Prendre en charge plusieurs domaines dans Citrix StoreFront et Web Interface

Aujourd’hui, nous allons voir comment prendre en charge des utilisateurs provenant de différents domaines Active Directory dans le cas d’infrastructures de type Citrix XenApp ou XenDesktop.

Si vous avez un peu suivi l’actualité autour de ces produits Citrix, vous savez qu’il y a eu une importante montée de version lorsque Citrix a rendu disponible Citrix XenApp et XenDesktop 7 fin 2013. Aujourd’hui , nous en sommes déjà à la version 7.6 qui est disponible depuis le 30 septembre.

Lors de leur connexion les utilisateurs s’identifient avec leur login et leur mot de passe habituel en accédant aux ressources via le nouveau portail web Citrix StoreFront ou bien, en utilisant l’ancienne Web Interface (version 5.4). En effet, depuis la version 7.5, la Web Interface 5.4 est finalement supportée avec les nouvelles versions de XenApp et XenDesktop 7.

Mais comment prendre en charge les utilisateurs de vos différents domaines au sein de votre nouvelle infrastructure XenApp ou XenDesktop 7 ? Par défaut, ce sont les utilisateurs qui doivent indiquer lors de la saisie de leur identifiant en précisant leur domaine d’appartenance avec le format suivant : login@domaine.tld ou domain.com\login.

Malheureusement, la plupart des utilisateurs non IT ne sont pas familiers de ce genre de notations et préfèrent ne saisir que leur identifiant et mot de passe. Comment simplifier le processus d’authentification ?

Ajouter un menu déroulant pour sélectionner le domaine dans la Web Interface 5.4

Commençons par le plus simple sur la Web Interface (version 5.4 ou plus ancienne) il est possible de spécifier directement depuis la GUI quels sont les domaines Active Directory que l’on souhaite prendre en charge ou refuser.

Mieux encore, il est également possible de simplifier la tâche des utilisateurs qui s’identifient en faisant apparaître un menu déroulant avec les différents domaines disponibles.

Pour ce fait, ouvrez la console Citrix Web Interface Management.

Dans la section Authentication Methods puis dans la nouvelle fenêtre qui s’ouvre sélectionnez la méthode utilisée.

Dans la nouvelle fenêtre qui s’ouvre, dirigez-vous dans le noeud General puis Domain Restriction.

Là, vous allez pouvoir restreindre l’accès à certains domaines ou bien autoriser tous les domaines de votre entreprise. Il vous suffit de sélectionner l’option que vous souhaitez et de remplir le champ avec les boutons Add/Edit/Remove pour ajouter les domaines que vous souhaitez autoriser. Validez en cliquant sur OK.

NB : Vous pouvez utiliser le nom complet pour les domaines ou bien leur nom court.

Nous allons maintenant voir comment nous pouvons aider les utilisateurs en ajoutant un menu déroulant afin qu’ils n’aient pasà  saisir user@domaine.tld ou domain.tld\user.

Toujours dans la même fenêtre, rendez-vous dans le noeud Authentication Type et cliquez sur le bouton Settings.

Là, vous allez pouvoir configurer un menu déroulant avec les différents domaines que vos utilisateurs pourront sélectionner.

Une fois cette option activée concrètement la Web Interface ressemble à ceci :

Les utilisateurs n’ont plus qu’à choisir le domaine à utiliser ! 🙂

Mémoriser la sélection du domaine (Web Interface 5.4)

Bien que ce ne soit pour l’instant pas faisable sur StoreFront, dans la Web Interface 5.4 vous pouvez activer un custom code proposé par Citrix permettant de mémoriser la domaine qui a été sélectionné par l’utilisateur. De cette façon, lors de sa re connexion, le bon domaine sera déjà pré-sélectionné et il n’aura donc que son identifiant et mot de passe à saisir (pas mal pour l’expérience utilisateur).

Pour ce faire, vous devez activer l’appel de la fonction setLoginDomainPreference(); dans le fichier Login.java qui se trouve à l’emplacement suivant :

C:\inetpub\wwwroot\Citrix\[XenApp]\app_code\PagesJava\com\citrix\wi\pages\auth

Remplacez XenApp avec le nom de votre Site.

Une fois que c’est fait n’oubliez pas de faire un iisreset et bien entendu vider le cache de votre navigateur si nécessaire. Désormais, la sélection du domaine est mémorisée et l’utilisateur n’aura pas à le sélectionner à chaque fois (surtout si son domaine n’est pas celui qui est présenté par défaut).

Initialement, les détails de ce custom code étaient disponibles pour d’anciennes version de la Web Interface en suivant le lien suivant. Mais il s’avère que c’est tout à fait fonctionnel avec la Web Interface 5.4.

Note : si cela ne fonctionne pas lors de votre test, vérifiez que vous avez bien choisi l’option Disable kiosk mode (keep user customizations) dans Session Settings au niveau de votre Web Interface.

Personnellement, j’ai eu besoin de tester cela avec la plupart des navigateurs du marché et ça fonctionne dans chaque cas.

Ajouter un menu déroulant pour sélectionner le domaine dans StoreFront

Dans StoreFront, c’est un peu moins simple dans le sens ou l’action ne peut pas (complètement) être réalisée depuis l’assistant graphique.

Ouvrez la console Citrix StoreFront et dirigez-vous dans le noeud Authentication puis Configure Trusted Domains.

Et choisissez les domaines que vous souhaitez autoriser.

En revanche, sur la capture d’écran ci-dessous, vous voyez une checkbox Show domain list in logon page. Cette fonction est propre à StoreFront 2.6 (version livrée avec XenApp ou XenDesktop 7.6). Si vous disposez d’une version antérieure, vous devez activer le menu déroulant manuellement en modifiant un fichier de configuration.

Pour ce faire, dans le fichier web.config stocké dans le répertoire suivant : C:\inetpub\wwwroot\Citrix\Authentication recherchez le mot clé hideDomainField et modifier le paramètrage à false (plus d’infos ici).

En revanche, à ma connaissance, Citrix ne propose pas de custom code pour mémoriser le domaine comme pour la Web Interface (pour l’instant en tout cas).