Konfigurieren der Smartcardauthentifizierung

Citrix Workspace-App für Windows unterstützt folgende Smartcardauthentifizierung.

  • Passthrough-Authentifizierung (Single Sign-On): Die Passthrough-Authentifizierung erfasst Smartcard-Anmeldeinformationen, wenn sich Benutzer bei der Citrix Workspace-App anmelden. Die Citrix Workspace-App verwendet die erfassten Anmeldeinformationen wie folgt:

    • Benutzer von in Domänen eingebundenen Geräten, die sich mit Smartcard-Anmeldeinformationen bei der Citrix Workspace-App anmelden, starten virtuelle Desktops und Anwendungen ohne erneute Authentifizierung.
    • Wird die Citrix Workspace-App auf Geräten ausgeführt, die nicht in Domänen eingebunden sind, müssen die Benutzer zum Starten eines virtuellen Desktops oder einer virtuellen Anwendung die Anmeldeinformationen erneut eingeben.

StoreFront und die Citrix Workspace-App müssen beide für die Passthrough-Authentifizierung konfiguriert werden.

  • Bimodale Authentifizierung: Bei der bimodalen Authentifizierung können die Benutzer zwischen einer Smartcard und der Eingabe des Benutzernamens und des Kennworts wählen. Das Feature eignet für Fälle, wenn keine Smartcard verwendet werden kann, z. B. wenn das Anmeldezertifikat abgelaufen ist. Für die bimodale Authentifizierung müssen dedizierte Stores pro Site eingerichtet werden, damit die Methode DisableCtrlAltDel zur Smartcardverwendung auf False festgelegt werden kann. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration. Umfasst die Lösung Citrix Gateway, muss auch dies konfiguriert werden.

    Mit der bimodalen Authentifizierung kann der StoreFront-Administrator die Authentifizierung über Benutzernamen/Kennwort und per Smartcard bei dem gleichen Store durch Auswahl in der StoreFront-Konsole zulassen. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

  • Mehrere Zertifikate: Mehrere Zertifikate können für eine Smartcard verfügbar sein, wenn mehrere Smartcards verwendet werden. Wird eine Smartcard in einen Kartenleser einführt, gelten die Zertifikate für alle Anwendungen, die auf dem Gerät ausgeführt werden, einschließlich der Citrix Workspace-App.

  • Clientzertifikatauthentifizierung: Citrix Gateway und StoreFront müssen für die Clientzertifikatauthentifizierung konfiguriert werden.

    • Für den Zugriff auf StoreFront über Citrix Gateway ist ggf. nach dem Entfernen der Smartcard eine erneute Authentifizierung erforderlich.
    • Wenn die SSL-Konfiguration von Citrix Gateway auf die verbindliche Clientzertifikatauthentifizierung eingestellt ist, ist der Betrieb sicherer. Die verbindliche Clientzertifikatauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.
  • Double-Hop-Sitzungen: Wenn ein Double Hop benötigt wird, wird eine Verbindung zwischen Citrix Workspace-App und dem virtuellen Desktop des Benutzers hergestellt. Bereitstellungen, die Double Hop unterstützen, werden in der Citrix Virtual Apps and Desktops-Dokumentation beschrieben.

  • Smartcard-aktivierte Anwendungen: In smartcard-aktivierten Anwendungen, wie Microsoft Outlook und Microsoft Office, können Benutzer Dokumente, die in Citrix Virtual Apps and Desktops-Sitzungen verfügbar sind, digital signieren oder verschlüsseln.

Einschränkungen

  • Zertifikate müssen auf einer Smartcard und nicht auf dem Benutzergerät gespeichert sein.
  • Die Zertifikatauswahl wird in der Citrix Workspace-App nicht gespeichert, es wird jedoch bei entsprechender Konfiguration die PIN gespeichert. Die PIN wird im nicht ausgelagerten Speicher für die Dauer der Benutzersitzung zwischengespeichert. Sie wird nicht auf der Festplatte gespeichert.
  • Die Citrix Workspace-App stellt die Verbindung mit einer Sitzung nicht wieder her, wenn eine Smartcard eingesteckt wird.
  • Wenn die Citrix Workspace-App für die Smartcardauthentifizierung konfiguriert ist, wird VPN-Single Sign-On oder Sitzungsvorabstart nicht unterstützt. Für die Verwendung von VPN mit der Smartcardauthentifizierung müssen die Benutzer das Citrix Gateway Plug-In installieren, sich über eine Webseite anmelden und sich mit den Smartcards und PINs bei jedem Schritt authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem Citrix Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Die Kommunikation des Updater-Tools der Citrix Workspace-App mit citrix.com und Merchandising Server ist nicht mit der Smartcardauthentifizierung auf Citrix Gateway kompatibel.

Warnung

Einige Konfigurationen erfordern Registrierungsänderungen. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Aktivieren von Single Sign-On für die Smartcardauthentifizierung

Fügen Sie zum Konfigurieren der Citrix Workspace-App für Windows bei der Installation die folgende Befehlszeilenoption hinzu:

  • ENABLE\_SSON=Yes

    Single Sign-On ist ein anderer Begriff für Passthrough-Authentifizierung. Wenn diese Einstellung aktiviert ist, zeigt die Citrix Workspace-App keine zweite PIN-Eingabeaufforderung an.

  • Wenn die Single Sign-On-Komponente nicht installiert ist, legen Sie SSONCheckEnabled auf “false” fest. Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App nach der Single Sign-On-Komponente sucht, sodass die Citrix Workspace-App die Authentifizierung bei StoreFront durchführen kann.

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

Zum Aktivieren der Smartcardauthentifizierung bei StoreFront anstelle von Kerberos installieren Sie die Citrix Workspace-App mit den unten aufgeführten Befehlszeilenoptionen.

  • /includeSSON Installiert die Single Sign-On-Authentifizierung (Passthrough-Authentifizierung). Aktiviert das Zwischenspeichern der Anmeldeinformationen und die Verwendung der domänenbasierten Passthrough-Authentifizierung.

  • Meldet sich der Benutzer beim Endpunkt mit einer anderen Authentifizierungsmethode an (z. B. über den Benutzernamen und das Kennwort), verwenden Sie folgende Befehlszeile:

/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Hierdurch wird verhindert, dass die Anmeldeinformationen bei der Anmeldung erfasst werden, und ermöglicht, dass die PIN durch die Citrix Workspace-App bei der Anmeldung bei der Citrix Workspace-App gespeichert wird.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren. Je nach Konfiguration und Sicherheitseinstellungen müssen Sie möglicherweise die Option Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen aktivieren, damit die Passthrough-Authentifizierung funktioniert.

Konfigurieren von StoreFront:

  • Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Aktivieren der Benutzergeräte für die Smartcardverwendung

  1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  2. Installieren Sie die kryptografische Middleware.
  3. Installieren und konfigurieren Sie die Citrix Workspace-App.

Ändern der Zertifikatauswahl

Wenn mehrere Zertifikate gültig sind, fordert die Citrix Workspace-App den Benutzer standardmäßig auf, ein Zertifikat aus der Liste auszuwählen. Sie können die Citrix Workspace-App auch so konfigurieren, dass das Standardzertifikat (gemäß Smartcardanbieter) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet wird. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und kann eine alternative Anmeldemethode (falls vorhanden) verwenden.

Ein gültiges Zertifikat muss die drei folgenden Merkmale haben:

  • Die aktuelle Uhrzeit auf dem lokalen Computer liegt im Gültigkeitszeitraum des Zertifikats.
  • Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024, 2048 oder 4096 Bit haben.
  • Die Schlüsselverwendung muss digitale Signatur enthalten.
  • Der alternative Name des Subjekts muss den UPN enthalten.
  • Die erweiterte Schlüsselverwendung muss Smartcard-Anmeldung und Clientauthentifizierung oder alle Schlüsselverwendungen enthalten.
  • Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der Distinguished Names übereinstimmen, den der Server im TLS-Handshake sendet.

Ändern Sie mit einer der folgenden Methoden, wie Zertifikate ausgewählt werden:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

    Prompt ist der Standard. Wenn mehrere Zertifikate die Anforderungen erfüllen, fordert Citrix Workspace für “SmartCardDefault” oder “LatestExpiry” den Benutzer zur Auswahl eines Zertifikats auf.

  • Fügen Sie den folgenden Schlüsselwert dem Registrierungsschlüssel HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager hinzu: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

In HKEY_CURRENT_USER definierte Werte haben Priorität über Werte in HKEY_LOCAL_MACHINE, um dem Benutzer die Auswahl des Zertifikats zu erleichtern.

Verwenden von CSP-PIN-Aufforderungen

Die PIN-Aufforderungen, die den Benutzern angezeigt werden, werden standardmäßig von der Citrix Workspace-App für Windows und nicht von dem Smartcard-Kryptografiedienstanbieter bereitgestellt. Die Citrix Workspace-App fordert die Benutzer bei Bedarf zur Eingabe einer PIN auf und übergibt die PIN an den Smartcard-Kryptografiedienstanbieter. Wenn die Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. kein Zwischenspeichern der PIN pro Prozess oder pro Sitzung, können Sie in der Citrix Workspace-App konfigurieren, dass die PIN-Eingabe, einschließlich der Aufforderung für eine PIN, von den CSP-Komponenten verwaltet wird.

Ändern Sie mit einer der folgenden Methoden, wie die PIN-Eingabe gehandhabt wird:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM\_SMARTCARDPINENTRY=CSP an.
  • Fügen Sie dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager den folgenden Schlüsselwert hinzu: SmartCardPINEntry=CSP.