自定义安全和隐私政策
本文提供有关如何在配置完 Workspace 访问和身份验证后自定义登录体验的指导。
有关配置工作区访问和身份验证的概述,请访问 配置访问。 有关如何配置工作区订阅者身份验证的信息,请访问 配置身份验证。
工作区会话
使用 工作区配置 > 自定义 > 首选项 中的 工作区会话设置 来选择用户何时需要输入其凭据以及用户保持登录状态的时间。 更新设置后,按 保存 应用设置或按 恢复 取消设置。
联合身份提供商会话
启用(默认)后,当需要新的 Workspace 会话时,Workspace 会强制向身份提供者发出登录提示。 对于 OIDC 身份验证,Workspace 在身份验证请求中包含 prompt=login 。 对于 SAML 身份验证,Workspace 在身份验证请求中发送 ForceAuthn=true 。
禁用时,如果身份提供者已经具有有效会话,则可能不会提示用户向身份提供者进行身份验证。
Web 不活动超时
使用 Web 不活动超时 设置来指定用户自动退出 Citrix Workspace 之前允许的空闲时间量(最多 8 小时)。 只有与 Workspace 的交互(例如刷新页面或启动应用程序)才算活动。
与断开 DaaS 会话的手动注销不同,即使因不活动而超时,用户仍能保持与其 DaaS 会话的连接。 用户未从其身份提供者中注销。 因此,如果 联合身份提供者会话 关闭,用户可能无需输入其凭据即可重新登录。
桌面版 Workspace 应用程序的不活动超时
使用 Workspace 应用程序 - 桌面 的非活动超时设置来指定在用户自动退出适用于 Windows、Mac 和 Linux 的 Citrix Workspace 应用程序之前允许的空闲时间量(最多 24 小时)。 任何与鼠标或键盘的交互都算作活动并延长超时。
与手动注销(断开 DaaS 会话)不同,即使因不活动而超时,订阅者仍然保持与其 DaaS 会话的连接。
您可以使用 PowerShell API修改设置。 使用 Set-WorkspaceCustomConfiguration cmdlet 和参数 InactivityTimeoutInMinutes。
移动设备上的 Workspace 应用程序不活动超时
使用 Workspace 应用程序 - 移动 的非活动超时设置来指定 Citrix Workspace 应用程序锁定之前允许的空闲时间量(最多 24 小时)。 这适用于适用于 iOS 和 Android 的 Citrix Workspace 应用程序。 一旦锁定,用户必须使用生物识别技术或其设备 PIN 来解锁 Citrix Workspace 应用程序。
您可以使用 PowerShell API修改设置。 使用 Set-WorkspaceCustomConfiguration cmdlet 和参数 InactivityTimeoutInMinutesMobile。
设置 Citrix Workspace 应用程序的身份验证期限
使用 Citrix Workspace 应用程序的身份验证期限 设置来指定用户在需要再次登录之前可以保持登录 Citrix Workspace 应用程序的时间长度。 这些设置不适用于网络浏览器。
重新认证期限 定义了用户必须重新认证之前的最长时间。 默认情况下,该值设置为 30 天,但您可以配置 1 到 365 天之间的值。 如果期限超过 1 天,则用户在进行身份验证时必须同意保持登录状态。
不活动期 定义了用户在必须重新认证之前可以处于不活动状态的时间。 默认情况下为 4 天,但您可以将其配置为 1 天到重新认证期之间的值。 如果用户处于不活动状态的时间超过此值,则下次尝试访问其工作区时,系统将提示他们重新进行身份验证。 要在桌面上设置少于 24 小时的不活动时间,请使用桌面上工作区应用程序的 不活动超时 设置。
通过下载此 PowerShell 脚本 并按照下载中包含的说明操作,可以使订阅者的会话失效。 使会话失效后,订阅者必须在接下来的 24 小时内对其工作区重新进行身份验证。
支持的 Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 的 Workspace 应用程序 2106 或更高版本
- 适用于 Mac 的 Workspace 应用程序 2106 或更高版本
- 适用于 iOS 的 Workspace 应用程序 21.6.5 或更高版本
- 适用于 Android 的 Workspace 应用程序 21.6.0 或更高版本
支持的身份验证方法
以下身份验证方法支持保持对 Citrix Workspace 应用程序的登录状态:
- Active Directory
- Active Directory 加令牌
- 恩特拉身份证
- Citrix Gateway
- Okta
注意:
要获得与使用 Okta 或 Azure Active Directory 的 Citrix DaaS 客户相同的体验,请配置 Citrix 联合身份验证服务 (FAS)。 有关 FAS 的更多信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录。
保持登录状态的订阅者体验
当订阅者在其设备上登录 Workspace 时,Workspace 会提示他们同意保持登录状态。
当订阅者选择 允许 选项时,他们会在重新认证期间保持登录状态。 如果在配置的天数内未在订阅者的设备上检测到任何活动,则会自动提示订阅者重新进行身份验证。 登录 Citrix Workspace 应用程序后,只要他们在设备上使用应用程序和桌面,重新身份验证期限就会一直有效。
如果订阅者选择 拒绝,系统可能会提示用户再次登录。 之后,Workspace 会提示订阅者在 24 小时后再次登录。
如果订阅者的密码发生更改,则订阅者必须注销并通过 Citrix Workspace 应用程序重新登录,才能继续使用重新身份验证期。
允许订阅者更改其帐户密码
Workspace 配置 > 自定义 > 首选项中的“允许更改帐户密码”设置控制订阅者是否可以从 Citrix Workspace 中更改其域密码。 您还可以向订阅者提供指导,以便他们可以根据贵组织的密码策略创建有效的密码。
启用(默认)后,订阅者可以根据贵组织的 Active Directory 设置随时更改其密码。 如果禁用,Workspace 会在密码过期时提示订阅者更改密码,但他们无法在 Workspace 中更改未过期的密码。
支持的身份验证方法
- Active Directory
- Active Directory 加令牌
支持的 Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 的 Workspace 应用程序 2101 或更高版本
- 适用于 Mac 的 Workspace 应用程序 2012 或更高版本
- 适用于 Chrome 的 Workspace 应用程序 2010 或更高版本
- 适用于 HTML5 的 Workspace 应用程序 2101 或更高版本
- 适用于 Android 的 Workspace 应用程序 21.1.0 或更高版本
订阅者从 Web 浏览器访问工作区时也可以使用此功能。
以下设备不支持此功能:
- 旧版本的 Citrix Workspace 应用程序
- 适用于 Linux 的 Citrix Workspace 应用程序
密码指导
您最多可以添加 20 个密码要求,以满足贵组织的安全策略并由身份提供商强制执行。 当订阅者从 Workspace 的“帐户设置”页面更改密码时,Workspace 会将这些要求显示为指南。 如果您未添加任何密码要求,Workspace 会显示消息“您所在组织的密码要求仍然适用。”
重要:
Citrix Workspace 不会验证订阅者输入的新密码。 如果订阅者试图通过 Workspace 将其有效密码更改为无效密码,您的身份提供商会拒绝新密码。 现有密码未更改。
要添加密码要求,请执行以下操作:
- 导航到 Workspace 配置 > 自定义 > 首选项。
- 在 允许更改账户密码下,检查设置是否处于启用状态。 如果禁用,请启用该设置。
-
选择“添加密码要求”。
-
输入符合贵组织对有效密码的安全要求的要求。 例如,您可以指定密码必须为特定的字符长度。 选择 添加密码要求可在 订阅者更改密码时为其添加更多项目。
- 添加完需求后,选择 保存。
-
再次选择“保存”以保存所有设置更改。
更改密码时的订阅者体验
提示:
要提高订阅者对该功能的认识,请考虑在内部知识库中包含一项建议,让订阅者通过 Workspace 更改其域密码。 下载 pdf 文件 以获取可包含在您自己的通信和知识库文章中的说明。
启用“允许更改帐户密码”后,订阅者可以通过前往“帐户设置”>“安全和登录”在 Workspace 中更改密码。
选择查看密码要求以显示您在 Workspace 配置中输入的所有要求。
订阅者在更改密码后会自动从 Workspace 注销,并且必须使用新密码重新登录。
发送自定义公告
发送自定义公告以显示您选择的限时消息,例如即将到来的维护窗口。
自定义公告显示在所有客户端(包括网络和移动设备)中的所有订阅者。 订阅者登录后会看到该消息。 订阅者无法忽略此公告,但可以在移动设备上将其最小化。
- 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项 > 发送自定义公告 > 配置。
- 输入您想要显示的消息的标题和文本,并选择向订阅者显示消息的日期、时间和位置(顶部或底部)。
- 要查看您的消息如何显示给订阅者,请选择 预览。
- 完成后,选择“保存”。
配置登录策略
创建自定义登录策略, 以便在订阅者登录其工作区时通知其组织的最终用户许可协议 (EULA)。
启用和配置后,登录策略将显示在所有客户端(包括 Web 和移动设备)中。 订阅者可以在登录时看到登录策略。 订阅者不能绕过该策略,必须接受该策略才能登录其工作区。
- 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项。
- 在“登录策略”部分中,选择“配置”。 如果存在策略,则该按钮将改为显示“编辑”。
- 使用启用策略下的开关启用该功能。
- 在 策略标题中,输入策略的标题。
- 输入订阅者在登录前必须同意的策略文本。 如果需要,请在同一文本框中添加其他语言的本地化文本。
-
输入按钮的名称,订阅者必须选择该名称才能同意该策略。
- 选择“预览”以查看订阅者的政策是什么样子。
- 完成后,选择“保存”。
注意:
如果您将 Citrix Gateway 配置为 Workspace 身份提供商,则可能已经将登录策略作为 AAA 和 nFactor 身份验证流程的一部分。 Citrix 建议您仅配置一个登录策略,作为现有 nFactor 身份验证流程的一部分或使用 Citrix Cloud 管理控制台在流程之外配置。