Produktdokumentation
Citrix Workspace-App für Linux
PDF anzeigen

Authentifizierung

March 13, 2024
Beitrag von: 
C C

Ab Citrix Workspace-App 2012 können Sie das Authentifizierungsdialogfeld in der Citrix Workspace-App anzeigen und Details auf dem Anmeldebildschirm speichern. Diese Verbesserung sorgt für eine bessere Benutzererfahrung.

Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie die Anmeldeinformationen beim Neustart des Systems oder der Sitzung nicht neu eingeben müssen.

Hinweis:

Diese Verbesserung der Authentifizierung ist nur in Cloud-Bereitstellungen verfügbar.

Voraussetzung:

Installieren Sie die Bibliothek libsecret.

Dieses Feature ist standardmäßig aktiviert.

Verbesserung der Authentifizierung für Storebrowse

Ab Version 2205 befindet sich das Authentifizierungsdialogfeld in der Citrix Workspace-App und die Storedetails werden im Anmeldebildschirm angezeigt. Die Authentifizierungstoken werden verschlüsselt und gespeichert, sodass Sie die Anmeldeinformationen beim Neustart des Systems oder der Sitzung nicht neu eingeben müssen.

Die verbesserte Authentifizierung unterstützt storebrowse für die folgenden Vorgänge:

  • Storebrowse -E: Listet die verfügbaren Ressourcen auf.
  • Storebrowse -L: Startet eine Verbindung zu einer veröffentlichten Ressource.
  • Storebrowse -S: Listet die abonnierten Ressourcen auf.
  • Storebrowse -T: Beendet alle Sitzungen des angegebenen Stores.
  • Storebrowse -Wr: Verbindet die getrennten aktiven Sitzungen des angegebenen Stores erneut. Mit der Option [r] werden alle getrennten Sitzungen wieder verbunden.
  • storebrowse -WR: Verbindet die getrennten aktiven Sitzungen des angegebenen Stores erneut. Mit der Option [R] werden alle aktiven und alle getrennten Sitzungen wieder verbunden.
  • Storebrowse -s: Abonniert die angegebene Ressource aus dem jeweiligen Store.
  • Storebrowse -u: Kündigt das Abonnement der angegebenen Ressource aus dem jeweiligen Store.
  • Storebrowse -q: Startet eine Anwendung über die direkte URL. Dieser Befehl funktioniert nur bei StoreFront-Stores.

Hinweis:

  • Sie können die verbleibenden storebrowse-Befehle weiterhin wie zuvor verwenden (mit AuthMangerDaemon).
  • Die Verbesserung der Authentifizierung ist nur auf Cloud-Bereitstellungen anwendbar.
  • Mit dieser Verbesserung wird das Feature der persistenten Anmeldung unterstützt.

Unterstützung für mehr als 200 Gruppen in Azure AD

Ab Version 2305 kann ein Azure AD-Benutzer, der Mitglied in mehr als 200 Gruppen ist, ihm zugewiesene Apps und Desktops anzeigen. Bisher konnte er diese Apps und Desktops nicht sehen.

Führen Sie folgende Schritte aus, um das Feature zu aktivieren:

  1. Gehen Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

    <compressedGroupsEnabled>true</compressedGroupsEnabled>
<!--NeedCopy-->

Hinweis:

Benutzer müssen sich von der Citrix Workspace-App abmelden und wieder anmelden, um diese Funktion zu aktivieren.

Verbesserung der Authentifizierung für die Storebrowse-Konfiguration

Das Feature zur Verbesserung der Authentifizierung ist standardmäßig deaktiviert.

Wenn der Gnome-Schlüsselbund nicht verfügbar ist, wird der Token im Self-Service-Prozessspeicher gespeichert.

Um das Speichern des Token im Speicher zu erzwingen, deaktivieren Sie den Gnome-Schlüsselbund mit den folgenden Schritten:

  1. Navigieren Sie zu /opt/Citrix/ICAClient/config/AuthmanConfig.xml.

  2. Fügen Sie folgenden Eintrag hinzu:

    <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
<!--NeedCopy-->

Smartcard

Um die Smartcard-Unterstützung in der Citrix Workspace-App für Linux zu konfigurieren, müssen Sie den StoreFront-Server über die StoreFront-Konsole konfigurieren.

Die Citrix Workspace-App unterstützt Smartcardleser, die mit PCSC-Lite- und PKCS#11-Treibern kompatibel sind. Standardmäßig sucht die Citrix Workspace-App nach opensc-pkcs11.so in einem der Standardspeicherorte.

Die Citrix Workspace-App kann opensc-pkcs11.so in einem nicht standardmäßigen Speicherort suchen oder sie kann einen anderen PKCS\#11-Treiber suchen. Sie können den jeweiligen Speicherort mit den folgenden Schritten speichern:

  1. Suchen Sie die Konfigurationsdatei: $ICAROOT/config/AuthManConfig.xml.

  2. Suchen Sie die Zeile <key>PKCS11module</key> und fügen Sie den Treiberspeicherort dem Element <value> hinzu, das direkt der Zeile folgt.

    Hinweis:

    Wenn Sie einen Dateinamen für den Treiberspeicherort eingeben, navigiert die Citrix Workspace-App im Verzeichnis $ICAROOT/PKCS\ #11 zu der Datei. Sie können auch einen absoluten Pfad verwenden, der mit “/” beginnt.

Nach dem Entfernen einer Smartcard konfigurieren Sie das Verhalten der Citrix Workspace-App, indem Sie SmartCardRemovalAction mit den folgenden Schritten aktualisieren:

  1. Suchen Sie die Konfigurationsdatei: $ICAROOT/config/AuthManConfig.xml
  2. Suchen Sie die Zeile <key>SmartCardRemovalAction</key> und fügen Sie noaction oder forcelogoff dem Element <value> hinzu, das direkt der Zeile folgt.

Das Standardverhalten ist noaction. Es werden keine Maßnahmen ausgeführt, um gespeicherte Anmeldeinformationen und generierte Token beim Entfernen der Smartcard zu löschen.

Mit der Aktion forcelogoff werden alle Anmeldeinformationen und Token in StoreFront beim Entfernen der Smartcard entfernt.

Einschränkung:

  • Das Starten einer Server-VDA-Sitzung mit Smartcard-Authentifizierung kann bei Smartcards mit mehreren Benutzern fehlschlagen. [HDX-44255]

Aktivieren der Smartcardunterstützung

Die Citrix Workspace-App unterstützt verschiedene Smartcardleser, wenn die Verwendung von Smartcards sowohl auf dem Server als auch auf der Citrix Workspace-App aktiviert ist.

Sie können Smartcards zu folgenden Zwecken verwenden:

  • Smartcard-Anmeldeauthentifizierung: Authentifiziert Sie bei Citrix Virtual Apps and Desktops- und Citrix DaaS-Servern (zuvor Citrix Virtual Apps and Desktops Service).
  • Smartcard-Anwendungsunterstützung: Ermöglicht smartcardfähigen veröffentlichten Anwendungen den Zugriff auf lokale Smartcardgeräte.

Die sicherheitsrelevanten Smartcarddaten müssen über einen sicheren, authentifizierten Kanal, z. B. TLS, übertragen werden.

Für die Smartcardunterstützung müssen folgende Voraussetzungen erfüllt sein:

  • Die Smartcardleser und die veröffentlichten Anwendungen müssen dem PC/SC-Industriestandard entsprechen.
  • Installieren Sie den passenden Treiber für die Smartcard.
  • Installieren Sie das PCSC Lite-Paket.
  • Installieren Sie den pcscd-Daemon, der Middleware für den Zugriff auf die Smartcard mit PC/SC bereitstellt, und führen Sie ihn aus.
  • Auf einem 64-Bit-System muss die 64-Bit- und 32-Bit-Version des “libpscslite1”-Pakets vorhanden sein.

Weitere Informationen zur Konfiguration der Smartcardunterstützung auf Servern finden Sie unter Smartcards in der Dokumentation zu Citrix Virtual Apps and Desktops.

Verbesserung der Smartcardunterstützung

Ab Version 2112 unterstützt die Citrix Workspace-App die Plug&Play-Funktionalität für Smartcardleser.

Wenn Sie eine Smartcard einstecken, erkennt der Smartcardleser die Smartcard auf dem Server und Client.

Wenn Sie verschiedene Karten gleichzeitig einstecken, werden alle Karten erkannt.

Voraussetzungen:

Installieren Sie die Bibliothek libpcscd auf dem Linux-Client.

Hinweis:

Diese Bibliothek kann in aktuellen Versionen der meisten Linux-Distributionen vorinstalliert sein. In früheren Versionen einiger Linux-Distributionen wie Ubuntu 1604 müssen Sie die Bibliothek libpcscd jedoch möglicherweise installieren.

So deaktivieren Sie diese Erweiterung:

  1. Navigieren Sie zum Ordner <ICAROOT>/config/module.ini.
  2. Navigieren Sie zum Abschnitt SmartCard.
  3. Legen Sie Folgendes fest: DriverName=VDSCARD.DLL.

Unterstützung für neue PIV-Karten

Ab Version 2303 unterstützt die Citrix Workspace-App die folgenden PIV-Karten (Personal Identification Verification):

  • IDEMIA-Smartcard der nächsten Generation
  • DELL TicTok-Smartcard

Leistungsoptimierung für Smartcardtreiber

Version 2303 der Citrix Workspace-App enthält leistungsbezogene Korrekturen und Optimierungen für den VDSCARDV2.DLL-Smartcardtreiber. Diese Verbesserungen erhöhen die Leistung gegenüber VDSCARD.DLL Version 1.

Unterstützung für Multifaktorauthentifizierung (nFactor)

Die Multifaktorauthentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identifikationsnachweise bereitstellen müssen, um Zugriff zu erhalten.

Mit der Multifaktorauthentifizierung können Authentifizierungsschritte und die zugehörigen Anmeldeinformationsformulare vollständig vom Administrator konfiguriert werden.

Die native Citrix Workspace-App unterstützt dieses Protokoll über die Anmeldeformulare, die bereits für StoreFront implementiert sind. Die webbasierten Anmeldeseiten für virtuelle Citrix Gateway- und Traffic Manager-Server verwenden ebenfalls dieses Protokoll.

Weitere Informationen finden Sie in der Dokumentation zu Citrix ADC unter SAML-Authentifizierung und Multifaktorauthentifizierung (nFactor).

Unterstützung für die Authentifizierung mit FIDO2 in HDX-Sitzungen

Ab Version 2303 können Sie sich innerhalb einer HDX-Sitzung mit kennwortlosen FIDO2-Sicherheitsschlüsseln authentifizieren. Mit FIDO2-Sicherheitsschlüsseln können Unternehmensmitarbeiter sich ohne Eingabe von Benutzernamen oder Kennwort bei Apps und Desktops, die FIDO2 unterstützen, authentifizieren. Weitere Informationen zu FIDO2 finden Sie unter FIDO2-Authentifizierung.

Hinweis:

Wenn Sie die FIDO2-Geräteumleitung über USB verwenden, entfernen Sie die USB-Umleitungsregel des FIDO2-Geräts. Sie können über die Datei usb.conf im Ordner $ICAROOT/ auf diese Regel zugreifen. Dieses Update hilft Ihnen beim Umschalten auf den virtuellen FIDO2-Kanal.

Standardmäßig ist die FIDO2-Authentifizierung deaktiviert. Gehen Sie wie folgt vor, um die FIDO2-Authentifizierung zu aktivieren:

  1. Navigieren Sie zur Datei <ICAROOT>/config/module.ini.
  2. Navigieren Sie zum Abschnitt ICA 3.0.
  3. Legen Sie FIDO2= On fest.

Dieses Feature unterstützt derzeit Roaming-Authentifikatoren (nur USB) mit PIN-Code und Touch-Funktionen. Sie können die Authentifizierung mit FIDO2-Sicherheitsschlüsseln konfigurieren. Informationen zu den Voraussetzungen und zur Verwendung dieses Features finden Sie unter Lokale Autorisierung und virtuelle Authentifizierung mit FIDO2.

Beim Zugriff auf eine App oder Website, die FIDO2 unterstützt, wird eine Aufforderung zur Eingabe des Sicherheitsschlüssels angezeigt. Wenn Sie Ihren Sicherheitsschlüssel zuvor mit einer PIN registriert haben, müssen Sie die PIN bei der Anmeldung eingeben. Die PIN kann mindestens 4 und maximal 64 Zeichen lang sein.

Wenn Sie Ihren Sicherheitsschlüssel zuvor ohne PIN registriert haben, tippen Sie einfach auf den Sicherheitsschlüssel, um sich anzumelden.

Einschränkung:

Möglicherweise können Sie das zweite Gerät nicht mit der FIDO2-Authentifizierung bei demselben Konto registrieren.

Unterstützung der Authentifizierung mit FIDO2 beim Verbinden mit On-Premises-Stores

Ab Version 2309 der Citrix Workspace-App für Linux können sich Benutzer mit kennwortlosen FIDO2-Sicherheitsschlüsseln bei On-Premises-Stores authentifizieren. Die Sicherheitsschlüssel unterstützen verschiedene Arten von Sicherheitseingaben wie Sicherheits-PIN, Biometrie, Magnetstreifenkarte, Smartcard, Public-Key-Zertifikat und mehr. Weitere Informationen zu FIDO2 finden Sie unter FIDO2-Authentifizierung.

Die Citrix Workspace-App verwendet den Citrix Enterprise Browser als Standardbrowser für die FIDO2-Authentifizierung. Administratoren können den Browsertyp für die Authentifizierung bei der Citrix Workspace-App konfigurieren.

Um das Feature zu aktivieren, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und geben folgende Einträge ein:

    <key>FIDO2Enabled</key>
    <value>true</value>
<!--NeedCopy-->

Um den Standardbrowser zu ändern, navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und ändern die Browsereinstellungen nach Bedarf. Zulässige Werte sind CEB, chromium, firefox und chromium-browser.

    <FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->

Benutzerdefinierte Authentifizierung

Die folgende Tabelle enthält einen Verweis auf die verfügbare benutzerdefinierte Authentifizierung für die Citrix Workspace-App:

Hilfsprogramm SDK Authentifizierungstyp Verwendete Bibliotheken Binärdateien Erkennung des Authentifizierungstyps
Unterstützung für Fast Connect Credential Insertion SDK Benutzername/Kennwort/Smartcard/Domänen-Passthrough libCredInject.so cis Parameter, die von Authentifikator-Integrationen von Drittanbietern verwendet werden
Benutzerdefiniertes Dialogfeld Platform Optimization SDK Benutzername/Kennwort/Smartcard UIDialogLib.so and UIDialogLibWebKit3.so Nein Automatische Erkennung - Wird von Thin Client-Partnern verwendet
Storebrowse Citrix Workspace-App Benutzername/Kennwort Nein Storebrowse Parameter
Authentifizierung
March 13, 2024
Beitrag von: 
C C
March 13, 2024
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.