Authentifizieren

Clientzertifikatauthentifizierung

Wichtig:

  • Bei Verwendung von StoreFront unterstützt die Citrix Workspace-App Folgendes:
    • Citrix Access Gateway Enterprise Edition Version 9.3
    • NetScaler Gateway Version 10.x bis Version 11.0
    • Citrix Gateway Version 11.1 und höher
  • Die Citrix Workspace-App für iOS unterstützt die Clientzertifikatauthentifizierung.
  • Nur Access Gateway Enterprise Edition 9.x und 10.x (und spätere Releases) unterstützen die Clientzertifikatauthentifizierung.
  • Die Zweiquellenauthentifizierungstypen müssen CERT und LDAP sein.
  • Die Citrix Workspace-App unterstützt auch die optionale Clientzertifikatauthentifizierung.
  • Nur Zertifikate im P12-Format werden unterstützt.

Benutzer, die sich an einem virtuellen Citrix Gateway-Server anmelden, können auch anhand der Attribute des Clientzertifikats authentifiziert werden, das dem virtuellen Server präsentiert wird. Die Clientzertifikatauthentifizierung kann zusammen mit einem anderen Authentifizierungstyp, LDAP, verwendet werden, um eine Zweiquellenauthentifizierung bereitzustellen.

Mit folgendem Verfahren können Administratoren Endbenutzer auf der Basis der Clientzertifikatattribute authentifizieren:

  • Die Clientauthentifizierung ist auf dem virtuellen Server aktiviert.
  • Der virtuelle Server fordert ein Clientzertifikat an.
  • Ein Stammzertifikat wird an den virtuellen Server von Citrix Gateway gebunden.

Wenn Benutzer sich am virtuellen Citrix Gateway-Server anmelden, können sie nach der Authentifizierung den Benutzernamen und die Domäne aus dem Feld SubjectAltName:OtherName:MicrosoftUniversalPrincipalName des Zertifikats extrahieren. Das Format lautet username@domain.

Die Authentifizierung ist abgeschlossen, wenn der Benutzer den Benutzernamen und die Domäne extrahiert und die benötigten Informationen (beispielsweise ein Kennwort) eingibt. Wenn der Benutzer kein gültiges Zertifikat und keine gültigen Anmeldeinformationen bereitstellt oder wenn der Benutzername bzw. die Domäne nicht extrahiert werden kann, schlägt die Authentifizierung fehl.

Sie können Benutzer anhand des Clientzertifikats authentifizieren, indem Sie für den Standardauthentifizierungstyp die Verwendung des Clientzertifikats angeben. Sie können auch eine Zertifikataktion erstellen, mit der Sie definieren, was während der Authentifizierung basierend auf einem Client-SSL-Zertifikat geschehen soll.

Konfigurieren der XenApp-Farm

Erstellen Sie in der Citrix Virtual Apps-Konsole oder Webinterface-Konsole eine XenApp-Farm für mobile Geräte. Die verwendete Konsole hängt davon ab, welche Version von Citrix Virtual Apps installiert ist.

Die Citrix Workspace-App verwendet eine XenApp-Farm, um Informationen über die Anwendungen abzurufen, für die ein Benutzer Rechte besitzt. Diese Informationen werden für die Apps freigegeben, die auf dem Gerät ausgeführt werden. Dieses Verfahren ähnelt der Verwendung des Webinterface für traditionelle SSL-basierte Citrix Virtual Apps-Verbindungen, für die das Citrix Gateway konfiguriert werden kann.

Konfigurieren Sie die XenApp-Farm für die Citrix Workspace-App für Mobilgeräte, um Citrix Gateway-Verbindungen zu ermöglichen:

  1. Wählen Sie in der XenApp-Farm Manage secure client access > Edit secure client access settings.
  2. Ändern Sie die Zugriffsmethode in Gateway Direct.
  3. Geben Sie den FQDN des Citrix Gateway-Geräts ein.
  4. Geben Sie die Secure Ticket Authority (STA)-Informationen ein.

Konfigurieren des Citrix Gateway-Geräts

Für die Clientzertifikatauthentifizierung konfigurieren Sie das Citrix Gateway mit zweistufiger Authentifizierung und den Authentifizierungsrichtlinien Cert und LDAP. Konfigurieren des Citrix Gateway-Geräts:

  1. Erstellen Sie eine Sitzungsrichtlinie auf dem Citrix Gateway, um eingehende Citrix Virtual Apps-Verbindungen von der Citrix Workspace-App zuzulassen. Geben Sie dann den Speicherort der neu erstellten XenApp-Farm an.

    • Erstellen Sie eine Sitzungsrichtlinie, mit der Sie angeben, dass die Verbindung von der Citrix Workspace-App für Mobilgeräte ist. Konfigurieren Sie beim Erstellen der Sitzungsrichtlinie den folgenden Ausdruck und wählen Sie “Match All Expressions” als Operator aus:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • Stellen Sie in der zugeordneten Profilkonfiguration für die Sitzungsrichtlinie auf der Registerkarte Security den Eintrag Default Authorization auf Allow.

      Wenn die Einstellung auf der Registerkarte Published Applications keine globale Einstellung ist (das Kontrollkästchen “Override Global” ist aktiviert), muss das Feld ICA-Proxy auf ON eingestellt sein.

      Geben Sie im Webinterface im Feld Adresse die URL einschließlich config.xml für die XenApp-Farm ein, die die Gerätebenutzer verwenden, zum Beispiel:

      • /XenAppServerName/Citrix/PNAgent/config.xml oder
      • /XenAppServerName/CustomPath/config.xml.
    • Binden Sie die Sitzungsrichtlinie an den virtuellen Server.

    • Erstellen Sie Authentifizierungsrichtlinien für Cert und LDAP.

    • Binden Sie die Authentifizierungsrichtlinien an den virtuellen Server.

    • Konfigurieren Sie den virtuellen Server, Clientzertifikate im TLS-Handshake anzufordern. Navigieren Sie dafür zu Certificate, öffnen Sie SSL Parameters > Client Authentication, und setzen Sie Client Certificate auf Mandatory.

    Wichtig:

    Es muss beachtet werden, ob das Serverzertifikat, das auf dem Citrix Gateway verwendet wird, Teil einer Zertifikatskette ist. Wenn es sich beispielsweise um ein Zwischenzertifikat handelt, installieren Sie die Zertifikate auf dem Citrix Gateway. Weitere Informationen zur Installation von Zertifikaten finden Sie in der Citrix Gateway-Dokumentation.

Konfigurieren des Mobilgeräts

Wenn die Clientzertifikatauthentifizierung in Citrix Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nach der Authentifizierung können Sie den Benutzernamen und die Domäne aus dem Zertifikat extrahieren. Sie können für jeden Benutzer spezielle Richtlinien anwenden.

  1. Öffnen Sie in der Citrix Workspace-App das Konto und geben Sie im Feld “Server” den entsprechenden FQDN des Citrix Gateway-Servers ein. Zum Beispiel “GatewayClientCertificateServer.organization.com”. Die Citrix Workspace-App erkennt automatisch, dass das Clientzertifikat benötigt wird.
  2. Benutzer können entweder ein neues Zertifikat installieren oder eines aus der Liste der bereits installierten Zertifikate auswählen. Für die iOS-Clientzertifikatauthentifizierung erfolgen Download und Installation des Zertifikats nur von der Citrix Workspace-App.
  3. Nachdem Sie ein gültiges Zertifikat ausgewählt haben, sind die Felder für Benutzernamen und Domäne im Anmeldebildschirm mit dem Benutzernamen aus dem Zertifikat vorausgefüllt. Ein Endbenutzer kann andere Details eingeben, einschließlich des Kennworts.
  4. Wenn die Clientzertifikatauthentifizierung optional ist, können Benutzer die Zertifikatauswahl überspringen, wenn sie auf der Zertifikatseite auf “Back” klicken. In diesem Fall stellt die Citrix Workspace-App die Verbindung her und zeigt dem Benutzer einen Anmeldebildschirm.
  5. Nachdem Benutzer die Erstanmeldung abgeschlossen haben, können sie Anwendungen ohne erneute Angabe des Zertifikats starten. Die Citrix Workspace-App speichert das Zertifikat für das Konto und verwendet es automatisch für weitere Anmeldungen.

Rewrite-Richtlinie für den Authentifizierungsprozess konfigurieren

Administratoren können den für die Authentifizierung verwendeten Browser ändern und vom eingebetteten Browser auf den Systembrowser wechseln. Dies ist nur möglich, wenn eine erweiterte Authentifizierungsrichtlinie auf der On-Premises-Bereitstellung von Citrix Gateway- und StoreFront konfiguriert ist. Um eine erweiterte Authentifizierungsrichtlinie zu konfigurieren, konfigurieren Sie die NetScaler Rewrite-Richtlinie mithilfe der NetScaler-Befehlszeile:

  1. enable ns feature REWRITE
  2. add rewrite action insert_auth_browser_type_hdr_act insert_http_header X-Auth-WebBrowser "\"System\""
  3. add rewrite policy insert_auth_browser_type_hdr_pol "HTTP.REQ.URL.EQ(\"/cgi/authenticate\")" insert_auth_browser_type_hdr_act
  4. bind vpn vserver <VPN-vserver-Name> -policy insert_auth_browser_type_hdr_pol -priority 10 -gotoPriorityExpression END -type AAA_RESPONSE

Durch einen Wechsel auf den Systembrowser werden u. a. die folgenden Zusatzfunktionen bereitgestellt:

  • Bessere Nutzung der zertifikatbasierten Authentifizierung.
  • Verwendbarkeit des vorhandenen Benutzerzertifikats aus dem Geräteschlüsselspeicher zur Authentifizierung.
  • Unterstützung für einige Authentifikatoren von Drittanbietern wie SITHS eID.

Der eingebettete Browser wird als Standardbrowser für die Authentifizierung verwendet, wenn der Administrator die Rewrite-Richtlinie nicht konfiguriert hat.

In dieser Tabelle sind die Browser aufgeführt, die, basierend auf der Konfiguration auf dem NetScaler Gateway und im Global App Config Service, für die Authentifizierung verwendet werden:

NetScaler Gateway Global App Configuration Service Zur Authentifizierung verwendeter Browser
System System System
System Eingebettet System
Eingebettet System System
Eingebettet Eingebettet Eingebettet
Keine Konfiguration System System
Keine Konfiguration Eingebettet Eingebettet

Unterstützung der zertifikatsbasierten Authentifizierung für On-Premises-Stores

Endbenutzer können jetzt die zertifikatbasierte Authentifizierung nutzen, bei der die Zertifikate im Geräte-Schlüsselbund gespeichert werden. Während der Anmeldung erkennt die Citrix Workspace-App die Liste der Zertifikate auf Ihrem Gerät, und Sie können ein Zertifikat für die Authentifizierung auswählen.

Wichtig:

Nachdem Sie das Zertifikat ausgewählt haben, bleibt die Auswahl für den nächsten Start der Citrix Workspace-App bestehen. Um ein anderes Zertifikat auszuwählen, können Sie in den iOS-Geräteeinstellungen “Reset Safari” auswählen oder die Citrix Workspace-App neu installieren.

Safari View-Controller

Hinweis:

Dieses Feature unterstützt On-Premises-Bereitstellungen.

Schrittfolge zum Konfigurieren:

  1. Navigieren Sie zur URL der Global App Configuration Service Settings API und geben Sie die Cloudstore-URL ein. Beispiel: https://discovery.cem.cloud.us/ads/root/url/<hash coded store URL>/product/workspace/os/ios.
  2. Navigieren Sie zu API Exploration > SettingsController > postDiscoveryApiUsingPOST und klicken Sie auf POST.
  3. Klicken Sie auf INVOKE API.
  4. Geben Sie die Nutzlastdaten ein und laden Sie sie hoch. Wählen Sie einen der folgenden Werte aus:

    • “Embedded”: Sie können WKWebView verwenden. Diese Option ist standardmäßig eingestellt.
    • “system”: Sie können den Safari View-Controller verwenden.

    Beispiel:

    "category": "Authentication",
    "userOverride": false,
    "settings": [
    { "name": "Web Browser to use for Authentication", "value": "*Embedded*/*System*" },
    <!--NeedCopy-->
    

    Auf iOS- oder iPad-Geräten können Administratoren den für den Authentifizierungsprozess verwendeten Browser wechseln. Sie können vom eingebetteten Browser zum Systembrowser wechseln, wenn eine erweiterte Authentifizierungsrichtlinie auf der On-Premises-Bereitstellung von Citrix Gateway und StoreFront konfiguriert ist. Weitere Informationen finden Sie unter Rewrite-Richtlinie für den Authentifizierungsprozess konfigurieren.

  5. Klicken Sie auf EXECUTE, um den Dienst per Push zu übermitteln.

Smartcards

Die Citrix Workspace-App unterstützt SITHS-Smartcards, jedoch nur für Verbindungen innerhalb von Sitzungen.

Wenn Sie FIPS Citrix Gateway-Geräte verwenden, sollten Sie die Systeme so konfigurieren, dass SSL-Neuaushandlungen abgelehnt werden. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123680.

Die folgenden Produkte und Konfigurationen werden unterstützt:

  • Unterstützte Smartcardleser:
    • Precise Biometrics Tactivo für iPad Mini Firmwareversion 3.8.0
    • Precise Biometrics Tactivo für iPad (4. Generation) und Tactivo für iPad (3. Generation) und iPad 2 Firmwareversion 3.8.0
    • BaiMobile® 301MP und 301MP-L Smartcardleser
    • Thursby PKard USB-Lesegerät
    • Feitian iR301 USB-Lesegerät
    • CCID-konforme Lesegeräte vom Typ C
  • Unterstützte VDA-Smartcard-Middleware
    • ActiveIdentity
  • Unterstützte Smartcards:
    • PIV-Karten
    • Common Access Card (CAC)
  • Unterstützte Konfigurationen:
    • Smartcardauthentifizierung bei Citrix Gateway mit StoreFront 2.x und XenDesktop 7.x und höher oder XenApp 6.5 und höher

Konfigurieren der Citrix Workspace-App für den App-Zugriff

  1. Wenn Sie die Citrix Workspace-App so konfigurieren möchten, dass sie beim Erstellen eines Kontos automatisch auf Apps zugreift, geben Sie im Feld “Adresse” die entsprechende URL des Stores ein. Beispiel:

    • StoreFront.organization.com
    • netscalervserver.organization.com
  2. Wählen Sie die Option Smartcard verwenden, wenn Sie die Authentifizierung mit Smartcard durchführen.

Hinweis:

Anmeldungen am Store sind für etwa eine Stunde gültig. Anschließend müssen Benutzer sich neu anmelden, um die Darstellung zu aktualisieren oder andere Anwendungen zu starten.

YubiKey-Unterstützung für Smartcardauthentifizierung

Sie können jetzt die Smartcardauthentifizierung mit YubiKey durchführen. Dieses Feature bietet eine Einzelgeräteauthentifizierung für die Citrix Workspace-App sowie für die virtuellen Sitzungen und veröffentlichten Apps in der VDA-Sitzung. Damit wird der Anschluss von Smartcardlesern oder anderen externen Authentifikatoren überflüssig. Für Endbenutzer ist dies benutzerfreundlicher, weil YubiKey eine Vielzahl von Protokollen wie OTP, FIDO usw. unterstützt.

Zum Anmelden bei der Citrix Workspace-App müssen Endbenutzer den YubiKey in ihr iPhone oder iPad stecken, den Smartcardschalter einschalten und ihre Store-URL angeben.

Hinweis:

Dieses Feature unterstützt nur die direkte Verbindung zur Citrix Workspace-App in StoreFront-Bereitstellungen und nicht die Verbindung über Citrix Gateway. Die YubiKey-Unterstützung für die Smartcard-Authentifizierung über Citrix Gateway wird in der zukünftigen Version verfügbar sein. Die Citrix Workspace-App für iOS unterstützt nur die YubiKey 5-Serie. Weitere Informationen zu YubiKey finden Sie in der Dokumentation zur YubiKey 5-Serie.

Unterstützung für mehrere Zertifikate bei der Smartcardauthentifizierung

Bisher zeigte die Citrix Workspace-App für iOS das Zertifikat an, das auf dem ersten Steckplatz der verbundenen Smartcard verfügbar war.

Ab Version 24.1.0 zeigt die Citrix Workspace-App für iOS alle auf der Smartcard verfügbaren Zertifikate an. Mit dieser Funktion können Sie das erforderliche Zertifikat auswählen, während Sie sich über die Smartcard-Authentifizierung authentifizieren.

Zertifikat auswählen

RSA SecurID-Authentifizierung

Die Citrix Workspace-App unterstützt die RSA SecurID-Authentifizierung für Konfigurationen mit Secure Web Gateway. Die Konfigurationen erfolgen über das Webinterface und gelten für alle Citrix Gateway-Konfigurationen.

Für den Softwaretoken auf der Citrix Workspace-App für iOS benötigtes URL-Schema: Der RSA SecurID-Softwaretoken, der von der Citrix Workspace-App verwendet wird, registriert nur das URL-Schema com.citrix.securid.

Wenn Endbenutzer die Citrix Workspace-App und die RSA SecurID-Anwendung auf dem iOS-Gerät installiert haben, müssen Benutzer das URL-Schema com.citrix.securid auswählen, um den RSA SecurID-Softwareauthentifikator (Softwaretoken) in der Citrix Workspace-App auf den Geräten zu installieren.

Importieren eines RSA SecurID-Softwaretokens

Um einen RSA-Softwaretoken mit der Citrix Workspace-App zu verwenden, müssen Sie als Administrator sicherstellen, dass Endbenutzer folgende Vorgaben befolgen:

  • die Richtlinie für die PIN-Länge
  • die Art der PIN (nur numerisch und alphanumerisch)
  • die Beschränkungen bei der Wiederverwendung von PINs

Nachdem der Endbenutzer erfolgreich am RSA-Server authentifiziert wurde, muss er die PIN nur einmal einrichten. Nach der Überprüfung der PIN wird der Endbenutzer auch am StoreFront-Server authentifiziert. Nach Abschluss der gesamten Überprüfung zeigt die Workspace-App verfügbare veröffentlichte Anwendungen und Desktops an.

Verwenden eines RSA-Softwaretokens

  1. Importieren Sie den RSA-Softwaretoken, den Ihre Organisation bereitgestellt hat.

  2. Wählen Sie in der E-Mail mit der angehängten SecurID-Datei In Workspace öffnen als Importzielort aus. Nach dem Import des Softwaretokens wird die Citrix Workspace-App automatisch geöffnet.

  3. Falls Ihre Organisation ein Kennwort für den Abschluss des Imports bereitgestellt hat, geben Sie das bereitgestellte Kennwort ein und klicken Sie auf OK. Nach dem Klicken auf OK gibt eine Meldung den erfolgreichen Import des Tokens an.

  4. Schließen Sie die Importmeldung und tippen Sie in der Citrix Workspace-App auf Konto hinzufügen.

  5. Geben Sie die URL des von der Organisation bereitgestellten Stores ein und klicken Sie auf Weiter.

  6. Geben Sie auf dem Anmeldebildschirm Ihre Anmeldeinformationen ein: Benutzername, Kennwort und Domäne. Geben Sie im Feld “PIN” 0000 ein, wenn Ihnen keine andere Standard-PIN bereitgestellt wurde. Die PIN 0000 ist ein RSA-Standard; Ihre Organisation hat sie ggf. geändert, um eigene Sicherheitsrichtlinien einzuhalten.

  7. Klicken Sie oben links auf Anmelden. Sie werden aufgefordert, eine PIN zu erstellen.

  8. Geben Sie eine PIN mit 4 bis 8 Stellen ein und klicken Sie auf OK. Sie werden aufgefordert, Ihre neue PIN zu verifizieren.
  9. Geben Sie Ihre PIN erneut ein und klicken Sie auf OK. Sie können jetzt auf Ihre Apps und Desktops zugreifen.

Nächster Tokencode

Die Citrix Workspace-App unterstützt “Nächster Tokencode”, wenn Sie Citrix Gateway mit RSA SecurID-Authentifizierung konfigurieren. Wenn Sie das Kennwort dreimal falsch eingeben, wird im Citrix Gateway-Plug-in eine Fehlermeldung angezeigt. Warten Sie auf den nächsten Token, um sich anzumelden. Der RSA-Server kann so konfiguriert werden, dass das Konto eines Benutzers, der sich zu oft mit einem falschen Kennwort anmeldet, deaktiviert wird.

Abgeleitete Anmeldeinformationen

Die Citrix Workspace-App unterstützt die Verwendung abgeleiteter Anmeldeinformationen mit Purebred. Beim Herstellen einer Verbindung mit einem Store, der abgeleitete Anmeldeinformationen zulässt, können Benutzer sich mithilfe einer virtuellen Smartcard bei der Citrix Workspace-App anmelden. Dieses Feature wird nur bei On-Premises-Bereitstellungen unterstützt.

Hinweis:

Citrix Virtual Apps and Desktops 7 1808 oder höher ist für dieses Feature erforderlich.

Aktivieren von abgeleiteten Anmeldeinformationen in der Citrix Workspace-App:

  1. Navigieren Sie zu Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen.
  2. Tippen Sie auf Abgeleitete Anmeldeinformationen verwenden.

Schrittfolge zum Erstellen einer virtuellen Smartcard, die mit abgeleiteten Anmeldeinformationen verwendet werden kann:

  1. Tippen Sie unter Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen auf Neue virtuelle Smartcard hinzufügen.
  2. Bearbeiten Sie den Namen der virtuellen Smartcard.
  3. Geben Sie eine 8-stellige PIN ein (nur Zahlen) und bestätigen Sie sie.
  4. Tippen Sie auf Weiter.
  5. Tippen Sie unter “Authentifizierungszertifikat” auf Zertifikat importieren…
  6. Das Dokumentauswahlfenster wird angezeigt. Tippen Sie auf Durchsuchen.
  7. Tippen Sie unter “Speicherort” auf Purebred Key Chain.
  8. Wählen Sie das passende Authentifizierungszertifikat in der Liste aus.
  9. Tippen Sie auf Schlüssel importieren.
  10. Wiederholen Sie ggf. die Schritte 5 bis 9 für das digitale Signaturzertifikat und das Verschlüsselungszertifikat.
  11. Tippen Sie auf Speichern.

Sie können bis zu drei Zertifikate für Ihre virtuelle Smartcard importieren. Das Authentifizierungszertifikat ist erforderlich, damit die virtuelle Smartcard ordnungsgemäß funktioniert. Das Verschlüsselungszertifikat und das digitale Signaturzertifikat können zur Verwendung in einer VDA-Sitzung hinzugefügt werden.

Hinweis:

Beim Herstellen einer Verbindung zu einer HDX-Sitzung wird die erstellte virtuelle Smartcard in die Sitzung umgeleitet.

Bekannte Einschränkungen

  • Benutzer können jeweils nur eine aktive Karte haben.
  • Wenn eine virtuelle Smartcard erstellt wurde, kann sie nicht mehr bearbeitet werden. Sie müssen die Karte löschen und erstellen.
  • Sie haben bis zu 10 Eingabeversuche für eine PIN. Wenn sie nach zehn Versuchen ungültig ist, wird die virtuelle Smartcard gelöscht.
  • Wenn Sie abgeleitete Anmeldeinformationen auswählen, überschreibt die virtuelle Smartcard eine physische Smartcard.

user-agent-Zeichenfolge für WKWebView

Standardmäßig enthält die User-Agent-Zeichenfolge, die bei einigen über WKWebView initiierten Netzwerkanforderungen verwendet wird, jetzt die ID der Citrix Workspace-App.

Sie wurde geändert von: Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 AuthManager/3.2.4.0

in eine der folgenden Optionen:

Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.3.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone (Beispiel für iPhone)

Oder

Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.3.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad (Beispiel für iPad)

nFactor-Authentifizierung

Unterstützung für Multifaktorauthentifizierung (nFactor)

Die Multifaktorauthentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten. Mit der Multifaktorauthentifizierung können Authentifizierungsschritte und die zugehörigen Anmeldeinformationsformulare vollständig vom Administrator konfiguriert werden.

Die native Citrix Workspace-App kann dieses Protokoll über die unterstützten Anmeldeformulare nutzen, die bereits für StoreFront implementiert sind. Die webbasierte Anmeldeseite für virtuelle Citrix Gateway- und Traffic Manager-Server verwendet ebenfalls dieses Protokoll.

Weitere Informationen finden Sie unter SAML-Authentifizierung und Multifaktorauthentifizierung (nFactor).

Einschränkungen:

  • Wenn die Unterstützung für Multifaktorauthentifizierung (nFactor) aktiviert ist, können Sie keine biometrische Authentifizierung, wie Touch ID und Face ID, verwenden.

Unterstützung für erweiterte nFactor-Authentifizierungsrichtlinie

Wir unterstützen jetzt die zertifikatbasierte Authentifizierung in der Citrix Workspace-App, wenn sie über erweiterte nFactor-Authentifizierungsrichtlinien auf Citrix Gateway konfiguriert wird. Die nFactor-Authentifizierung erleichtert das Konfigurieren flexibler und agiler mehrstufiger Schemas.

User-Agent-Zeichenfolge:

Bei der Durchführung der erweiterten Authentifizierung (nFactor-Authentifizierung) für die Citrix Workspace-App auf dem iPhone oder iPad wird der Authentifizierungsprozess an eine eingebettete Webansicht umgeleitet. Die resultierende User-Agent-Zeichenfolge kann je nach Betriebssystemversion, CWA-Build-Version, Gerätemodell und AuthManager-Version geringfügig variieren. Im Folgenden sehen Sie Beispiele für User-Agent-Zeichenfolgen für iPhone und iPad.

iPhone:

Mozilla/5.0 (iPhone; CPU iPhone OS 16_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/16.2 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPhone AuthManager/3.3.0.0

iPad:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 CWA/23.5.0 iOS/15.0 X1Class CWACapable 302RedirectionCapable CFNetwork Darwin CWA-iPad AuthManager/3.3.0.0

Dieses Feature ist als Preview verfügbar. Es kann auf Anfrage über diesen Podio-Link oder durch Kontaktaufnahme mit dem technischen Support von Citrix aktiviert werden. Nach Abschluss der Previewphase erfolgt der allgemeine Rollout für alle Kunden.

Hinweis:

  • Die Versions- oder Gerätemodellinformationen hängen von der Umgebung ab.
  • Mit folgenden Schlüsselwörtern können Sie bei der Authentifizierung die Citrix Workspace-App für iOS-spezifische benutzeragentbasierte Richtlinien verwenden.
    • iOS
    • CWA
    • CWACapable

Unterstützung für FIDO2-basierte Authentifizierung

Die Citrix Workspace-App für iOS unterstützt jetzt die kennwortlose Authentifizierung innerhalb einer Citrix Virtual Apps and Desktops-Sitzung mithilfe FIDO2-basierter Authentifizierungsverfahren. Dieses Feature ermöglicht Benutzern in Browsern wie Google Chrome oder Microsoft Edge die Anmeldung an einer WebAuthn-fähigen Website mithilfe von FIDO2-unterstützten Yubico-Sicherheitsschlüsseln. Beim Öffnen einer WebAuthn-fähigen Website wird eine kennwortlose Authentifizierung ausgelöst. Es werden nur Geräte mit Lightning-Anschluss unterstützt (Geräte mit USB-C- oder USB 4-Anschlüssen werden nicht unterstützt). Die Anmeldung bei der Citrix Workspace-App- oder -Desktopsitzung mit kennwortloser Authentifizierung wird nicht unterstützt.

Weitere Informationen zu den Voraussetzungen finden Sie unter Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2 in der Dokumentation zu Citrix Virtual Apps and Desktops.

Unterstützung für die Konfiguration der Speicherung von Authentifizierungstoken in der On-Premises-Bereitstellung

Die Citrix Workspace-App für iOS bietet jetzt die Option, die Speicherung von Authentifizierungstoken auf dem lokalen Datenträger für On-Premises-Stores zu konfigurieren. Mit diesem Feature können Sie die Speicherung des Authentifizierungstokens für die erhöhte Sicherheit deaktivieren. Nach der Deaktivierung müssen Sie sich beim Neustart des Systems oder der Sitzung erneut authentifizieren, um auf die Sitzung zugreifen zu können.

Gehen Sie wie folgt vor, um die Speicherung von Authentifizierungstoken der On-Premises-Bereitstellung in der Verwaltungskonfigurationsdatei zu deaktivieren:

  1. Öffnen Sie die Datei web.config mit einem Texteditor. Die Datei ist normalerweise unter C:\inetpub\wwwroot\Citrix\Roaming directory.
  2. Suchen Sie das Benutzerkonto-Element in der Datei (Store ist der Kontoname Ihrer Bereitstellung). Beispiel: <account id=... name="Store">
  3. Navigieren Sie vor dem Tag </account> zu den Eigenschaften dieses Benutzerkontos und fügen Sie Folgendes hinzu:
    <properties>   
        <property name="TokenPersistence" value="false" />  
    </properties>
<!--NeedCopy-->

Dies ist ein Beispiel für die Datei web.config:

    <account id="#########################################" name="Store Service"
        description="" published="true" updaterType="None" remoteAccessType="StoresOnly">
        <annotatedServices>
            <clear />
            <annotatedServiceRecord serviceRef="1__Citrix_Store">
                <metadata>
                    <plugins>
                        <clear />
                    </plugins>
                    <trustSettings>
                        <clear />
                    </trustSettings>
                    <properties>
                        <clear />
                        <property name="TokenPersistence" value="false" />
                     </properties>
                </metadata>
            </annotatedServiceRecord>
        </annotatedServices>
        <metadata>
        <plugins>
          <clear />
        </plugins>
        <trustSettings>
          <clear />
        </trustSettings>
        <properties>
        </properties>
     </metadata>
    </account>
<!--NeedCopy-->