Produktdokumentation
Citrix Workspace-App für iOS
PDF anzeigen

Authentifizieren

June 1, 2023
Beitrag von: 
C

Clientzertifikatauthentifizierung

Wichtig:

  • Bei Verwendung von StoreFront unterstützt die Citrix Workspace-App Folgendes:
    • Citrix Access Gateway Enterprise Edition Version 9.3
    • NetScaler Gateway Version 10.x bis Version 11.0
    • Citrix Gateway Version 11.1 und höher
  • Die Citrix Workspace-App für iOS unterstützt die Clientzertifikatauthentifizierung.
  • Nur Access Gateway Enterprise Edition 9.x und 10.x (und spätere Releases) unterstützen die Clientzertifikatauthentifizierung.
  • Die Zweiquellenauthentifizierungstypen müssen CERT und LDAP sein.
  • Die Citrix Workspace-App unterstützt auch die optionale Clientzertifikatauthentifizierung.
  • Nur Zertifikate im P12-Format werden unterstützt.

Benutzer, die sich an einem virtuellen Citrix Gateway-Server anmelden, können auch anhand der Attribute des Clientzertifikats authentifiziert werden, das dem virtuellen Server präsentiert wird. Die Clientzertifikatauthentifizierung kann zusammen mit einem anderen Authentifizierungstyp, LDAP, verwendet werden, um eine Zweiquellenauthentifizierung bereitzustellen.

Mit folgendem Verfahren können Administratoren Endbenutzer auf der Basis der Clientzertifikatattribute authentifizieren:

  • Die Clientauthentifizierung ist auf dem virtuellen Server aktiviert.
  • Der virtuelle Server fordert ein Clientzertifikat an.
  • Ein Stammzertifikat wird an den virtuellen Server von Citrix Gateway gebunden.

Wenn Benutzer sich am virtuellen Citrix Gateway-Server anmelden, können sie nach der Authentifizierung den Benutzernamen und die Domäne aus dem Feld SubjectAltName:OtherName:MicrosoftUniversalPrincipalName des Zertifikats extrahieren. Das Format ist “benutzername@domäne.”

Wenn der Benutzer den Benutzernamen und die Domäne extrahiert und die übrigen benötigten Informationen (beispielsweise ein Kennwort) eingibt, kann er sich authentifizieren. Wenn der Benutzer kein gültiges Zertifikat und keine gültigen Anmeldeinformationen bereitstellt oder wenn der Benutzername bzw. die Domäne nicht extrahiert werden kann, schlägt die Authentifizierung fehl.

Sie können Benutzer anhand des Clientzertifikats authentifizieren, indem Sie für den Standardauthentifizierungstyp die Verwendung des Clientzertifikats angeben. Sie können auch eine Zertifikataktion erstellen, mit der Sie definieren, was während der Authentifizierung basierend auf einem Client-SSL-Zertifikat geschehen soll.

Konfigurieren der XenApp-Farm

Erstellen Sie in der Citrix Virtual Apps-Konsole oder Webinterface-Konsole eine XenApp-Farm für mobile Geräte. Die verwendete Konsole hängt davon ab, welche Version von Citrix Virtual Apps installiert ist.

Die Citrix Workspace-App verwendet eine XenApp-Farm, um Informationen über die Anwendungen abzurufen, für die ein Benutzer Rechte besitzt. Diese Informationen werden für die Apps freigegeben, die auf dem Gerät ausgeführt werden. Dieses Verfahren ähnelt der Verwendung des Webinterface für traditionelle SSL-basierte Citrix Virtual Apps-Verbindungen, für die ein Citrix Gateway konfiguriert werden kann.

Konfigurieren Sie die XenApp-Farm für die Citrix Workspace-App für Mobilgeräte, um Citrix Gateway-Verbindungen zu ermöglichen:

  1. Wählen Sie in der XenApp-Farm Manage secure client access > Edit secure client access settings.
  2. Ändern Sie die Zugriffsmethode in Gateway Direct.
  3. Geben Sie den FQDN des Citrix Gateway-Geräts ein.
  4. Geben Sie die Secure Ticket Authority (STA)-Informationen ein.

Konfigurieren des Citrix Gateway-Geräts

Für die Clientzertifikatauthentifizierung konfigurieren Sie das Citrix Gateway mit zweistufiger Authentifizierung und den Authentifizierungsrichtlinien Cert und LDAP. Konfigurieren des Citrix Gateway-Geräts:

  1. Erstellen Sie eine Sitzungsrichtlinie auf dem Citrix Gateway, um eingehende Citrix Virtual Apps-Verbindungen von der Citrix Workspace-App zuzulassen. Geben Sie dann den Speicherort der neu erstellten XenApp-Farm an.

    • Erstellen Sie eine Sitzungsrichtlinie, mit der Sie angeben, dass die Verbindung von der Citrix Workspace-App für Mobilgeräte ist. Konfigurieren Sie beim Erstellen der Sitzungsrichtlinie den folgenden Ausdruck und wählen Sie “Match All Expressions” als Operator aus:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • Stellen Sie in der zugeordneten Profilkonfiguration für die Sitzungsrichtlinie auf der Registerkarte Security den Eintrag Default Authorization auf Allow.

      Wenn die Einstellung auf der Registerkarte Published Applications keine globale Einstellung ist (das Kontrollkästchen “Override Global” ist aktiviert), muss das Feld ICA-Proxy auf OFF eingestellt sein.

      Geben Sie im Webinterface im Feld Adresse die URL einschließlich config.xml für die XenApp-Farm ein, die die Gerätebenutzer verwenden, zum Beispiel:

      • /XenAppServerName/Citrix/PNAgent/config.xml oder
      • /XenAppServerName/CustomPath/config.xml.

    • Binden Sie die Sitzungsrichtlinie an den virtuellen Server.

    • Erstellen Sie Authentifizierungsrichtlinien für Cert und LDAP.

    • Binden Sie die Authentifizierungsrichtlinien an den virtuellen Server.

    • Konfigurieren Sie den virtuellen Server, Clientzertifikate im TLS-Handshake anzufordern. Navigieren Sie dafür zu Certificate, öffnen Sie SSL Parameters > Client Authentication, und setzen Sie Client Certificate auf Mandatory.

    Wichtig:

    Installieren Sie die Zertifikate auf dem Citrix Gateway, wenn das auf dem Citrix Gateway verwendete Serverzertifikat Teil einer Zertifikatskette ist (zum Beispiel ein Zwischenzertifikat). Weitere Informationen zur Installation von Zertifikaten finden Sie in der Citrix Gateway-Dokumentation.

Konfigurieren des Mobilgeräts

Wenn die Clientzertifikatauthentifizierung in Citrix Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nach der Authentifizierung können Sie den Benutzernamen und die Domäne aus dem Zertifikat extrahieren. Sie können für jeden Benutzer spezielle Richtlinien anwenden.

  1. Öffnen Sie in der Citrix Workspace-App das Konto und geben Sie im Feld “Server” den entsprechenden FQDN des Citrix Gateway-Servers ein. Zum Beispiel “GatewayClientCertificateServer.organization.com”. Die Citrix Workspace-App erkennt automatisch, dass das Clientzertifikat benötigt wird.
  2. Benutzer können entweder ein neues Zertifikat installieren oder eines aus der Liste der bereits installierten Zertifikate auswählen. Für die iOS-Clientzertifikatauthentifizierung erfolgen Download und Installation des Zertifikats nur von der Citrix Workspace-App.
  3. Nachdem Sie ein gültiges Zertifikat ausgewählt haben, sind die Felder für Benutzernamen und Domäne im Anmeldebildschirm mit dem Benutzernamen aus dem Zertifikat vorausgefüllt. Ein Endbenutzer kann andere Details eingeben, einschließlich des Kennworts.
  4. Wenn die Clientzertifikatauthentifizierung optional ist, können Benutzer die Zertifikatauswahl überspringen, wenn sie auf der Zertifikatseite auf “Back” klicken. In diesem Fall stellt die Citrix Workspace-App die Verbindung her und zeigt dem Benutzer einen Anmeldebildschirm.
  5. Nachdem Benutzer die Erstanmeldung abgeschlossen haben, können sie Anwendungen ohne erneute Angabe des Zertifikats starten. Die Citrix Workspace-App speichert das Zertifikat für das Konto und verwendet es automatisch für weitere Anmeldungen.

Smartcards

Die Citrix Workspace-App unterstützt SITHS-Smartcards, jedoch nur für Verbindungen innerhalb von Sitzungen.

Wenn Sie FIPS Citrix Gateway-Geräte verwenden, sollten Sie die Systeme so konfigurieren, dass SSL-Neuaushandlungen abgelehnt werden. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123680.

Die folgenden Produkte und Konfigurationen werden unterstützt:

  • Unterstützte Smartcardleser:
    • Precise Biometrics Tactivo für iPad Mini Firmwareversion 3.8.0
    • Precise Biometrics Tactivo für iPad (4. Generation) und Tactivo für iPad (3. Generation) und iPad 2 Firmwareversion 3.8.0
    • BaiMobile® 301MP und 301MP-L Smartcardleser
    • Thursby PKard USB-Lesegerät
    • Feitian iR301 USB-Lesegerät
  • Unterstützte VDA-Smartcard-Middleware
    • ActiveIdentity
  • Unterstützte Smartcards:
    • PIV-Karten
    • Common Access Card (CAC)
  • Unterstützte Konfigurationen:
    • Smartcardauthentifizierung bei Citrix Gateway mit StoreFront 2.x und XenDesktop 7.x und höher oder XenApp 6.5 und höher

Konfigurieren der Citrix Workspace-App für den App-Zugriff

  1. Wenn Sie die Citrix Workspace-App so konfigurieren möchten, dass sie beim Erstellen eines Kontos automatisch auf Apps zugreift, geben Sie im Feld “Adresse” die entsprechende URL des Stores ein. Beispiel:

    • storefront.organization.com
    • netscalervserver.organization.com

  2. Wählen Sie die Option Smartcard verwenden, wenn Sie die Authentifizierung mit Smartcard durchführen.

Hinweis:

Anmeldungen am Store sind für etwa eine Stunde gültig. Anschließend müssen Benutzer sich neu anmelden, um die Darstellung zu aktualisieren oder andere Anwendungen zu starten.

RSA SecurID-Authentifizierung

Die Citrix Workspace-App unterstützt die RSA SecurID-Authentifizierung für Konfigurationen mit Secure Web Gateway. Die Konfigurationen erfolgen über das Webinterface und gelten für alle Citrix Gateway-Konfigurationen.

Für den Softwaretoken auf der Citrix Workspace-App für iOS benötigtes URL-Schema: Der RSA SecurID-Softwaretoken, der von der Citrix Workspace-App verwendet wird, registriert nur das URL-Schema com.citrix.securid.

Wenn Endbenutzer die Citrix Workspace-App und die RSA SecurID-Anwendung auf dem iOS-Gerät installiert haben, müssen Benutzer das URL-Schema com.citrix.securid auswählen, um den RSA SecurID-Softwareauthentifikator (Softwaretoken) in der Citrix Workspace-App auf den Geräten zu installieren.

Importieren eines RSA SecurID-Softwaretokens

Um einen RSA-Softwaretoken mit der Citrix Workspace-App zu verwenden, müssen Sie als Administrator sicherstellen, dass Endbenutzer folgende Vorgaben befolgen:

  • die Richtlinie für die PIN-Länge
  • die Art der PIN (nur numerisch und alphanumerisch)
  • die Beschränkungen bei der Wiederverwendung von PINs

Nachdem der Endbenutzer erfolgreich am RSA-Server authentifiziert wurde, muss er die PIN nur einmal einrichten. Nach der Überprüfung der PIN wird der Endbenutzer auch am StoreFront-Server authentifiziert. Nach Abschluss der gesamten Überprüfung zeigt die Workspace-App verfügbare, veröffentlichte Anwendungen und Desktops an.

Verwenden eines RSA-Softwaretokens

  1. Importieren Sie den RSA-Softwaretoken, den Ihre Organisation bereitgestellt hat.

  2. Wählen Sie in der E-Mail mit der angehängten SecurID-Datei In Workspace öffnen als Importzielort aus. Nach dem Import des Softwaretokens wird die Citrix Workspace-App automatisch geöffnet.

  3. Falls Ihre Organisation ein Kennwort für den Abschluss des Imports bereitgestellt hat, geben Sie das bereitgestellte Kennwort ein und klicken Sie auf OK. Nach dem Klicken auf OK gibt eine Meldung den erfolgreichen Import des Tokens an.

  4. Schließen Sie die Importmeldung und tippen Sie in der Citrix Workspace-App auf Konto hinzufügen.

  5. Geben Sie die URL des von der Organisation bereitgestellten Stores ein und klicken Sie auf Weiter.

  6. Geben Sie auf dem Anmeldebildschirm Ihre Anmeldeinformationen ein: Benutzername, Kennwort und Domäne. Geben Sie im Feld “PIN” 0000 ein, wenn Ihnen keine andere Standard-PIN bereitgestellt wurde. Die PIN 0000 ist ein RSA-Standard; Ihre Organisation hat sie ggf. geändert, um eigene Sicherheitsrichtlinien einzuhalten.

  7. Klicken Sie oben links auf Anmelden. Sie werden aufgefordert, eine PIN zu erstellen.

  8. Geben Sie eine PIN mit 4 bis 8 Stellen ein und klicken Sie auf OK. Sie werden aufgefordert, Ihre neue PIN zu verifizieren.
  9. Geben Sie Ihre PIN erneut ein und klicken Sie auf OK. Sie können jetzt auf Ihre Apps und Desktops zugreifen.

Nächster Tokencode

Die Citrix Workspace-App unterstützt “Nächster Tokencode”, wenn Sie Citrix Gateway mit RSA SecurID-Authentifizierung konfigurieren. Wenn Sie das Kennwort dreimal falsch eingeben, wird im Citrix Gateway-Plug-in eine Fehlermeldung angezeigt. Warten Sie auf den nächsten Token, um sich anzumelden. Der RSA-Server kann so konfiguriert werden, dass das Konto eines Benutzers, der sich zu oft mit einem falschen Kennwort anmeldet, deaktiviert wird.

Abgeleitete Anmeldeinformationen

Die Citrix Workspace-App unterstützt die Verwendung abgeleiteter Anmeldeinformationen mit Purebred. Beim Herstellen einer Verbindung mit einem Store, der abgeleitete Anmeldeinformationen zulässt, können Benutzer sich mithilfe einer virtuellen Smartcard bei der Citrix Workspace-App anmelden. Dieses Feature wird nur bei On-Premises-Bereitstellungen unterstützt.

Hinweis:

Citrix Virtual Apps and Desktops 7 1808 oder höher ist für dieses Feature erforderlich.

Aktivieren von abgeleiteten Anmeldeinformationen in der Citrix Workspace-App:

  1. Navigieren Sie zu Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen.
  2. Tippen Sie auf Abgeleitete Anmeldeinformationen verwenden.

Schrittfolge zum Erstellen einer virtuellen Smartcard, die mit abgeleiteten Anmeldeinformationen verwendet werden kann:

  1. Tippen Sie unter Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen auf Neue virtuelle Smartcard hinzufügen.
  2. Bearbeiten Sie den Namen der virtuellen Smartcard.
  3. Geben Sie eine 8-stellige PIN ein (nur Zahlen) und bestätigen Sie sie.
  4. Tippen Sie auf Weiter.
  5. Tippen Sie unter “Authentifizierungszertifikat” auf Zertifikat importieren…
  6. Das Dokumentauswahlfenster wird angezeigt. Tippen Sie auf Durchsuchen.
  7. Tippen Sie unter “Speicherort” auf Purebred Key Chain.
  8. Wählen Sie das passende Authentifizierungszertifikat in der Liste aus.
  9. Tippen Sie auf Schlüssel importieren.
  10. Wiederholen Sie ggf. die Schritte 5 bis 9 für das digitale Signaturzertifikat und das Verschlüsselungszertifikat.
  11. Tippen Sie auf Speichern.

Sie können bis zu drei Zertifikate für Ihre virtuelle Smartcard importieren. Das Authentifizierungszertifikat ist erforderlich, damit die virtuelle Smartcard ordnungsgemäß funktioniert. Das Verschlüsselungszertifikat und das digitale Signaturzertifikat können zur Verwendung in einer VDA-Sitzung hinzugefügt werden.

Hinweis:

Beim Herstellen einer Verbindung zu einer HDX-Sitzung wird die erstellte virtuelle Smartcard in die Sitzung umgeleitet.

Bekannte Einschränkungen

  • Benutzer können jeweils nur eine aktive Karte haben.
  • Wenn eine virtuelle Smartcard erstellt wurde, kann sie nicht mehr bearbeitet werden. Löschen Sie sie und erstellen Sie eine Karte.
  • Sie haben bis zu 10 Eingabeversuche für eine PIN. Nach dem 10. Versuch wird die virtuelle Smartcard gelöscht.
  • Wenn Sie abgeleitete Anmeldeinformationen auswählen, überschreibt die virtuelle Smartcard eine physische Smartcard.

nFactor-Authentifizierung

Unterstützung für Multifaktorauthentifizierung (nFactor)

Die Multifaktorauthentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten. Mit der Multifaktorauthentifizierung können Authentifizierungsschritte und die zugehörigen Anmeldeinformationsformulare vollständig vom Administrator konfiguriert werden.

Die native Citrix Workspace-App kann dieses Protokoll über die unterstützten Anmeldeformulare nutzen, die bereits für StoreFront implementiert sind. Die webbasierte Anmeldeseite für virtuelle Citrix Gateway- und Traffic Manager-Server verwendet ebenfalls dieses Protokoll.

Weitere Informationen finden Sie unter SAML-Authentifizierung und Multifaktorauthentifizierung (nFactor).

Einschränkungen:

  • Wenn die Unterstützung für Multifaktorauthentifizierung (nFactor) aktiviert ist, können Sie keine biometrische Authentifizierung, wie Touch ID und Face ID, verwenden.

Unterstützung für erweiterte nFactor-Authentifizierungsrichtlinie

Wir unterstützen jetzt die zertifikatbasierte Authentifizierung in der Citrix Workspace-App, wenn sie über erweiterte nFactor-Authentifizierungsrichtlinien auf Citrix Gateway konfiguriert wird. Die nFactor-Authentifizierung erleichtert das Konfigurieren flexibler und agiler mehrstufiger Schemas.

User-Agent-Zeichenfolge:

Bei der Durchführung der erweiterten Authentifizierung (nFactor-Authentifizierung) für die Citrix Workspace-App auf dem iPhone oder iPad wird der Authentifizierungsprozess an eine eingebettete Webansicht umgeleitet. Die resultierende User-Agent-Zeichenfolge kann je nach Betriebssystemversion, CWA-Build-Version, Gerätemodell und AuthManager-Version geringfügig variieren. Im Folgenden sehen Sie Beispiele für User-Agent-Zeichenfolgen für iPhone und iPad.

iPhone:

Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/16.2 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone AuthManager/3.3.0.0

iPad:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad AuthManager/3.3.0.0

Dieses Feature ist derzeit als Technical Preview verfügbar. Es kann auf Anfrage über diesen Podio-Link oder durch Kontaktaufnahme mit dem technischen Support von Citrix aktiviert werden. Nach Abschluss der Previewphase erfolgt der allgemeine Rollout für alle Kunden.

Hinweis:

  • Die Versions- oder Gerätemodellinformationen hängen von der Umgebung ab.
  • Mit folgenden Schlüsselwörtern können Sie bei der Authentifizierung die Citrix Workspace-App für iOS-spezifische benutzeragentbasierte Richtlinien anwenden.
    • iOS
    • CWA
    • CWACapable

Unterstützung für FIDO2-basierte Authentifizierung Featurevorschau

Hinweis:

  • Dieses Feature ist als öffentliche Preview verfügbar.

Die Citrix Workspace-App für iOS unterstützt jetzt die kennwortlose Authentifizierung innerhalb einer Citrix Virtual Apps and Desktops-Sitzung mithilfe FIDO2-basierter Authentifizierungsverfahren. Dies ermöglicht Benutzern in Browsern wie Google Chrome oder Microsoft Edge die Anmeldung an einer WebAuthn-fähigen Website mithilfe von FIDO2-unterstützten Yubico-Sicherheitsschlüsseln. Beim Öffnen einer WebAuthn-fähigen Website wird eine kennwortlose Authentifizierung ausgelöst.

Es werden nur Geräte mit Lightning-Anschluss unterstützt (Geräte mit USB-C- oder USB 4-Anschlüssen werden nicht unterstützt). Die Anmeldung bei der Citrix Workspace-App- oder -Desktopsitzung mit kennwortloser Authentifizierung wird nicht unterstützt.

Weitere Informationen zu den Voraussetzungen für dieses Feature finden Sie unter Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2 in der Dokumentation zu Citrix Virtual Apps and Desktops.

Authentifizieren
June 1, 2023
Beitrag von: 
C
June 1, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.