Citrix Virtual Apps and Desktops

FIDO2- und WebAuthn-Authentifizierung

Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2 und WebAuthn

Auf Geräten mit TPM 2.0 und Windows Hello können Benutzer sich in ihrer virtuellen Sitzung bei Anwendungen, die FIDO2 oder WebAuthn verwenden, mit FIDO2-Sicherheitsschlüsseln und integrierter Biometrie authentifizieren.

Weitere Informationen zu FIDO2 finden Sie unter FIDO2: WebAuthn & CTAP.

Weitere Informationen zur Verwendung dieses Features finden Sie unter FIDO2-Umleitung.

HINWEIS

Das Feature unterstützt allerdings nicht die Anmeldung bei virtuellen Sitzungen mit WebAuthn oder FIDO2. Es ermöglicht lediglich die Verwendung dieser Authentifizierungsmethoden für Anwendungen innerhalb einer virtuellen Sitzung.

Dieses Feature wird nicht in Double-Hop-Szenarios unterstützt.

Unterstützungsmatrix

Betriebssystem des Sitzungshosts Authentifizierung bei Webanwendungen UWP-Anwendungsauthentifizierung
Windows Server 2016 Über USB-Umleitung unterstützt Nicht unterstützt
Windows Server 2019 Unterstützt Nicht unterstützt
Windows Server 2022 Unterstützt Unterstützt
Windows 10 Unterstützt Unterstützt
Windows 11 Unterstützt Unterstützt

Weitere Informationen finden Sie in den folgenden Anforderungen.

Authentifizierung bei Webanwendungen

Anforderungen

Im Folgenden werden die Voraussetzungen für die Verwendung der FIDO2- und der WebAuthn-Authentifizierung bei Webanwendungen aufgeführt:

Citrix Steuerungsebene

  • Citrix Virtual Apps and Desktops 2009 oder höher

Sitzungshost

  • Betriebssystem
    • Windows 10 1809 oder höher
    • Windows Server 2019 oder später
  • VDA
    • Windows: Version 2009 oder später

Clientgerät

  • Betriebssystem
  • Workspace-App
    • Windows: Version 2009.1 oder später
    • Linux: 2303 oder später

Anforderungen an den Webbrowser

  • Nur 64-Bit-Browser

Unterstützte Authentifizierungsmethoden

  • FIDO2-Sicherheitsschlüssel
  • Windows Hello
    • TPM 2.0
    • Integrierte Biometrie
      • Gesichtserkennung
      • Fingerabdruckscanner
    • WebAuthn

UWP-Anwendungsauthentifizierung

Mit der Veröffentlichung von Citrix Virtual Apps and Desktops 2112 unterstützt Citrix die WebAuthn- und FIDO2-Authentifizierung bei UWP-Anwendungen.

Anwendungen wie Microsoft Teams, Microsoft Outlook für Office 365 und OneDrive verwenden eine UWP-Anwendung zur Authentifizierung als Link zu Azure Active Directory. Citrix unterstützt jetzt FIDO2 zur Authentifizierung dieser Anwendungen.

Anforderungen

Im Folgenden werden die Voraussetzungen für die Verwendung der FIDO2- und der WebAuthn-Authentifizierung bei UWP-Anwendungen aufgeführt:

Citrix Steuerungsebene

  • Citrix Virtual Apps and Desktops 2112 oder später

Sitzungshost

  • Betriebssystem
    • Windows 10 1809 oder höher
    • Windows Server 2022 oder später
  • VDA
    • Windows: Version 2112 oder höher

Clientgerät

  • Betriebssystem
  • Workspace-App
    • Windows: Version 2009.1 oder später
    • Linux: 2303 oder später

Unterstützte Authentifizierungsmethoden

  • FIDO2-Sicherheitsschlüssel
  • Windows Hello
    • TPM 2.0
    • Integrierte Biometrie
      • Gesichtserkennung
      • Fingerabdruckscanner
    • WebAuthn

Hinweis:

In Szenarien, in denen die FIDO2-Umleitung nicht verfügbar ist, weil die Funktion von Client, VDA oder Betriebssystem nicht unterstützt wird, können USB-basierte FIDO2-Schlüssel mithilfe der USB-Umleitung umgeleitet werden. In Szenarien mit verfügbarer FIDO2-Umleitung kann auch eine USB-Umleitung zur Umleitung von USB-basierten FIDO2-Schlüsseln verwendet werden. In diesem Fall müssen Sie die FIDO2-Umleitung deaktivieren und die entsprechenden USB-Umleitungsregeln konfigurieren. Einzelheiten zur Konfiguration der USB-Umleitungsregeln finden Sie in der Dokumentation zur Konfiguration von USB-Umleitungsgeräten mit FIDO2.

Erweiterte Konfiguration für msedgewebview2.exe basierte Anwendungen

Hinweis:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Erstellen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Für Unternehmen, deren Webanwendungen auf msedgewebview2.exe basieren, müssen dem VDA zusätzliche Registrierungswerte hinzugefügt werden, damit die FIDO2-Umleitung innerhalb von HDX-Sitzungen funktioniert −

Fügen Sie den vollständigen Pfad der Datei msedgewebview2.exe in den Registrierungswert AllowedProcesses ein:

  • Schlüssel: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
  • Wertname: AllowedProcesses
  • Werttyp: REG_MULTISZ
  • Wertdaten: <add full path of the msedgewebview2.exe here >

Für 64-Bit-Anwendungen müssen die folgenden Werte festgelegt werden:

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • Wertname: FilePathName
  • Werttyp: REG_SZ
  • Wertdaten: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • Wertname: Flag
  • Werttyp: DWORD
  • Wertdaten: 00000002

Für 32-Bit-Anwendungen müssen die folgenden Werte festgelegt werden:

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • Wertname: FilePathName
  • Werttyp: REG_SZ
  • Wertdaten: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • Wertname: Flag
  • Werttyp: DWORD
  • Wertdaten: 00000002

Starten Sie den VDA neu, nachdem Sie die Registrierungswerte für die FIDO2-Umleitung so eingestellt haben, dass sie für msedgewebview2.exe basierte Anwendungen aktiviert werden.

FIDO2- und WebAuthn-Authentifizierung