Authentifizierung

Zur maximalen Sicherung der Umgebung müssen die Verbindungen zwischen der Citrix Workspace-App und den veröffentlichten Ressourcen gesichert sein. Sie können verschiedene Authentifizierungsmethoden für die Citrix Workspace-App konfigurieren, u. a. Domänen-Passthrough-Authentifizierung, Smartcardauthentifizierung und Kerberos-Passthrough-Authentifizierung.

Domänen-Passthrough-Authentifizierung

Mit Single Sign-On können Sie sich bei einer Domäne authentifizieren und Citrix Virtual Apps and Desktops verwenden, ohne sich erneut authentifizieren zu müssen.

Wenn Sie sich bei der Citrix Workspace-App anmelden, werden Ihre Anmeldeinformationen zusammen mit den enumerierten Apps und Desktops sowie Startmenüeinstellungen an StoreFront übergeben. Nach der Konfiguration von Single Sign-On können Sie sich bei der Citrix Workspace-App anmelden und Citrix Virtual Apps and Desktops-Sitzungen starten, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen.

Hinweis:

Single Sign-On wird nicht unterstützt, wenn die Citrix Workspace-App mit Citrix Virtual Apps and Desktops über Citrix Gateway verbunden ist.

Bei früheren Releases konnten Benutzer bei Verwendung von Google Chrome, Microsoft Edge oder Mozilla FireFox Single Sign-On-Sitzungen starten, auch wenn die Funktion nicht von einem Administrator aktiviert worden war.

Ab Version 1905 müssen Sie bei allen Webbrowsern Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren. Weitere Informationen zum Konfigurieren von Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage finden Sie unter Konfigurieren von Single Sign-On mit Citrix Gateway.

Sie können Single Sign-On sowohl bei der Neuinstallation als auch bei einem Upgrade konfigurieren, indem Sie eine der folgenden Optionen verwenden:

  • Befehlszeilenschnittstelle
  • Grafische Benutzeroberfläche

Konfigurieren von Single Sign-On während der Neuinstallation

Konfigurieren Sie Single Sign-On während der Neuinstallation der Citrix Workspace-App mit folgenden Schritten:

  1. Konfiguration in StoreFront oder im Webinterface.
  2. Konfigurieren von XML-Vertrauensdiensten auf dem Delivery Controller.
  3. Ändern der Internet Explorer-Einstellungen.
  4. Installieren der Citrix Workspace-App mit Single Sign-On.

Konfigurieren von Single Sign-On in StoreFront und im Webinterface

Abhängig von der Citrix Virtual Apps and Desktops-Bereitstellung kann die Single Sign-On-Authentifizierung über die Verwaltungskonsole in StoreFront oder im Webinterface konfiguriert werden.

In der folgenden Tabelle finden Sie verschiedene Anwendungsfälle und die entsprechende Konfiguration:

Anwendungsfall Konfigurationsdetails Weitere Informationen
SSON ist in StoreFront oder im Webinterface konfiguriert Starten Sie Citrix Studio, navigieren Sie zu Store > Authentifizierungsmethoden verwalten und aktivieren Sie Domänen-Passthrough-Authentifizierung. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, ändert sie die Authentifizierungsmethode automatisch von Domänen-Passthrough-Authentifizierung in Benutzername und Kennwort, wenn verfügbar.
Wenn Workspace für Web erforderlich ist Starten Sie Store > Workspace für Websites > Authentifizierungsmethoden verwalten und aktivieren Sie Domänen-Passthrough-Authentifizierung. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, ändert sie die Authentifizierungsmethode automatisch von “Domänen-Passthrough-Authentifizierung” in “Benutzername und Kennwort”, wenn verfügbar.
Wenn StoreFront nicht konfiguriert ist Wenn das Webinterface auf einem Citrix Virtual Apps and Desktops-Server konfiguriert ist, starten Sie XenApp Services-Sites > Authentifizierungsmethoden und aktivieren Sie Domänen-Passthrough-Authentifizierung. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, ändert sie die Authentifizierungsmethode automatisch von Domänen-Passthrough-Authentifizierung in Explizit, wenn verfügbar.

Konfigurieren von Single Sign-On mit Citrix Gateway

Sie aktivieren Single Sign-On mit Citrix Gateway über die administrative Gruppenrichtlinienobjektvorlage.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.
  3. Wählen Sie die Richtlinie Single Sign-On für Citrix Gateway aus.
  4. Wählen Sie Aktiviert.
  5. Klicken Sie auf Anwenden und auf OK.
  6. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

Konfigurieren von XML-Vertrauensdiensten auf dem Delivery Controller

Führen Sie auf Citrix Virtual Apps and Desktops den folgenden PowerShell-Befehl als Administrator auf dem Delivery Controller aus:

asnp Citrix* Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Ändern der Internet Explorer-Einstellungen

  1. Fügen Sie den StoreFront-Server der Liste der vertrauenswürdigen Sites im Internet Explorer hinzu. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie Internet Explorer.
    2. Wählen Sie Extras > Internetoptionen > Sicherheit > Lokales Intranet und klicken Sie auf Sites. Das Fenster Lokales Intranet wird angezeigt.
    3. Wählen Sie Erweitert.
    4. Fügen Sie die URL des StoreFront- oder Webinterface-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
    5. Klicken Sie auf Anwenden und auf OK.
  2. Ändern Sie die Einstellungen unter Benutzerauthentifizierung im Internet Explorer. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie Internet Explorer.
    2. Klicken Sie auf der Registerkarte Internetoptionen auf Sicherheit und dann auf Vertrauenswürdige Sites.
    3. Klicken Sie auf Stufe anpassen. Das Fenster Sicherheitseinstellungen - Zone vertrauenswürdiger Sites wird angezeigt.
    4. Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

    Benutzerauthentifizierung

    1. Klicken Sie auf Anwenden und auf OK.

Konfigurieren von Single Sign-On über die Befehlszeilenschnittstelle

Installieren Sie die Citrix Workspace-App für Windows mit dem Switch /includeSSON und starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

Hinweis:

Wenn die Citrix Workspace-App für Windows ohne die Single Sign-On-Komponente installiert wird, wird das Upgrade auf die neueste Version von Citrix Workspace-App mit dem Switch /includeSSON nicht unterstützt.

Konfigurieren von Single Sign-On über die grafische Benutzeroberfläche

  1. Suchen Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe).
  2. Doppelklicken Sie auf CitrixWorkspaceApp.exe, um das Installationsprogramm zu starten.
  3. Wählen Sie im Installationsassistenten zum Aktivieren von Single Sign-On die Option Single Sign-On aktivieren.
  4. Klicken Sie auf Weiter und folgen Sie den Anweisungen, um die Installation abzuschließen.

Sie können sich jetzt ohne Benutzeranmeldeinformationen mit der Citrix Workspace-App bei einem vorhandenen Store anmelden (oder einen neuen Store konfigurieren).

Konfigurieren von Single Sign-On in Citrix Workspace für Web

Sie können Single Sign-On in Workspace für Web mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren.

  1. Öffnen Sie die administrative GPO-Vorlage von Workspace, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlage > Citrix Komponenten > Workspace für Windows > Benutzerauthentifizierung.
  3. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort aus und legen Sie sie auf Aktiviert fest.
  4. Klicken Sie auf Passthrough-Authentifizierung aktivieren. Mit dieser Option kann Workspace für Web Ihre Anmeldeinformationen für die Authentifizierung auf dem Remoteserver verwenden.
  5. Klicken Sie auf Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen. Mit dieser Option werden alle Authentifizierungseinschränkungen umgangen und das Passthrough von Anmeldeinformationen für alle Verbindungen ermöglicht.
  6. Klicken Sie auf Anwenden und auf OK.
  7. Starten Sie Workspace für Web neu, um die Änderungen zu übernehmen.

Stellen Sie sicher, dass Single Sign-On aktiviert ist, indem Sie den Task-Manager starten und prüfen, ob der Prozess ssonsvr.exe ausgeführt wird.

Konfigurieren von Single Sign-On mit Active Directory

Führen Sie die folgenden Schritte aus, um die Citrix Workspace-App für die Passthrough-Authentifizierung mit der Active Directory-Gruppenrichtlinie zu konfigurieren. In diesem Szenario können Sie die Single Sign-On-Authentifizierung ohne Verwendung von Enterprise-Software-Bereitstellungstools wie Microsoft System Center Configuration Manager erzielen.

  1. Laden Sie die Installationsdatei für die Citrix Workspace-App (CitrixWorkspaceApp.exe) auf eine geeignete Netzwerkfreigabe herunter. Die Maschinen, auf denen die Citrix Workspace-App installiert werden soll, müssen darauf Zugriff haben.

  2. Rufen Sie die Vorlage CheckAndDeployWorkspacePerMachineStartupScript.bat von der Seite Citrix Workspace app for Windows Download ab.

  3. Bearbeiten Sie den Inhalt, damit der Speicherort und die Version von CitrixWorkspaceApp.exe korrekt sind.

  4. Geben Sie in der Active Directory-Gruppenrichtlinienverwaltungskonsole als Startskript CheckAndDeployWorkspacePerMachineStartupScript.bat ein. Weitere Informationen zum Bereitstellen der Startskripts finden Sie im Abschnitt Active Directory.

  5. Navigieren Sie im Knoten Computerkonfiguration zu Administrative Vorlagen > Vorlagen hinzufügen/entfernen, um die Datei icaclient.adm hinzuzufügen.

  6. Nachdem Sie die Vorlage icaclient.adm hinzugefügt haben, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.

  7. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort aus und legen Sie sie auf Aktiviert fest.

  8. Wählen Sie Passthrough-Authentifizierung aktivieren und klicken Sie auf Übernehmen.

  9. Starten Sie die Maschine neu, damit die Änderungen wirksam werden.

Konfigurieren von Single Sign-On in StoreFront und im Webinterface

Konfigurieren in StoreFront

Öffnen Sie Citrix Studio auf dem StoreFront-Server und wählen Sie Authentifizierung > Authentifizierungsmethoden hinzufügen/entfernen. Wählen Sie dann Domänen-Passthrough.

alt_text

Konfigurationsprüfung

Mit der Konfigurationsprüfung können Sie einen Test ausführen, um sicherzustellen, dass Single Sign-On ordnungsgemäß konfiguriert ist. Der Test wird für verschiedene Prüfpunkte der Single Sign-On-Konfiguration ausgeführt und die Konfigurationsergebnisse werden angezeigt.

  1. Klicken Sie mit der rechten Maustaste im Infobereich auf das Symbol der Citrix Workspace-App und dann auf Erweiterte Einstellungen. Das Dialogfeld Erweiterte Einstellungen wird angezeigt.
  2. Klicken Sie auf Konfigurationsprüfung. Das Fenster der Citrix Konfigurationsprüfung wird angezeigt.

    Konfigurationsprüfung

  3. Wählen Sie SSONChecker im Bereich Auswählen aus.
  4. Klicken Sie auf Ausführen. Eine Fortschrittsanzeige mit dem Status des Tests wird angezeigt.

Das Fenster der Konfigurationsprüfung enthält die folgenden Spalten:

  1. Status: zeigt das Ergebnis eines Tests auf einem bestimmten Prüfpunkt an.

    • Ein grünes Häkchen bedeutet, dass der Prüfpunkt ordnungsgemäß konfiguriert ist.
    • Ein blaues I bedeutet, dass zu dem Prüfpunkt Informationen vorhanden sind.
    • Ein rotes X bedeutet, dass der Prüfpunkt nicht ordnungsgemäß konfiguriert ist.
  2. Anbieter: zeigt den Namen des Moduls an, auf dem der Test ausgeführt wird. In diesem Fall Single Sign-On.
  3. Suite: die Kategorie des Tests. Beispiel: Installation.
  4. Test: der Name des Tests, der ausgeführt wird.
  5. Details: zusätzlichen Informationen über den Test, ungeachtet des Erfolgs oder Fehlschlagens.

Der Benutzer erhält weitere Informationen zu den einzelnen Prüfpunkten und den entsprechenden Ergebnissen.

Die folgenden Tests werden ausgeführt:

  1. Installation mit Single Sign-On.
  2. Erfassen der Anmeldeinformationen.
  3. Registrierung von Netzwerkanbieter: Das Testergebnis für “Registrierung von Netzwerkanbieter” hat nur ein grünes Häkchen, wenn “Citrix Single Sign-On” als erster Netzwerkanbieter festgelegt ist. Wenn “Citrix Single Sign-On” an einer weiteren Stelle in der Liste steht, werden neben dem Testergebnis für “Registrierung von Netzwerkanbieter” ein blaues I und zusätzliche Informationen angezeigt.
  4. Single Sign-On-Prozess wird ausgeführt.
  5. Gruppenrichtlinie: Diese Richtlinie ist standardmäßig auf dem Client konfiguriert.
  6. Interneteinstellungen für Sicherheitszonen: Stellen Sie sicher, dass Sie die Store-/XenApp-Dienst-URL der Liste der Sicherheitszonen in den Internetoptionen hinzufügen. Wenn die Sicherheitszonen per Gruppenrichtlinie konfiguriert sind, erfordern Änderungen in der Richtlinie das erneute Öffnen des Fensters Erweiterte Einstellungen, damit die Änderungen wirksam werden und der richtige Teststatus angezeigt wird.
  7. Authentifizierungsmethode für das Webinterface oder StoreFront.

Hinweis:

  • Wenn Sie auf Workspace für Web zugreifen, gelten die Testergebnisse nicht.
  • Wenn die Citrix Workspace-App mit mehreren Stores konfiguriert ist, wird der Test für die Authentifizierungsmethode für alle konfigurierten Stores ausgeführt.
  • Sie können die Testergebnisse als Berichte speichern. Das Standardberichtformat ist TXT.

Ausblenden der Konfigurationsprüfung im Fenster “Erweiterte Einstellungen”

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie zu Citrix Komponenten > Workspace für Windows > Self-Service > DisableConfigChecker.
  3. Klicken Sie auf Aktiviert, um die Konfigurationsprüfungsoption im Fenster Erweiterte Einstellungen auszublenden.
  4. Klicken Sie auf Anwenden und auf OK.
  5. Führen Sie den Befehl gpupdate /force aus.

Einschränkung:

Die Konfigurationsprüfung enthält nicht den Prüfpunkt für die Konfiguration von “An XML-Dienst gesendeten Anfragen vertrauen” auf Citrix Virtual Apps and Desktops-Servern.

Beacontest

Mit der Citrix Workspace-App können Sie einen Beacontest mit dem Beacon Checker durchführen. Der Beacon-Checker ist Teil des Hilfsprogramms Konfigurationsprüfung. Über den Beacontest können Sie prüfen, ob der Beacon (ping.citrix.com) erreichbar ist. Mit dem Test können Sie eine der vielen möglichen Ursachen für eine langsame Ressourcenenumeration (Beacon nicht verfügbar) eliminieren. Um den Test auszuführen, klicken Sie mit der rechten Maustaste auf die Citrix Workspace-App im Infobereich und wählen Sie Erweiterte Einstellungen > Konfigurationsprüfung. Wählen Sie aus der Liste der Tests Beacon checker und klicken Sie auf Ausführen.

Der Test kann folgende Ergebnisse haben:

  • Erreichbar: Die Citrix Workspace-App kann den Beacon erfolgreich kontaktieren.
  • Nicht erreichbar: Die Citrix Workspace-App kann den Beacon nicht kontaktieren.
  • Teilweise erreichbar: Die Citrix Workspace-App kann den Beacon sporadisch kontaktieren.

Hinweis:

  • Die Testergebnisse gelten nicht für Workspace für Web.
  • Sie können die Testergebnisse als Bericht speichern. Das Standardberichtformat ist TXT.

Domänen-Passthrough-Authentifizierung mit Kerberos

Dieser Abschnitt gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops.

Die Citrix Workspace-App für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Bei Aktivierung handhabt Kerberos die Authentifizierung ohne Kennwörter für die Citrix Workspace-App und verhindert so trojanerartige Angriffe auf Benutzergeräte, die den Zugriff auf Kennwörter zum Ziel haben. Die Benutzer können sich mit einer beliebigen Authentifizierungsmethode anmelden und auf veröffentlichte Ressourcen zugreifen. Beispiel wäre eine biometrische Authentifizierung, etwa ein Fingerabdruckleser.

Sind Citrix Workspace-App, StoreFront sowie Citrix Virtual Apps and Desktops für die Smartcard-Authentifizierung konfiguriert, passiert bei der Anmeldung bei der Citrix Workspace-App mit einer Smartcard Folgendes:

  1. Die App erfasst die Smartcard-PIN beim Single Sign-On.
  2. Die App authentifiziert den Benutzer mit IWA (Kerberos) bei StoreFront. StoreFront stellt der Workspace-App dann Informationen zu den verfügbaren Citrix Virtual Apps and Desktops bereit.

    Hinweis

    Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wird die Kerberos-Authentifizierung nicht verwendet, führt die Citrix Workspace-App mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.

  3. Die HDX Engine (zuvor “ICA-Client”) übergibt die Smartcard-PIN an den VDA, um den Benutzer an der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops stellt dann die angeforderten Ressourcen bereit.

Stellen Sie zur Verwendung der Kerberos-Authentifizierung bei der Citrix Workspace-App sicher, dass die Kerberos-Konfiguration folgenden Punkten entspricht.

  • Kerberos funktioniert nur zwischen Citrix Workspace-App und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern muss außerdem für Delegierungszwecke vertraut werden, eine Option, die Sie über das Verwaltungstool Active Directory-Benutzer und -Computer konfigurieren können.
  • Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops aktiviert sein. Um hohe Sicherheit und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie in der Domäne alle IWA-Optionen außer Kerberos.
  • Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung oder immer vorgegebene Anmeldeinformationen verwenden oder die immer zur Eingabe des Kennworts auffordern.

Warnung

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Domänen-Passthrough-Authentifizierung mit Kerberos für die Verwendung mit Smartcards

Lesen Sie die Smartcard-Informationen im Abschnitt Sichern der Bereitstellung in der Citrix Virtual Apps and Desktops-Dokumentation, bevor Sie fortfahren.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass der Workspace mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, mit der die HDX Engine eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und Citrix Virtual Apps and Desktops herstellt. Citrix Virtual Apps and Desktops wählt automatisch ein Zertifikat von der Smartcard aus und ruft die PIN von der HDX Engine ab.

    Die verwandte Option ENABLE\_SSON ist standardmäßig aktiviert.

Wenn Sie Single Sign-On aufgrund einer Sicherheitsrichtlinie auf einem Gerät nicht aktivieren können, konfigurieren Sie die Citrix Workspace-App mit der administrativen Vorlage des Gruppenrichtlinienobjekts.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren.
  4. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

    Passthrough-Authentifizierung aktivieren

Konfigurieren von StoreFront:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie die Option “Domänen-Passthrough”. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Die Option “Smartcard” muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und unter Verwendung von Smartcards eine Verbindung mit StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Smartcard

Citrix Workspace-App für Windows unterstützt folgende Smartcardauthentifizierung.

  • Passthrough-Authentifizierung (Single Sign-On): Die Passthrough-Authentifizierung erfasst Smartcard-Anmeldeinformationen, wenn sich Benutzer bei der Citrix Workspace-App anmelden. Die Citrix Workspace-App verwendet die erfassten Anmeldeinformationen wie folgt:

    • Benutzer von in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen bei der Citrix Workspace-App anmelden, starten virtuelle Desktops und Anwendungen ohne erneute Authentifizierung.
    • Wird die Citrix Workspace-App auf Geräten ausgeführt, die nicht in Domänen eingebunden sind, müssen die Benutzer zum Starten eines virtuellen Desktops oder einer virtuellen Anwendung die Anmeldeinformationen erneut eingeben.

    StoreFront und die Citrix Workspace-App müssen beide für die Passthrough-Authentifizierung konfiguriert werden.

  • Bimodale Authentifizierung: Bei der bimodalen Authentifizierung können die Benutzer zwischen einer Smartcard und der Eingabe des Benutzernamens und des Kennworts wählen. Das Feature eignet sich für Fälle, wenn keine Smartcard verwendet werden kann. Beispielsweise wenn das Anmeldezertifikat abgelaufen ist. Für die bimodale Authentifizierung müssen dedizierte Stores pro Site eingerichtet werden, damit die Methode DisableCtrlAltDel zur Smartcardverwendung auf False festgelegt werden kann. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration.

    Mit der bimodalen Authentifizierung kann der StoreFront-Administrator die Authentifizierung über Benutzernamen/Kennwort und per Smartcard bei dem gleichen Store durch Auswahl in der StoreFront-Konsole zulassen. Weitere Informationen finden Sie in der StoreFront--Dokumentation.

  • Mehrere Zertifikate: Mehrere Zertifikate können für eine Smartcard verfügbar sein, wenn mehrere Smartcards verwendet werden. Wird eine Smartcard in einen Kartenleser einführt, gelten die Zertifikate für alle Anwendungen, die auf dem Gerät ausgeführt werden, einschließlich der Citrix Workspace-App.

  • Clientzertifikatauthentifizierung: Citrix Gateway und StoreFront müssen für die Clientzertifikatauthentifizierung konfiguriert werden.

    • Für den Zugriff auf StoreFront über Citrix Gateway ist ggf. nach dem Entfernen der Smartcard eine erneute Authentifizierung erforderlich.
    • Wenn die SSL-Konfiguration von Citrix Gateway auf die verbindliche Clientzertifikatauthentifizierung eingestellt ist, ist der Betrieb sicherer. Die verbindliche Clientzertifikatauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.
  • Double-Hop-Sitzungen: Wenn ein Double Hop benötigt wird, wird eine Verbindung zwischen Citrix Workspace-App und dem virtuellen Desktop des Benutzers hergestellt. Bereitstellungen, die Double Hop unterstützen, werden in der Citrix Virtual Apps and Desktops-Dokumentation beschrieben.

  • Smartcard-aktivierte Anwendungen: In smartcard-aktivierten Anwendungen, wie Microsoft Outlook und Microsoft Office, können Benutzer Dokumente, die in Citrix Virtual Apps and Desktops-Sitzungen verfügbar sind, digital signieren oder verschlüsseln.

Einschränkungen:

  • Zertifikate müssen auf einer Smartcard und nicht auf dem Benutzergerät gespeichert sein.
  • Die Zertifikatauswahl wird in der Citrix Workspace-App nicht gespeichert, es wird jedoch bei entsprechender Konfiguration die PIN gespeichert. Die PIN wird im nicht ausgelagerten Speicher für die Dauer der Benutzersitzung zwischengespeichert. Sie wird nicht auf der Festplatte gespeichert.
  • Die Citrix Workspace-App stellt die Verbindung mit einer Sitzung nicht wieder her, wenn eine Smartcard eingesteckt wird.
  • Wenn die Citrix Workspace-App für die Smartcardauthentifizierung konfiguriert ist, wird VPN-Single Sign-On oder Sitzungsvorabstart nicht unterstützt. Für die Verwendung von VPN mit der Smartcardauthentifizierung müssen die Benutzer das Citrix Gateway Plug-In installieren, sich über eine Webseite anmelden und sich mit den Smartcards und PINs bei jedem Schritt authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem Citrix Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Die Kommunikation des Updater-Tools der Citrix Workspace-App mit citrix.com und Merchandising Server ist nicht mit der Smartcardauthentifizierung auf Citrix Gateway kompatibel.

Warnung

Einige Konfigurationen erfordern Registrierungsänderungen. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Aktivieren von Single Sign-On für die Smartcardauthentifizierung:

Fügen Sie zum Konfigurieren der Citrix Workspace-App für Windows bei der Installation die folgende Befehlszeilenoption hinzu:

  • ENABLE\_SSON=Yes

    Single Sign-On ist ein anderer Begriff für Passthrough-Authentifizierung. Wenn diese Einstellung aktiviert ist, zeigt die Citrix Workspace-App keine zweite PIN-Eingabeaufforderung an.

  • Wenn die Single Sign-On-Komponente nicht installiert ist, legen Sie SSONCheckEnabled auf “false” fest. Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App nach der Single Sign-On-Komponente sucht, sodass die Citrix Workspace-App die Authentifizierung bei StoreFront durchführen kann.

    HKEY\_CURRENT\_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY\_LOCAL\_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Zum Aktivieren der Smartcardauthentifizierung bei StoreFront anstelle von Kerberos installieren Sie die Citrix Workspace-App mit den aufgeführten Befehlszeilenoptionen:

  • /includeSSON installiert die Single Sign-On-Authentifizierung (Passthrough-Authentifizierung). Aktiviert das Zwischenspeichern der Anmeldeinformationen und die Verwendung der domänenbasierten Passthrough-Authentifizierung.

  • Wenn sich der Benutzer beim Endpunkt mit einer anderen Authentifizierungsmethode für Citrix Workspace-App als per Smartcard anmeldet (z. B. mit Benutzername und Kennwort), verwenden Sie folgende Befehlszeile:

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Hierdurch wird verhindert, dass die Anmeldeinformationen bei der Anmeldung erfasst werden, und ermöglicht, dass die PIN durch die Citrix Workspace-App bei der Anmeldung an der Citrix Workspace-App gespeichert wird.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren. Je nach Konfiguration und Sicherheitseinstellungen müssen Sie möglicherweise die Option Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen aktivieren, damit die Passthrough-Authentifizierung funktioniert.

Konfigurieren von StoreFront:

  • Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Aktivieren der Benutzergeräte für die Smartcardverwendung:

  1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  2. Installieren Sie die kryptografische Middleware.
  3. Installieren und konfigurieren Sie die Citrix Workspace-App.

Ändern der Zertifikatauswahl:

Wenn mehrere Zertifikate gültig sind, fordert die Citrix Workspace-App den Benutzer standardmäßig auf, ein Zertifikat aus der Liste auszuwählen. Sie können die Citrix Workspace-App auch so konfigurieren, dass das Standardzertifikat (gemäß Smartcardanbieter) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet wird. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und kann eine alternative Anmeldemethode (falls vorhanden) verwenden.

Ein gültiges Zertifikat muss die drei folgenden Merkmale haben:

  • Die aktuelle Uhrzeit auf dem lokalen Computer liegt im Gültigkeitszeitraum des Zertifikats.
  • Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024, 2048 oder 4096 Bit haben.
  • Die Schlüsselverwendung muss digitale Signatur enthalten.
  • Der alternative Name des Subjekts muss den UPN enthalten.
  • Die erweiterte Schlüsselverwendung muss Smartcard-Anmeldung und Clientauthentifizierung oder alle Schlüsselverwendungen enthalten.
  • Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der Distinguished Names übereinstimmen, den der Server im TLS-Handshake sendet.

Ändern Sie mit einer der folgenden Methoden, wie Zertifikate ausgewählt werden:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

    Prompt ist der Standard. Wenn mehrere Zertifikate die Anforderungen erfüllen, fordert Citrix Workspace für “SmartCardDefault” oder “LatestExpiry” den Benutzer zur Auswahl eines Zertifikats auf.

  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager hinzu: CertificateSelectionMode={ Prompt | SmartCardDefault | LatestExpiry }.

In HKEY_CURRENT_USER definierte Werte haben Priorität über Werte in HKEY_LOCAL_MACHINE, um dem Benutzer die Auswahl des Zertifikats zu erleichtern.

Verwenden von CSP-PIN-Aufforderungen:

Die PIN-Aufforderungen, die den Benutzern angezeigt werden, werden standardmäßig von der Citrix Workspace-App für Windows und nicht von dem Smartcard-Kryptografiedienstanbieter bereitgestellt. Die Citrix Workspace-App fordert die Benutzer bei Bedarf zur Eingabe einer PIN auf und übergibt die PIN an den Smartcard-Kryptografiedienstanbieter. Wenn die Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. kein Zwischenspeichern der PIN pro Prozess oder pro Sitzung, können Sie in der Citrix Workspace-App konfigurieren, dass die PIN-Eingabe, einschließlich der Aufforderung für eine PIN, von den CSP-Komponenten verwaltet wird.

Ändern Sie mit einer der folgenden Methoden, wie die PIN-Eingabe gehandhabt wird:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_SMARTCARDPINENTRY=CSP an.
  • Fügen Sie dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager den folgenden Schlüsselwert hinzu: SmartCardPINEntry=CSP.

Smartcardauthentifizierung für das Webinterface

Wenn die Citrix Workspace-App für Windows mit einer SSON-Komponente installiert wurde, ist die Passthrough-Authentifizierung standardmäßig aktiviert, selbst wenn die Passthrough-Authentifizierung mit PIN für Smartcards nicht in der XenApp PNAgent-Site aktiviert ist. Die Passthrough-Einstellung für Authentifizierungsmethoden ist nicht mehr gültig. In der Abbildung unten wird dargestellt, wie Smartcard als Authentifizierungsmethode aktiviert wird, wenn die Citrix Workspace-App ordnungsgemäß mit SSON konfiguriert ist.

Verwenden Sie die Richtlinie für das Entfernen von Smartcards, um das Verhalten beim Entfernen einer Smartcard zu steuern, wenn sich ein Benutzer bei der Citrix Webinterface 5.4 PNAgent-Site authentifiziert.

Wenn diese Richtlinie aktiviert ist, wird der Benutzer von der Citrix Virtual Apps-Sitzung abgemeldet, wenn die Smartcard aus dem Clientgerät entfernt wird. Der Benutzer bleibt jedoch bei der Citrix Workspace-App angemeldet.

Damit diese Richtlinie wirksam wird, muss die Richtlinie für das Entfernen von Smartcards in der Webinterface XenApp Services-Site festgelegt werden. Die Einstellungen sind auf Webinterface 5.4 unter XenApp Services Site > Pass-through with smart card > Enable Roaming > Logoff the sessions when smart card removed.

Wenn die Richtlinie für das Entfernen der Smartcard deaktiviert ist, wird die Citrix Virtual Apps-Sitzung des Benutzers getrennt, wenn der Benutzer die Smartcard aus dem Clientgerät entfernt. Das Entfernen der Smartcard aus der Webinterface XenApp Services-Site hat keine Auswirkungen.

Hinweis:

Es gibt separate Richtlinien für 32-Bit- und 64-Bit-Clients. Der Richtlinienname für 32-Bit-Geräte ist Smartcard-Entfernungsrichtlinie (32-Bit-Maschine), und der Richtlinienname für 64-Bit-Geräte ist Smartcard-Entfernungsrichtlinie (64-Bit-Maschine).

alt_text

Änderungen bei der Unterstützung und Entfernung von Smartcards

Berücksichtigen Sie Folgendes, wenn Sie eine Verbindung mit einer XenApp 6.5 PNAgent-Site herstellen:

  • Die Smartcard-Anmeldung wird für PNAgent-Siteanmeldungen unterstützt.
  • Für die Richtlinie zum Entfernen von Smartcards in der PNAgent-Site gilt folgende Änderung:

Eine Citrix Virtual Apps-Sitzung wird abgemeldet, wenn die Smartcard entfernt wird. Wenn Smartcard als Authentifizierungsmethode für die PNAgent-Site konfiguriert ist, muss die entsprechende Richtlinie in der Citrix Workspace-App für Windows konfiguriert sein, damit das Abmelden der Citrix Virtual Apps-Sitzung erzwungen werden kann. Aktivieren Sie das Roaming für die Smartcardauthentifizierung in der XenApp PNAgent-Site und aktivieren Sie die Richtlinie für das Entfernen von Smartcards, durch die Citrix Virtual Apps von der Citrix Workspace-App-Sitzung abgemeldet wird. Der Benutzer bleibt an der Citrix Workspace-App-Sitzung angemeldet.

Einschränkung:

Wenn Sie sich an der PNAgent-Site per Smartcardauthentifizierung anmelden, wird der Benutzername als Angemeldet angezeigt.