Configuration de l’authentification par carte à puce
Vous pouvez configurer Citrix Gateway pour qu’il utilise une carte à puce cryptographique pour authentifier les utilisateurs.
Pour configurer une carte à puce afin qu’elle fonctionne avec Citrix Gateway, vous devez effectuer les opérations suivantes :
- Créez une stratégie d’authentification de certificat. Pour plus d’informations, consultez la section Configuration de l’authentification du certificat client.
- Liez la stratégie d’authentification à un serveur virtuel.
-
Ajoutez le certificat racine de l’autorité de certification (CA) émettant les certificats clients à Citrix Gateway. Pour de plus amples informations, consultez la section Pour installer un certificat racine sur Citrix Gateway.
Important : Lorsque vous ajoutez le certificat racine au serveur virtuel pour l’authentification par carte à puce, vous devez sélectionner le certificat dans la liste déroulante Sélectionner un certificat d’autorité de certification, comme illustré dans la figure suivante. Figure 1. Ajouter un certificat racine pour l’authentification par carte à puce
Après avoir créé le certificat client, vous pouvez écrire le certificat, appelé Flash, sur la carte à puce. Une fois cette étape terminée, vous pouvez tester la carte à puce.
Si vous configurez l’interface Web pour l’authentification relais par carte à puce, si l’une des conditions suivantes existe, l’authentification unique à l’interface Web échoue :
- Si vous définissez le domaine dans l’onglet Applications publiées comme mydomain.com au lieu de mydomain.
- Si vous ne définissez pas le nom de domaine dans l’onglet Applications publiées et si vous exécutez la commande wi-sso-split-upn, définissez la valeur sur 1. Dans ce cas, le UserPrincipalName contient le nom de domaine « mydomain.com ». «
Vous pouvez utiliser l’authentification par carte à puce pour simplifier le processus d’ouverture de session de vos utilisateurs tout en améliorant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau d’entreprise interne est protégé par une authentification à deux facteurs basée sur certificat à l’aide d’une infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d’un accès à leurs bureaux et applications à partir d’une large gamme de périphériques d’entreprise à l’aide de leurs cartes à puce et codes PIN.
Vous pouvez utiliser des cartes à puce pour l’authentification utilisateur via StoreFront aux bureaux et applications fournis par Citrix Virtual Apps and Desktops. Les utilisateurs de cartes à puce qui se connectent à StoreFront peuvent également accéder aux applications fournies par Citrix Endpoint Management. Toutefois, les utilisateurs doivent s’authentifier à nouveau pour accéder aux applications Web Endpoint Management qui utilisent l’authentification par certificat client.
Pour plus d’informations, consultez Configurer l’authentification par carte à puce dans la documentation StoreFront.
Configuration de l’authentification par carte à puce avec des connexions ICA sécurisées
Les utilisateurs qui ouvrent une session et établissent une connexion ICA sécurisée à l’aide d’une carte à puce avec authentification unique configurée sur Citrix Gateway peuvent être invités à saisir leur numéro d’identification personnel (PIN) à deux moments différents : lors de la connexion et lors de la tentative de démarrage d’une ressource publiée. Cette situation se produit si le navigateur Web et Citrix Receiver utilisent le même serveur virtuel configuré pour utiliser des certificats clients. Citrix Receiver ne partage aucun processus ni aucune connexion SSL (Secure Sockets Layer) avec le navigateur Web. Par conséquent, lorsque la connexion ICA termine la connexion SSL avec Citrix Gateway, le certificat client est requis une deuxième fois.
Pour empêcher les utilisateurs de recevoir la deuxième invite de code PIN, vous devez modifier deux paramètres :
- L’authentification du client sur le serveur virtuel VPN doit être désactivée.
- La renégociation SSL doit être activée.
Après avoir configuré le serveur virtuel, liez un ou plusieurs serveurs STA au serveur virtuel, comme décrit dans Configuration des paramètres Citrix Gateway dans l’interface Web 5.3.
Vous pouvez également tester l’authentification par carte à puce.
Pour désactiver l’authentification client :
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Virtual Servers.
- Sélectionnez le serveur virtuel approprié dans le volet de détails principal, puis cliquez sur Modifier.
- Dans le volet Options avancées, cliquez sur Paramètres SSL.
- Décochez la case Authentification du client.
- Cliquez sur Terminé.
Pour activer la renégociation SSL :
- À l’aide de l’utilitaire de configuration, dans l’onglet Configuration, accédez à Gestion du trafic, puis cliquez sur SSL.
- Dans le panneau principal, cliquez sur Modifier les paramètres SSL avancés.
- Dans le menu Refuser la renégociation SSL, sélectionnez NON.
Pour tester l’authentification par carte à puce :
- Connectez la carte à puce à la machine utilisateur.
- Ouvrez votre navigateur Web et connectez-vous à Citrix Gateway.