Bedingte Authentifizierung (Technical Preview)
Hinweis:
Kunden haben die Möglichkeit, Technical Previews in ihren Umgebungen, die nicht oder nur eingeschränkt zur Produktion verwendet werden, zu nutzen und Feedback zu geben. Citrix akzeptiert keine Supportanfragen für Features in Technical Previews, begrüßt jedoch Feedback zur Verbesserung der Features. Sie können uns Feedback zu dieser Funktion geben, indem Sie auf Feedback senden klicken. Basierend auf Schweregrad, Kritikalität und Wichtigkeit behält sich Citrix eine Reaktion auf das Feedback vor.
Die bedingte Authentifizierung ist eine neue Sicherheitsfunktion, mit der Sie Ihr Zero-Trust-Framework weiter verbessern können. Die bedingte Authentifizierung ermöglicht es Citrix Cloud-Administratoren, Endbenutzer während des Workspace-Anmeldevorgangs auf der Grundlage der von Ihnen festgelegten Richtlinienbedingungen an verschiedene IdPs weiterzuleiten. Daher werden verschiedene Endbenutzer auf der Grundlage der vom Administrator festgelegten Risikofaktoren unterschiedliche Stufen der Zugriffsüberprüfung erhalten.
Zum Zeitpunkt der Erstellung dieses Artikels werden vier verschiedene Switching-Bedingungen unterstützt, die Ihre Endbenutzer auf der Grundlage der von Ihnen definierten Richtlinien zu verschiedenen IdP-Instanzen weiterleiten.
Häufige Anwendungsfälle
- Fusionen und Übernahmen, bei denen eine große Muttergesellschaft mehrere kleinere Unternehmen eingliedert, die sich im Fusionsprozess befinden.
- Gewähren Sie externen Benutzern und Auftragnehmern Zugriff auf Workspace, indem Sie sie zu einer dedizierten IdP-, OIDC- oder SAML-Anwendung weiterleiten, die sich von der unterscheidet, die Vollzeitbeschäftigte in Ihrer Organisation normalerweise verwenden dürfen.
- Große Organisationen mit mehreren Niederlassungen oder Abteilungen, die unterschiedliche Authentifizierungsmechanismen benötigen.
Voraussetzungen
- AD Directory wurde mit Ihrem IdP synchronisiert und über den Citrix Cloud Connector verbunden. Für die Ressourcenzuweisung in der DaaS Web Studio-Konsole ist Active Directory erforderlich.
- Zwei oder mehr Identitätsanbieter, die auf der Seite Citrix Cloud Identitäts- und Zugriffsverwaltung erstellt wurden
Konfiguration der bedingten Authentifizierung
-
Klicken Sie auf Bedingtes Authentifizierungsprofil erstellen.
-
Geben Sie einen Namen für Ihr Profil ein und klicken Sie dann auf Authentifizierungsrichtlinie erstellen.
-
Wählen Sie nach Bedarf die Bedingungen aus, die auf die Richtlinie angewendet werden sollen, und klicken Sie dann auf Speichern.
-
Navigieren Sie zur Workspacekonfiguration und klicken Sie auf Authentifizierung , um Ihren Identitätsanbieter oder Ihr bedingtes Authentifizierungsprofil auszuwählen.
Konzepte der bedingten Authentifizierung
Bedingtes Authentifizierungsprofil
Ein Profil für bedingte Authentifizierung besteht aus mehreren Richtlinien für bedingte Authentifizierung, die je nach den von Ihnen definierten Bedingungen steuern, wie sich Ihre Endbenutzer bei Workspace authentifizieren. Dieses Profil ermöglicht die Priorisierung und Neuanordnung von Richtlinien, sodass Sie die Reihenfolge angeben können, in der Richtlinien bewertet werden sollen.
Richtlinie für bedingte Authentifizierung
Eine Richtlinie für bedingte Authentifizierung ist eine Richtlinie, die eine oder mehrere Bedingungen umfasst. Wenn diese Bedingungen mit der UND-Logik erfüllt sind, leiten sie den Anmeldevorgang des Endbenutzers zu einer bestimmten IdP-Zielinstanz, wie z. B. Okta OIDC-, SAML- oder Gateway-IDP-Verbindung. Einzelne Richtlinien können geklont werden, sodass sie nach Bedarf geändert und umbenannt werden können.
Jede Richtlinie besteht aus den folgenden Daten:
- Richtlinienregeln, bei denen es sich um eine oder mehrere Bedingungen handelt, die erfüllt sein müssen, um den Endbenutzer zu einer bestimmten IdP-Instanz weiterzuleiten. Beispielsweise wird Workspace-URL 1 verwendet UND der Benutzer ist Mitglied von AD Group1.
- Richtlinienergebnis, das ist die IdP-Zielinstanz, zu der der Benutzer während des Anmeldevorgangs weitergeleitet wird. Beispielsweise wird Workspace-URL 1 verwendet UND der Benutzer ist Mitglied von AD Group1 → AAD SAML IDP-Instanz.
- Richtlinienname — ein administratorfreundlicher Name, der zur Identifizierung und Beschreibung der Richtlinie verwendet wird.
Beispiel:
Workspace URL 1 AND Group1 - AAD SAML. - Richtlinienpriorität, die die Reihenfolge festlegt, in der die Richtlinie bewertet wird. Die Prioritäten werden in absteigender Reihenfolge bewertet. Beispiel: Priorität 1 ist höher als Priorität 2.
Seite „Bedingte Authentifizierung — Vorauthentifizierung“
Je nachdem, wie Ihr Workspace konfiguriert ist und welche Bedingungen in Ihrem Profil für die bedingte Authentifizierung festgelegt sind, stoßen Ihre Workspacebenutzer während ihres Anmeldevorgangs möglicherweise auf eine Vorauthentifizierungsseite. Diese Seite ist für die Erfassung des Benutzernamenformats des Workspacebenutzers unerlässlich. Dies ist entscheidend, um Entscheidungen auf der Grundlage von Richtlinien zur bedingten Authentifizierung zu treffen. Es stellt sicher, dass der Anmeldefluss des Benutzers an die entsprechende IdP-Instanz weitergeleitet wird.
Automatisches Ausfüllen der Anmeldung
Wenn eine Vorauthentifizierungsseite erforderlich ist, haben wir ein Feature zum automatischen Ausfüllen der Anmeldung eingeführt, sodass das Feld für den Benutzernamen auf der Anmeldeseite automatisch mit den Benutzereingaben von der Vorauthentifizierungsseite gefüllt wird. Dadurch müssen Benutzer ihren Benutzernamen nicht zweimal eingeben.
Das Feature zum automatischen Ausfüllen der Anmeldung wird vom Administrator in den Profileinstellungen für bedingte Authentifizierung verwaltet und konfiguriert, wie unten dargestellt:
-
Klicken Sie auf der Profilseite für bedingte Authentifizierung auf Einstellungen verwalten.
-
Klicken Sie auf Bearbeiten.
-
Wählen Sie die IdPs aus, für die Sie das automatische Ausfüllen der Anmeldung aktivieren möchten.
Wichtig:
Das automatische Ausfüllen von Anmeldedaten ist nur für IdPs verfügbar, die es unterstützen, und wird standardmäßig für AD & AD+TOTP aktiviert und erzwungen (siehe Abbildung oben für die Standardeinstellungen).
Bestimmte IdPs erwarten ein bestimmtes Anmeldeformat und einige können mehr als eine Art von Benutzernamenformat unterstützen. Google Cloud Identity erfordert beispielsweise, dass sich Nutzer mit ihrer E-Mail-Adresse (user.name@domain.com) anmelden, die manchmal von ihrem UPN (username@domain.com) abweichen kann. Wenn der Workspacebenutzer auf der Vorauthentifizierungsseite einen untergeordneten Anmeldenamen (domain\username) eingibt, wird der Down-Level-Anmeldename im Feld Benutzername der IdP-Anmeldeseite vorab ausgefüllt und verursacht einen Fehler, sobald der Benutzer versucht, sich anzumelden. Administratoren müssen vor der Konfiguration des Features zum automatischen Ausfüllen der Anmeldung berücksichtigen, welche IdP-Switching-Richtlinienbedingung am besten geeignet ist und welche Benutzernamenformate ein bestimmter IdP während des Anmeldevorgangs voraussichtlich erhalten wird.
Arten von Richtlinienbedingungen
Workspace-URL
Unter Workspacekonfiguration > Zugriff kann jede Workspace-URL mit einer eigenen IdP-Instanz verknüpft werden. Darüber hinaus können mehrere Workspace-URLs derselben Richtlinie zugeordnet werden, wodurch Ihre Endbenutzer zu derselben IdP-Instanz weitergeleitet werden.
Hinweis:
Wenn ein Profil ausschließlich aus Richtlinien mit Workspace-URL-Bedingungen besteht, überspringen Benutzer die Vorauthentifizierungsseite und werden direkt zum IdP weitergeleitet. Wenn das Profil jedoch eine Richtlinie mit anderen Bedingungen als der Workspace-URL enthält, wird dem Endbenutzer die Vorauthentifizierungsseite angezeigt, unabhängig davon, ob die entsprechende Richtlinie vom Typ Workspace-URL ist.
Mitgliedschaft in AD-Benutzergruppen
Die AD-Benutzergruppenmitgliedschaft ermöglicht es Ihnen, eine IdP-Instanz für eine bestimmte Gruppe von Active Directory-Benutzern auf der Grundlage ihrer Gruppenmitgliedschaft festzulegen.
UPN-Suffix oder Domänen-Down-Level-Anmeldename sind zwei einander ausschließende Richtlinienbedingungen. Diese legen das erforderliche Benutzernamenformat fest, das Ihre Endbenutzer auf der Seite vor der Authentifizierung eingeben müssen. Sie können nicht beide Bedingungen innerhalb derselben Richtlinie verwenden.
UPN-Suffix: Konfigurieren Sie eine IdP-Instanz für ein oder mehrere UPN-Suffixe wie username1@domain.com oder username2@domain.net.
Domänen-Down-Level-Anmeldename: Weisen Sie eine IdP-Instanz einem oder mehreren Domänennamen zu, z. B. DOMAIN1\username1 oder DOMAIN1.COM\username1.
Wenn eine der beiden einander ausschließenden Bedingungen ausgewählt wird, wird die Dropdownmenüoption für die andere Bedingung deaktiviert, um zu verhindern, dass sie derselben Richtlinie hinzugefügt wird.
Bekannte Probleme und Einschränkungen
-
Die aktuelle bedingte Authentifizierung unterstützt alle zuvor aufgelisteten IdPs, unterstützt jedoch nur das AD-Verzeichnis. Diese Einschränkung wird in zukünftigen Versionen aufgehoben. Daher muss die Ressourcenzuweisung zu Benutzern in Studio über AD erfolgen.
- Das Zuweisen einer negativen Priorität zu einer Richtlinie funktioniert nicht wie beabsichtigt. Dieses Problem wird in zukünftigen Updates behoben.
- Derzeit unterstützt die bedingte Authentifizierung keine benutzerdefinierten Domänen. Diese Funktion soll in zukünftigen Updates enthalten sein.