Authentifizierung
Ab Citrix Workspace-App 2012 können Sie das Authentifizierungsdialogfeld in der Citrix Workspace-App anzeigen und Details auf dem Anmeldebildschirm speichern. Diese Verbesserung sorgt für eine bessere Benutzererfahrung.
Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie die Anmeldeinformationen beim Neustart des Systems oder der Sitzung nicht neu eingeben müssen.
Hinweis:
Diese Verbesserung der Authentifizierung ist nur in Cloud-Bereitstellungen verfügbar.
Voraussetzung:
Installieren Sie die Bibliothek libsecret
.
Dieses Feature ist standardmäßig aktiviert.
Storebrowse
Verbesserung der Authentifizierung für Ab Version 2205 befindet sich das Authentifizierungsdialogfeld in der Citrix Workspace-App und die Storedetails werden im Anmeldebildschirm angezeigt. Die Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie die Anmeldeinformationen beim Neustart des Systems oder der Sitzung nicht neu eingeben müssen.
Die verbesserte Authentifizierung unterstützt storebrowse
für die folgenden Vorgänge:
-
Storebrowse -E
: Listet die verfügbaren Ressourcen auf. -
Storebrowse -L
: Startet eine Verbindung zu einer veröffentlichten Ressource. -
Storebrowse -S
: Listet die abonnierten Ressourcen auf. -
Storebrowse -T
: Beendet alle Sitzungen des angegebenen Stores. -
Storebrowse -Wr
: Verbindet die getrennten aktiven Sitzungen des angegebenen Stores erneut. Mit der Option [r] werden alle getrennten Sitzungen wieder verbunden. -
storebrowse -WR
: Verbindet die getrennten aktiven Sitzungen des angegebenen Stores erneut. Mit der Option [R] werden alle aktiven und alle getrennten Sitzungen wieder verbunden. -
Storebrowse -s
: Abonniert die angegebene Ressource aus dem jeweiligen Store. -
Storebrowse -u
: Kündigt das Abonnement der angegebenen Ressource aus dem jeweiligen Store. -
Storebrowse -q
: Startet eine Anwendung über die direkte URL. Dieser Befehl funktioniert nur bei StoreFront-Stores.
Hinweis:
- Sie können die verbleibenden
storebrowse
-Befehle weiterhin wie zuvor verwenden (mit AuthMangerDaemon).- Die Verbesserung der Authentifizierung ist nur auf Cloud-Bereitstellungen anwendbar.
- Mit dieser Verbesserung wird das Feature der persistenten Anmeldung unterstützt.
Unterstützung für mehr als 200 Gruppen in Azure AD
Ab Version 2305 kann ein Azure AD-Benutzer, der Mitglied in mehr als 200 Gruppen ist, ihm zugewiesene Apps und Desktops anzeigen. Bisher konnte er diese Apps und Desktops nicht sehen.
Führen Sie folgende Schritte aus, um das Feature zu aktivieren:
-
Gehen Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:
<compressedGroupsEnabled>true</compressedGroupsEnabled> <!--NeedCopy-->
Hinweis:
Benutzer müssen sich von der Citrix Workspace-App abmelden und wieder anmelden, um diese Funktion zu aktivieren.
Verbesserung der Authentifizierung für die Storebrowse
-Konfiguration
Das Feature zur Verbesserung der Authentifizierung ist standardmäßig deaktiviert.
Wenn der Gnome-Schlüsselbund nicht verfügbar ist, wird der Token im Self-Service-Prozessspeicher gespeichert.
Um das Speichern des Token im Speicher zu erzwingen, deaktivieren Sie den Gnome-Schlüsselbund mit den folgenden Schritten:
- Navigieren Sie zu
/opt/Citrix/ICAClient/config/AuthmanConfig.xml
. -
Fügen Sie folgenden Eintrag hinzu:
<GnomeKeyringDisabled>true</GnomeKeyringDisabled> <!--NeedCopy-->
Smartcard
Um die Smartcard-Unterstützung in der Citrix Workspace-App für Linux zu konfigurieren, müssen Sie den StoreFront-Server über die StoreFront-Konsole konfigurieren.
Die Citrix Workspace-App unterstützt Smartcardleser, die mit PCSC-Lite- und PKCS#11-Treibern kompatibel sind. Standardmäßig sucht die Citrix Workspace-App nach opensc-pkcs11.so
in einem der Standardspeicherorte.
Die Citrix Workspace-App kann opensc-pkcs11.so
in einem nicht standardmäßigen Speicherort suchen oder sie kann einen anderen PKCS\#11
-Treiber suchen. Sie können den jeweiligen Speicherort mit den folgenden Schritten speichern:
- Suchen Sie die Konfigurationsdatei:
$ICAROOT/config/AuthManConfig.xml
. -
Suchen Sie die Zeile <key>PKCS11module</key> und fügen Sie den Treiberspeicherort dem Element <value> hinzu, das direkt der Zeile folgt.
Hinweis:
Wenn Sie einen Dateinamen für den Treiberspeicherort eingeben, navigiert die Citrix Workspace-App im Verzeichnis
$ICAROOT/PKCS\ #11
zu der Datei. Sie können auch einen absoluten Pfad verwenden, der mit “/” beginnt.
Nach dem Entfernen einer Smartcard konfigurieren Sie das Verhalten der Citrix Workspace-App, indem Sie SmartCardRemovalAction
mit den folgenden Schritten aktualisieren:
- Suchen Sie die Konfigurationsdatei:
$ICAROOT/config/AuthManConfig.xml
- Suchen Sie die Zeile <key>SmartCardRemovalAction</key> und fügen Sie
noaction
oderforcelogoff
dem Element <value> hinzu, das direkt der Zeile folgt.
Das Standardverhalten ist noaction
. Es werden keine Maßnahmen ausgeführt, um gespeicherte Anmeldeinformationen und generierte Token beim Entfernen der Smartcard zu löschen.
Mit der Aktion forcelogoff
werden alle Anmeldeinformationen und Token in StoreFront beim Entfernen der Smartcard entfernt.
Einschränkung:
- Das Starten einer Server-VDA-Sitzung mit Smartcard-Authentifizierung kann bei Smartcards mit mehreren Benutzern fehlschlagen. [HDX-44255]
Aktivieren der Smartcardunterstützung
Die Citrix Workspace-App unterstützt verschiedene Smartcardleser, wenn die Verwendung von Smartcards sowohl auf dem Server als auch auf der Citrix Workspace-App aktiviert ist.
Sie können Smartcards zu folgenden Zwecken verwenden:
- Smartcard-Anmeldeauthentifizierung: Authentifiziert Sie bei Citrix Virtual Apps and Desktops- und Citrix DaaS-Servern (zuvor Citrix Virtual Apps and Desktops Service).
- Smartcard-Anwendungsunterstützung: Ermöglicht smartcardfähigen veröffentlichten Anwendungen den Zugriff auf lokale Smartcardgeräte.
Die sicherheitsrelevanten Smartcarddaten müssen über einen sicheren, authentifizierten Kanal, z. B. TLS, übertragen werden.
Für die Smartcardunterstützung müssen folgende Voraussetzungen erfüllt sein:
- Die Smartcardleser und die veröffentlichten Anwendungen müssen dem PC/SC-Industriestandard entsprechen.
- Installieren Sie den passenden Treiber für die Smartcard.
- Installieren Sie das PCSC Lite-Paket.
- Installieren Sie den
pcscd
-Daemon, der Middleware für den Zugriff auf die Smartcard mit PC/SC bereitstellt, und führen Sie ihn aus. - Auf einem 64-Bit-System muss die 64-Bit- und 32-Bit-Version des “libpscslite1”-Pakets vorhanden sein.
Weitere Informationen zur Konfiguration der Smartcardunterstützung auf Servern finden Sie unter Smartcards in der Dokumentation zu Citrix Virtual Apps and Desktops.
Verbesserung der Smartcardunterstützung
Ab Version 2112 unterstützt die Citrix Workspace-App die Plug&Play-Funktionalität für Smartcardleser.
Wenn Sie eine Smartcard einstecken, erkennt der Smartcardleser die Smartcard auf dem Server und Client.
Wenn Sie verschiedene Karten gleichzeitig einstecken, werden alle Karten erkannt.
Voraussetzungen:
Installieren Sie die Bibliothek libpcscd
auf dem Linux-Client.
Hinweis:
Diese Bibliothek kann in aktuellen Versionen der meisten Linux-Distributionen vorinstalliert sein. In früheren Versionen einiger Linux-Distributionen wie Ubuntu 1604 müssen Sie die Bibliothek
libpcscd
jedoch möglicherweise installieren.
So deaktivieren Sie diese Erweiterung:
- Navigieren Sie zum Ordner
<ICAROOT>/config/module.ini
. - Navigieren Sie zum Abschnitt
SmartCard
. - Legen Sie Folgendes fest:
DriverName=VDSCARD.DLL
.
Unterstützung für neue PIV-Karten
Ab Version 2303 unterstützt die Citrix Workspace-App die folgenden PIV-Karten (Personal Identification Verification):
- IDEMIA-Smartcard der nächsten Generation
- DELL TicTok-Smartcard
Leistungsoptimierung für Smartcardtreiber
Version 2303 der Citrix Workspace-App enthält leistungsbezogene Korrekturen und Optimierungen für den VDSCARDV2.DLL
-Smartcardtreiber. Diese Verbesserungen erhöhen die Leistung gegenüber VDSCARD.DLL
Version 1.
Unterstützung für Multifaktorauthentifizierung (nFactor)
Die Multifaktorauthentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten.
Mit der Multifaktorauthentifizierung können Authentifizierungsschritte und die zugehörigen Anmeldeinformationsformulare vollständig vom Administrator konfiguriert werden.
Die native Citrix Workspace-App unterstützt dieses Protokoll über die Anmeldeformulare, die bereits für StoreFront implementiert sind. Die webbasierten Anmeldeseiten für virtuelle Citrix Gateway- und Traffic Manager-Server verwenden ebenfalls dieses Protokoll.
Weitere Informationen finden Sie in der Dokumentation zu Citrix ADC unter SAML-Authentifizierung und Multifaktorauthentifizierung (nFactor).
Unterstützung für die Authentifizierung mit FIDO2 in HDX-Sitzungen
Ab Version 2303 können Sie sich innerhalb einer HDX-Sitzung mit kennwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren. Mit FIDO2-Sicherheitsschlüsseln können Unternehmensmitarbeiter sich ohne Eingabe von Benutzernamen oder Kennwort bei Apps und Desktops, die FIDO2 unterstützen, authentifizieren. Weitere Informationen zu FIDO2 finden Sie unter FIDO2-Authentifizierung.
Hinweis:
Wenn Sie die FIDO2-Geräteumleitung über USB verwenden, entfernen Sie die USB-Umleitungsregel des FIDO2-Geräts. Sie können über die Datei
usb.conf
im Ordner$ICAROOT/
auf diese Regel zugreifen. Dieses Update hilft Ihnen beim Umschalten auf den virtuellen FIDO2-Kanal.
Standardmäßig ist die FIDO2-Authentifizierung deaktiviert. Gehen Sie wie folgt vor, um die FIDO2-Authentifizierung zu aktivieren:
- Navigieren Sie zur Datei
<ICAROOT>/config/module.ini
. - Navigieren Sie zum Abschnitt
ICA 3.0
. - Legen Sie
FIDO2= On
fest.
Dieses Feature unterstützt derzeit Roaming-Authentifikatoren (nur USB) mit PIN-Code und Touch-Funktionen. Sie können die Authentifizierung mit FIDO2-Sicherheitsschlüsseln konfigurieren. Informationen zu den Voraussetzungen und zur Verwendung dieses Features finden Sie unter Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2.
Beim Zugriff auf eine App oder Website, die FIDO2 unterstützt, wird eine Aufforderung zur Eingabe des Sicherheitsschlüssels angezeigt. Wenn Sie Ihren Sicherheitsschlüssel zuvor mit einer PIN registriert haben, müssen Sie die PIN bei der Anmeldung eingeben. Die PIN kann mindestens 4 und maximal 64 Zeichen lang sein.
Wenn Sie Ihren Sicherheitsschlüssel zuvor ohne PIN registriert haben, tippen Sie einfach auf den Sicherheitsschlüssel, um sich anzumelden.
Einschränkung:
Möglicherweise können Sie das zweite Gerät nicht mit der FIDO2-Authentifizierung bei demselben Konto registrieren.
Unterstützung für mehrere Passkeys in HDX-Sitzungen
Bisher hatten Sie keine Möglichkeit, einen geeigneten Passkey auszuwählen, wenn einem Sicherheitsschlüssel oder einem FIDO2-Gerät mehrere Passkeys zugeordnet waren. Standardmäßig wurde der erste Passkey für die Authentifizierung verwendet.
Ab der Version 2405 können Sie in der Benutzeroberfläche der Citrix Workspace-App einen geeigneten Passkey auswählen. Dieses Feature ist standardmäßig aktiviert. Wenn mehrere Passkeys vorhanden sind, wird standardmäßig der erste ausgewählt. Sie können den gewünschten Passkey jedoch wie folgt auswählen:
Unterstützung der Authentifizierung mit FIDO2 beim Verbinden mit On-Premises-Stores
Ab Version 2309 der Citrix Workspace-App für Linux können sich Benutzer mit kennwortlosen FIDO2-Sicherheitsschlüsseln bei On-Premises-Stores authentifizieren. Die Sicherheitsschlüssel unterstützen verschiedene Arten von Sicherheitseingaben wie Sicherheits-PIN, Biometrie, Magnetstreifenkarte, Smartcard, Public-Key-Zertifikat und mehr. Weitere Informationen zu FIDO2 finden Sie unter FIDO2-Authentifizierung.
Die Citrix Workspace-App verwendet den Citrix Enterprise Browser als Standardbrowser für die FIDO2-Authentifizierung. Administratoren können den Browsertyp für die Authentifizierung bei der Citrix Workspace-App konfigurieren.
Um das Feature zu aktivieren, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml
und geben folgende Einträge ein:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Um den Standardbrowser zu ändern, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml
und ändern die Browsereinstellungen nach Bedarf. Zulässige Werte sind CEB
, chromium
, firefox
und chromium-browser
.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Unterstützung der Authentifizierung mit FIDO2 beim Verbinden mit Cloudstores
Ab Version 2405 der Citrix Workspace-App für Linux können sich Benutzer mit kennwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren, wenn sie sich bei Cloudstores anmelden. Die Sicherheitsschlüssel unterstützen verschiedene Arten von Sicherheitseingaben wie Sicherheits-PIN, Biometrie, Magnetstreifenkarte, Smartcard, Public-Key-Zertifikat und mehr. Weitere Informationen finden Sie unter FIDO2-Authentifizierung.
Die Citrix Workspace-App verwendet den Citrix Enterprise Browser als Standardbrowser für die FIDO2-Authentifizierung. Administratoren können den Browsertyp für die Authentifizierung bei der Citrix Workspace-App konfigurieren.
Um das Feature zu aktivieren, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml
und geben folgende Einträge ein:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
Um den Standardbrowser zu ändern, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml
und ändern die Browsereinstellungen nach Bedarf. Die möglichen Werte sind “CEB”, “chromium”, “firefox” und “chromium-browser”.
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
Konfigurieren der FIDO2-Authentifizierung mithilfe von GACS
Gehen Sie wie folgt vor, um die FIDO2-Authentifizierung für die Store-URL mithilfe von GACS zu aktivieren:
-
Melden Sie sich bei Citrix Cloud an.
-
Klicken Sie in der oberen linken Ecke auf das Hamburger-Symbol, klicken Sie auf Workspace-Konfigurationund dann auf App-Konfiguration.
-
Klicken Sie auf Workspaceund dann auf die Schaltfläche Konfigurieren.
-
Klicken Sie auf Sicherheit und Authentifizierungund dann auf Authentifizierung.
-
Klicken Sie auf FIDO2-Authentifizierung, aktivieren Sie das Kontrollkästchen Linux und schalten Sie dann den Schalter Aktiviert um.
-
Klicken Sie auf Entwurf veröffentlichen.
Benutzerdefinierte Authentifizierung
Die folgende Tabelle enthält einen Verweis auf die verfügbare benutzerdefinierte Authentifizierung für die Citrix Workspace-App:
Hilfsprogramm | SDK | Authentifizierungstyp | Verwendete Bibliotheken | Binärdateien | Erkennung des Authentifizierungstyps |
---|---|---|---|---|---|
Unterstützung für Fast Connect | Credential Insertion SDK | Benutzername/Kennwort/Smartcard/Domänen-Passthrough | libCredInject.so | cis |
Parameter, die von Authentifikator-Integrationen von Drittanbietern verwendet werden |
Benutzerdefiniertes Dialogfeld | Platform Optimization SDK | Benutzername/Kennwort/Smartcard | UIDialogLib.so and UIDialogLibWebKit3.so | Nein | Automatische Erkennung - Wird von Thin Client-Partnern verwendet |
Storebrowse |
Citrix Workspace-App | Benutzername/Kennwort | Nein | Storebrowse |
Parameter |