FIDO2 and WebAuthn authentication
使用 FIDO2 和 WebAuthn 进行本地授权和虚拟身份验证
用户可以使用 FIDO2 安全密钥以及集成了 TPM 2.0 和 Windows Hello 的生物识别设备,在其虚拟会话中对利用 FIDO2 或 WebAuthn 的应用程序进行身份验证。
For more information about FIDO2, see FIDO2: WebAuthn & CTAP.
有关使用此功能的详细信息,请参阅 FIDO2 重定向。
注意
请注意,此功能不支持使用 WebAuthn 或 FIDO2 登录虚拟会话。此功能仅允许在虚拟会话中的应用程序中使用这些身份验证方法。
此项功能在双跳场景下无法得到支持。
支持能力矩阵
| 会话主机操作系统 | Web 应用程序身份验证 | UWP 应用程序身份验证 |
|---|---|---|
| 视窗服务器 2016 | 通过 USB 重定向支持 | 不提供支持 |
| 视窗服务器 2019 | 受支持 | 不受支持 |
| 视窗服务器 2022 | 受支持 | 受支持 |
| 视窗 10 | 受支持 | 受支持 |
| 视窗 11 | 受支持 | 受支持 |
如需了解更多详细信息,请查阅以下要求。
Web 应用程序身份验证
所需条件
以下是使用 FIDO2 和 WebAuthn 身份验证与 Web 应用程序的要求:
Citrix® 控制平面
- 思杰虚拟应用和桌面™ 2009 或更高版本
会话主机
- 操作系统
- Windows 10 1809 或更高版本
- Windows 服务器 2019 或更高版本
- VDA
- Windows:版本 2009 或更高版本
客户端设备
- 操作系统
- Windows 10 1809 或更高版本
- Linux:请参阅适用于 Linux 的 Workspace 应用程序的系统要求
- 工作区应用程序
- Windows:版本 2009.1 或更高版本
- Linux: 2303 或更高版本
Web 浏览器要求
- 32 位和 64 位浏览器
支持的身份验证方法
- FIDO2 安全密钥
- Windows 生物识别登录
- TPM 2.0
- 集成生物识别
- 面部识别认证
- 指纹扫描仪
- Web 身份验证
UWP 应用程序身份验证
随着 思杰虚拟应用和桌面 2112 的发布,思杰 支持在 UWP 应用程序中进行 WebAuthn 和 FIDO2 身份验证。
微软 Teams、Office 365 版 Microsoft Outlook 和 OneDrive 等应用程序使用 UWP 应用程序进行身份验证,作为与 Azure 活动目录 的链接。Citrix 现在支持使用 FIDO2 对这些应用程序进行身份验证。
必备条件
以下是使用 FIDO2 和 WebAuthn 身份验证与 UWP 应用程序的要求:
Citrix 控制平面
- Citrix 虚拟应用和桌面 2112 或更高版本
会话主机
- 操作系统
- Windows 10 1809 或更高版本
- Windows 服务器 2022 或更高版本
- VDA
- Windows: 2112 或更高版本
客户端设备
- 操作系统
- Windows 10 1809 或更高版本
- Linux: 请参阅适用于 Linux 的 Workspace 应用程序的系统要求
- 工作区应用程序
- Windows: 2009.1 或更高版本
- Linux: 2303 或更高版本
UWP 应用程序要求
- 32 位和 64 位应用程序
支持的身份验证方法
- FIDO2 安全密钥
- 视窗 你好
- TPM 2.0
- 集成生物识别技术
- 面部识别功能
- 指纹扫描仪
- Web认证
注意:
在 FIDO2 重定向不可用的情况下(因为客户端、VDA 或操作系统不支持该功能),可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。 在 FIDO2 重定向可用的情况下,也可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。在这种情况下,您必须禁用 FIDO2 重定向并配置相应的 USB 重定向规则。 有关如何使用 USB 重定向规则配置 FIDO2 密钥的详细信息,请参阅 USB 重定向设备规则 文档。
基于 msedgewebview2.exe 的应用程序的高级配置
注意:
不正确地编辑注册表可能会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。 请自行承担使用注册表编辑器的风险。编辑注册表之前,请务必备份注册表。
对于拥有基于 msedgewebview2.exe 的 Web 应用程序的企业,需要在 VDA 上添加额外的注册表值,以便 FIDO2 重定向在 HDX 会话中正常工作 -
请务必将 msedgewebview2.exe 的完整路径追加到名为 AllowedProcesses 的注册表值中,以确保其生效:
- Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
- Value name: AllowedProcesses
- Value type: REG_MULTISZ
- 值数据:
<add full path of the msedgewebview2.exe here >
对于 64 位应用程序,需要设置以下值:
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- Value type: REG_SZ
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 值名称:Flag
- Value type: DWORD
- 值数据: 00000002
对于 32 位应用程序,需要设置以下值:
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 值名称:文件路径名
- 值的类型为:REG_SZ
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 值名称: Flag
- 值的类型:DWORD
- 值数据: 00000002
设置注册表值后,重新启动 VDA,以便为基于 msedgewebview2.exe 的应用程序启用 FIDO2 重定向。