Sichere Workspaces

Als Administrator können Sie festlegen, ob Abonnenten (Endbenutzer) sich bei ihrem Workspace mit einer der folgenden Authentifizierungsmethoden authentifizieren müssen:

  • Active Directory
  • Active Directory plus Token
  • Azure Active Directory
  • Citrix Gateway
  • Okta

Diese Authentifizierungsoptionen sind für jeden Citrix Cloud-Service verfügbar, einschließlich der Zugriffssteuerung.

Die Zugriffssteuerung ist ein Feature, das Endbenutzern den Zugriff auf SaaS-, Web- und virtuelle Apps per Single Sign-On (SSO) ermöglicht.

Ändern der Authentifizierungsmethoden

Unter Workspacekonfiguration > Authentifizierung > Workspaceauthentifizierung können Sie ändern, wie Abonnenten sich bei ihrem Workspace authentifizieren.

Einstellungen zur Workspaceauthentifizierung

Wichtig:

Das Ändern der Authentifizierungsmodi kann bis zu fünf Minuten dauern und führt während dieser Zeit zu einem Ausfall für Ihre Abonnenten. Citrix empfiehlt, Änderungen an den Authentifizierungsmethoden auf Zeiträume mit geringer Nutzung zu beschränken. Wenn Abonnenten bei Citrix Workspace über einen Browser oder die Citrix Workspace-App angemeldet sind, weisen Sie sie an, der Browser oder die App zu schließen. Nach etwa fünf Minuten können sie sich mit der neuen Authentifizierungsmethode neu anmelden.

Active Directory

Standardmäßig verwendet Citrix Cloud für die Authentifizierung von Abonnenten bei Workspaces Active Directory. Für die Verwendung von Active Directory müssen mindestens zwei Citrix Cloud Connectors in der On-Premises-Active Directory-Domäne installiert sein. Weitere Informationen zur Cloud Connector-Installation finden Sie unter Cloud Connector-Installation.

Active Directory plus Token

Für erhöhte Sicherheit unterstützt Citrix Workspace zusätzlich zur Active Directory-Anmeldung ein Token als zweiten Authentifizierungsfaktor.

Wenn Sie die Authentifizierung durch Active Directory plus Token verwenden, fordert Workspace alle Abonnenten bei jeder Anmeldung auf, ein Token über ihr registriertes Gerät einzugeben. Abonnenten können ihre Geräte registrieren, indem sie die Schritte unter Registrieren von Geräten für die zweistufige Authentifizierung ausführen. Derzeit können Abonnenten jeweils nur ein Gerät registrieren.

Für die Authentifizierung per Active Directory plus Token gelten die folgenden Anforderungen:

  • Eine Verbindung zwischen Active Directory und Citrix Cloud mit mindestens zwei installierten Cloud Connectors in Ihrer On-Premises-Umgebung. Informationen zu Anforderungen und Anweisungen finden Sie unter Verbinden von Active Directory mit Citrix Cloud.
  • In der Citrix Cloud-Konsole muss auf der Seite Identitäts- und Zugriffsverwaltung die Option Active Directory + Tokenaktiviert sein. Weitere Informationen finden Sie unter Aktivieren der Authentifizierung über Active Directory plus Token.
  • Die Abonnenten benötigen Zugriff auf E-Mail, um Geräte zu registrieren.
  • Beim ersten Anmelden bei Workspace folgen Abonnenten den Anweisungen zum Herunterladen der Citrix SSO-App. Die Citrix SSO-App generiert alle 30 Sekunden ein eindeutiges Einmalkennwort auf einem registrierten Gerät.

Erneutes Registrieren von Geräten

Hat ein Abonnent sein registriertes Gerät nicht mehr oder muss er es erneut registrieren (z. B. nachdem alle Inhalte vom Gerät gelöscht wurden), gibt es in Workspace folgende Optionen:

  • Das Gerät kann mit dem unter Registrieren von Geräten für die zweistufige Authentifizierung beschriebenen Verfahren erneut registriert werden. Da Abonnenten jeweils nur ein Gerät registrieren können, wird die bestehende Geräteregistrierung durch das Registrieren eines neuen Geräts bzw. das erneute Registrieren eines bestehenden Geräts entfernt. Gerät entfernt-Meldung

  • Administratoren können Abonnenten anhand von deren Active Directory-Namen suchen und ihr Gerät zurücksetzen. Gehen Sie dazu zu Identitäts- und Zugriffsverwaltung > Wiederherstellung. Registerkarte "Wiederherstellung" Bei der nächsten Anmeldung bei Workspace muss der Abonnent die Schritte zur erstmaligen Registrierung (siehe Registrieren von Geräten für die zweistufige Authentifizierung) ausführen.

Azure Active Directory

Um Abonnenten mit Azure Active Directory (AD) bei Workspaces zu authentifizieren, muss Folgendes vorliegen:

  • Azure AD mit einem Benutzer, der über globale Administratorrechte verfügt.
  • Ein Citrix Cloud Connector, der in der On-Premises-Domäne von Active Directory installiert ist. Die Maschine muss außerdem in die Domäne eingebunden sein, die mit Azure AD synchronisiert ist.
  • VDA Version 7.15.2000 LTSR CU VDA oder aktuelles Release 7.18 VDA oder höher.
  • Eine Verbindung zwischen Azure AD und Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud. Wenn Sie Ihr Active Directory mit Azure AD synchronisieren, müssen die UPN- und SID-Einträge in der Synchronisierung enthalten sein. Wenn diese Einträge nicht synchronisiert werden, schlagen bestimmte Workflows in Citrix Workspace fehl.

Warnung:

  • Wenn Sie Azure AD verwenden, nehmen Sie nicht die Registrierungsänderung vor, die in CTX225819 beschrieben wird. Wenn Sie diese Änderung vornehmen, können Sitzungsstartfehler für Azure AD-Benutzer auftreten.
  • Das Hinzufügen einer Gruppe als Mitglied zu einer anderen Gruppe (Verschachtelung) wird für die Verbundauthentifizierung mit Azure AD nicht unterstützt. Wenn Sie einem Katalog eine verschachtelte Gruppe zuweisen, können Mitglieder dieser Gruppe nicht auf Apps in dem Katalog zugreifen.

Nach dem Aktivieren der Azure AD-Authentifizierung:

  • Verwalten von Benutzern und Benutzergruppen mit der Citrix Cloud-Bibliothek: Verwalten Sie Benutzer und Benutzergruppen nur über die Citrix Cloud-Bibliothek. (Geben Sie beim Erstellen oder Bearbeiten von Bereitstellungsgruppen keine Benutzer und Benutzergruppen an.)
  • Zusätzliche Sicherheit: Benutzer müssen sich beim Starten einer App oder eines Desktops erneut anmelden. Dies ist beabsichtigt und erhöht die Sicherheit, da die Kennwortinformationen direkt vom Benutzergerät an den VDA gesendet werden, der die Sitzung hostet.
  • Anmeldeumgebung: Azure AD verwendet eine andere Anmeldeoberfläche. Bei Auswahl der Azure AD-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Benutzer sich über eine Azure-Anmeldeseite am Workspace angemeldet haben, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop im Citrix Virtual Apps and Desktops-Service öffnen. Für einen Single Sign-On ohne zweite Anmeldeaufforderung müssen Sie in Citrix Cloud den Citrix Verbundauthentifizierungsdienst (FAS) aktivieren. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

    Sie können die Anmeldeoberfläche für Azure AD anpassen. Weitere Informationen finden Sie unter Microsoft-Dokumentation. Alle Anmeldeanpassungen (das Logo), die in der Workspacekonfiguration vorgenommen werden, wirken sich nicht auf die Anmeldeumgebung in Azure AD aus.

Die folgende Abbildung verdeutlicht die Schrittfolge bei der Authentifizierung in Azure AD:

Abbildung der Authentifizierungsschrittfolge in Azure AD

Citrix Gateway

Citrix Workspace unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter, um die Abonnentenauthentifizierung bei Workspaces zu verwalten.

Für die Authentifizierung mit Citrix Gateway gelten folgende Anforderungen:

  • Eine Verbindung zwischen Ihrem Active Directory und Citrix Cloud. Informationen zu Anforderungen und Anweisungen finden Sie unter Verbinden von Active Directory mit Citrix Cloud.
  • Abonnenten müssen Active Directory-Benutzer sein, um sich bei ihrem Workspace anzumelden.
  • Bei einem Verbund müssen Ihre AD-Benutzer mit dem Verbundanbieter synchronisiert sein. Citrix Cloud benötigt die AD-Benutzerattribute, damit Benutzer sich erfolgreich anmelden können.
  • Ein on-premises Citrix Gateway:
    • Citrix Gateway 12.1 54.13 Advanced Edition oder höher
    • Citrix Gateway 13.0 41.20 Advanced Edition oder höher
  • Die Authentifizierung mit Citrix Gateway ist auf der Seite Identitäts- und Zugriffsverwaltung aktiviert. Dadurch werden Client-ID, Geheimnis und Umleitungs-URL generiert, die für die Verbindung zwischen Citrix Cloud und On-Premises-Gateway erforderlich sind.
  • Auf dem Gateway wird mit der generierten Client-ID, dem Geheimnis und der Umleitungs-URL eine OAuth-IDP-Authentifizierungsrichtlinie konfiguriert.

Weitere Informationen finden Sie unter Verbinden eines on-premises Citrix Gateway als Identitätsanbieter mit Citrix Cloud.

Abonnenten-Benutzererfahrung mit Citrix Gateway

Bei aktivierter Authentifizierung mit Citrix Gateway wird der folgende Workflow für Abonnenten ausgeführt:

  1. Der Abonnent navigiert im Browser zur Workspace-URL oder startet die Workspace-App.
  2. Der Abonnent wird zur Citrix Gateway-Anmeldeseite umgeleitet und mit der im Gateway konfigurierten Methode authentifiziert (z. B. RADIUS-MFA, Smartcard, Verbund, Richtlinien für bedingten Zugriff usw.). Sie können die Gateway-Anmeldeseite an das Aussehen der Workspace-Anmeldeseite anpassen. Verwenden Sie hierfür die Schrittfolge unter CTX258331.
  3. Nach erfolgter Authentifizierung wird der Workspace des Abonnenten angezeigt.

Okta

Citrix Workspace unterstützt die Verwendung von Okta als Identitätsanbieter, um die Abonnentenauthentifizierung bei Workspaces zu verwalten.

Für die Authentifizierung mit Okta gelten folgende Anforderungen:

  • Eine Verbindung zwischen Ihrem On-Premises-Active Directory und Ihrer Okta-Organisation.
  • Eine Okta-OIDC-Webanwendung, die für die Verwendung mit Citrix Cloud konfiguriert ist. Zum Verbinden von Citrix Cloud mit Ihrer Okta-Organisation müssen Sie die Client-ID und das Clientgeheimnis für diese Anwendung angeben.
  • Eine Verbindung zwischen Ihrer On-Premises-Active Directory-Domäne und Citrix Cloud, wobei auf der Seite Identitäts- und Zugriffsverwaltung die Authentifizierungsoption Okta aktiviert ist.

Weitere Informationen finden Sie unter Verbinden von Okta als Identitätsanbieter mit Citrix Cloud.

Nach dem Aktivieren der Okta-Authentifizierung ändert sich das Anmeldefenster für Abonnenten. Bei Auswahl der Okta-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Abonnenten sich über eine Okta-Anmeldeseite am Workspace anmelden, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop im Citrix Virtual Apps and Desktops-Service öffnen. Um dies zu vermeiden und einen Single Sign-On zu aktivieren, müssen Sie den Citrix Verbundauthentifizierungsdienst (FAS) mit Citrix Cloud verwenden. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

Abonnenten-Benutzererfahrung mit Okta

Bei aktivierter Authentifizierung mit Okta wird der folgende Workflow für Abonnenten ausgeführt:

  1. Der Abonnent navigiert im Browser zur Workspace-URL oder startet die Workspace-App.
  2. Der Abonnent wird zur Okta-Anmeldeseite umgeleitet und mit der in Okta konfigurierten Methode authentifiziert (z. B. mehrstufige Authentifizierung, Richtlinien für bedingten Zugriff usw.).
  3. Nach erfolgter Authentifizierung wird der Workspace des Abonnenten angezeigt.

Hinweis:

Bei Aktivieren der Okta-Authentifizierung wird eine Verbundanmeldung und kein Single Sign-On ermöglicht. Wenn Abonnenten sich über eine Okta-Anmeldeseite am Workspace anmelden, müssen sie sich möglicherweise erneut authentifizieren, wenn sie eine App oder einen Desktop im Citrix Virtual Apps and Desktops Service öffnen. Um dies zu vermeiden und einen Single Sign-On zu aktivieren, müssen Sie den Citrix Verbundauthentifizierungsdienst (FAS) mit Citrix Cloud verwenden. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

Citrix Verbundauthentifizierungsdienst (Technical Preview)

Citrix Workspace unterstützt den Citrix Verbundauthentifizierungsdienst (FAS) zum Single Sign-On für virtuelle Apps und Desktops. Abonnenten, die sich über Azure AD bei ihrem Workspace anmelden, geben ihre Anmeldeinformationen nur einmal ein, um auf Apps und Desktops zuzugreifen.

Hinweis:

Die Verwendung des Verbundauthentifizierungsdienstes mit Citrix Cloud ist derzeit als Technical Preview verfügbar. Citrix empfiehlt, Features des Technical Preview nur in Testumgebungen zu verwenden.

Für die Verwendung von FAS mit Workspace gelten folgende Anforderungen:

  • Ein FAS-Server, der gemäß der Beschreibung im Abschnitt Anforderungen der FAS-Produktdokumentation konfiguriert wurde.
  • Eine Verbindung zwischen Ihrem FAS-Server und Citrix Cloud. Diese Verbindung wird im FAS-Installationsprogramm unter Connect to Citrix Cloud erstellt. Wenn Ihr FAS-Server älter ist als Version 10, können Sie die aktuelle FAS-Software von Citrix herunterladen und den Server vor Ort aktualisieren, bevor Sie diese Verbindung herstellen. Beim Erstellen der Verbindung wählen Sie den Ressourcenstandort aus, an dem sich der FAS-Server befinden soll. Single Sign-On ist für Abonnenten nur an Ressourcenstandorten mit FAS-Server aktiv.
  • Eine Verbindung zwischen Ihrer On-Premises-Active Directory-Domäne und Citrix Cloud, wobei FAS in der Workspacekonfiguration aktiviert ist.

Weitere Informationen zum Verwenden von FAS mit Citrix Cloud finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

Oberfläche für die Abmeldung von Abonnenten

Wichtig:

Wenn im Citrix Workspace ein Timeout aufgrund von Inaktivität im Browser auftritt, bleiben Abonnenten in Azure AD angemeldet. Dadurch wird verhindert, dass ein Citrix Workspace-Timeout andere Azure AD-Anwendungen zum Schließen zwingt.

Verwenden Sie Einstellungen > Abmelden, um Citrix Workspace zu schließen. Damit wird die Abmeldung von Workspace und Azure AD abgeschlossen. Wenn Abonnenten den Browser schließen, statt die Abmeldeoption zu verwenden, bleiben sie möglicherweise bei Azure AD angemeldet.