Sichere Workspaces

Als Administrator können Sie festlegen, ob Abonnenten sich bei ihrem Workspace mit einer der folgenden Authentifizierungsmethoden authentifizieren müssen:

  • Active Directory (AD)
  • Active Directory plus Token
  • Azure Active Directory (AAD)
  • Citrix Gateway
  • Okta
  • SAML 2.0

Diese Authentifizierungsoptionen sind für jeden Citrix Cloud Service verfügbar.

Citrix Workspace unterstützt außerdem den Citrix Verbundauthentifizierungsdienst (FAS) für das Single Sign-On bei Citrix DaaS. Durch SSO mit FAS müssen sich Abonnenten nicht mehr bei DaaS authentifizieren, wenn sie sich mit einer Verbundauthentifizierungsmethode bei ihren Workspaces angemeldet haben. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

Wählen bzw. Ändern der Authentifizierungsmethode

Wenn Sie Ihre Identitätsanbieter konfiguriert haben, können Sie unter Workspacekonfiguration > Authentifizierung > Workspaceauthentifizierung wählen bzw. ändern, wie Abonnenten sich bei ihrem Workspace authentifizieren.

Einstellungen zur Workspaceauthentifizierung

Wichtig:

Das Ändern der Authentifizierungsmodi kann bis zu fünf Minuten dauern und führt während dieser Zeit zu einem Ausfall für Ihre Abonnenten. Citrix empfiehlt, Änderungen auf Zeiträume mit geringer Nutzung zu beschränken. Wenn Abonnenten bei Citrix Workspace über einen Browser oder die Citrix Workspace-App angemeldet sind, weisen Sie sie an, den Browser oder die App zu schließen. Nach etwa fünf Minuten können sie sich mit der neuen Authentifizierungsmethode neu anmelden.

Active Directory (AD)

Standardmäßig verwendet Citrix Cloud für die Authentifizierung von Abonnenten bei Workspaces Active Directory (AD).

Die Verwendung von AD erfordert mindestens zwei Citrix Cloud Connectors in der On-Premises-AD-Domäne. Weitere Informationen zur Installation des Cloud Connectors finden Sie unter Cloud Connector-Installation.

Active Directory (AD) plus Token

Für erhöhte Sicherheit unterstützt Citrix Workspace für die AD-Anmeldung ein zeitbasiertes Token als zweiten Authentifizierungsfaktor.

Bei jeder Anmeldung fordert Workspace die Abonnenten auf, ein Token aus einer Authentifizierungs-App auf ihrem registrierten Gerät einzugeben. Vor der Anmeldung müssen die Abonnenten ihr Gerät mit einer Authentifizierungs-App registrieren, die den Vorgaben des TOTP-Standards (zeitbasierte Einmalkennwörter) entspricht, z. B. Citrix SSO. Derzeit können Abonnenten jeweils nur ein Gerät registrieren.

Anforderungen für AD plus Token

Für die Authentifizierung per Active Directory plus Token gelten die folgenden Anforderungen:

  • Eine Verbindung zwischen Active Directory und Citrix Cloud mit mindestens zwei installierten Cloud Connectors in Ihrer On-Premises-Umgebung. Anforderungen und Anweisungen finden Sie unter Verbinden von Active Directory mit Citrix Cloud.
  • Auf der Seite Identitäts- und Zugriffsverwaltung muss die Option Active Directory + Token aktiviert sein. Informationen finden Sie unter Aktivieren der Authentifizierung über Active Directory plus Token.
  • Die Abonnenten haben Zugriff auf E-Mail, um Geräte zu registrieren.
  • Ein Gerät, auf das die Authentifizierungs-App heruntergeladen werden kann.

Erstmalige Registrierung

Geräte können mit dem unter Registrieren von Geräten für die zweistufige Authentifizierung beschriebenen Verfahren erneut registriert werden.

Beim ersten Anmelden bei Workspace folgen Abonnenten den Anweisungen zum Herunterladen der Citrix SSO-App. Die Citrix SSO-App generiert alle 30 Sekunden ein eindeutiges Einmalkennwort auf einem registrierten Gerät.

Wichtig:

Während der Geräteregistrierung erhalten Abonnenten eine E-Mail mit temporärem Verifizierungscode. Dieser temporäre Code wird nur zur Registrierung des Abonnentengeräts verwendet. Die Verwendung des Codes als Token für die Anmeldung mit zweistufiger Authentifizierung in Citrix Workspace wird nicht unterstützt. Nur Verifizierungscodes, die von einer Authentifikator-App auf einem registrierten Gerät generiert werden, sind unterstützte Token für die zweistufige Authentifizierung.

Erneute Registrierung von Geräten

Hat ein Abonnent sein registriertes Gerät nicht mehr oder muss er es erneut registrieren (z. B. nachdem Inhalte vom Gerät gelöscht wurden), gibt es in Workspace folgende Optionen:

  • Das Gerät kann mit dem unter Registrieren von Geräten für die zweistufige Authentifizierung beschriebenen Verfahren erneut registriert werden. Da Abonnenten jeweils nur ein Gerät registrieren können, wird die bestehende Geräteregistrierung durch das Registrieren eines neuen Geräts bzw. das erneute Registrieren eines bestehenden Geräts entfernt.

    Gerät entfernt-Meldung

  • Administratoren können Abonnenten anhand von deren Active Directory-Namen suchen und ihr Gerät zurücksetzen. Gehen Sie dazu zu Identitäts- und Zugriffsverwaltung > Wiederherstellung. Bei der nächsten Anmeldung bei Workspace muss der Abonnent die Schritte zur erstmaligen Registrierung ausführen.

    Registerkarte "Wiederherstellung"

Azure Active Directory

Um Abonnenten mit Azure Active Directory (AD) bei Workspaces zu authentifizieren, muss Folgendes vorliegen:

  • Azure AD mit einem Benutzer, der über globale Administratorrechte verfügt. Weitere Informationen über die Azure AD-Anwendungen und -Berechtigungen, die Citrix Cloud verwendet, finden Sie unter Azure Active Directory-Berechtigungen für Citrix Cloud.
  • Ein Citrix Cloud Connector, der in der On-Premises-Domäne von AD installiert ist. Die Maschine muss außerdem in die Domäne eingebunden sein, die mit Azure AD synchronisiert ist.
  • VDA Version 7.15.2000 LTSR CU VDA oder aktuelles Release 7.18 VDA oder höher.
  • Eine Verbindung zwischen Azure AD und Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud.

Wenn Sie Ihr Active Directory mit Azure AD synchronisieren, müssen die UPN- und SID-Einträge in der Synchronisierung enthalten sein. Wenn diese Einträge nicht synchronisiert werden, schlagen bestimmte Workflows in Citrix Workspace fehl.

Warnung:

  • Wenn Sie Azure AD verwenden, nehmen Sie nicht die Registrierungsänderung vor, die in CTX225819 beschrieben wird. Wenn Sie diese Änderung vornehmen, können Sitzungsstartfehler für Azure AD-Benutzer auftreten.
  • Das Hinzufügen einer Gruppe als Mitglied zu einer anderen Gruppe (Verschachtelung) wird für die Verbundauthentifizierung mit Azure AD nicht unterstützt. Wenn Sie einem Katalog eine verschachtelte Gruppe zuweisen, können Mitglieder dieser Gruppe nicht auf Apps in dem Katalog zugreifen.

Nach dem Aktivieren der Azure AD-Authentifizierung:

  • Verwalten von Benutzern und Benutzergruppen mit der Citrix Cloud-Bibliothek: Verwalten Sie Benutzer und Benutzergruppen nur über die Citrix Cloud-Bibliothek. (Geben Sie beim Erstellen oder Bearbeiten von Bereitstellungsgruppen keine Benutzer und Benutzergruppen an.)
  • Zusätzliche Sicherheit: Benutzer müssen sich aus Sicherheitsgründen beim Starten einer App oder eines Desktops erneut anmelden. Die Kennwortinformationen werden direkt vom Benutzergerät an den VDA gesendet, der die Sitzung hostet.
  • Anmeldeumgebung: Die Azure AD-Authentifizierung bietet eine Verbundanmeldung und kein Single Sign-On (SSO). Die Abonnenten melden sich über eine Azure-Anmeldeseite an und müssen sich möglicherweise erneut authentifizieren, wenn sie Citrix DaaS öffnen.

Für SSO aktivieren Sie den Citrix Verbundauthentifizierungsdienst in Citrix Cloud. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

Sie können die Anmeldeoberfläche für Azure AD anpassen. Informationen hierzu finden Sie in der Dokumentation von Microsoft. Alle Anmeldeanpassungen (das Logo), die in der Workspacekonfiguration vorgenommen werden, wirken sich nicht auf die Anmeldeumgebung in Azure AD aus.

Die folgende Abbildung verdeutlicht die Schrittfolge bei der Authentifizierung in Azure AD:

Abbildung der Authentifizierungsschrittfolge in Azure AD

Citrix Gateway

Citrix Workspace unterstützt die Verwendung eines on-premises Citrix Gateway als Identitätsanbieter, um die Abonnentenauthentifizierung bei Workspaces zu verwalten.

Anforderungen für Citrix Gateway

Für die Authentifizierung mit Citrix Gateway gelten folgende Anforderungen:

  • Eine Verbindung zwischen Ihrem Active Directory und Citrix Cloud. Anforderungen und Anweisungen finden Sie unter Verbinden von Active Directory mit Citrix Cloud.
  • Abonnenten müssen Active Directory-Benutzer sein, um sich bei ihrem Workspace anzumelden.
  • Bei einem Verbund müssen Ihre AD-Benutzer mit dem Verbundanbieter synchronisiert sein. Citrix Cloud benötigt die AD-Benutzerattribute, damit die Benutzer sich anmelden können.
  • Ein on-premises Citrix Gateway:
    • Citrix Gateway 12.1 54.13 Advanced Edition oder höher
    • Citrix Gateway 13.0 41.20 Advanced Edition oder höher
  • Authentifizierung mit Citrix Gateway auf der Seite Identitäts- und Zugriffsverwaltung aktiviert. Dadurch werden Client-ID, Geheimnis und Umleitungs-URL generiert, die für die Verbindung zwischen Citrix Cloud und On-Premises-Gateway erforderlich sind.
  • Auf dem Gateway wird mit der generierten Client-ID, dem Geheimnis und der Umleitungs-URL eine OAuth-IdP-Authentifizierungsrichtlinie konfiguriert.

Weitere Informationen finden Sie unter Verbinden eines on-premises Citrix Gateway als Identitätsanbieter mit Citrix Cloud.

Citrix Gateway für Abonnenten

Bei aktivierter Authentifizierung mit Citrix Gateway wird der folgende Workflow für Abonnenten ausgeführt:

  1. Der Abonnent navigiert im Browser zur Workspace-URL oder startet die Workspace-App.
  2. Der Abonnent wird zur Citrix Gateway-Anmeldeseite umgeleitet und mit der im Gateway konfigurierten Methode authentifiziert. Bei der Methode kann es sich um die mehrstufige Authentifizierung, Verbund, Richtlinien für bedingten Zugriff usw. handeln. Sie können die Gateway-Anmeldeseite an das Aussehen der Workspace-Anmeldeseite anpassen. Verwenden Sie hierfür die Schrittfolge unter CTX258331.
  3. Nach erfolgter Authentifizierung wird der Workspace des Abonnenten angezeigt.

Okta

Citrix Workspace unterstützt die Verwendung von Okta als Identitätsanbieter, um die Abonnentenauthentifizierung bei Workspaces zu verwalten.

Anforderungen für Okta

Für die Authentifizierung mit Okta gelten folgende Anforderungen:

  • Eine Verbindung zwischen Ihrem On-Premises-Active Directory und Ihrer Okta-Organisation.
  • Eine Okta-OIDC-Webanwendung, die für die Verwendung mit Citrix Cloud konfiguriert ist. Zum Verbinden von Citrix Cloud mit Ihrer Okta-Organisation müssen Sie die Client-ID und das Clientgeheimnis für diese Anwendung angeben.
  • Eine Verbindung zwischen Ihrer On-Premises-Active Directory-Domäne und Citrix Cloud, wobei auf der Seite Identitäts- und Zugriffsverwaltung die Authentifizierungsoption Okta aktiviert ist.

Weitere Informationen finden Sie unter Verbinden von Okta als Identitätsanbieter mit Citrix Cloud.

Abonnenten-Benutzererfahrung mit Okta

Bei aktivierter Authentifizierung mit Okta wird der folgende Workflow für Abonnenten ausgeführt:

  1. Der Abonnent navigiert im Browser zur Workspace-URL oder startet die Workspace-App.
  2. Der Abonnent wird zur Okta-Anmeldeseite umgeleitet und mit der in Okta konfigurierten Methode authentifiziert (z. B. mehrstufige Authentifizierung, Richtlinien für bedingten Zugriff usw.).
  3. Nach erfolgter Authentifizierung wird der Workspace des Abonnenten angezeigt.

Die Okta-Authentifizierung bietet eine Verbundanmeldung und kein Single Sign-On. Die Abonnenten melden sich bei ihrem Workspace über eine Okta-Anmeldeseite an und müssen sich möglicherweise erneut authentifizieren, wenn sie Citrix DaaS öffnen. Für SSO aktivieren Sie den Citrix Verbundauthentifizierungsdienst in Citrix Cloud. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).

SAML 2.0

Citrix Workspace unterstützt die Verwendung von SAML 2.0, um die Abonnentenauthentifizierung bei Workspaces zu verwalten. Sie können den SAML-Anbieter Ihrer Wahl verwenden, sofern er SAML 2.0 unterstützt.

Anforderungen für SAML 2.0

Für die SAML-Authentifizierung gelten die folgenden Anforderungen:

  • SAML-Anbieter, der SAML 2.0 unterstützt.
  • On-Premises-Active Directory-Domäne.
  • Zwei Cloud Connectors, an einem Ressourcenstandort bereitgestellt und mit Ihrer On-Premises-AD-Domäne verbunden.
  • AD-Integration mit Ihrem SAML-Anbieter.

Weitere Informationen zur Konfiguration der SAML-Authentifizierung für Workspaces finden Sie unter Verbinden von SAML als Identitätsanbieter mit Citrix Cloud.

Abonnenten-Benutzererfahrung mit SAML 2.0

  1. Der Abonnent navigiert im Browser zur Workspace-URL oder startet die Citrix Workspace-App.
  2. Der Abonnent wird auf die Anmeldeseite des SAML-Identitätsanbieters für seine Organisation weitergeleitet. Der Abonnent authentifiziert sich mit dem für den SAML-Identitätsanbieter konfigurierten Mechanismus, z. B. mehrstufiger Authentifizierung oder Richtlinien für bedingten Zugriff.
  3. Nach erfolgter Authentifizierung wird der Workspace des Abonnenten angezeigt.

Citrix Verbundauthentifizierungsdienst (FAS)

Citrix Workspace unterstützt den Citrix Verbundauthentifizierungsdienst (FAS) für das Single Sign-On bei Citrix DaaS. Ohne FAS werden solche Abonnenten mehrfach aufgefordert, ihre Anmeldeinformationen einzugeben, um auf DaaS zuzugreifen.

Weitere Informationen finden Sie unter Citrix Verbundauthentifizierungsdienst (FAS).

Oberfläche für die Abmeldung von Abonnenten

Verwenden Sie Einstellungen > Abmelden, um die Abmeldung von Workspace und Azure AD durchzuführen. Wenn Abonnenten den Browser schließen, statt die Abmeldeoption zu verwenden, bleiben sie möglicherweise bei Azure AD angemeldet.

Wichtig:

Wenn im Citrix Workspace ein Timeout aufgrund von Inaktivität im Browser auftritt, bleiben Abonnenten in Azure AD angemeldet. Dadurch wird verhindert, dass ein Citrix Workspace-Timeout andere Azure AD-Anwendungen zum Schließen zwingt.