Authentifizieren

Smartcard

Die Citrix Workspace-App für ChromeOS bietet durch StoreFront Unterstützung für USB-Smartcardleser. Sie können Smartcards zu folgenden Zwecken verwenden:

• Anmeldeauthentifizierung per Smartcard bei der Citrix Workspace-App.
• Zugriff auf lokale Smartcardgeräte über smartcardfähige veröffentlichte Apps.
• Smartcards zum Signieren von Dokumenten und E-Mails. Zum Beispiel Microsoft Word und Outlook, die in ICA-Sitzungen gestartet werden.

Zu den unterstützten Smartcards (mit USB-Smartcardlesern) gehören:

• PIV (Personal Identity Verification)
• CAC (Common Access Cards)

Voraussetzungen

• StoreFront 3.6 oder höher
• XenDesktop 7.6 und höher
• XenApp 6.5 oder höher
• Citrix Virtual Apps and Desktops 1808 oder höher
• Citrix Workspace-App 1808 oder später

Wichtig:

• Für die Smartcardauthentifizierung bei StoreFront 3.5 und früheren Versionen benötigen Sie ein benutzerdefiniertes Skript, das die Smartcardauthentifizierung aktiviert. Wenden Sie sich an den Citrix Support, um Unterstützung zu erhalten.

• Informationen zu den neuesten Informationen zu unterstützten Versionen finden Sie unter Produktlebenszyklus für Citrix Workspace App und Citrix Virtual Apps and Desktops.

Voraussetzungen für die Gerätekonfiguration

• Google Smart Card Connector ist eine App, die mit den USB-Smartcardlesern in dem Gerät interagiert. Die Connector-App macht Personal Computer Smart Card (PCSC) Lite-APIs anderen Apps zugänglich, einschließlich der Citrix Workspace-App.

• Zertifikatanbieter sind die Middleware-Apps, die von Anbietern geschrieben wurden, die mit dem Smartcardconnector interagieren. Die Middleware-Apps greifen auf den Smartcardleser zu, lesen Zertifikate und stellen Smartcardzertifikate für ChromeOS bereit.

  Die Middleware-Apps implementieren auch die Signaturfunktionalität über PIN-Eingabeaufforderungen. Zum Beispiel CACKey.

  Weitere Informationen finden Sie unter Deploy Smartcards on ChromeOS.

• Wenn Sie die Smartcardauthentifizierung in StoreFront konfigurieren, fordert die Citrix Workspace-App ChromeOS auf, Clientzertifikate auf der Smartcard bereitzustellen. ChromeOS präsentiert die Zertifikate so, wie sie von den Anbietern erhalten wurden. PIN-Aufforderungen weisen auf Authentifizierung hin.

  Die Citrix Workspace-App hat eine Liste zulässiger Betriebssysteme für die Smartcardauthentifizierung. Für StoreFront 3.6 und höher ist auch ChromeOS zugelassen. Für frühere Versionen von StoreFront können Sie ein benutzerdefiniertes Skript verwenden, um die Smartcardauthentifizierung mit ChromeOS zu ermöglichen. Wenden Sie sich an den Citrix Support für benutzerdefinierte Skripts.

• Die Citrix Workspace-App steuert nicht den Workflow der Smartcardauthentifizierung mit StoreFront. In einigen Fällen kann StoreFront Sie jedoch auffordern, den Browser zu schließen, um Cookies zu löschen.

  Um alle Cookies zu löschen und die Store-URL neu zu laden, klicken Sie in der Citrix Workspace-App für ChromeOS auf die Schaltfläche zum Neuladen.

  Gelegentlich müssen Sie sich vom ChromeOS-Gerät abmelden, um die Cookies vollständig zu löschen.

• Wenn Sie versuchen, eine App oder eine Desktopsitzung zu starten, verwendet die Citrix Workspace-App keine Smartcardumleitung. Stattdessen interagiert sie mit der Smartcardconnector-App für PC/SC-Lite-APIs.

  Für die Windows-Anmeldung erforderliche PIN-Eingabeaufforderungen werden innerhalb der Sitzung angezeigt. Hier spielen die Zertifikatanbieter keine Rolle. Die Citrix Workspace-App verwaltet die sitzungsinternen Aktivitäten wie Double-Hop oder das Signieren von E-Mails.

Smartcard-Beschränkungen

• Wenn Sie die Smartcard aus dem ChromeOS-Gerät entfernen, wird das Smartcardzertifikat zwischengespeichert. Dieses Verhalten ist ein bekanntes Problem in Google Chrome. Starten Sie das ChromeOS-Gerät neu, um den Cache zu leeren.
• Wenn die Citrix Workspace-App für ChromeOS neu verpackt wurde, holen Sie sich als Administrator die appID-Genehmigung von Google. Dadurch wird Passthrough für die Smartcardconnector-Anwendung bestätigt.
• Es wird jeweils nur ein Smartcardleser unterstützt.
• Virtuelle Smartcards und schnelle Smartcards werden nicht unterstützt.
• Smartcards werden in Citrix Workspace (Cloud) nicht unterstützt.

Konfiguration der Smartcardunterstützung auf einem ChromeOS-Gerät

1. Installieren Sie die Smartcard-Connectoranwendung. Die Smartcardanwendung ist zur Unterstützung von Personal Computer Smart Card (PCSC) auf dem ChromeOS-Gerät erforderlich. Diese Anwendung liest die Smartcard über die USB-Schnittstelle. Installieren Sie die Anwendung von der Chrome-Website.

2. Installieren Sie die Middleware-Anwendung. Eine Middleware-Anwendung ist als Schnittstelle erforderlich, die mit der Smartcard und den anderen Clientzertifikaten kommuniziert. Zum Beispiel Charismathics oder CACKey:

   • Anleitungen zum Installieren der Charismathics-Smartcarderweiterung oder CACKey finden Sie auf der Chrome-Website.

   • Weitere Informationen über Middleware-Anwendungen und Smartcardauthentifizierung finden Sie auf der Google Supportsite.

3. Konfigurieren der Smartcardauthentifizierung:

   • Citrix Gateway
   • StoreFront-Verwaltungskonsole

   Weitere Informationen finden Sie unter Konfigurieren der Smartcardauthentifizierung und Configure the Authentication Service in der Citrix Gateway-Dokumentation.

SAML-Authentifizierung

Konfigurieren von Single Sign-On:

1. Richten Sie den Identitätsanbieter (IdP) (Drittanbieter) für die SAML-Authentifizierung ein, wenn er nicht bereits konfiguriert ist. Zum Beispiel ADFS 2.0.

   Weitere Informationen finden Sie im Knowledge Center-Artikel CTX133919.

2. Richten Sie für Google Apps Single Sign-On mit dem SAML-Identitätsanbieter ein. In dieser Konfiguration können Benutzer Google Apps mit der Identität eines Drittanbieters anstelle des Google Enterprise-Kontos verwenden.

   Weitere Informationen finden Sie unter Set-up single sign-on for managed Google Accounts using third-party Identity providers auf der Google-Supportsite.

3. Konfigurieren Sie für Chrome-Geräte die Anmeldung über den SAML-Identitätsanbieter. In dieser Konfiguration können Benutzer sich an Chrome-Geräten mit einem Identitätsanbieter (Drittanbieter) anmelden.

   Weitere Informationen finden Sie unter Configure SAML Single Sign-On for Chrome devices auf der Google Supportsite.

4. Konfigurieren Sie Citrix Gateway für die Anmeldung über SAML IdP. In dieser Konfiguration können sich Benutzer mit einem Identitätsanbieter (Drittanbieter) bei Citrix Gateway anmelden.

   Weitere Informationen finden Sie unter Konfigurieren der SAML-Authentifizierung.

5. Konfigurieren Sie die Verbundauthentifizierung für Citrix Virtual Apps and Desktops, um sich an Citrix Virtual Apps and Desktops-Sitzungen mit dynamisch generierten Zertifikaten anzumelden. Sie können die Aktion nach der SAML-Anmeldung ausführen, anstatt den Benutzernamen und das Kennwort einzugeben.

   Weitere Informationen finden Sie unter Verbundauthentifizierungsdienst.

6. Installieren und konfigurieren Sie SAML-SSO für die Chrome-App-Erweiterung auf Chrome-Geräten. Weitere Informationen finden Sie auf der Website von Google. Diese Erweiterung ruft SAML-Cookies aus dem Browser ab und übermittelt sie an Citrix Workspace. Die Erweiterung muss mit der folgenden Richtlinie konfiguriert werden, damit Citrix Workspace SAML-Cookies abrufen kann:

   Wenn Sie die Citrix Workspace-App für ChromeOS neu verpacken, ändern Sie die appId entsprechend. Ändern Sie darüber hinaus die Domäne in die SAML-IdP-Domäne Ihrer Firma.

   {
       "whitelist" : {
           "Value" : [
               {
               "appId" : "haiffjcadagjlijoggckpgfnoeiflnem",
               "domain" : "saml.yourcompany.com"
               }
           ]
        }
   }
   <!--NeedCopy-->
   

7. Konfigurieren Sie Citrix Workspace so, dass Citrix Gateway für die SAML-Anmeldung verwendet wird. Benutzer können mit dieser Konfiguration das für die SAML-Anmeldung konfigurierte Citrix Gateway verwenden. Weitere Informationen zur Konfiguration von ChromeOS finden Sie im Knowledge Center-Artikel CTX141844.