Smartcardauthentifizierung
Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores. Wenn Sie StoreFront installieren, wird die Smartcardauthentifizierung standardmäßig deaktiviert. Die Smartcardauthentifizierung kann für Benutzer aktiviert werden, die über die Citrix Workspace-App, Webbrowser und XenApp Services-URLs eine Verbindung mit Stores herstellen.
Verwenden Sie die Smartcardauthentifizierung, um den Anmeldeprozess für Ihre Benutzer zu optimieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu erhöhen. Der Zugriff auf das interne Unternehmensnetzwerk ist durch die zertifikatbasierte Zweifaktorauthentifizierung mit der Public Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.
Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei von Citrix Virtual Apps and Desktops bereitgestellten Desktops und Anwendungen verwenden. Benutzer von Smartcards, die sich bei StoreFront anmelden, können auch auf von Endpoint Management bereitgestellte Anwendungen zugreifen. Für den Zugriff auf Endpoint Management-Webanwendungen, für die Clientzertifikatauthentifizierung verwendet wird, müssen sich Benutzer jedoch neu authentifizieren.
Zum Aktivieren der Smartcardauthentifizierung müssen Benutzerkonten entweder in der Microsoft Active Directory-Domäne der StoreFront-Server konfiguriert werden oder in einer Domäne, die über eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne verfügt. Bereitstellungen mit mehreren Gesamtstrukturen und bidirektionalen Vertrauensstellungen werden unterstützt.
Die Konfiguration der Smartcardauthentifizierung bei StoreFront hängt von den Benutzergeräten, den installierten Clients und davon ab, ob die Geräte in die Domäne eingebunden sind. In diesem Zusammenhang bedeutet in die Domäne eingebunden, das die Geräte in eine Domäne in der Active Directory-Gesamtstruktur eingebunden sind, die die StoreFront-Server enthält.
Das Dokument Smart card configuration for Citrix environments beschreibt, wie eine Citrix-Bereitstellung für eine bestimmte Art von Smartcards konfiguriert wird. Bei Smartcards anderer Hersteller sind die Arbeitsschritte ähnlich.
Voraussetzungen
- Stellen Sie sicher, dass die Konten für alle Benutzer entweder in der Microsoft Active Directory-Domäne konfiguriert werden, in der Sie die StoreFront-Server bereitstellen, oder in einer Domäne, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat.
- Wenn Sie die Passthrough-Authentifizierung mit Smartcards aktivieren möchten, müssen Sie sicherstellen, dass die Smartcardleser, die Art und Konfiguration der Middleware und die Richtlinie für das Zwischenspeichern von Middleware-PINs dies gestatten.
- Installieren Sie die Smartcard-Middleware des Herstellers auf den virtuellen oder physischen Maschinen, auf denen Virtual Delivery Agent zur Bereitstellung von Desktops und Anwendungen ausgeführt wird. Weitere Informationen zur Verwendung von Smartcards mit Citrix Virtual Desktops finden Sie unter Smartcards.
- Stellen Sie sicher, dass die Public Key-Infrastruktur entsprechend konfiguriert ist. Prüfen Sie die ordnungsgemäße Konfiguration der Zertifikat-/Kontenzuordnung für die Active Directory-Umgebung und ob die Zertifikatüberprüfung erfolgreich ausgeführt werden kann.
Konfigurieren von StoreFront
-
Sie müssen HTTPS für die Kommunikation zwischen StoreFront und Benutzergeräten verwenden, um die Smartcardauthentifizierung zu aktivieren. Siehe Sicheres StoreFront mit HTTPS.
-
Zur Aktivierung von Smartcardauthentifizierung für den Zugriff auf Stores über die Citrix Workspace-App aktivieren Sie Smartcard unter Authentifizierungsmethoden.
-
Wenn Sie die Smartcardauthentifizierung für einen Store standardmäßig aktivieren, wird sie auch für alle Websites für diesen Store aktiviert. Sie können die Smartcardauthentifizierung für einzelne Websites auf der Registerkarte Authentifizierungsmethoden unter “Receiver für Web-Sites verwalten” separat aktivieren oder deaktivieren.
-
Wenn Sie die Smartcardauthentifizierung und die Authentifizierung mit Benutzernamen und Kennwort konfigurieren, werden die Benutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aber bei Problemen mit der Smartcard die explizite Authentifizierung auswählen.
Delivery Controller so konfigurieren, dass er StoreFront vertraut
Bei Verwendung der Smartcardauthentifizierung hat StoreFront keinen Zugriff auf die Anmeldeinformationen des Benutzers und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen den Delivery Controller daher so konfigurieren, dass er Anfragen von StoreFront vertraut. Weitere Informationen finden Sie unter Überlegungen und Best Practices zur Sicherheit von Citrix Virtual Apps and Desktops.
Remotezugriff über Citrix Gateway
Für den Remotezugriff können Sie Smartcards auf dem Citrix Gateway und die Passthrough-Authentifizierung für StoreFront mit delegierter Authentifizierung aktivieren. Weitere Informationen finden Sie unter Gateway-Passthrough.
Sie können sicherstellen, dass die Benutzer beim Herstellen einer Verbindung zu ihren Ressourcen nicht ein weiteres Mal vom virtuellen Server aufgefordert werden, ihre Anmeldeinformationen einzugeben, indem Sie ein zweites Gateway erstellen und die Clientauthentifizierung in den SSL-Parametern deaktivieren. Weitere Informationen finden Sie unter Konfigurieren der Smartcardauthentifizierung. Beim Zugriff auf StoreFront über ein Gateway mit Smartcardauthentifizierung. Konfigurieren Sie das optimale Citrix Gateway-Routing über diesen virtuellen Server für Verbindungen mit den Bereitstellungen von Desktops und Anwendungen für den Store. Weitere Informationen finden Sie unter Konfigurieren des optimalen HDX-Routings für einen Store.
Single Sign-On auf VDAs
Sie können Single Sign-On für die VDAs aktivieren, indem Sie die Smartcardanmeldeinformationen der Benutzer weitergeben. Auf den Store kann über einen Webbrowser oder die Citrix Workspace-App für Windows zugegriffen werden, die Ressource muss jedoch in der Citrix Workspace-App für Windows geöffnet werden. Auf anderen Betriebssystemen oder beim Zugriff auf die Ressourcen über einen Browser müssen Benutzer ihre Anmeldeinformationen erneut eingeben, wenn sie eine Verbindung zu einem VDA herstellen.
-
Schließen Sie bei der Installation von Citrix Workspace für Windows die Single Sign On-Komponente ein und konfigurieren Sie sie für Single Sign On. Siehe Konfigurieren von Domänen-Passthrough-Authentifizierung.
-
Verwenden Sie einen Texteditor, um die Datei default.ica für den Store zu öffnen. Weitere Informationen finden Sie unter Default ICA.
-
Für Passthrough von Smartcardanmeldeinformationen für Benutzer, die ohne Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Application] hinzu.
DisableCtrlAltDel=Off
Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
-
Für Passthrough von Smartcardanmeldeinformationen für Benutzer, die mit Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Application] hinzu.
UseLocalUserAndPassword=On
Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für bestimmte Benutzer zu aktivieren, während andere sich anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen, müssen Sie für jede Gruppe von Benutzern verschiedenen Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
Single Sign-On bei VDAs mit FAS
Alternativ können Sie den Verbundauthentifizierungsdienst für Single Sign-On bei VDAs konfigurieren, wenn Sie die lokal installierte Citrix Workspace-App verwenden, aber nicht die Citrix Workspace-App für HTML5.
Wichtige Überlegungen
Die Verwendung von Smartcards für die Benutzerauthentifizierung bei StoreFront unterliegt den folgenden Anforderungen und Einschränkungen.
-
Zur Verwendung eines VPN-Tunnels mit Smartcardauthentifizierung müssen die Benutzer das Citrix Gateway-Plug-In installieren und sich über eine Webseite anmelden, wobei sie sich für jeden Schritt mit Smartcard und PIN authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem Citrix Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
-
Auf einem Benutzergerät können mehrere Smartcards und mehrere Smartcardleser verwendet werden. Wenn Sie jedoch die Passthrough-Authentifizierung mit Smartcard aktivieren, müssen Benutzer darauf achten, dass beim Zugriff auf einen Desktop oder eine Anwendung nur eine Smartcard eingeführt ist.
-
Wird eine Smartcard innerhalb einer Anwendung verwendet (z. B. zur digitalen Signierung oder zur Verschlüsselung), werden möglicherweise zusätzliche Aufforderungen zum Einführen einer Smartcard oder zur Eingabe einer PIN angezeigt. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden. Er kann auch aufgrund von Konfigurationseinstellungen eintreten, z. B. bei Middleware-Einstellungen wie PIN-Zwischenspeicherung, die in der Regel mit der Gruppenrichtlinie konfiguriert werden. Wenn Benutzer zum Einlegen einer Smartcard aufgefordert werden und die Smartcard bereits im Leser ist, müssen sie auf “Abbrechen” klicken. Wenn Benutzer aufgefordert werden, eine PIN einzugeben, müssen sie die PIN neu eingeben.
-
Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und nicht über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Store herstellen.
-
Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmte Benutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungen erzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
-
Nur eine Authentifizierungsmethode kann für jede XenApp Services-URL konfiguriert werden und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zur Smartcardauthentifizierung weitere Authentifizierungsmethoden aktivieren möchten, müssen Sie für jede Authentifizierungsmethode einen eigenen Store mit einer XenApp Services-URL erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
-
Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in Microsoft Internetinformationsdienste (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an. Dank dieser Konfiguration können Sie Smartcardbenutzern die Option des Fallbacks auf die explizite Authentifizierung gewähren, wenn diese Probleme mit ihren Smartcards haben. Abhängig von den entsprechenden Windows-Richtlinieneinstellungen können Benutzer auch ihre Smartcard entfernen, ohne sich neu authentifizieren zu müssen.
Wenn Sie IIS für die Anforderung von Clientzertifikaten für alle HTTPS-Verbindungen mit allen StoreFront-URLs konfigurieren, müssen Authentifizierungsdienst und Stores auf demselben Server sein. Sie müssen ein Clientzertifikat verwenden, das für alle Stores gültig ist. Innerhalb dieser IIS-Sitekonfiguration können Smartcardbenutzer keine Verbindung über Citrix Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen.