Support de nFactor pour le client Citrix Secure Access sur macOS/iOS
Important :
Citrix SSO pour iOS s’appelle désormais Citrix Secure Access. Nous mettons à jour notre documentation et les captures d’écran de l’interface utilisateur de manière à refléter ce changement de nom.
L’authentification multi-facteurs (nFactor) améliore la sécurité d’une application en obligeant les utilisateurs à fournir plusieurs preuves d’identité pour y accéder. Les administrateurs peuvent configurer différents facteurs d’authentification, notamment le certificat client, LDAP, RADIUS, OAuth, SAML, etc. Ces facteurs d’authentification peuvent être configurés dans n’importe quel ordre en fonction des besoins de l’organisation.
Le client Citrix Secure Access sur macOS/iOS prend en charge les protocoles d’authentification suivants :
-
nFactor — Le protocole nFactor est utilisé lorsqu’un serveur virtuel d’authentification est lié au serveur virtuel VPN sur la passerelle. Étant donné que l’ordre des facteurs d’authentification est dynamique, le client utilise une instance de navigateur rendue dans le contexte de l’application pour présenter l’interface graphique d’authentification.
-
Classique : le protocole classique est le protocole de secours par défaut utilisé si les stratégies d’authentification classiques sont configurées sur le serveur virtuel VPN de la passerelle. Le protocole classique est le protocole de secours si NFactor échoue pour des méthodes d’authentification spécifiques telles que NAC.
-
Plateforme d’identité Citrix : le protocole de plateforme d’identité Citrix est utilisé lors de l’authentification auprès de CloudGateway ou du service Citrix Gateway et nécessite une inscription MDM auprès de Citrix Cloud.
Le tableau suivant récapitule les différentes méthodes d’authentification prises en charge par chaque protocole.
| Méthode d’authentification | nFactor | Classique | IdP Citrix |
|---|---|---|---|
| Cert Client | Pris en charge | Pris en charge | Non pris en charge |
| LDAP | Pris en charge | Pris en charge | Non pris en charge |
| Stockage local | Pris en charge | Pris en charge | Non pris en charge |
| RADIUS | Pris en charge | Non pris en charge | Non pris en charge |
| SAML | Pris en charge | Non pris en charge | Non pris en charge |
| OAuth | Pris en charge | Non pris en charge | Non pris en charge |
| TACACS | Pris en charge | Non pris en charge | Non pris en charge |
| WebAuth | Pris en charge | Non pris en charge | Non pris en charge |
| Négocier | Pris en charge | Non pris en charge | Non pris en charge |
| EPA | Pris en charge | Pris en charge | Non pris en charge |
| NAC | Non pris en charge | Pris en charge | Non pris en charge |
| StoreFront | Non pris en charge | Non pris en charge | Non pris en charge |
| ADAL | Non pris en charge | Non pris en charge | Non pris en charge |
| DS-AUTH | Non pris en charge | Non pris en charge | Pris en charge |
Configuration NFactor
Pour plus d’informations sur la configuration de NFactor, reportez-vous à la section Configuration de l’authentification NFactor.
Important :
pour utiliser le protocole nFactor avec le client Citrix Secure Access sur macOS/iOS, la version locale recommandée de NetScaler Gateway est 12.1.50.xx et versions ultérieures.
Limitations
-
Les stratégies d’authentification spécifiques aux appareils mobiles, telles que le NAC (contrôle d’accès réseau), exigent que le client envoie un identifiant d’appareil signé dans le cadre de l’authentification avec NetScaler Gateway. L’identificateur d’appareil signé est une clé secrète rotative qui identifie de manière unique un appareil mobile inscrit dans un environnement MDM. Cette clé est intégrée dans un profil VPN géré par un serveur MDM. Il n’est peut-être pas possible d’injecter cette clé dans le contexte WebView. Si le NAC est activé sur un profil VPN MDM, le client Citrix Secure Access sur macOS/iOS revient automatiquement au protocole d’authentification classique.
-
Vous ne pouvez pas configurer la vérification NAC avec Intune pour macOS, car Intune ne fournit pas d’option permettant d’activer NAC pour macOS contrairement à iOS.