Authentifizierung

Ab Citrix Workspace-App 2012 können Sie den Authentifizierungsdialog in der Citrix Workspace-App anzeigen und Details auf dem Anmeldebildschirm speichern. Diese Verbesserung bietet eine bessere Benutzererfahrung.

Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie Ihre Anmeldeinformationen nicht erneut eingeben müssen, wenn Ihr System oder Ihre Sitzung neu gestartet wird.

Hinweis:

Diese Authentifizierungsverbesserung ist nur in Cloud-Bereitstellungen verfügbar.

Voraussetzung:

• Installieren Sie die Bibliothek libsecret.

• Diese Funktion ist standardmäßig aktiviert.

• Authentifizierungsverbesserung für Storebrowse

• Ab Version 2205 ist der Authentifizierungsdialog in der Citrix Workspace-App vorhanden und die Store-Details werden für eine bessere Benutzererfahrung auf dem Anmeldebildschirm angezeigt. Die Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie Ihre Anmeldeinformationen nicht erneut eingeben müssen, wenn Ihr System oder Ihre Sitzung neu gestartet wird.

• Die Authentifizierungsverbesserung unterstützt storebrowse für die folgenden Vorgänge:

• Storebrowse -E: Listet die verfügbaren Ressourcen auf.
• Storebrowse -L: Stellt eine Verbindung zu einer veröffentlichten Ressource her.
• Storebrowse -S: Listet die abonnierten Ressourcen auf.
• Storebrowse -T: Beendet alle Sitzungen des angegebenen Stores.
• Storebrowse -Wr: Verbindet die getrennten, aber aktiven Sitzungen des angegebenen Stores erneut. Die Option [r] verbindet alle getrennten Sitzungen erneut.
• storebrowse -WR: Verbindet die getrennten, aber aktiven Sitzungen des angegebenen Stores erneut. Die Option [R] verbindet alle aktiven und getrennten Sitzungen erneut.
• Storebrowse -s: Abonniert die angegebene Ressource von einem bestimmten Store.
• Storebrowse -u: Deabonniert die angegebene Ressource von einem bestimmten Store.
• Storebrowse -q: Startet eine Anwendung über die direkte URL. Dieser Befehl funktioniert nur für StoreFront-Stores.

Hinweis:

• Sie können die verbleibenden storebrowse-Befehle wie zuvor (mit AuthMangerDaemon) weiterhin verwenden.
• Die Authentifizierungsverbesserung ist nur für Cloud-Bereitstellungen anwendbar.
• Mit dieser Verbesserung wird die Funktion für die persistente Anmeldung unterstützt.

Unterstützung für mehr als 200 Gruppen in Azure AD

Ab Release 2305 kann ein Azure AD-Benutzer, der Mitglied von mehr als 200 Gruppen ist, die ihm zugewiesenen Apps und Desktops anzeigen. Zuvor konnte derselbe Benutzer diese Apps und Desktops nicht anzeigen.

Gehen Sie wie folgt vor, um diese Funktion zu aktivieren:

1. Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

   <compressedGroupsEnabled>true</compressedGroupsEnabled>
   <!--NeedCopy-->
   

Hinweis:

Benutzer müssen sich von der Citrix Workspace-App abmelden und erneut anmelden, um diese Funktion zu aktivieren.

Authentifizierungsverbesserung für die Storebrowse-Konfiguration

Standardmäßig ist die Authentifizierungsverbesserungsfunktion deaktiviert.

Wenn der Gnome-Keyring nicht verfügbar ist, wird das Token im Speicher des Selfservice-Prozesses gespeichert.

• Um die Speicherung des Tokens im Speicher zu erzwingen, deaktivieren Sie den Gnome-Keyring wie folgt:

1. Navigieren Sie zu /opt/Citrix/ICAClient/config/AuthmanConfig.xml.

2. Fügen Sie den folgenden Eintrag hinzu:

   <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
   <!--NeedCopy-->
   

Smartcard

Um die Smartcard-Unterstützung in der Citrix Workspace-App für Linux zu konfigurieren, müssen Sie den StoreFront-Server über die StoreFront-Konsole konfigurieren.

• Die Citrix Workspace-App unterstützt Smartcard-Lesegeräte, die mit PCSC-Lite- und PKCS#11-Treibern kompatibel sind. Standardmäßig findet die Citrix Workspace-App opensc-pkcs11.so jetzt an einem der Standardspeicherorte. Informationen zum Hinzufügen angepasster PKCS#11-Treiber finden Sie unter Angepasste PKCS#11-Treiber hinzufügen.

Die Citrix Workspace-App kann opensc-pkcs11.so an einem nicht standardmäßigen Speicherort oder einen anderen PKCS\#11-Treiber finden. Sie können den jeweiligen Speicherort mit dem folgenden Verfahren speichern:

• 1. Suchen Sie die Konfigurationsdatei: $ICAROOT/config/AuthManConfig.xml.
• 1. Suchen Sie die Zeile <key>PKCS11module</key> und fügen Sie den Treiberspeicherort zum <value>-Element direkt nach der Zeile hinzu.

• Hinweis:

  Wenn Sie einen Dateinamen für den Treiberspeicherort eingeben, navigiert die Citrix Workspace-App zu dieser Datei im Verzeichnis $ICAROOT/PKCS\ #11. Sie können auch einen absoluten Pfad verwenden, der mit “/” beginnt.

Nachdem Sie eine Smartcard entfernt haben, konfigurieren Sie das Verhalten der Citrix Workspace-App, indem Sie die SmartCardRemovalAction mit den folgenden Schritten aktualisieren:

1. Suchen Sie die Konfigurationsdatei: $ICAROOT/config/AuthManConfig.xml
2. Suchen Sie die Zeile <key>SmartCardRemovalAction</key> und fügen Sie noaction oder forcelogoff zum <value>-Element direkt nach der Zeile hinzu.

Das Standardverhalten ist noaction. Es wird keine Aktion ausgeführt, um gespeicherte Anmeldeinformationen und generierte Token beim Entfernen der Smartcard zu löschen.

Die Aktion forcelogoff löscht alle Anmeldeinformationen und Token innerhalb von StoreFront beim Entfernen der Smartcard.

Einschränkung:

• Versuche, eine Server-VDA-Sitzung mit Smartcard-Authentifizierung zu starten, können für die Smartcard mit mehreren Benutzern fehlschlagen. [HDX-44255]

• Angepasste PKCS#11-Treiber hinzufügen

Wenn Ihre Smartcard einen benutzerdefinierten PKCS#11-Treiber erfordert, führen Sie die folgenden Schritte aus, um den Treiberpfad hinzuzufügen:

1. Navigieren Sie zur Konfigurationsdatei $ICAROOT/config/AuthManConfig.xml.

2. Suchen Sie die Zeile <key>PKCS11module</key> und fügen Sie den Treiberspeicherort zum <value>-Element direkt nach der Zeile hinzu. Beispiel:

   /usr/lib/pkcs11/libIDPrimePKCS11.so.

3. Suchen Sie die Konfigurationsdatei: $ICAROOT/config/scardConfig.json.

4. Suchen Sie DefaultPKCS11Lib und ändern Sie den Standardwert in den angepassten Treiberpfad ohne /usr. Beispiel:

   /lib/pkcs11/libIDPrimePKCS11.so

Smartcard-Unterstützung aktivieren

Die Citrix Workspace-App unterstützt verschiedene Smartcard-Lesegeräte, wenn Smartcard sowohl auf dem Server als auch in der Citrix Workspace-App aktiviert ist.

Sie können Smartcards für die folgenden Zwecke verwenden:

• Smartcard-Anmeldeauthentifizierung – Authentifiziert Sie bei Citrix Virtual Apps and Desktops™- oder Citrix DaaS-Servern (ehemals Citrix Virtual Apps and Desktops Service).
• Smartcard-Anwendungsunterstützung – Ermöglicht Smartcard-fähigen veröffentlichten Anwendungen den Zugriff auf lokale Smartcard-Geräte.

Smartcard-Daten sind sicherheitsempfindlich und müssen über einen sicheren, authentifizierten Kanal, wie z. B. TLS, übertragen werden.

Die Smartcard-Unterstützung hat die folgenden Voraussetzungen:

• Ihre Smartcard-Lesegeräte und veröffentlichten Anwendungen müssen dem PC/SC-Industriestandard entsprechen.
• Installieren Sie den entsprechenden Treiber für Ihre Smartcard.
• Installieren Sie das PC/SC Lite-Paket.
• Installieren und starten Sie den pcscd-Daemon, der Middleware für den Zugriff auf die Smartcard über PC/SC bereitstellt.

• Auf einem 64-Bit-System müssen sowohl die 64-Bit- als auch die 32-Bit-Version des Pakets “libpcsclite1” vorhanden sein.

• Weitere Informationen zum Konfigurieren der Smartcard-Unterstützung auf Servern finden Sie unter Smartcards in der Dokumentation zu Citrix Virtual Apps and Desktops.

Verbesserung der Smartcard-Unterstützung

Ab Version 2112 unterstützt die Citrix Workspace-App die Plug & Play-Funktionalität für das Smartcard-Lesegerät.

Wenn Sie eine Smartcard einlegen, erkennt das Smartcard-Lesegerät die Smartcard im Server und Client.

Sie können verschiedene Karten gleichzeitig per Plug & Play verwenden, und alle diese Karten werden erkannt.

Voraussetzungen:

Installieren Sie die libpcscd-Bibliothek auf dem Linux-Client.

Hinweis:

Diese Bibliothek ist in den neueren Versionen der meisten Linux-Distributionen möglicherweise standardmäßig installiert. In früheren Versionen einiger Linux-Distributionen, wie z. B. Ubuntu 1604, müssen Sie die libpcscd-Bibliothek jedoch möglicherweise installieren.

So deaktivieren Sie diese Verbesserung:

1. Navigieren Sie zum Ordner <ICAROOT>/config/module.ini.
2. Gehen Sie zum Abschnitt SmartCard.
3. Setzen Sie DriverName=VDSCARD.DLL.

Unterstützung für neue PIV-Karten

Ab Version 2303 unterstützt die Citrix Workspace-App die folgenden neuen PIV-Karten (Personal Identification Verification):

• IDEMIA Smartcard der nächsten Generation
• DELL TicTok Smartcard

Leistungsoptimierung für Smartcard-Treiber

Die Version 2303 der Citrix Workspace-App enthält leistungsbezogene Korrekturen und Optimierungen für den Smartcard-Treiber VDSCARDV2.DLL. Diese Verbesserungen tragen dazu bei, die Leistung der Version 1 VDSCARD.DLL zu übertreffen.

Schnelle Smartcard

Die schnelle Smartcard ist eine Verbesserung gegenüber der bestehenden HDX PC/SC-basierten Smartcard-Umleitung. Sie verbessert die Leistung, wenn Smartcards in WAN-Umgebungen mit hoher Latenz verwendet werden.

Schnelle Smartcards werden nur unter Windows VDA unterstützt.

So aktivieren Sie die schnelle Smartcard-Anmeldung in der Citrix Workspace-App:

Ab Version 2408 ist die schnelle Smartcard-Anmeldung auf dem VDA standardmäßig aktiviert und in der Citrix Workspace-App standardmäßig deaktiviert. Um die schnelle Smartcard-Funktion zu aktivieren, gehen Sie wie folgt vor:

1. Navigieren Sie zum Abschnitt [SmartCard] in der Konfigurationsdatei /opt/Citrix/ICAClient/config/module.ini.

2. Fügen Sie den folgenden Eintrag hinzu:

   SmartCardCryptographicRedirection=On
   <!--NeedCopy-->
   

So deaktivieren Sie die schnelle Smartcard-Anmeldung in der Citrix Workspace-App:

Um die schnelle Smartcard-Anmeldung in der Citrix Workspace-App zu deaktivieren, entfernen Sie den Parameter SmartCardCryptographicRedirection aus dem Abschnitt [SmartCard] in der Konfigurationsdatei /opt/Citrix/ICAClient/config/module.ini.

Unterstützung für Cryptography Next Generation Smartcards

Ab Version 2408 unterstützt die Citrix Workspace-App die neue PIV-Smartcard (Personal Identification Verification), die den ECC-Algorithmus (Elliptic Curve Cryptography) verwendet. Dieser Smartcard-Typ basiert auf Cryptography Next Generation.

Unterstützung für Multi-Faktor-Authentifizierung (nFactor)

Die Multi-Faktor-Authentifizierung erhöht die Sicherheit einer Anwendung, indem sie von Benutzern zusätzliche Identitätsnachweise verlangt, um Zugriff zu erhalten.

Die Multi-Faktor-Authentifizierung ermöglicht es dem Administrator, Authentifizierungsschritte und die zugehörigen Formulare zur Erfassung von Anmeldeinformationen zu konfigurieren.

Die native Citrix Workspace-App unterstützt dieses Protokoll, indem sie auf der bereits für StoreFront implementierten Formularanmeldeunterstützung aufbaut. Die Web-Anmeldeseiten für Citrix Gateway und Traffic Manager Virtual Server nutzen dieses Protokoll ebenfalls.

Hinweis:

• Die Multi-Faktor-Authentifizierung (nFactor) unterstützt nur die formularbasierte Authentifizierung.

Weitere Informationen finden Sie unter SAML-Authentifizierung und Multi-Faktor-Authentifizierung (nFactor) in der Citrix ADC-Dokumentation.

• Endpoint Analysis-Unterstützung für Multi-Faktor-Authentifizierung (nFactor)

• Ab dieser Version unterstützt die Citrix Workspace-App Endpoint Analysis (EPA) für die Multi-Faktor-Authentifizierung, wodurch Compliance und Sicherheit verbessert werden. Wenn beispielsweise EPA und LDAP als Teil der Multi-Faktor-Authentifizierung konfiguriert sind, erkennt und führt die Citrix Workspace-App die EPA-App zur Authentifizierung zusammen mit der LDAP-Authentifizierung aus.

• Zuvor unterstützte die Citrix Workspace-App das Aufrufen der EPA-App nicht, was zu einem Fehler “Zugriff verweigert” führte. Diese Version unterstützt den EPA-Aufruf, wodurch der Authentifizierungsprozess reibungslos ablaufen kann.

Die neue Funktion gewährleistet umfassende Endpunktsicherheitsprüfungen, die Einhaltung von Unternehmensrichtlinien und gesetzlichen Anforderungen. Sie reduziert das Risiko unbefugten Zugriffs und verbessert die allgemeine Netzwerkintegrität.

Voraussetzungen:

Stellen Sie sicher, dass die Endpoint Analysis-App auf Ihrem System installiert ist.

Unterstützte Betriebssysteme:

• IGEL OS: EPA ist bereits verfügbar.
• Ubuntu 18, 20 und 22: EPA ist nicht vorinstalliert; Sie müssen EPA herunterladen und installieren, bevor Sie mit der Authentifizierung fortfahren. Laden Sie EPA für Ubuntu von der Citrix Downloads-Seite herunter.

Diese Funktion ist standardmäßig aktiviert und wird in Verbindung mit der Multi-Faktor-Authentifizierung verwendet. Weitere Informationen finden Sie in der Dokumentation zur Multi-Faktor-Authentifizierung (nFactor).

Unterstützung für die Authentifizierung mit FIDO2 in HDX-Sitzungen

Ab Version 2303 können Sie sich innerhalb einer HDX-Sitzung mit passwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren. FIDO2-Sicherheitsschlüssel bieten Unternehmensmitarbeitern eine nahtlose Möglichkeit, sich bei Apps oder Desktops, die FIDO2 unterstützen, zu authentifizieren, ohne einen Benutzernamen oder ein Passwort eingeben zu müssen. Weitere Informationen zu FIDO2 finden Sie unter FIDO2 Authentication.

Hinweis:

Wenn Sie das FIDO2-Gerät über USB-Umleitung verwenden, entfernen Sie die USB-Umleitungsregel Ihres FIDO2-Geräts. Sie können auf diese Regel in der Datei usb.conf im Ordner $ICAROOT/ zugreifen. Dieses Update hilft Ihnen, zum virtuellen FIDO2-Kanal zu wechseln.

Standardmäßig ist die FIDO2-Authentifizierung deaktiviert. Um die FIDO2-Authentifizierung zu aktivieren, gehen Sie wie folgt vor:

1. Navigieren Sie zur Datei <ICAROOT>/config/module.ini.
2. Gehen Sie zum Abschnitt ICA 3.0.
3. Setzen Sie FIDO2= On.

Diese Funktion unterstützt derzeit Roaming-Authentifikatoren (nur USB) mit PIN-Code- und Touch-Funktionen. Sie können die FIDO2-Sicherheitsschlüssel-basierte Authentifizierung konfigurieren. Informationen zu den Voraussetzungen und zur Verwendung dieser Funktion finden Sie unter Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2.

Wenn Sie auf eine App oder eine Website zugreifen, die FIDO2 unterstützt, wird eine Aufforderung angezeigt, die den Zugriff auf den Sicherheitsschlüssel anfordert. Wenn Sie Ihren Sicherheitsschlüssel zuvor mit einer PIN registriert haben, müssen Sie die PIN während der Anmeldung eingeben. Die PIN kann mindestens 4 und maximal 64 Zeichen lang sein.

Wenn Sie Ihren Sicherheitsschlüssel zuvor ohne PIN registriert haben, berühren Sie einfach den Sicherheitsschlüssel, um sich anzumelden.

Einschränkung:

Möglicherweise können Sie das zweite Gerät nicht mit demselben Konto unter Verwendung der FIDO2-Authentifizierung registrieren.

Unterstützung für mehrere Passkeys in HDX-Sitzungen

Bisher hatten Sie keine Möglichkeit, einen geeigneten Passkey auszuwählen, wenn mehrere Passkeys mit einem Sicherheitsschlüssel oder FIDO2-Gerät verknüpft waren. Standardmäßig wurde der erste Passkey für die Authentifizierung verwendet.

Ab Version 2405 können Sie einen geeigneten Passkey über die Benutzeroberfläche der Citrix Workspace-App auswählen. Diese Funktion ist standardmäßig aktiviert. Wenn mehrere Passkeys vorhanden sind, wird der erste als Standard ausgewählt. Sie können den geeigneten Passkey jedoch wie folgt auswählen:

Unterstützung der Authentifizierung mit FIDO2 bei der Verbindung mit lokalen Stores

• Ab Citrix Workspace-App für Linux Version 2309 können Benutzer sich mit passwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren, wenn sie sich bei lokalen Stores anmelden. Die Sicherheitsschlüssel unterstützen verschiedene Arten von Sicherheitseingaben wie Sicherheitspins, Biometrie, Kartenwischen, Smartcards, Public-Key-Zertifikate und so weiter. Weitere Informationen zu FIDO2 finden Sie unter FIDO2 Authentication.

Administratoren können den Browsertyp konfigurieren, der für die Authentifizierung bei der Citrix Workspace-App verwendet werden soll. Um die Funktion zu aktivieren, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

Um den Standardbrowser zu ändern, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und ändern Sie die Browsereinstellungen nach Bedarf. Die möglichen Werte sind chromium, firefox und chromium-browser sowie Microsoft Edge.

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

Unterstützung der Authentifizierung mit FIDO2 bei der Verbindung mit Cloud-Stores

Ab Citrix Workspace-App für Linux Version 2405 können Benutzer sich mit passwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren, wenn sie sich bei Cloud-Stores anmelden. Die Sicherheitsschlüssel unterstützen verschiedene Arten von Sicherheitseingaben wie Sicherheitspins, Biometrie, Kartenwischen, Smartcards, Public-Key-Zertifikate und so weiter. Weitere Informationen finden Sie unter FIDO2 Authentication.

Administratoren können den Browsertyp konfigurieren, der für die Authentifizierung bei der Citrix Workspace-App verwendet werden soll.

Um die Funktion zu aktivieren, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

Um den Standardbrowser zu ändern, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und ändern Sie die Browsereinstellungen nach Bedarf. Die möglichen Werte sind chromium, firefox und chromium-browser.

    <FIDO2AuthBrowser>firefox</FIDO2AuthBrowser>
<!--NeedCopy-->

FIDO2-Authentifizierung mit GACS konfigurieren

Um die FIDO2-Authentifizierung für die Store-URL mit GACS zu aktivieren, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei Citrix Cloud™ an.

2. Klicken Sie oben links auf das Hamburger-Symbol, klicken Sie auf Workspace Configuration und dann auf App Configuration.

   

3. Klicken Sie auf Workspace und dann auf die Schaltfläche Configure.

   

• 1. Klicken Sie auf Security and Authentication und dann auf Authentication.

  

1. Klicken Sie auf FIDO2 Authentication, aktivieren Sie das Kontrollkästchen Linux und schalten Sie dann den Schalter Enabled um.

   

2. Klicken Sie auf Publish Draft.

Benutzerdefinierte Authentifizierung

Die folgende Tabelle enthält eine Referenz zu den verfügbaren benutzerdefinierten Authentifizierungen für die Citrix Workspace-App:

• NFC-Unterstützung für FIDO2-Authentifizierung

Ab Version 2411 können Sie die FIDO2-unterstützte NFC-Karte für ein Tap-and-Go-Erlebnis nutzen, eine End-to-End-Single-Sign-On (SSO)-Lösung. Dies bedeutet, dass Sie eine NFC-Karte verwenden können, um sich bei einem Citrix® Store zu authentifizieren, und dann wird ein vorkonfigurierter virtueller Desktop oder eine virtuelle App automatisch per SSO geöffnet.

Weitere Informationen zum Konfigurieren dieser Funktion finden Sie in den folgenden Abschnitten:

Voraussetzungen

Hardware-Anforderungen:

• NFC-unterstützte FIDO2-Schlüssel. Zum Beispiel Yubikey5.
• NFC-unterstützte FIDO2-Lesegeräte, die mit Linux-Clients kompatibel sind. Zum Beispiel ACR1252U-M.

Software-Anforderungen:

Die folgenden Softwarepakete sind für diese Funktion erforderlich:

• swig
• libpcsclite-devel und pcsc-lite für CentOS oder RHEL
• libpcsclite-dev und pcscd für Ubuntu
• python3 und python3-pip
• Python-Pakete: pyscard, uhid und fido2
• Chromium-Browser (wenn Citrix Enterprise Browser nicht bevorzugt wird). Der bevorzugte Installer für den Chromium-Browser ist das Debian-Paket, das von der Chromium-Download-Seite heruntergeladen werden kann. Es wird nicht empfohlen, Chromium als Snap zu installieren.

Hinweis:

• Administratoren können die oben genannten Pakete installieren, indem sie das Skript setupFIDO2Service.sh, das sich unter <ICAROOT>/util/Fido2HIDBridge befindet, als Sudo-Benutzer ausführen. Dieses Skript setupFIDO2Service.sh ist ein Beispiel für Ubuntu- und RHEL-Betriebssysteme. Administratoren können dieses Skript bei Bedarf für ihre Betriebssystemkonfiguration anpassen.
• Diese Funktion wird auf den Architekturen Ubuntu x86-64, RHEL x86-64 und ARM64 nicht unterstützt.

So aktivieren Sie diese Funktion

1. Stellen Sie sicher, dass der Dienst fido2-hid-bridge.service ausgeführt wird, da er normalerweise mit der Citrix Workspace-App installiert wird. Wenn er nicht ausgeführt wird, können Sie ihn manuell starten.

   

2. Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

   <key>FIDO2Enabled</key>

   <value>true</value>

   Deaktivieren Sie auch Long Lived Token:

   <longLivedTokenSupport>false</longLivedTokenSupport>

3. Falls erforderlich, ändern Sie den Standardbrowser, indem Sie zu $ICAROOT/config/AuthManConfig.xml navigieren und die Browsereinstellungen entsprechend aktualisieren. Die möglichen Werte sind CEB und chromium. Der Standardwert ist CEB.

   <FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>

4. Um den App Authenticator im Vollbildmodus anzuzeigen, fügen Sie den folgenden Eintrag hinzu:

   <Fido2FullScreenMode>true</Fido2FullScreenMode>

   Standardmäßig wird der App Authenticator im Fenstermodus angezeigt.

So verwenden Sie diese Funktion

1. Fügen Sie StoreURL und ResourceName in $ICAROOT/config/AuthManConfig.xml hinzu:

   <StoreURL>test.cloud.com</StoreURL>

   <ResourceName>Notepad</ResourceName>

2. Navigieren Sie zu $ICAROOT/util und führen Sie nfcui aus.

   

3. Sobald der Store hinzugefügt wurde, tippen oder klicken Sie auf Weiter zur Authentifizierung.

   

4. Geben Sie auf der Authentifizierungsseite die Benutzeranmeldeinformationen ein und klicken Sie als Anmeldeoption auf Gesicht, Fingerabdruck, PIN oder Sicherheitsschlüssel.

5. Tippen Sie den NFC-fähigen FIDO2-Schlüssel auf das Lesegerät.

6. Geben Sie die PIN für Ihren Sicherheitsschlüssel ein und klicken Sie auf Weiter.

7. Klicken Sie nach erfolgreicher Authentifizierung im Fenster Angemeldet bleiben? auf Ja.

8. Sobald die Authentifizierung abgeschlossen ist, wird der konfigurierte VDA oder die App gestartet.

   

Die Anwendung wurde erfolgreich gestartet.

Endbenutzer zur Authentifizierung und zum Zugriff auf Apps und Desktops über die native App verpflichten

Ab Version 2508 können Administratoren von Linux-Benutzern verlangen, dass sie ausschließlich über die native App auf Citrix Workspace zugreifen. Wenn diese Funktion aktiviert ist, werden Benutzer, die versuchen, auf die Store-URL zuzugreifen oder Browser von Drittanbietern zu verwenden, automatisch zur Citrix Workspace-App umgeleitet. Dadurch wird sichergestellt, dass Benutzer von allen nativen App-Funktionen profitieren und ein nahtloses Erlebnis genießen.

Wenn Benutzer versuchen, über einen Browser eine Verbindung herzustellen und die HDX™-Engine zu starten, werden sie aufgefordert, den Store für die zukünftige Verwendung zum nativen Client hinzuzufügen. Diese Funktion gibt Administratoren mehr Kontrolle und erhöht die Sicherheit, indem die Authentifizierung innerhalb der nativen App verbleibt. Außerdem entfällt die Notwendigkeit, ICA-Dateien herunterzuladen.

Administratoren können diese Funktion in Citrix Cloud aktivieren. Derzeit wird sie nur für Cloud-Stores unterstützt.

Weitere Informationen finden Sie unter Endbenutzer zur Authentifizierung und zum Zugriff auf Apps und Desktops über die native App verpflichten.

Entra ID SSO-Unterstützung für die Cloud

Ab Version 2508.10 unterstützt die Citrix Workspace-App für Linux Microsoft Entra ID Single Sign-On (SSO) auf Endgeräten mit Ubuntu 22.04 und Ubuntu 24.04. Verwenden Sie Microsoft Entra ID-Anmeldeinformationen, um sich bei Citrix Cloud-Stores anzumelden und mit SSO auf Citrix Virtual Apps and Desktops zuzugreifen, ohne wiederholte Anmeldeaufforderungen.

Single Sign-On mit Microsoft Entra ID

Verwenden Sie SSO mit Microsoft Entra ID-Anmeldeinformationen, um auf virtuelle Apps und Desktops auf Entra-verbundenen oder Entra-Hybrid-verbundenen Sitzungshosts zuzugreifen.

Voraussetzungen

Installieren Sie die folgenden Pakete auf dem Endgerät:

• gnome-keyring (Version 3.18.3 oder höher)

  Führen Sie für Ubuntu und Ubuntu-basierte Distributionen den folgenden Befehl aus:

  sudo apt-get install gnome-keyring
  <!--NeedCopy-->
  

• libsecret

  Führen Sie für Ubuntu und Ubuntu-basierte Distributionen den folgenden Befehl aus:

  sudo apt-get install libsecret-1-0
  <!--NeedCopy-->
  

Hinweis:

Wenn Citrix Long Lived Token (LLT) aktiviert ist, müssen Microsoft Entra ID SSO-Cookies bestehen bleiben, um eine nahtlose Authentifizierung zu gewährleisten. Um die Cookie-Persistenz zu aktivieren, konfigurieren Sie die folgende Einstellung in AuthManConfig.xml unter /opt/Citrix/ICAClient:

<key>SharedAuthContextEnabled</key>
<value>true</value>
<!--NeedCopy-->

Entra ID SSO mit dem Systembrowser

Um Entra ID SSO mit dem Systembrowser zu aktivieren, legen Sie die folgenden Schlüssel in AuthManConfig.xml unter /opt/Citrix/ICAClient fest:

<key>AADSSOWithFido2AuthenticationEnabled</key>
<value>true</value>

<key>FIDO2Enabled</key>
<value>true</value>

<!-- FIDO2AuthBrowser options: CEB, chromium, firefox, chromium-browser -->
<FIDO2AuthBrowser>chromium</FIDO2AuthBrowser>
<!--NeedCopy-->

Hinweis:

Entra ID SSO wird mit Firefox, Microsoft Edge und Chromium unterstützt.

Entra ID SSO mit Storebrowse verwenden

So aktivieren Sie Entra ID SSO mit Storebrowse:

1. Navigieren Sie zum Dienstprogrammverzeichnis:

   cd /opt/Citrix/ICAClient/util
   <!--NeedCopy-->
   

2. Fügen Sie den Store hinzu:

   ./storebrowse -a <store_URL>
   <!--NeedCopy-->
   

3. Zählen Sie den Store auf und authentifizieren Sie ihn:

   ./storebrowse -E <full_store_URL>
   <!--NeedCopy-->
   

4. Starten Sie die Ressource:

   ./storebrowse -L <resourceID> <full_store_URL>
   <!--NeedCopy-->
   

Entra ID Single Sign-On (SSO) über Webbrowser

Ab Version 2601 unterstützt die Citrix Workspace-App für Linux Entra ID Single Sign-On (SSO) über Webbrowser mittels der Citrix Web Extension. Diese Funktion ist standardmäßig aktiviert.

Voraussetzungen:

Die folgenden Bibliotheken sind erforderlich:

• gnome-keyring Version 3.18.3 oder höher

  Wenn Sie Debian verwenden, führen Sie den folgenden Befehl aus:

   sudo apt-get install gnome-keyring
   <!--NeedCopy-->
  

  Wenn Sie RPM verwenden, führen Sie den folgenden Befehl aus:

   sudo yum install gnome-keyring
   <!--NeedCopy-->
  

• libsecret

  Wenn Sie Debian verwenden, führen Sie den folgenden Befehl aus:

   sudo apt-get install libsecret-1-0
   <!--NeedCopy-->
  

  Wenn Sie RPM verwenden, führen Sie den folgenden Befehl aus:

   sudo yum install libsecret-1*
   <!--NeedCopy-->
  

Unterstützung von Microsoft Edge für FIDO2 und Entra ID SSO

Ab Version 2601 unterstützt die Citrix Workspace-App für Linux die Verwendung von Microsoft Edge für:

• FIDO2-Authentifizierung
• Entra ID Single Sign-On (SSO) über den Systembrowser

Um Microsoft Edge für diese Abläufe zu konfigurieren, bearbeiten Sie die Datei AuthManConfig.xml unter /opt/Citrix/ICAClient/config/AuthManConfig.xml.

Verwenden Sie Microsoft Edge als Browser für die FIDO2-Authentifizierung:

<!-- FIDO2AuthBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<FIDO2AuthBrowser>edge</FIDO2AuthBrowser>
<!--NeedCopy-->

Verwenden Sie Microsoft Edge als Systembrowser für Entra ID SSO:

<!-- SystemBrowser - CEB, chromium, firefox, chromium-browser, edge -->
<SystemBrowser>edge</SystemBrowser>
<!--NeedCopy-->

Diese Einstellungen stellen sicher, dass sowohl die FIDO2-Authentifizierung als auch der Entra ID SSO-Ablauf mit Microsoft Edge gestartet werden.

Konfiguration des FIDO2-Authentifizierungs-Timeouts

Ab Version 2601 bietet die Citrix Workspace-App für Linux eine Konfigurationsoption zur Steuerung des browserbasierten FIDO2-Authentifizierungs-Timeouts.

Zur Konfiguration öffnen Sie /opt/Citrix/ICAClient/config/AuthManConfig.xml und legen Sie das Timeout (in Sekunden) mit FIDO2AuthTimeout fest:

<!-- FIDO2AuthTimeout - Authentication timeout in seconds (default: 60, max: 180) -->
<FIDO2AuthTimeout>60</FIDO2AuthTimeout>
<!--NeedCopy-->

Hinweis:

Legen Sie das Timeout je nach Bedarf auf einen Wert zwischen 60 und 180 Sekunden fest.

Abmeldung vom Identity Provider (IDP) bei Inaktivitäts-Timeout des Workspace (WSP)

Ab Version 2601 unterstützt die Citrix Workspace-App für Linux die Abmeldung vom Identity Provider (IDP) während der Benutzerabmeldung und wenn ein Inaktivitäts-Timeout des Workspace (WSP) auftritt. Diese Opt-in-Funktion trägt dazu bei, eine vollständige Sitzungsbeendigung über die gesamte Authentifizierungskette hinweg sicherzustellen, während das bestehende Abmeldeverhalten beibehalten wird, sofern die Funktion nicht aktiviert ist.

Um diese Funktion zu konfigurieren, bearbeiten Sie die Datei AuthManConfig.xml unter /opt/Citrix/ICAClient/config/AuthManConfig.xml.

Standardeinstellung:

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>false</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

Um die Funktion zu aktivieren,

<!-- EnableChainedLogoffOnTimeout - true, false -->
<EnableChainedLogoffOnTimeout>true</EnableChainedLogoffOnTimeout>
<!--NeedCopy-->

Hinweis:

Diese Funktion ist standardmäßig deaktiviert. Wenden Sie sich bei Bedarf an Ihren Administrator, um diese Funktion zu aktivieren.