Configuration de l’authentification par carte à puce
Vous pouvez configurer NetScaler Gateway pour qu’il utilise une carte à puce cryptographique pour authentifier les utilisateurs.
Pour configurer une carte à puce avec NetScaler Gateway, procédez comme suit :
- Créez une stratégie d’authentification de certificat. Pour plus d’informations, consultez la section Configuration de l’authentification du certificat client.
- Liez la stratégie d’authentification à un serveur virtuel.
-
Ajoutez le certificat racine de l’autorité de certification (CA) qui émet les certificats clients à NetScaler Gateway. Pour de plus amples informations, consultez la section Pour installer un certificat racine sur NetScaler Gateway.
Important : Lorsque vous ajoutez le certificat racine au serveur virtuel pour l’authentification par carte à puce, vous devez sélectionner le certificat dans la liste Sélectionner un certificat d’autorité de certification.
Après avoir créé le certificat client, vous pouvez écrire le certificat, appelé Flash, sur la carte à puce. Une fois cette étape terminée, vous pouvez tester la carte à puce.
Si vous configurez l’interface Web pour l’authentification relais par carte à puce, si l’une des conditions suivantes existe, l’authentification unique à l’interface Web échoue :
- Si vous définissez plutôt le domaine sous l’onglet Applications publiées sur
mydomain
.commydomain
. - Si vous ne définissez pas le nom de domaine dans l’onglet Applications publiées et si vous exécutez la commande
wi-sso-split-upn
définissant la valeur sur 1. Dans ce cas, UserPrincipalName contient le nom de domaine «mydomain
.com. »
Vous pouvez utiliser l’authentification par carte à puce pour simplifier le processus d’ouverture de session de vos utilisateurs tout en améliorant la sécurité de l’accès des utilisateurs à votre infrastructure. L’accès au réseau interne de l’entreprise est protégé par une authentification à deux facteurs basée sur un certificat à l’aide de l’infrastructure à clé publique. Les clés privées sont protégées par des contrôles matériels et ne quittent jamais la carte à puce. Vos utilisateurs bénéficient d’un accès à leurs bureaux et applications à partir d’une large gamme de périphériques d’entreprise à l’aide de leurs cartes à puce et codes PIN.
Vous pouvez utiliser des cartes à puce pour l’authentification utilisateur via StoreFront aux bureaux et applications fournis par Citrix Virtual Apps and Desktops. Les utilisateurs de cartes à puce qui se connectent à StoreFront peuvent également accéder aux applications fournies par NetScaler Endpoint Management. Toutefois, les utilisateurs doivent s’authentifier à nouveau pour accéder aux applications Web Endpoint Management qui utilisent l’authentification par certificat client.
Pour plus d’informations, consultez Configurer l’authentification par carte à puce dans la documentation StoreFront.
Configuration de l’authentification par carte à puce avec des connexions ICA sécurisées
Les utilisateurs qui se connectent et établissent une connexion ICA sécurisée à l’aide d’une carte à puce avec authentification unique configurée sur NetScaler Gateway peuvent être invités à saisir leur numéro d’identification personnel (PIN) à deux reprises.
- Lorsque vous ouvrez une session et que vous essayez de démarrer une ressource publiée. Cette situation se produit si le navigateur Web et l’application Citrix Workspace utilisent le même serveur virtuel configuré pour utiliser les certificats client.
- L’application Citrix Workspace ne partage pas de processus ni de connexion SSL (Secure Sockets Layer) avec le navigateur Web. Par conséquent, lorsque la connexion ICA termine l’établissement de liaison SSL avec NetScaler Gateway, le certificat client est requis une seconde fois.
Pour empêcher les utilisateurs de recevoir la deuxième invite de code PIN, vous devez modifier deux paramètres :
- L’authentification du client sur le serveur virtuel VPN doit être désactivée.
- La renégociation SSL doit être activée.
Après avoir configuré le serveur virtuel, liez un ou plusieurs serveurs STA au serveur virtuel, comme décrit dans la section Configuration des paramètres de NetScaler Gateway dans l’interface Web 5.3.
Vous pouvez également tester l’authentification par carte à puce.
Pour désactiver l’authentification client :
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Virtual Servers.
- Sélectionnez le serveur virtuel approprié dans le volet de détails principal, puis cliquez sur Modifier.
- Dans le volet Options avancées, cliquez sur Paramètres SSL.
- Décochez la case Authentification du client.
- Cliquez sur Terminé.
Pour activer la renégociation SSL :
- À l’aide de l’utilitaire de configuration, dans l’onglet Configuration, accédez à Gestion du trafic, puis cliquez sur SSL.
- Dans le panneau principal, cliquez sur Modifier les paramètres SSL avancés.
- Dans le menu Refuser la renégociation SSL, sélectionnez NON.
Pour tester l’authentification par carte à puce :
- Connectez la carte à puce à la machine utilisateur.
- Ouvrez votre navigateur Web et connectez-vous à NetScaler Gateway.