Authentifizierung

Clientzertifikatauthentifizierung

Wichtig:

  • Bei Verwendung von StoreFront unterstützt die Citrix Workspace-App für iOS Citrix Access Gateway Enterprise Edition Version 9.3 und höher und NetScaler Gateway-Versionen bis Version 11.
  • Die Clientzertifikatauthentifizierung wird von der Citrix Workspace-App für iOS unterstützt.
  • Nur Access Gateway Enterprise Edition 9.x und 10.x (und spätere Releases) unterstützen die Clientzertifikatauthentifizierung.
  • Die Zweiquellenauthentifizierungstypen müssen CERT und LDAP sein.
  • Die Citrix Workspace-App für iOS unterstützt die optionale Clientzertifikatauthentifizierung.
  • Nur Zertifikate im P12-Format werden unterstützt.

Benutzer, die sich an einem virtuellen Citrix Gateway-Server anmelden, können auch anhand der Attribute des Clientzertifikats authentifiziert werden, das dem virtuellen Server präsentiert wird. Die Clientzertifikatauthentifizierung kann zusammen mit einem anderen Authentifizierungstyp, LDAP, verwendet werden, um eine Zweiquellenauthentifizierung bereitzustellen.

Um Benutzer basierend auf Clientzertifikatattributen zu authentifizieren, sollte die Clientauthentifizierung auf dem virtuellen Server aktiviert sein und das Clientzertifikat angefordert werden. Sie müssen ein Stammzertifikat an den virtuellen Server von Citrix Gateway binden.

Wenn sich Benutzer am virtuellen Citrix Gateway-Server anmelden, werden nach der Authentifizierung die Informationen zum Benutzernamen und der Domäne aus dem angegebenen Feld des Zertifikats extrahiert. Diese Informationen müssen im Feld es Zertifikats SubjectAltName:OtherName:MicrosoftUniversalPrincipalName enthalten sein. Das Format ist “Benutzername@Domäne”. Wenn der Benutzername und die Domäne extrahiert wurden und der Benutzer die anderen benötigten Informationen (beispielsweise ein Kennwort) eingibt, ist der Benutzer authentifiziert. Wenn der Benutzer kein gültiges Zertifikat und keine gültigen Anmeldeinformationen bereitstellt oder wenn der Benutzername bzw. die Domäne nicht extrahiert werden kann, schlägt die Authentifizierung fehl.

Sie können Benutzer anhand des Clientzertifikats authentifizieren, indem Sie für den Standardauthentifizierungstyp die Verwendung des Clientzertifikats angeben. Sie können auch eine Zertifikataktion erstellen, mit der Sie definieren, was während der Authentifizierung basierend auf einem Client-SSL-Zertifikat geschehen soll.

Konfigurieren der XenApp Services-Site

Wenn keine XenApp Services-Site vorhanden ist, erstellen Sie eine XenApp Services-Site für Mobilgeräte in der Citrix Virtual Apps-Konsole oder der Webinterface-Konsole (abhängig von der installierten Citrix Virtual Apps-Version).

Die Citrix Workspace-App für iOS für Mobilgeräte ruft über eine XenApp Services-Site Informationen zu den Anwendungen ab, für die ein Benutzer Berechtigungen hat, und bietet sie der App an, die auf dem Gerät ausgeführt wird. Dies gleicht der Weise, wie das Webinterface für traditionelle SSL-basierte Citrix Virtual Apps-Verbindungen, für die ein Citrix Gateway konfiguriert werden kann, verwendet wird.

Konfigurieren Sie die XenApp Services-Site für die Citrix Workspace-App für iOS für Mobilgeräte, um Verbindungen von einer Citrix Gateway-Verbindung zu ermöglichen.

  1. Wählen Sie in der XenApp Services-Site Manage secure client access > Edit secure client access settings.
  2. Ändern Sie die Zugriffsmethode in Gateway Direct.
  3. Geben Sie den FQDN des Citrix Gateway-Geräts ein.
  4. Geben Sie die Secure Ticket Authority (STA)-Informationen ein.

Konfigurieren des Citrix Gateway-Geräts

Konfigurieren Sie das Citrix Gateway für die Clientzertifikatauthentifizierung mit der zweistufigen Authentifizierung und den zwei Authentifizierungsrichtlinien: Cert und LDAP.

  1. Erstellen Sie eine Sitzungsrichtlinie auf dem Citrix Gateway, um eingehende Citrix Virtual Apps-Verbindungen von der Citrix Workspace-App für iOS zuzulassen, und geben Sie den Speicherort der neu erstellten XenApp Services-Site an.
    • Erstellen Sie eine Sitzungsrichtlinie, mit der Sie angeben, dass die Verbindung von der Citrix Workspace-App für iOS für Mobilgeräte ist. Konfigurieren Sie bei der Erstellung der Sitzungsrichtlinie den folgenden Ausdruck und wählen Sie Match All Expressions als Operator aus:

      REQ.HTTP.HEADER User-Agent CONTAINS CitrixWorkspace

    • Stellen Sie in der zugeordneten Profilkonfiguration für die Sitzungsrichtlinie auf der Registerkarte Security den Eintrag Default Authorization auf Allow.

      Wenn dies auf der Registerkarte “Published Applications” keine globale Einstellung ist (das Kontrollkästchen “Override Global” ist aktiviert), stellen Sie sicher, dass das Feld “ICA-Proxy” auf ON eingestellt ist.

      Geben Sie im Feld für die Webinterface-Adresse die URL mit der Datei config.xml für die XenApp Services-Site ein, die Gerätebenutzer verwenden, beispielsweise //XenAppServerName/Citrix/PNAgent/config.xml oder /XenAppServerName/benutzerdefinierterPfad/config.xml.

    • Binden Sie die Sitzungsrichtlinie an den virtuellen Server.

    • Erstellen Sie Authentifizierungsrichtlinien für Cert und LDAP.

    • Binden Sie die Authentifizierungsrichtlinien an den virtuellen Server.

    • Konfigurieren Sie den virtuellen Server so, dass Clientzertifikate im TLS-Handshake angefordert werden. Öffnen Sie dafür auf der Registerkarte Certificate die Option SSL-Parameters und stellen Sie für die Clientauthentifizierung Client Certificate auf Mandatory. Wichtig: Wenn das auf dem Citrix Gateway verwendete Serverzertifikat Teil einer Zertifikatskette ist (mit einem Zwischenzertifikat), stellen Sie sicher, dass die Zwischenzertifikate auch richtig auf dem Citrix Gateway installiert werden. Weitere Informationen zur Installation von Zertifikaten finden Sie in der Citrix Gateway-Dokumentation.

Konfigurieren des Mobilgeräts

Wenn die Clientzertifikatauthentifizierung in Citrix Gateway aktiviert ist, werden Benutzer basierend auf bestimmten Attributen des Clientzertifikats authentifiziert. Nach dem Abschluss der Authentifizierung werden der Benutzername und die Domäne aus dem Zertifikat extrahiert und alle für den Benutzer angegebenen Richtlinien angewendet.

  1. Öffnen Sie in der Citrix Workspace-App für iOS das Konto und geben Sie im Feld “Server” den entsprechenden FQDN des Citrix Gateway-Servers ein, z. B. GatewayClientCertificateServer.organization.com. Die Citrix Workspace-App für iOS erkennt automatisch, dass das Clientzertifikat benötigt wird.
  2. Benutzer können entweder ein neues Zertifikat installieren oder eines aus der Liste der bereits installierten Zertifikate auswählen. Für die iOS-Clientzertifikatauthentifizierung muss das Zertifikat heruntergeladen und nur von der Citrix Workspace-App für iOS installiert werden.
  3. Nach der Auswahl eines gültigen Zertifikats werden in den Feldern für den Benutzernamen und die Domäne auf dem Anmeldebildschirm der Benutzername vom Zertifikat angezeigt; Benutzer geben die restlichen Angaben ein, u. a. das Kennwort.
  4. Wenn die Clientzertifikatauthentifizierung optional ist, können Benutzer die Zertifikatauswahl überspringen, wenn sie auf der Zertifikatseite auf “Back” klicken. In diesem Fall stellt die Citrix Workspace-App für iOS die Verbindung her und zeigt dem Benutzer einen Anmeldebildschirm.
  5. Nachdem Benutzer die Erstanmeldung abgeschlossen haben, können sie Anwendungen ohne erneute Angabe des Zertifikats starten. Die Citrix Workspace-App für iOS speichert das Zertifikat für das Konto und verwendet es automatisch für weitere Anmeldungen.

Smartcards

Die Citrix Workspace-App für iOS bietet Unterstützung für SITHS-Smartcards, jedoch nur für Verbindungen innerhalb von Sitzungen.

Wenn Sie FIPS Citrix Gateway-Geräte verwenden, sollten Sie die Systeme so konfigurieren, dass SSL-Neuaushandlungen abgelehnt werden. Einzelheiten finden Sie unter How to configure the -denySSLReneg parameter.

Die folgenden Produkte und Konfigurationen werden unterstützt:

  • Unterstützte Smartcardleser:
    • Precise Biometrics Tactivo für iPad Mini Firmwareversion 3.8.0
    • Precise Biometrics Tactivo für iPad (4. Generation) und Tactivo für iPad (3. Generation) und iPad 2 Firmwareversion 3.8.0
    • BaiMobile® 301MP und 301MP-L Smartcardleser Unterstützte VDA-Smartcard-Middleware
    • ActiveIdentity
  • Unterstützte Smartcards:
    • PIV-Karten
    • Common Access Card (CAC)
  • Unterstützte Konfigurationen:
    • Smartcardauthentifizierung bei Citrix Gateway mit StoreFront 2.x und XenDesktop 7.x und höher oder XenApp 6.5 und höher

RSA SecurID-Authentifizierung

RSA SecurID-Authentifizierung für die Citrix Workspace-App für iOS wird für Secure Web Gateway-Konfigurationen (nur über das Webinterface) und alle Citrix Gateway-Konfigurationen unterstützt.

Für den Softwaretoken auf der Citrix Workspace-App für iOS benötigtes URL-Schema: Der RSA SecurID-Softwaretoken, der von der Citrix Workspace-App für iOS verwendet wird, registriert nur das URL-Schema com.citrix.securid.

Wenn Benutzer die Citrix Workspace-App für iOS-Anwendung und die RSA SecurID-Anwendung auf dem iOS-Gerät installiert haben, müssen Benutzer das URL-Schema “com.citrix.securid” auswählen, um den RSA SecurID-Softwareauthentifikator (Softwaretoken) in der Citrix Workspace-App für iOS auf den Geräten zu installieren.

Importieren eines RSA SecurID-Softwaretokens

Für die Verwendung eines RSA-Softwaretokens mit der Citrix Workspace-App für iOS müssen Benutzer folgende Schritte ausführen.

Die Richtlinie für die PIN-Länge, den Typ der PIN (nur nummerisch, alphanumerisch) und die Einschränkungen für die PIN-Wiederverwendung werden auf dem RSA-Verwaltungsserver festgelegt.

Die Benutzer sollten dies nur einmal tun müssen, wenn sie sich am RSA-Server erfolgreich authentifiziert haben. Nach der Überprüfung der PINs werden die Benutzer auch am StoreFront-Server authentifiziert, und er zeigt verfügbare veröffentlichte Anwendungen und Desktops an.

Verwenden eines RSA-Softwaretoken

  1. Importieren Sie den RSA-Softwaretoken, den Ihre Organisation bereitgestellt hat.

  2. Wählen Sie in der E-Mail mit der angehängten SecurID-Datei In Workspace öffnen als Importzielort aus. Nach dem Import des Softwaretokens wird die Citrix Workspace-App für iOS automatisch geöffnet.

  3. Falls Ihre Organisation ein Kennwort für den Abschluss des Imports bereitgestellt hat, geben Sie das bereitgestellte Kennwort ein und klicken Sie auf OK. Nach dem Klicken auf OK gibt eine Meldung den erfolgreichen Import des Tokens an.

  4. Schließen Sie die Importmeldung und klicken Sie in der Citrix Workspace-App für iOS auf Konto hinzufügen.

  5. Geben Sie die URL des von der Organisation bereitgestellten Stores ein und klicken Sie auf Weiter.

  6. Geben Sie auf dem Anmeldebildschirm Ihre Anmeldeinformationen ein: Benutzername, Kennwort und Domäne. Geben Sie im Feld “PIN” 0000 ein, wenn Ihnen keine andere Standard-PIN bereitgestellt wurde. (Die PIN 0000 ist ein RSA-Standard; Ihre Organisation hat sie ggf. geändert, um eigene Sicherheitsrichtlinien einzuhalten.)

  7. Klicken Sie oben links auf Anmelden. Nach dem Klicken auf Anmelden werden Sie zum Erstellen einer neuen PIN aufgefordert.

  8. Geben Sie eine PIN mit 4 bis 8 Stellen ein und klicken Sie auf OK.

  9. Sie müssen die neue PIN dann bestätigen. Geben Sie Ihre PIN erneut ein und klicken Sie auf OK. Nach dem Klicken Auf “OK” können Sie auf die Apps und Desktops zugreifen.

Nächster Tokencode

Wenn Sie Citrix Gateway für die RSA SecurID-Authentifizierung konfigurieren, unterstützt die Citrix Workspace-App für iOS “Nächster Tokencode”. Wenn dieses Feature aktiviert ist und ein Benutzer drei (Standardwert) falsche Kennwörter eingibt, fordert das Citrix Gateway Plug-In den Benutzer auf, so lange mit der Anmeldung zu warten, bis das nächste Token aktiv ist. Der RSA-Server kann so konfiguriert werden, dass das Konto eines Benutzers, der sich zu oft mit einem falschen Kennwort anmeldet, deaktiviert wird.

Abgeleitete Anmeldeinformationen

Unterstützung für die Verwendung abgeleiteter Anmeldeinformationen mit Purebred in der Citrix Workspace App für iOS ist verfügbar. Beim Herstellen einer Verbindung mit einem Store, der abgeleitete Anmeldeinformationen zulässt, können sich Benutzer mithilfe einer virtuellen Smartcard bei der Citrix Workspace-App für iOS anmelden. Dieses Feature wird nur bei On-Premises-Bereitstellungen unterstützt.

Hinweis:

Citrix Virtual Apps and Desktops 7 1808 oder höher ist für dieses Feature erforderlich.

Aktivieren von abgeleiteten Anmeldeinformationen in der Citrix Workspace-App für iOS:

  1. Navigieren Sie zu Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen.
  2. Tippen Sie auf Abgeleitete Anmeldeinformationen verwenden.

Mit folgenden Schritten erstellen Sie anschließend eine virtuelle Smartcard, die mit abgeleiteten Anmeldeinformationen verwendet werden kann:

  1. Tippen Sie unter Einstellungen > Erweitert > Abgeleitete Anmeldeinformationen auf Neue virtuelle Smartcard hinzufügen.
  2. Bearbeiten Sie den Namen der virtuellen Smartcard.
  3. Geben Sie eine 8-stellige PIN ein (nur Zahlen) und bestätigen Sie sie.
  4. Tippen Sie auf Weiter.
  5. Tippen Sie unter “Authentifizierungszertifikat” auf Zertifikat importieren…
  6. Das Dokumentauswahlfenster wird angezeigt. Tippen Sie auf Durchsuchen.
  7. Tippen Sie unter “Speicherort” auf Purebred Key Chain.
  8. Wählen Sie das gewünschte Authentifizierungszertifikat in der Liste aus.
  9. Tippen Sie auf Schlüssel importieren.
  10. Wiederholen Sie ggf. die Schritte 5 bis 9 für das digitale Signaturzertifikat und das Verschlüsselungszertifikat.
  11. Tippen Sie auf Speichern.

Sie können bis zu drei Zertifikate für Ihre virtuelle Smartcard importieren. Das Authentifizierungszertifikat ist erforderlich, damit die virtuelle Smartcard ordnungsgemäß funktioniert. Das Verschlüsselungszertifikat und das digitale Signaturzertifikat können zur Verwendung innerhalb einer VDA-Sitzung hinzugefügt werden.

Hinweis:

Beim Herstellen einer Verbindung zu einer HDX-Sitzung wird die erstellte virtuelle Smartcard in die Sitzung umgeleitet.

Bekannte Einschränkungen

  • Benutzer können jeweils nur eine aktive Karte haben.
  • Wenn eine virtuelle Smartcard erstellt wurde, kann sie nicht mehr bearbeitet werden. Um Änderungen an der virtuellen Smartcard vorzunehmen, müssen Benutzer die Karte löschen und eine neue Karte erstellen.
  • Sie haben bis zu 10 Eingabeversuche für eine PIN. Nach dem 10. Versuch wird die virtuelle Smartcard gelöscht.
  • Wenn abgeleitete Anmeldeinformationen ausgewählt werden, überschreibt die erstellte virtuelle Smartcard eine physische Smartcard, wenn eine Smartcard in einer Sitzung benötigt wird.