Citrix XenApp / XenDesktop - Single Sign-On (SSO)

Page 1 / 1
  • Publié le : 02 août 2016 à 13:32
  • Par Lionel Eppe

Lorsque vous installez et configurez Citrix XenApp ou Citrix XenDesktop, vous devez aussi installer Citrix Receiver sur les ordinateurs clients. Néanmoins, par défaut, Citrix Receiver vous demandera l'adresse d'un serveur StoreFront + les identifiants de l'utilisateur pour chaque ordinateur client.
Pour améliorer l'expérience utilisateur, nous allons configurer le serveur pour que l'utilisateur puisse utiliser directement ses applications ou bureaux via Citrix Receiver sans rien indiquer.
Pour cela, nous allons utiliser une fonctionnalité qui s'appelle le Single Sign-On (SSO).

Configuration utilisée :

  1. Configuration du serveur
  2. Configuration des clients Windows
  3. Activer la connexion automatique à Citrix Receiver (web et programme)
  4. Connexion automatique pour le programme Citrix Receiver (si nécessaire)

1. Configuration du serveur

Pour commencer, activez le paramètre "Trust requests sent to the XML service" sur le serveur XenApp/XenDesktop.
Pour cela :
- ouvrez une fenêtre powershell (l'icône se trouve dans la barre des taches sous Win. Server 2012).
- tapez "asnp Citrix*" pour charger les commandes powershell de Citrix
- Activez les requêtes XML de confiance en tapant : Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
- Vérifiez que ce paramètre a été activé en tapant "Get-BrokerSite" et vérifiez que la ligne "TrustRequestsSentToTheXmlServicePort" soit à "TRUE".
Source : support.citrix.com

Activez l'authentification unique (pass-through authentication) pour le StoreFront et l'interface web.
Pour cela, lancez Citrix Studio ou Citrix StoreFront, allez dans "Citrix StoreFront -> Authentification" et cliquez sur "Ajouter/supprimer des méthodes".

Dans la liste qui s'affiche, cochez la case "Authentification unique au domaine".
Notez qu'il est préférable de laisser aussi la case "Nom d'utilisateur et mot de passe" cochée pour pouvoir se connecter manuellement depuis l'interface
web ou Citrix Receiver dans le cas où la connexion automatique n'aurait pas fonctionné ou ne serait pas activée sur le PC client.

Note : le triangle orange vous signale que cette méthode d'authentification doit être activée séparément pour chaque site Receiver pour Web.

Pour cela, allez dans "Citrix StoreFront -> Receiver pour Web" et cliquez sur "Choisir les méthodes d'authentification".

Dans la liste qui s'affiche, cochez la case "Authentification unique au domaine".
Comme précédemment, il est conseillé de laisser aussi la case "Nom d'utilisateur et mot de passe" cochée.

Note : comme indiqué par le triangle orange, pour garantir une expérience utilisateur optimale, toutes les machines clientes Windows
doivent être associées au domaine et l'authentification unique doit être activée pour Citrix Receiver. Autrement dit : le Single Sign-On (SSO).

2. Configuration des clients Windows

Pour que l'utilisateur puisse se connecter automatiquement à l'interface Web Citrix Receiver et via le programme Citrix Receiver, vous devrez installer Citrix Receiver en activant la fonctionnalité "Single Sign-On (SSO)".

Pour cela, téléchargez Citrix Receiver depuis votre serveur Citrix.
L'adresse ressemble à ceci : https://xenapp.informatiweb.lan/Citrix/StoreWeb

Ensuite, comme indiqué dans la documentation de Citrix, vous devrez vous connecter sur le PC client avec un compte qui possède des droits administrateurs pour pouvoir installer Citrix Receiver.
Pour ce tuto, nous avons utilisé le compte Administrateur du domaine.

Pour installer Citrix Receiver en activant le Single Sign-On, ouvrez un invite de commandes et tapez ceci : CitrixReceiver.exe /includeSSON

L'assistant d'installation s'affiche.
Cliquez simplement sur Installer, puis Terminer.

3. Activer la connexion automatique à Citrix Receiver (web et programme)

Notez que ces manipulations ne sont pas nécessaires si vous utilisez Citrix Receiver Enterprise for Windows (ce qui n'est pas le cas par défaut).

Bref, si vous utilisez Citrix Receiver (version normale), vous devrez modifier 2 paramètres d'Internet Explorer.
Pour commencer, ouvrez une session Windows sur le PC client avec un utilisateur du domaine et vérifiez si vous pouvez accéder au fichier "https://xenapp.informatiweb.lan/Citrix/Authentication/integrated/test.aspx".

Si Internet Explorer vous affiche votre nom d'utilisateur : aucune modification n'est nécessaire, car la connexion automatique fonctionne.

Si ce n'est pas le cas (Internet Explorer vous demande un nom d'utilisateur et un mot de passe), alors vous devrez faire ces 2 manipulations dans Internet Explorer.

Pour commencer, dans Internet Explorer, allez dans "Outils -> Options Internet -> Onglet : Sécurité".
Sélectionnez "Sites de confiance" et cliquez sur le bouton "Sites" pour y ajouter l'adresse de votre StoreFront ou de l'interface web.

Seule la racine du site est nécessaire. (ex : https://xenapp.informatiweb.lan)

Ensuite, cliquez sur le bouton "Personnaliser le niveau".

Puis, repérez l'option "Authentification utilisateur".
Pour cette option, sélectionnez la valeur "Connexion automatique avec le nom d'utilisateur et le mot de passe".

Cliquez sur Oui.

Maintenant, la connexion automatique fonctionnera pour l'interface web.
En effet, si vous accédez à l'adresse "https://xenapp.informatiweb.lan/Citrix/StoreWeb", ce message s'affichera :
Pour utiliser le compte que vous avez utilisé pour vous connecter à l'ordinateur, cliquer sur "Ouvrir une session".

Cliquez sur "Ouvrir session" et vos applications s'afficheront.

4. Connexion automatique pour le programme Citrix Receiver (si nécessaire)

Pour le programme "Citrix Receiver", vous devrez aussi utiliser des stratégies de groupes (GPO).
Par sécurité et par flexibilité, créer une unité d'organisation (OU) dans l'Active Directory et déplacez les ordinateurs clients dans cette OU.

Puis, récupérez le fichier "icaclient.adm" qui se trouve dans dossier "%SystemDrive%\Program Files (x86)\Citrix\ICA Client\Configuration" du PC client et transférez ce fichier sur votre serveur Active Directory.

Sur votre serveur Active Directory, ouvrez le programme "Gestion de stratégies de groupe" et allez dans : [votre domaine] -> [nom de votre OU].
Puis, faites un clic droit sur cette OU et cliquez sur "Créer un objet GPO dans ce domaine, ...".

Indiquez le nom que vous souhaitez.

Faites un clic droit "Modifier" sur cette GPO.

Ouvrez la partie "Stratégies" de la partie "Configuration ordinateur" et faites un clic droit "Ajout/suppression de modèles" sur la ligne "Modèles d'administration".

Cliquez sur Ajouter et sélectionnez le fichier "icaclient.adm".

Maintenant, allez dans : Configuration ordinateur -> Stratégies -> Modèles d'administration -> Modèles d'administration classiques (ADM)
-> Citrix Components -> Citrix Receiver -> User authentication.

Dans les stratégies affichées, activez la stratégie "Local user name password" et vérifiez que la case "Enable pass-through authentication" est bien cochée et cliquez sur OK.
Note : si vous utilisez une ancienne version de Citrix Receiver ou un autre client ICA, il sera peut-être nécessaire de cocher la case "Allow pass-through authentication for all ICA connections".

Ensuite, si vous le souhaitez, vous pouvez aussi définir directement la liste du ou des serveurs storefront que vous souhaitez envoyer à Citrix Receiver.
Pour cela, allez dans "Configuration ordinateur -> Stratégies -> Modèles d'administration -> Modèles d'administration classiques (ADM) -> Citrix Components -> Citrix Receiver -> Storefront" et activez la stratégie "Storefront Accounts List".

Pour cette stratégie, sélectionnez "Activé", puis cliquer sur le bouton "Afficher".

Comme indiqué dans la description de cette stratégie, vous devrez créer une ligne par serveur StoreFront en y indiquant chaque fois : le nom et l'adresse du serveur StoreFront, si le magasin (store) est activé ou non, ainsi qu'une description.
Dans notre cas, nous allons indiquer : Store Service;https://xenapp.informatiweb.lan/Citrix/Store/discovery;On;Bureaux et applications bureautiques

Redémarrez le PC client pour que les stratégies de sécurité soient appliquées à ce PC, puis ouvrez Citrix Receiver.
Si vous avez configuré la stratégie "Storefront Accounts List", alors Citrix Receiver affichera directement vos applications et vous serez automatiquement connecté grâce au SSO.

De plus, si vous cliquez sur le triangle à côté de votre nom d'utilisateur, puis sur Comptes, vous verrez que le magasin "Store Service" (que nous avions défini par GPO) est déjà présent dans la liste.
Ce qui vous évite de l'ajouter manuellement sur chaque PC.

Procédure basée sur 2 articles du support de Citrix :
- How to Manually Install and Configure Citrix Receiver for Pass-Through Authentication
- How to Configure Single Sign-on for Web Interface Using Version 10, 11, and 12x Plug-ins