Clients, facteurs, fonctionnalités et versions prises en charge de la passerelle Citrix
Okta prend en charge l'intégration RADIUS à l'aide de Citrix Gateway aux versions, clients, fonctionnalités et facteurs suivants.
Versions prises en charge
Ce guide a été vérifié avec les versions de Citrix Gateway suivantes :
- Version 10.5.x
- Version 11.x
- Version 12.x
- Version 13.0.x
Clients pris en charge
Les clients Citrix suivants ont fait l'objet d'une validation :
- Citrix Web Receiver
- Citrix Windows\Mac Receiver
- Citrix iOS\Android Receiver
Fonctionnalités prises en charge
Les fonctionnalités Okta prises en charge sont les suivantes :
- Authentification avec les informations d'identification Okta via RADIUS
- Authentification avec les informations d'identification Okta via SAML
- MFA via RADIUS
- MFA via SAML
- Appartenances à des groupes/attributs via RADIUS : transmet le nom d'utilisateur et le mot de passe à la vitrine pour les autorisations du groupe AD
Facteurs pris en charge
La taille du message de challenge peut être trop importante pour l'invite RADIUS si vous laissez les utilisateurs inscrire trop d'authentificateurs. Okta vous recommande de ne pas inscrire plus de huit authentificateurs à la fois.
Okta prend en charge les authentificateurs suivants pour les applications RADIUS :
|
Authentificateur MFA |
Protocole d'authentification par mot de passe (PAP) | Protocole d'authentification extensible - Carte à jeton générique (EAP-GTC) | Protocole d'authentification extensible - Sécurité de la couche transport tunnelisée (EAP-TTLS)* |
|---|---|---|---|
| Duo (Push, SMS et code d'accès uniquement) | Pris(e) en charge | Pris(e) en charge | Code d'accès Duo seulement. |
|
Pris(e) en charge |
Pris(e) en charge |
Pris en charge lorsque la chaîne « E-MAIL » est initialement envoyée. |
|
|
RADIUS ne prend pas en charge l'inscription en ligne avec E-mail. Lors d'une inscription en ligne, désactivez e-mail ou indiquez Réinitialiser le mot de passe dans les paramètres d'e-mail.
|
|||
| Pris(e) en charge | Pris(e) en charge | Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
|
|
Okta Verify (TOTP [Mot de passe à usage unique et à durée limitée] et PUSH) |
Pris(e) en charge (pour un appareil uniquement) |
Pris(e) en charge (pour un appareil uniquement) |
Pris en charge (dès lors que le challenge est évité). (pour un appareil uniquement) Par exemple, MFA uniquement ou « Mot de passe, code d'accès » pour TOTP. Les notifications push peuvent fonctionner avec la MFA principale puisque que la vérification push est envoyée hors bande. |
|
Non pris(e) en charge |
Non pris(e) en charge |
Non pris(e) en charge |
|
| Pris(e) en charge (mot de passe et MFA uniquement) | Pris(e) en charge (mot de passe + MFA uniquement). |
Non pris(e) en charge | |
| Pris(e) en charge | Pris(e) en charge | Pris en charge lorsque la chaîne « CALL » est envoyée. Reportez-vous à la note associée. |
|
| Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
|
* RADIUS prend en charge trois méthodes d'authentification :
- Mot de passe + MFA : l'authentification principale se fait à l'aide d'un mot de passe, puis l'utilisateur est invité à choisir des facteurs pour terminer l'authentification.
- MFA uniquement : plutôt qu'un mot de passe, l'utilisateur saisit un code d'accès à usage unique (un OTP) ou bien « E- MAIL», « SMS », « APPEL» ou « PUSH » (maj/min acceptées).
- Mot de passe, code d'accès : le mot de passe est saisi immédiatement, suivi par un code d'accès dans une requête.
Il doit s'agir de la même requête, par exemple : Abcd1234,879890 ou Abcd1234,SmS.
Le protocole prend en charge les méthodes d'authentification suivantes :
| Protocole | Prend en charge |
|---|---|
| PAP | Mot de passe et authentification multifacteur, authentification multifacteur, « Mot de passe et code d'accès ». |
| EAP-TTLS | Authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
| EAP-GTC | Mot de passe et authentification multifacteur, authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
Les utilisateurs doivent envoyer la chaîne spécifiée EMAIL/SMS/CALL, qui renvoie initialement un échec. Cela entraîne la génération d'un OTP fourni à l'aide de la méthode spécifiée. L'OTP fourni pourra alors être utilisé dans le cadre de l'authentification.
EAP-TTLS ne prend pas en charge l'inscription
L'authentification échouera de manière inattendue si EAP-TTLS est activé, si Okta Verify ou Téléphone sont indiqués comme politique d'inscription requise et si l'utilisateur n'est pas inscrit sur cet Authenticator.
U2F Security et Windows Hello ne sont pas compatible avec les implementations activées avec RADIUS. Consultez Applications RADIUS dans Okta
Authentification sans mot de passe
Les mots de passe constituent le mécanisme d'authentification principal dans le cadre de l'authentification RADIUS. L'authentification RADIUS traditionnelle ne peut pas être effectuée avec des utilisateurs sans mot de passe. RADIUS peut utiliser d'autres facteurs pour l'authentification lorsque la propriété de configuration de l'application Okta réalise l'authentification principale n'est pas cochée. Pour en savoir plus, voir 2FA uniquement (Mode sans mot de passe) dans Applications RADIUS dans Okta.
Pour en savoir plus sur l'authentification sans mot de passe, voir Configurer une expérience de connexion sans mot de passe.