Prise en charge de nFactor pour Citrix SSO sur iOS et macOS
L’authentification multifacteur (nFactor) améliore la sécurité d’une application en exigeant que les utilisateurs fournissent plusieurs preuves d’identification pour y accéder. Les administrateurs peuvent configurer différents facteurs d’authentification, notamment le certificat client, LDAP, RADIUS, OAuth, SAML, etc. Ces facteurs d’authentification peuvent être configurés dans n’importe quel ordre en fonction des besoins de l’organisation.
Citrix SSO prend en charge les protocoles d’authentification suivants :
-
nFactor — Le protocole nFactor est utilisé lorsqu’un serveur virtuel d’authentification est lié au serveur virtuel VPN sur la Gateway. Étant donné que l’ordre des facteurs d’authentification est dynamique, le client utilise une instance de navigateur qui est rendue dans le contexte de l’application pour présenter l’interface graphique d’authentification.
-
Classique : le protocole classique est le protocole de secours par défaut utilisé si les stratégies d’authentification classiques sont configurées sur le serveur virtuel VPN sur la Gateway. Le protocole classique est le protocole de secours si nFactor échoue pour des méthodes d’authentification spécifiques telles que NAC.
-
Plate-forme d’identité Citrix : le protocole de plate-forme d’identité Citrix est utilisé lors de l’authentification auprès de CloudGateway ou du service de Gateway et nécessite l’inscription MDM auprès de Citrix Cloud.
Le tableau suivant résume les différentes méthodes d’authentification prises en charge par chaque protocole.
| Méthode d’authentification | nFactor | Classique | IdP Citrix |
|---|---|---|---|
| Cert client | Pris en charge | Pris en charge | Non pris en charge |
| LDAP | Pris en charge | Pris en charge | Non pris en charge |
| Stockage local | Pris en charge | Pris en charge | Non pris en charge |
| RADIUS | Pris en charge | Non pris en charge | Non pris en charge |
| SAML | Pris en charge | Non pris en charge | Non pris en charge |
| OAuth | Pris en charge | Non pris en charge | Non pris en charge |
| TACACS | Pris en charge | Non pris en charge | Non pris en charge |
| WebAuth | Pris en charge | Non pris en charge | Non pris en charge |
| Négocier | Pris en charge | Non pris en charge | Non pris en charge |
| EPA | Pris en charge | Pris en charge | Non pris en charge |
| NAC | Non pris en charge | Pris en charge | Non pris en charge |
| StoreFront | Non pris en charge | Non pris en charge | Non pris en charge |
| ADAL | Non pris en charge | Non pris en charge | Non pris en charge |
| DS-AUTH | Non pris en charge | Non pris en charge | Pris en charge |
Configuration nFactor
Pour plus d’informations sur la configuration de nFactor, reportez-vous à la section Configuration de l’authentification nFactor.
Important : Pour utiliser le protocole nFactor avec Citrix SSO, la version recommandée de Citrix Gateway sur site est 12.1.50.xx et ultérieure.
Limitations
-
Le protocole nFactor est désactivé, par défaut. Les clients qui souhaitent utiliser nFactor doivent explicitement demander la prise en charge de Citrix et fournir leur nom de domaine complet du serveur virtuel VPN.
-
Les stratégies d’authentification spécifiques aux mobiles telles que NAC (contrôle d’accès réseau) exigent que le client envoie un identifiant de périphérique signé dans le cadre de l’authentification avec Citrix Gateway. L’identificateur de périphérique signé est une clé secrète rotative qui identifie de manière unique un périphérique mobile inscrit dans un environnement MDM. Cette clé est intégrée dans un profil VPN géré par un serveur MDM. Il peut ne pas être possible d’injecter cette clé dans le contexte WebView. Si NAC est activé sur un profil VPN MDM, Citrix SSO revient automatiquement au protocole d’authentification classique.