FIDO2 and WebAuthn authentication
使用 FIDO2 和 WebAuthn 进行本地授权和虚拟身份验证
用户可以使用 FIDO2 安全密钥以及带有 TPM 2.0 和 Windows Hello 的集成生物识别设备,在其虚拟会话中对利用 FIDO2 或 WebAuthn 的应用程序进行身份验证。
For more information about FIDO2, see FIDO2: WebAuthn & CTAP.
有关使用此功能的信息,请参阅 FIDO2 重定向。
注意
请注意,此功能不支持使用 WebAuthn 或 FIDO2 登录虚拟会话。此功能仅允许在虚拟会话中的应用程序中使用这些身份验证方法。
此功能在双跳场景中不受支持。
支持能力矩阵
| 会话主机操作系统 | Web 应用程序身份验证 | UWP 应用程序身份验证 |
|---|---|---|
| 视窗服务器 2016 | 通过 USB 重定向支持 | 不受支持 |
| 视窗服务器 2019 | 已支持 | 未受支持 |
| 视窗服务器 2022 | 受支持 | 受支持 |
| 视窗 10 | 已支持 | 已支持 |
| 视窗 11 | 已支持 | 受支持 |
有关更多详细信息,请参阅下述要求。
Web 应用程序身份验证
必备条件
以下是使用 FIDO2 和 WebAuthn 身份验证与 Web 应用程序的要求:
Citrix® 控制平面
- Citrix 虚拟应用和桌面™ 2009 或更高版本
会话主机
- 操作系统
- Windows 10 1809 或更高版本
- Windows 服务器 2019 或更高版本
- VDA
- Windows:版本 2009 或更高版本
客户端设备
- 操作系统
- Windows 10 1809 或更高版本
- Linux:请参阅适用于 Linux 的 Workspace 应用程序的系统要求
- 工作区应用程序
- Windows:版本 2009.1 或更高版本
- Linux: 2303 或更高版本
Web 浏览器要求
- 32 位和 64 位浏览器
支持的身份验证方法
- FIDO2 安全密钥
- 视窗你好
- TPM 2.0
- 集成生物识别技术
- 面部识别功能
- 指纹扫描仪
- Web 身份验证
UWP 应用程序身份验证
随着 思杰虚拟应用和桌面 2112 的发布,思杰 支持在 通用 Windows 平台 应用程序中使用 WebAuthn 和 FIDO2 身份验证。
Applications such as Microsoft Teams, Microsoft Outlook for Office 365 and OneDrive use a UWP application for authentication as a link to Azure Active Directory. Citrix now supports using FIDO2 to authenticate those applications.
所需条件
以下是使用 FIDO2 和 WebAuthn 身份验证与 UWP 应用程序的要求:
Citrix 控制平面
- 思杰虚拟应用和桌面 2112 或更高版本
会话主机
- 操作系统
- Windows 10 1809 或更高版本
- Windows 服务器 2022 或更高版本
- VDA
- Windows:版本 2112 或更高版本
客户端设备
- 操作系统
- Windows 10 1809 或更高版本
- Linux:请参阅适用于 Linux 的 Workspace 应用程序的系统要求
- 工作区应用程序
- Windows:版本 2009.1 或更高版本
- Linux: 2303 或更高版本
UWP 应用程序要求
- 32 位和 64 位应用程序
支持的身份验证方法
- FIDO2 安全密钥
- 视窗 你好
- TPM 2.0
- 集成生物识别
- 面部识别功能
- 指纹扫描仪
- Web身份验证
注意:
在 FIDO2 重定向不可用的情况下,因为客户端、VDA 或操作系统不支持该功能,可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。 在 FIDO2 重定向可用的情况下,也可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。在这种情况下,您必须禁用 FIDO2 重定向并配置相应的 USB 重定向规则。 有关如何使用 USB 重定向规则配置 FIDO2 密钥的详细信息,请参阅 USB 重定向设备规则 文档。
基于 msedgewebview2.exe 应用程序的高级配置
注意:
错误编辑注册表可能导致严重问题,甚至需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。 请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份。
对于拥有基于 msedgewebview2.exe 的 Web 应用程序的企业,需要在 VDA 上添加额外的注册表值,以便 FIDO2 重定向在 HDX 会话中正常工作 -
Append the full path of the msedgewebview2.exe in the AllowProcesses registry value:
- Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
- Value name: AllowProcesses
- Value type: REG_MULTISZ
- 值数据:
<add full path of the msedgewebview2.exe here >
对于 64 位应用程序,需要设置以下值:
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- 注册表项类型:REG_SZ
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 值名称: Flag
- Value type: DWORD
- 值数据: 00000002
对于 32 位应用程序,需要设置以下值:
-
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- Value name: FilePathName
- Value type: REG_SZ
-
Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
- Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
- 值名称: Flag
- 值类型为: DWORD
- 值数据: 00000002
设置注册表值后,重新启动 VDA 以启用基于 msedgewebview2.exe 的应用程序的 FIDO2 重定向。