renégociation SSL doit être activée.
Après avoir configuré le serveur virtuel, liez un ou plusieurs serveurs STA au serveur virtuel, comme décrit à la section Configuration des paramètres Citrix Gateway dans l’Interface Web 5.3.
Vous pouvez également tester l’authentification par carte à puce.
Pour désactiver l’authentification du client :
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Serveurs virtuels.
- Sélectionnez le serveur virtuel approprié dans le volet d’informations principal, puis cliquez sur Modifier.
- Dans le volet Options avancées, cliquez sur Paramètres SSL.
- Désactivez la case à cocher Authentification du client.
- Cliquez sur Terminé.
Pour activer la renégociation SSL :
- À l’aide de l’utilitaire de configuration, à partir de l’onglet Configuration, accédez à Gestion du trafic, puis cliquez sur SSL.
- Dans le panneau principal, cliquez sur Modifier les paramètres SSL avancés.
- Dans le menu Refuser la renégociation SSL, sélectionnez NON.
Pour tester l’authentification par carte à puce :
- Connectez la carte à puce à la machine utilisateur.
- Ouvrez votre navigateur Web et connectez-vous à Citrix Gateway.