Authentifizierung

• Sichern Sie die Verbindungen zwischen der Citrix Workspace-App und den veröffentlichten Ressourcen, um die Sicherheit zu maximieren. Sie können die folgenden Authentifizierungstypen konfigurieren:

• Domain-Pass-Through
• Smartcard
• Kerberos-Pass-Through

Domain-Pass-Through-Authentifizierung

Single Sign-On ermöglicht Ihnen die Authentifizierung und Nutzung der virtuellen Apps und Desktops, ohne sich erneut authentifizieren zu müssen.

• Beim Anmelden bei der Citrix Workspace-App werden Ihre Anmeldeinformationen und die aufgelisteten Ressourcen an StoreFront weitergeleitet.

In früheren Versionen konnten Sie bei Verwendung von Google Chrome, Microsoft Edge oder Mozilla Firefox Single Sign-On-Sitzungen starten, auch wenn die Funktion nicht aktiviert war.

Ab Version 1905 müssen Sie für alle Webbrowser Single Sign-On mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage konfigurieren. Weitere Informationen zum Konfigurieren von Single Sign-On mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage finden Sie unter Single Sign-On mit Citrix Gateway konfigurieren.

Sie können Single Sign-On sowohl bei einer Neuinstallation als auch bei einem Upgrade-Setup mit einer der folgenden Optionen konfigurieren:

-  Befehlszeilenschnittstelle
-  Grafische Benutzeroberfläche (GUI)

Single Sign-On bei Neuinstallation konfigurieren

Konfigurieren von Single Sign-On bei Neuinstallation:

1. Konfiguration in StoreFront oder im Webinterface.
2. Konfigurieren Sie XML-Vertrauensdienste auf dem Delivery Controller.
3. Ändern Sie die Internet Explorer-Einstellungen.
4. Installieren Sie die Citrix Workspace-App mit Single Sign-On.

Single Sign-On in StoreFront oder im Webinterface konfigurieren

Je nach Art der Citrix Virtual Apps and Desktops-Bereitstellung kann Single Sign-On in StoreFront oder im Webinterface über die Management Console konfiguriert werden.

Verwenden Sie die folgende Tabelle für verschiedene Anwendungsfälle und deren jeweilige Konfiguration:

Single Sign-On mit Citrix Gateway konfigurieren

Sie aktivieren Single Sign-On mit Citrix Gateway mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage.

1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Gehen Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.
3. Wählen Sie die Richtlinie Single Sign-On für Citrix Gateway.
4. Wählen Sie Aktiviert.
5. Klicken Sie auf Übernehmen und OK.
6. Starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

XML-Vertrauensdienste auf dem Delivery Controller konfigurieren

Auf Citrix Virtual Apps and Desktops™ und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) führen Sie den folgenden PowerShell-Befehl als Administrator auf dem Delivery Controller aus:

[[CODE_BLOCK_0]]

Internet Explorer-Einstellungen ändern

1. Fügen Sie den StoreFront-Server mithilfe des Internet Explorers zur Liste der vertrauenswürdigen Sites hinzu. Gehen Sie dazu wie folgt vor:
   1. Starten Sie die Internetoptionen über die Systemsteuerung.
   2. Klicken Sie auf Sicherheit > Lokales Internet und dann auf Sites. Das Fenster Lokales Intranet wird angezeigt.
   3. Wählen Sie Erweitert.
   4. Fügen Sie die URL des StoreFront- oder Webinterface-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
   5. Klicken Sie auf Übernehmen und OK.
2. Ändern Sie die Einstellungen für die Benutzerauthentifizierung im Internet Explorer. Gehen Sie dazu wie folgt vor:
   1. Starten Sie die Internetoptionen über die Systemsteuerung.
   2. Klicken Sie auf die Registerkarte Sicherheit > Vertrauenswürdige Sites.
   3. Klicken Sie auf Benutzerdefinierte Ebene. Das Fenster Sicherheitseinstellungen – Zone der vertrauenswürdigen Sites wird angezeigt.
   4. Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

   

   1. Klicken Sie auf Übernehmen und OK.

Single Sign-On über die Befehlszeilenschnittstelle konfigurieren

Installieren Sie die Citrix Workspace-App für Windows mit dem Schalter /includeSSON und starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

Hinweis:

Wenn die Citrix Workspace-App für Windows ohne die Single Sign-On-Komponente installiert wurde, wird ein Upgrade auf die neueste Version der Citrix Workspace-App mit dem Schalter /includeSSON nicht unterstützt.

Single Sign-On über die grafische Benutzeroberfläche konfigurieren

1. Suchen Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe).
2. Doppelklicken Sie auf CitrixWorkspaceApp.exe, um das Installationsprogramm zu starten.
3. Wählen Sie im Assistenten zur Installation von Single Sign-on aktivieren die Option Single Sign-on aktivieren aus.
4. Klicken Sie auf Weiter und folgen Sie den Anweisungen, um die Installation abzuschließen.

Sie können sich jetzt mit der Citrix Workspace-App anmelden, ohne Benutzeranmeldeinformationen eingeben zu müssen.

Single Sign-on in Citrix Workspace für Web konfigurieren

Sie können Single Sign-on in Workspace für Web mithilfe der administrativen Vorlage für Gruppenrichtlinienobjekte konfigurieren.

1. Öffnen Sie die administrative GPO-Vorlage für Workspace für Web, indem Sie gpedit.msc ausführen.
   • 1. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.
   • 1. Wählen Sie die Richtlinie Kennwort für lokalen Benutzernamen aus und setzen Sie sie auf Aktiviert.
   • 1. Klicken Sie auf Pass-Through-Authentifizierung aktivieren. Diese Option ermöglicht es Workspace für Web, Ihre Anmeldeinformationen für die Authentifizierung auf dem Remoteserver zu verwenden.
2. Klicken Sie auf Pass-Through-Authentifizierung für alle ICA®-Verbindungen zulassen. Diese Option umgeht jegliche Authentifizierungseinschränkung und ermöglicht die Weitergabe von Anmeldeinformationen für alle Verbindungen.
3. Klicken Sie auf Übernehmen und OK.
4. Starten Sie Workspace für Web neu, damit die Änderungen wirksam werden.

Überprüfen Sie, ob Single Sign-on aktiviert ist, indem Sie den Task-Manager starten und prüfen, ob der Prozess ssonsvr.exe ausgeführt wird.

Single Sign-on mit Active Directory konfigurieren

Sie können die Single Sign-on-Authentifizierung mit Active Directory konfigurieren. In diesem Fall müssen Sie keine Bereitstellungstools wie Microsoft System Center Configuration Manager verwenden.

1. Laden Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe) herunter und legen Sie sie auf einer geeigneten Netzwerkfreigabe ab. Sie muss für die Zielcomputer zugänglich sein, auf denen Sie die Citrix Workspace-App installieren.

2. Rufen Sie die Vorlage CheckAndDeployWorkspacePerMachineStartupScript.bat von der Seite Citrix Workspace-App für Windows herunterladen ab.

3. Bearbeiten Sie den Speicherort und die Version von CitrixWorkspaceApp.exe.

4. Geben Sie in der Konsole Active Directory-Gruppenrichtlinienverwaltung CheckAndDeployWorkspacePerMachineStartupScript.bat als Startskript ein. Weitere Informationen zur Bereitstellung der Startskripts finden Sie im Abschnitt Active Directory.

5. Navigieren Sie im Knoten Computerkonfiguration zu Administrative Vorlagen > Vorlagen hinzufügen/entfernen, um die Datei icaclient.adm hinzuzufügen.

6. Nachdem Sie die Vorlage icaclient.adm hinzugefügt haben, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.

7. Wählen Sie die Richtlinie Kennwort für lokalen Benutzernamen aus und setzen Sie sie auf Aktiviert.

8. Wählen Sie Pass-Through-Authentifizierung aktivieren aus und klicken Sie auf Übernehmen.

9. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Single Sign-on in StoreFront und Webinterface konfigurieren

• StoreFront-Konfiguration

• Öffnen Sie Citrix Studio auf dem StoreFront-Server und wählen Sie Authentifizierung > Authentifizierungsmethoden hinzufügen/entfernen. Wählen Sie Domänen-Pass-Through.

  

Konfigurationsprüfung

Mit der Konfigurationsprüfung können Sie einen Test ausführen, um sicherzustellen, dass Single Sign-on ordnungsgemäß konfiguriert ist. Der Test wird an verschiedenen Prüfpunkten der Single Sign-on-Konfiguration ausgeführt und zeigt die Konfigurationsergebnisse an.

1. Klicken Sie mit der rechten Maustaste auf das Symbol der Citrix Workspace-App im Infobereich und klicken Sie auf Erweiterte Einstellungen. Das Dialogfeld Erweiterte Einstellungen wird angezeigt.
2. Klicken Sie auf Konfigurationsprüfung. Das Fenster Citrix Konfigurationsprüfung wird angezeigt.

• 

• 1. Wählen Sie SSONChecker aus dem Bereich Auswählen.

1. Klicken Sie auf Ausführen. Ein Fortschrittsbalken wird angezeigt, der den Status des Tests darstellt.

Das Fenster Konfigurationsprüfung enthält die folgenden Spalten:

1. Status: Zeigt das Ergebnis eines Tests an einem bestimmten Prüfpunkt an.

   • Ein grünes Häkchen zeigt an, dass der spezifische Prüfpunkt ordnungsgemäß konfiguriert ist.
   • Ein blaues I zeigt Informationen zum Prüfpunkt an.
   • Ein rotes X zeigt an, dass der spezifische Prüfpunkt nicht ordnungsgemäß konfiguriert ist.
2. Anbieter: Zeigt den Namen des Moduls an, auf dem der Test ausgeführt wird. In diesem Fall Single Sign-on.
3. Suite: Zeigt die Kategorie des Tests an. Zum Beispiel Installation.
4. Test: Zeigt den Namen des spezifischen Tests an, der ausgeführt wird.
5. Details: Bietet zusätzliche Informationen zum Test.

Der Benutzer erhält weitere Informationen zu jedem Prüfpunkt und den entsprechenden Ergebnissen.

Die folgenden Tests werden durchgeführt:

1. Installiert mit Single Sign-on.

• 1. Erfassung von Anmeldeinformationen.
     • 1. Netzwerkanbieter-Registrierung: Das Testergebnis für die Netzwerkanbieter-Registrierung zeigt nur dann ein grünes Häkchen an, wenn „Citrix Single Sign-on“ an erster Stelle in der Liste der Netzwerkanbieter steht. Wenn Citrix Single Sign-on an einer anderen Stelle in der Liste erscheint, wird das Testergebnis für die Netzwerkanbieter-Registrierung mit einem blauen „i“ und zusätzlichen Informationen angezeigt.
     • 1. Single Sign-on-Prozess wird ausgeführt.

1. Gruppenrichtlinie: Standardmäßig ist diese Richtlinie auf dem Client konfiguriert.
   • 1. Interneteinstellungen für Sicherheitszonen: Stellen Sie sicher, dass Sie die Store-/XenApp-Dienst-URL zur Liste der Sicherheitszonen in den Internetoptionen hinzufügen. Wenn die Sicherheitszonen über eine Gruppenrichtlinie konfiguriert sind, erfordert jede Änderung der Richtlinie, dass das Fenster Erweiterte Einstellungen erneut geöffnet wird, damit die Änderungen wirksam werden und der korrekte Status des Tests angezeigt wird.

• 1. Authentifizierungsmethode für Webinterface/StoreFront.

Hinweis:

• Testergebnisse sind für Workspace für Web-Konfigurationen nicht anwendbar.

• In einer Multi-Store-Einrichtung wird der Authentifizierungsmethodentest für alle konfigurierten Stores ausgeführt.

• Sie können die Testergebnisse als Berichte speichern. Das Standardberichtsformat ist .txt.

• Option „Konfigurationsprüfung“ aus dem Fenster „Erweiterte Einstellungen“ ausblenden

• 1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
• 1. Gehen Sie zu Citrix Komponenten > Citrix Workspace > Self Service > DisableConfigChecker.

1. Klicken Sie auf Aktiviert, um die Option „Konfigurationsprüfung“ aus dem Fenster Erweiterte Einstellungen auszublenden.
2. Klicken Sie auf Übernehmen und OK.
3. Führen Sie den Befehl gpupdate /force aus.

Einschränkung:

Die Konfigurationsprüfung enthält nicht den Prüfpunkt für die Konfiguration von Vertrauensanfragen, die an den XML-Dienst auf dem VDA gesendet werden.

Beacon-Test

Der Beacon-Checker ist Teil des Dienstprogramms Konfigurationsprüfung. Er ermöglicht Ihnen, einen Beacon-Test durchzuführen, um zu bestätigen, ob der Beacon (ping.citrix.com) erreichbar ist. Dieser Test hilft, eine der vielen möglichen Ursachen für eine langsame Ressourcenaufzählung zu eliminieren, nämlich die Nichtverfügbarkeit des Beacons. Um den Test auszuführen, klicken Sie mit der rechten Maustaste auf die Citrix Workspace-App im Infobereich und wählen Sie Erweiterte Einstellungen > Konfigurationsprüfung. Wählen Sie Beacon-Checker aus der Liste der Tests und klicken Sie auf Ausführen.

• Die Testergebnisse können wie folgt aussehen:

• Erreichbar – Die Citrix Workspace-App kann den Beacon erfolgreich kontaktieren.
• Nicht erreichbar – Die Citrix Workspace-App kann den Beacon nicht kontaktieren.
• Teilweise erreichbar – Die Citrix Workspace-App kann den Beacon zeitweise kontaktieren.

Domänen-Pass-Through-Authentifizierung mit Kerberos

Dieses Thema gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops sowie Citrix DaaS.

Die Citrix Workspace-App unterstützt Kerberos für die Domänen-Pass-Through-Authentifizierung in Bereitstellungen, die Smartcards verwenden. Kerberos ist eine der Authentifizierungsmethoden, die in der integrierten Windows-Authentifizierung (IWA) enthalten sind.

Kerberos authentifiziert die Citrix Workspace-App ohne Passwörter. Dadurch werden Trojaner-Angriffe auf das Benutzergerät verhindert, die versuchen, Zugriff auf Passwörter zu erhalten. Benutzer können sich mit jeder Authentifizierungsmethode anmelden und auf veröffentlichte Ressourcen zugreifen. Zum Beispiel mit einem biometrischen Authentifikator wie einem Fingerabdruckleser.

Wenn Sie sich mit einer Smartcard bei der Citrix Workspace-App, StoreFront, Citrix Virtual Apps and Desktops und Citrix DaaS anmelden, die für die Smartcard-Authentifizierung konfiguriert sind, führt die Citrix Workspace-App folgende Schritte aus:

• 1. Erfasst die Smartcard-PIN während des Single Sign-on.
• 1. Verwendet IWA (Kerberos), um den Benutzer bei StoreFront zu authentifizieren. StoreFront stellt Ihrer Citrix Workspace-App dann Informationen über die verfügbaren Citrix Virtual Apps and Desktops und Citrix DaaS bereit.

• Hinweis

• Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wenn die Kerberos-Authentifizierung nicht verwendet wird, authentifiziert sich die Citrix Workspace-App bei StoreFront mithilfe der Smartcard-Anmeldeinformationen.

  1. Die HDX-Engine übergibt die Smartcard-PIN an den VDA, um den Benutzer bei der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops und Citrix DaaS stellen dann die angeforderten Ressourcen bereit.

Um die Kerberos-Authentifizierung mit der Citrix Workspace-App zu verwenden, stellen Sie sicher, dass Ihre Kerberos-Konfiguration den folgenden Anforderungen entspricht.

• Kerberos funktioniert nur zwischen der Citrix Workspace-App und Servern, die zu denselben oder zu vertrauenswürdigen Windows Server-Domänen gehören. Server müssen auch für die Delegierung vertrauenswürdig sein, eine Option, die Sie über das Verwaltungstool „Active Directory-Benutzer und -Computer“ konfigurieren.
• Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops und Citrix DaaS aktiviert sein. Für erhöhte Sicherheit und um sicherzustellen, dass Kerberos verwendet wird, deaktivieren Sie alle Nicht-Kerberos-IWA-Optionen in der Domäne.

• Die Kerberos-Anmeldung ist für Remote Desktop Services-Verbindungen nicht verfügbar, die für die Verwendung der Basisauthentifizierung, die immer die angegebenen Anmeldeinformationen verwendet oder immer zur Eingabe eines Kennworts auffordert, konfiguriert sind.

• Warnung

• Eine falsche Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus einer falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie bearbeiten.

• Domänen-Pass-Through-Authentifizierung mit Kerberos zur Verwendung mit Smartcards

Lesen Sie die Informationen zu Smartcards im Abschnitt Sichern Ihrer Bereitstellung in der Citrix Virtual Apps and Desktops-Dokumentation, bevor Sie fortfahren.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

• /includeSSON

  Diese Option installiert die Single Sign-on-Komponente auf dem in die Domäne eingebundenen Computer, wodurch Ihr Workspace die Authentifizierung bei StoreFront mithilfe von IWA (Kerberos) durchführen kann. Die Single Sign-on-Komponente speichert die Smartcard-PIN, die von der HDX-Engine verwendet wird, wenn sie die Smartcard-Hardware und -Anmeldeinformationen an Citrix Virtual Apps and Desktops und Citrix DaaS remote überträgt. Citrix Virtual Apps and Desktops und Citrix DaaS wählen automatisch ein Zertifikat von der Smartcard aus und erhalten die PIN von der HDX-Engine.

  Eine verwandte Option, ENABLE\_SSON, ist standardmäßig aktiviert.

Wenn eine Sicherheitsrichtlinie Sie daran hindert, Single Sign-on auf einem Gerät zu aktivieren, konfigurieren Sie die Citrix Workspace-App mithilfe der administrativen Vorlage für Gruppenrichtlinienobjekte.

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
3. Wählen Sie Pass-Through-Authentifizierung aktivieren.

4. Starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

   

So konfigurieren Sie StoreFront:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, wählen Sie die Option Domänen-Pass-Through. Diese Einstellung aktiviert die integrierte Windows-Authentifizierung. Sie müssen die Option Smartcard nicht auswählen, es sei denn, Sie haben auch Clients, die nicht in die Domäne eingebunden sind und sich über Smartcards mit StoreFront verbinden.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Smartcard

Die Citrix Workspace-App für Windows unterstützt die folgenden Smartcard-Authentifizierungen:

• Pass-Through-Authentifizierung (Single Sign-On) – Die Pass-Through-Authentifizierung erfasst Smartcard-Anmeldeinformationen, wenn Benutzer sich bei der Citrix Workspace-App anmelden. Die Citrix Workspace-App verwendet die erfassten Anmeldeinformationen wie folgt:

  • Benutzer von in die Domäne eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen bei der Citrix Workspace-App anmelden, können virtuelle Desktops und Anwendungen starten, ohne sich erneut authentifizieren zu müssen.
  • Die Citrix Workspace-App, die auf nicht in die Domäne eingebundenen Geräten mit Smartcard-Anmeldeinformationen ausgeführt wird, muss ihre Anmeldeinformationen erneut eingeben, um einen Desktop oder eine App zu starten.

  Die Pass-Through-Authentifizierung erfordert eine Konfiguration sowohl in StoreFront als auch in der Citrix Workspace-App.

• Bimodale Authentifizierung – Die bimodale Authentifizierung bietet Benutzern die Wahl zwischen der Verwendung einer Smartcard und der Eingabe von Benutzername und Kennwort. Diese Funktion ist nützlich, wenn Sie die Smartcard nicht verwenden können. Zum Beispiel ist das Anmeldezertifikat abgelaufen. Pro Site müssen dedizierte Stores eingerichtet werden, um die bimodale Authentifizierung zu ermöglichen, wobei die Methode DisableCtrlAltDel auf False gesetzt werden muss, um Smartcards zuzulassen. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration.

  Mithilfe der bimodalen Authentifizierung kann der StoreFront-Administrator dem Benutzer sowohl die Authentifizierung mit Benutzername und Kennwort als auch die Smartcard-Authentifizierung für denselben Store erlauben, indem er diese in der StoreFront-Konsole auswählt. Siehe StoreFront-Dokumentation.

• Mehrere Zertifikate – Es können mehrere Zertifikate für eine einzelne Smartcard verfügbar sein und wenn mehrere Smartcards verwendet werden.

• Clientzertifikatsauthentifizierung – Die Clientzertifikatsauthentifizierung erfordert eine Citrix Gateway- und StoreFront-Konfiguration.

  • Für den Zugriff auf StoreFront über Citrix Gateway müssen Sie sich möglicherweise nach dem Entfernen einer Smartcard erneut authentifizieren.
  • Wenn die Citrix Gateway SSL-Konfiguration auf obligatorische Clientzertifikatsauthentifizierung eingestellt ist, ist der Betrieb sicherer. Die obligatorische Clientzertifikatsauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.

• Double-Hop-Sitzungen – Wenn ein Double-Hop erforderlich ist, wird eine Verbindung zwischen der Citrix Workspace-App und dem virtuellen Desktop des Benutzers hergestellt. Bereitstellungen, die Double-Hops unterstützen, werden in der Citrix Virtual Apps and Desktops-Dokumentation beschrieben.

• Smartcard-fähige Anwendungen – Smartcard-fähige Anwendungen wie Microsoft Outlook und Microsoft Office ermöglichen Benutzern das digitale Signieren oder Verschlüsseln von Dokumenten, die in virtuellen Apps- und Desktopsitzungen verfügbar sind.

Einschränkungen:

• Zertifikate müssen auf einer Smartcard und nicht auf dem Benutzergerät gespeichert werden.
• Die Citrix Workspace-App speichert die Auswahl des Benutzerzertifikats nicht, speichert aber die PIN, wenn konfiguriert. Die PIN wird nur im nicht ausgelagerten Speicher zwischengespeichert und nicht auf der Festplatte gespeichert.
• Die Citrix Workspace-App stellt keine Verbindung zu einer Sitzung wieder her, wenn eine Smartcard eingefügt wird.
• Wenn für die Smartcard-Authentifizierung konfiguriert, unterstützt die Citrix Workspace-App kein Virtual Private Network (VPN) Single Sign-On oder den Sitzungsvorstart.
• Um VPN mit Smartcard-Authentifizierung zu verwenden, installieren Sie das Citrix Gateway Plug-in und melden Sie sich über eine Webseite an, indem Sie Ihre Smartcards und PINs verwenden, um sich bei jedem Schritt zu authentifizieren. Die Pass-Through-Authentifizierung bei StoreFront mit dem Citrix Gateway Plug-in ist für Smartcard-Benutzer nicht verfügbar.
• Die Kommunikation des Citrix Workspace-App-Updaters mit citrix.com und dem Merchandising Server ist nicht mit der Smartcard-Authentifizierung auf Citrix Gateway kompatibel.

Warnung

Einige Konfigurationen erfordern Änderungen an der Registrierung. Eine falsche Verwendung des Registrierungs-Editors kann zu Problemen führen, die eine Neuinstallation des Betriebssystems erforderlich machen. Citrix kann nicht garantieren, dass Probleme, die durch eine falsche Verwendung des Registrierungs-Editors entstehen, behoben werden können. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie bearbeiten.

So aktivieren Sie Single Sign-On für die Smartcard-Authentifizierung:

Um die Citrix Workspace-App für Windows zu konfigurieren, fügen Sie während der Installation die folgende Befehlszeilenoption hinzu:

• ENABLE\_SSON=Yes

  Single Sign-On ist ein anderer Begriff für Pass-Through-Authentifizierung. Durch Aktivieren dieser Einstellung wird verhindert, dass die Citrix Workspace-App eine zweite PIN-Eingabeaufforderung anzeigt.

• Setzen Sie SSONCheckEnabled auf false, wenn die Single Sign-On-Komponente nicht installiert ist. Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App die Single Sign-On-Komponente überprüft, wodurch die Citrix Workspace-App sich bei StoreFront authentifizieren kann.

  HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

  HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Um die Smartcard-Authentifizierung bei StoreFront anstelle von Kerberos zu aktivieren, installieren Sie die Citrix Workspace-App für Windows mit den folgenden Befehlszeilenoptionen:

• /includeSSON installiert die Single Sign-On (Pass-Through)-Authentifizierung. Ermöglicht die Zwischenspeicherung von Anmeldeinformationen und die Verwendung der Pass-Through-Authentifizierung auf Domänenbasis.

• Wenn sich der Benutzer mit einer anderen Methode als der Smartcard für die Authentifizierung der Citrix Workspace-App für Windows am Endpunkt anmeldet (z. B. Benutzername und Kennwort), lautet die Befehlszeile:

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Dies verhindert, dass die Anmeldeinformationen zum Zeitpunkt der Anmeldung erfasst werden, und ermöglicht der Citrix Workspace-App, die PIN beim Anmelden bei der Citrix Workspace-App zu speichern.

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
3. Wählen Sie Pass-Through-Authentifizierung aktivieren. Abhängig von der Konfiguration und den Sicherheitseinstellungen wählen Sie Pass-Through-Authentifizierung für alle ICA-Optionen zulassen, damit die Pass-Through-Authentifizierung funktioniert.

So konfigurieren Sie StoreFront:

• Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Authentifizierungsdienst konfigurieren in der StoreFront-Dokumentation.

So aktivieren Sie Benutzergeräte für die Smartcard-Nutzung:

1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Keystore des Geräts.
2. Installieren Sie die kryptografische Middleware Ihres Anbieters.
3. Installieren und konfigurieren Sie die Citrix Workspace-App.

So ändern Sie die Zertifikatauswahl:

Standardmäßig fordert die Citrix Workspace-App den Benutzer auf, ein Zertifikat aus der Liste auszuwählen, wenn mehrere Zertifikate gültig sind. Alternativ können Sie die Citrix Workspace-App so konfigurieren, dass sie das Standardzertifikat (gemäß dem Smartcard-Anbieter) oder das Zertifikat mit dem neuesten Ablaufdatum verwendet. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und erhält die Option, eine alternative Anmeldemethode zu verwenden, falls verfügbar.

Ein gültiges Zertifikat muss alle folgenden Merkmale aufweisen:

• Die aktuelle Uhrzeit des lokalen Computers liegt innerhalb des Gültigkeitszeitraums des Zertifikats.
• Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024 Bit, 2048 Bit oder 4096 Bit aufweisen.
• Die Schlüsselverwendung muss “Digitale Signatur” enthalten.
• Der alternative Antragstellernamen muss den Benutzerprinzipalnamen (UPN) enthalten.
• Die erweiterte Schlüsselverwendung muss “Smartcard-Anmeldung” und “Clientauthentifizierung” oder “Alle Schlüsselverwendungen” enthalten.
• Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der zulässigen Distinguished Names (DN) übereinstimmen, die der Server im TLS-Handshake sendet.

Ändern Sie die Zertifikatauswahl mit einer der folgenden Methoden:

• Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

  Prompt ist die Standardeinstellung. Bei SmartCardDefault oder LatestExpiry fordert die Citrix Workspace-App den Benutzer zur Auswahl eines Zertifikats auf, wenn mehrere Zertifikate die Kriterien erfüllen.

• Fügen Sie den folgenden Schlüsselwert zum Registrierungsschlüssel HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager hinzu: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }.

In HKEY_CURRENT_USER definierte Werte haben Vorrang vor Werten in HKEY_LOCAL_MACHINE, um den Benutzer bei der Auswahl eines Zertifikats optimal zu unterstützen.

So verwenden Sie CSP-PIN-Eingabeaufforderungen:

Standardmäßig werden die den Benutzern angezeigten PIN-Eingabeaufforderungen von der Citrix Workspace-App für Windows und nicht vom kryptografischen Dienstanbieter (CSP) der Smartcard bereitgestellt. Die Citrix Workspace-App fordert Benutzer bei Bedarf zur Eingabe einer PIN auf und leitet die PIN dann an den Smartcard-CSP weiter. Wenn Ihre Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. das Zwischenspeichern der PIN pro Prozess oder pro Sitzung zu verbieten, können Sie die Citrix Workspace-App so konfigurieren, dass stattdessen die CSP-Komponenten zur Verwaltung der PIN-Eingabe, einschließlich der PIN-Eingabeaufforderung, verwendet werden.

Ändern Sie die PIN-Eingabebehandlung mit einer der folgenden Methoden:

• Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_SMARTCARDPINENTRY=CSP an.
• Fügen Sie den folgenden Schlüsselwert zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager hinzu: SmartCardPINEntry=CSP.

Smartcard-Unterstützung und Änderungen beim Entfernen

Beachten Sie Folgendes, wenn Sie eine Verbindung zu einer XenApp 6.5 PNAgent-Site herstellen:

• Die Smartcard-Anmeldung wird für PNAgent-Site-Anmeldungen unterstützt.
• Die Richtlinie zum Entfernen von Smartcards auf der PNAgent-Site wurde geändert:

Eine Citrix Virtual Apps-Sitzung wird abgemeldet, wenn die Smartcard entfernt wird – wenn die PNAgent-Site mit Smartcard als Authentifizierungsmethode konfiguriert ist, muss die entsprechende Richtlinie in der Citrix Workspace-App für Windows konfiguriert werden, um die Abmeldung der Citrix Virtual Apps-Sitzung zu erzwingen. Aktivieren Sie Roaming für die Smartcard-Authentifizierung auf der XenApp PNAgent-Site und aktivieren Sie die Richtlinie zum Entfernen von Smartcards, die Citrix Virtual Apps von der Citrix Workspace-App-Sitzung abmeldet. Der Benutzer ist weiterhin in der Citrix Workspace-App-Sitzung angemeldet.

Einschränkung:

Wenn Sie sich mit Smartcard-Authentifizierung bei der PNAgent-Site anmelden, wird der Benutzername als Angemeldet angezeigt.