Citrix Virtual Apps and Desktops

查看 PDF

FIDO2 和 WebAuthn 身份验证

July 4, 2024

投稿者:

使用 FIDO2 和 WebAuthn 的本地授权和虚拟身份验证

用户可以在其虚拟会话中使用 FIDO2 安全密钥以及安装了 TPM 2.0 和 Windows Hello 的集成生物特征识别设备利用 FIDO2 或 WebAuthn 对应用程序进行身份验证。

有关 FIDO2 的详细信息，请参阅 FIDO2: WebAuthn & CTAP。

有关使用此功能的信息，请参阅 FIDO2 重定向。

注意

请注意，此功能不支持使用 WebAuth 或 FIDO2 登录虚拟会话。此功能仅允许在虚拟会话内的应用程序中使用这些身份验证方法。

双跃点场景不支持此功能。

支持能力表

会话主机操作系统	Web 应用程序身份验证	UWP 应用程序身份验证
Windows Server 2016	通过 USB 重定向提供支持	不支持
Windows Server 2019	支持	不支持
Windows Server 2022	支持	支持
Windows 10	支持	支持
Windows 11	支持	支持

如需更多信息，请查看下面的要求。

Web 应用程序身份验证

要求

下面是在 Web 应用程序中使用 FIDO2 和 WebAuthn 身份验证的要求：

Citrix 控制平面

Citrix Virtual Apps and Desktops 2009 或更高版本

会话主机

操作系统
- Windows 10 1809 或更高版本
- Windows Server 2019 或更高版本
VDA
- Windows：2009 或更高版本

客户端设备

操作系统
- Windows 10 1809 或更高版本
- Linux：请参阅适用于 Linux 的 Workspace 应用程序的系统要求
Workspace 应用程序
- Windows：版本 2009.1 或更高版本
- Linux：2303 或更高版本

Web 浏览器要求

仅限 64 位浏览器

支持的身份验证方法

FIDO2 安全密钥
Windows Hello
- TPM 2.0
- 集成的生物热症识别技术
  - 面部识别
  - 指纹扫描仪
- WebAuthn

UWP 应用程序身份验证

随着 Citrix Virtual Apps and Desktops 2112 的发布，Citrix 在 UWP 应用程序中支持 WebAuth 和 FIDO2 身份验证。

Microsoft Teams、Microsoft Outlook for Office 365 和 OneDrive 等应用程序使用 UWP 应用程序进行身份验证作为指向 Azure Active Directory 的链接。Citrix 现在支持使用 FIDO2 对这些应用程序进行身份验证。

要求

下面是在 UWP 应用程序中使用 FIDO2 和 WebAuth 身份验证的要求：

Citrix 控制平面

Citrix Virtual Apps and Desktops 2112 或更高版本

会话主机

操作系统
- Windows 10 1809 或更高版本
- Windows Server 2022 或更高版本
VDA
- Windows：版本 2112 或更高版本

客户端设备

操作系统
- Windows 10 1809 或更高版本
- Linux：请参阅适用于 Linux 的 Workspace 应用程序的系统要求
Workspace 应用程序
- Windows：版本 2009.1 或更高版本
- Linux：2303 或更高版本

支持的身份验证方法

FIDO2 安全密钥
Windows Hello
- TPM 2.0
- 集成的生物热症识别技术
  - 面部识别
  - 指纹扫描仪
- WebAuthn

注意：

在由于客户端或 VDA 或操作系统不支持 FIDO2 重定向功能而导致该功能不可用的情况下，可以使用 USB 重定向功能来重定向基于 USB 的 FIDO2 密钥。在可以使用 FIDO2 重定向功能的情况下，也可以使用 USB 重定向功能来重定向基于 USB 的 FIDO2 密钥。在这种情况下，必须禁用 FIDO2 重定向并配置相应的 USB 重定向规则。有关如何使用 USB 重定向规则配置 FIDO2 密钥的详细信息，请参阅 USB 重定向设备规则文档。

基于 msedgewebview2.exe 的应用程序的高级配置

注意：

注册表编辑不当会导致严重问题，可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器需自担风险。在编辑注册表之前，请务必进行备份。

对于拥有基于 msedgewebview2.exe 的 Web 应用程序的企业，需要在 VDA 上添加额外的注册表值，以便 FIDO2 重定向能够在 HDX 会话中运行 -

在 AllowedProcesses 注册表值中附加 msedgewebview2.exe 的完整路径：

注册表项：HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
值名称：AllowedProcesses
值类型：REG_MULTISZ
值数据：<add full path of the msedgewebview2.exe here >

对于 64 位应用程序，需要设置以下值：

注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
值名称：FilePathName
值类型：REG_SZ
值数据：C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
值名称：Flag
值类型：DWORD
值数据：00000002

对于 32 位应用程序，需要设置以下值：

注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe
注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
值名称：FilePathName
值类型：REG_SZ
值数据：C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll
注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
值名称：Flag
值类型：DWORD
值数据：00000002

将 FIDO2 重定向的注册表值设置为对基于 msedgewebview2.exe 的应用程序启用后重新启动 VDA。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

FIDO2 和 WebAuthn 身份验证

July 4, 2024

投稿者:

July 4, 2024

投稿者:

这是否有帮助？