Technischer Überblick: Optionen für die nahtlose Authentifizierung in der Citrix Workspace-App
Übersicht
Die Citrix Workspace-App (CWA) bietet Benutzern eine personalisierte Oberfläche, die den sofortigen Zugriff auf virtuelle Anwendungen, Desktops, SaaS und Web-Apps ermöglicht. Benutzer erhalten nahtlosen und sicheren Zugriff auf alle Apps, die sie benötigen, um produktiv zu bleiben, einschließlich Funktionen wie eingebettetem Surfen und Single Sign-On.
CWA bietet mehrere Authentifizierungsoptionen, die Administratoren entsprechend dem in Ihrer Organisation aktivierten Identitätsanbieter in on-premises und Cloud-Umgebungen aktivieren können.
Anmeldeaufforderung erzwingen
Force Login Prompt ist eine Funktion, mit der Administratoren CWA so konfigurieren können, dass Benutzer bei jedem Zugriff auf die Anwendung zur Eingabe ihrer Anmeldeinformationen aufgefordert werden, auch wenn sie sich zuvor angemeldet haben und eine gültige Sitzung haben. Der IDP speichert Benutzeranmeldeinformationen über persistente Cookies, um Single Sign-On (SSO) zu ermöglichen und ein nahtloses Benutzererlebnis zu bieten. Es kann jedoch Szenarien geben, in denen Administratoren Benutzer zwingen möchten, bei jedem Zugriff auf Citrix-Ressourcen ihre Anmeldeinformationen einzugeben, z. B. wenn der Benutzer auf vertrauliche Daten oder Anwendungen zugreift oder wenn Sicherheitsbedenken bestehen.
Die Einstellung „ Anmeldeaufforderung erzwingen “ ist standardmäßig aktiviert. Mit dieser Einstellung können Administratoren die Citrix Workspace-Anmeldung erzwingen, um das IdP-Timeout zu überschreiben. Wenn die Einstellung deaktiviert ist, wird der IdP-Timeout eingehalten. Es ist wichtig zu beachten, dass die Aktivierung dieser Funktion die Benutzerproduktivität beeinträchtigen und die Häufigkeit von Anmeldeproblemen erhöhen kann. Verwenden Sie diese Einstellung daher mit Bedacht und nur in Szenarien, die aus Sicherheits- oder Compliance-Gründen erforderlich sind.
Die Einstellung „ Anmeldeaufforderung erzwingen “ muss deaktiviert werden, wenn:
- Administratoren möchten Benutzern, die über das Internet auf die CWA zugreifen (einschließlich HTML5-Clients), eine längerfristige Anmeldung ermöglichen. Wenn Administratoren beispielsweise für Azure Active Directory (AAD) ein Standard-Timeout von 14 Tagen festgelegt haben, erfolgt keine erneute Anmeldung im Browser.
- CWA würde sich automatisch für AAD-verbundene Client-Geräte anmelden. Andernfalls erzwingt CWA eine Aufforderung zur Anmeldung, obwohl SSO aktiviert ist.
| Typ | CWA OS | IdP | Support |
|---|---|---|---|
| Anmeldeaufforderung erzwingen | Alle CWA-Versionen | Alle | Ja (standardmäßig aktiviert) |
Dauerhafte Anmeldung bei der Citrix Workspace-App
Persistente Anmeldung ist eine Funktion von CWA, mit der Benutzer angemeldet bleiben können, auch wenn sie die Verbindung zu ihrem virtuellen Desktop oder ihrer Anwendungssitzung geschlossen haben. Das bedeutet, dass Benutzer nicht bei jedem Zugriff auf Citrix ihre Anmeldeinformationen eingeben müssen, was eine optimierte und bequemere Erfahrung bietet.
Persistent Login erstellt ein langlebiges Authentifizierungstoken, das zwischen 2 und 365 Tagen gesetzt und auf dem Gerät des Benutzers gespeichert werden kann. Dieses Token ist verschlüsselt und kann so konfiguriert werden, dass es nach einem festgelegten Zeitraum abläuft oder wenn sich der Benutzer von Citrix abmeldet. Wenn der Benutzer zu CWA zurückkehrt, sucht die App nach dem Token und meldet den Benutzer, falls es gefunden wird, automatisch wieder an.
Persistent Login ist mit verschiedenen Authentifizierungsmethoden kompatibel, darunter Active Directory, LDAP und SAML. Diese Funktion trägt zur Steigerung der Benutzerproduktivität bei, da Benutzer ihre Anmeldeinformationen nicht wiederholt eingeben müssen. Gleichzeitig wird die Sicherheit der Umgebung gewährleistet, indem eine Authentifizierung erforderlich ist, wenn das Token abläuft oder sich der Benutzer abmeldet. Für jeden neu konfigurierten Store ist es standardmäßig mit einem Wert von 30 Tagen aktiviert.
Hinweis
Zum jetzigen Zeitpunkt ist die Authentifizierungs-Timeout-Option für CWA-Client-Apps verfügbar. Der Browserzugriff wird nicht unterstützt. Es wird empfohlen, den Inaktivitätstimer zu verwenden, wenn eine häufige Authentifizierung ein Anwendungsfall für Ihre Umgebung ist.
Verhalten in Cloud-Stores
| Typ | CWA OS | IdP | Support |
|---|---|---|---|
| Langlebiges Token für die Workspace-App (vor dem Start + Cloud Store) | Windows, Mac, Linux, Android, iOS | Alle | Ja |
| ChromeOS, Browser + natives CWA, Browser + HTML5 | Alle | Nein |
Hinweis
Die Funktion „ Persistente Anmeldung “ wird derzeit für on-premises Stores nicht unterstützt.
Persistente Anmeldung zu VDI-Sitzungen
Die Option Dauerhafte Anmeldung bei VDI-Sitzungen ermöglicht es Benutzern, Single Sign-On (SSO) für VDI-Sitzungen mit einem langlebigen Kennwort zu verwenden, anstatt bei jedem Zugriff auf ihre VDI-Umgebung ihre Anmeldeinformationen eingeben zu müssen. Dadurch müssen Benutzer ihre Anmeldeinformationen nicht mehrmals eingeben und der Authentifizierungsprozess wird vereinfacht. Dieser Wert entspricht der dauerhaften Anmeldung bei CWA zwischen 2 und 365 Tagen.
Wichtige Faktoren, die es zu beachten gilt:
- Die Anmeldung bei VDI mit SSO kann nur erfolgen, wenn der IdP AD, AD+TOTP oder NetScaler Gateway ist.
- In allen anderen Fällen (AAD, Okta, Google, SAML usw.) ist der Citrix Federated Authentication Service (FAS) erforderlich.
| Typ | CWA OS | IdP | VDA verbunden mit | Support |
|---|---|---|---|---|
| Langlebige Kennwörter für SSO-VDI-Sitzungen | Windows, Mac, Android, iOS, Linux | AD, AD+OTP, Gateway, Rest erfordern FAS | AD/Hybrid AD | Ja |
Inaktivitätstimer für die Citrix Workspace-App
Mit der Option Inaktivitätstimer für die Citrix Workspace-App — Authentifizierungs-Timeouts können Administratoren eine Authentifizierungsprüfung erzwingen, falls Endbenutzer in der Anwendung inaktiv sind. Diese Option wird verwendet, um den sicheren Zugriff auf Ressourcen durch legitime Benutzer zu gewährleisten, die ihre Geräte oder gemeinsam genutzten Geräte verwenden. Das Inaktivitäts-Timeout kann auf weniger als 24 Stunden eingestellt werden.
Wichtigstes Verhalten, das beachtet werden muss:
- Inaktivität hat Vorrang vor der persistenten Anmeldeerfahrung.
- Auf Desktops werden Benutzer nach dem Inaktivitäts-Timeout abgemeldet.
- Auf Mobilgeräten können Benutzer die biometrische Authentifizierung nach Ablauf des Inaktivitäts-Timeouts verwenden, sich aber nicht abmelden.
| Typ | CWA OS wird unterstützt | On-Premises/Cloud | Support |
|---|---|---|---|
| Inactivity Timer | Windows, Mac, Linux, Android, iOS, ChromeOS, Browser + natives CWA, Browser + HTML5 | Cloud | Ja |
| Windows, Mac, Linux, Android, iOS, ChromeOS, Browser + natives CWA, Browser + HTML5 | On-Premises | Ja |
Domain-Passthrough-Unterstützung auf Citrix Workspace
Die Domain-Passthrough-Unterstützung für Citrix Workspace ermöglicht Benutzern den Zugriff auf virtuelle Desktops und Anwendungen, ohne sich explizit bei der Citrix-Umgebung authentifizieren zu müssen. Stattdessen können Benutzer ihre Windows-Domänenanmeldeinformationen verwenden, um sich zu authentifizieren und automatisch Zugriff auf ihre Anwendungen und Desktops zu erhalten.
Wenn die Domain-Passthrough-Unterstützung aktiviert ist, können Benutzer, die mit ihren Domänenanmeldeinformationen an ihrem Windows-Desktop oder Laptop angemeldet sind, auf ihr Citrix Workspace-Konto und alle zugehörigen virtuellen Desktops oder Anwendungen zugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen. Dadurch müssen sich Benutzer nicht mehr mehrere Anmeldeinformationen merken und der Authentifizierungsprozess wird vereinfacht.
Zu beachtende Voraussetzungen und Bedingungen:
- Citrix Workspace muss mit einem IdP konfiguriert sein, der die integrierte Windows-Authentifizierung unterstützt: Zum Beispiel NetScaler Gateway, AAD (mit AAD Seamless SSO), Okta, SAML usw.
- Diese Option funktioniert am besten auf Windows-Clients.
- Für Windows können Clients mit AD oder Hybrid-AAD verbunden werden.
- Linux-Thin-Clients können auch mit einem Kerberos-Profil konfiguriert werden.
- iOS/Mac hat auch ein Konzept des Kerberos-Profils. Darüber hinaus können sie auch mithilfe von Intune für AAD registriert werden, wodurch SSO für AAD ermöglicht wird.
- Für SSO zu VDI auf Nicht-Windows-Clients. FAS ist erforderlich.
- Die vollständige Anmeldung bei CWA für Windows mit SSO für VDI funktioniert, wenn sich der Benutzer mit Benutzername und Kennwort bei Windows OS anmeldet.
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO an Workspace | SSO an VDA |
|---|---|---|---|---|
| AD | On-Premises Gateway | AD | Ja | SSONsvr / FAS |
| AD | Adaptive Authentifizierung | AD | Ja | SSONsvr / FAS |
| AD | Gateway im Verbund mit einem anderen IdP (AAD/Okta) | AD | Ja | SSONsvr / FAS |
| AD | Okta | AD | Ja | SSONsvr / FAS |
| AD/Hybrid | AAD (AD mit AAD Connect) | AD | Ja | SSONsvr / FAS |
| AD | Beliebiger SAML-basierter IdP | AD | Ja | SSONSvr / FAS |
| AD | AD | AD | Nein | – |
| AD | AD + OTP | AD | Nein | – |
| AD | AAD | AAD | Nein | – |
| AAD | AAD ohne On-Premises-AD | AD | Ja | FAS |
| AAD | AAD | AAD | Ja | Der Benutzer muss Anmeldeinformationen eingeben |
| Gehört keiner Domäne an | IdP, der kennwortlose Authentifizierung unterstützt | AD | Nein | FAS |
Hinweise
Clients müssen für AD erreichbar sein, damit Kerberos funktioniert.
SSONSvr funktioniert nur mit einem Benutzernamen und einem Kennwort auf dem Client. FAS ist erforderlich, wenn ein Benutzer Windows Hello für die Anmeldung verwendet und eine kennwortlose Anmeldung erwartet.
Die Authentifizierung in der Cloud erfolgt möglicherweise nicht sofort, wenn LLT aktiviert ist oder wenn die Akzeptanzrichtlinie für Endbenutzer konfiguriert ist.
Es wird empfohlen, FAS zu konfigurieren, da dies für Nicht-Windows-Plattformen gilt.
Domain-Passthrough-Unterstützung für StoreFront
Die Domain-Passthrough-Unterstützung für Citrix StoreFront ermöglicht Benutzern den Zugriff auf virtuelle Desktops und Anwendungen, ohne sich explizit bei der Citrix-Umgebung authentifizieren zu müssen. Stattdessen können Benutzer ihre Windows-Domänenanmeldeinformationen verwenden, um sich zu authentifizieren und automatisch Zugriff auf ihre Anwendungen und Desktops zu erhalten.
Wenn die Domain-Passthrough-Unterstützung aktiviert ist, können Benutzer, die mit ihren Domänenanmeldeinformationen an ihrem Windows-Desktop oder Laptop angemeldet sind, auf ihre Citrix-Anwendungen und -Desktops zugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen. Dies sorgt für ein reibungsloseres Benutzererlebnis und trägt dazu bei, die Belastung der IT-Supportteams zu verringern, die sich sonst um Kennwort-Resets und Probleme mit der Benutzerauthentifizierung kümmern müssten.
Zu beachtende Voraussetzungen und Bedingungen:
- In Windows konfiguriert.
- Eingabe von Anmeldeinformationen: Softwarepartner für das Gesundheitswesen geben CWA einen Benutzernamen und ein Kennwort, um Benutzer im Hintergrund zu authentifizieren.
- Dies wird auch unter Linux angewendet und verwendet ein ähnliches SDK zum Einfügen von Anmeldeinformationen. SSO to VDI funktioniert genauso wie Punkt 7 für on-premises Stores.
| Endpunkt verbunden mit | StoreFront/Gateway | VDA verbunden mit | SSO an StoreFront | SSO an VDA | | ——————— | ——————- | —- | ——– |———————| | AD | StoreFront | AD | Ja | SSONsvr | | AD/Hybrid/Windows Hello for Business | StoreFront | AD | Ja | SSONsvr/FAS * | | AD | Gateway — Erweiterte Authentifizierung | AD | Ja | SSONSvr | | AD | Gateway - Standardauthentifizierung | Ja | SSONSvr |
Hinweis
Benötigt eine Registrierung, um SSO zu aktivieren
Unterstützung für Smartcard/abgeleitete Anmeldeinformationen
Smartcard-Authentifizierung und Authentifizierung mit abgeleiteten Anmeldeinformationen sind beide Methoden der Authentifizierung bei CWA und der Anmeldung bei der VDI-Sitzung, die diese Option unterstützt.
Bei der Smartcard-Authentifizierung wird eine physische Smartcard verwendet, die die digitalen Identitätsinformationen des Benutzers enthält, z. B. ein öffentliches Schlüsselzertifikat oder einen privaten Schlüssel. Wenn der Benutzer die Smartcard in ein Kartenlesegerät einführt, liest das Kartenlesegerät die digitalen Identitätsinformationen und sendet sie zur Authentifizierung an CWA. Diese Methode gewährleistet eine höhere Sicherheit als die herkömmliche Authentifizierung mit Benutzernamen und Kennwort, da die Smartcard nicht einfach dupliziert oder gestohlen werden kann.
Andererseits verwendet die abgeleitete Authentifizierung mit Anmeldeinformationen ein Mobilgerät, um einen Benutzer zu authentifizieren. Wenn sich ein Benutzer auf seinem Mobilgerät bei CWA anmeldet, generiert das Gerät auf der Grundlage seiner digitalen Identitätsinformationen einen abgeleiteten Anmeldeinformationen. Die abgeleiteten Anmeldeinformationen werden dann zur Authentifizierung an CWA gesendet und nicht an die physische Smartcard des Benutzers. Diese Methode bietet Benutzern einen höheren Komfort, da sie sich mit ihren Mobilgeräten authentifizieren können, ohne eine separate Smartcard mit sich zu führen.
Kennwortlose Authentifizierung (Workspace)
| Typ | CWA OS | IdP | Unterstützung vor dem Start | SSO auf VDA nach dem Start (Pin-Caching) | Smartcard-Verwendung innerhalb einer Sitzung |
|---|---|---|---|---|---|
| Smartcard | Windows | Lokales Gateway/AD/AAD | Ja | Nein | Ja |
| Browser mit nativem CWA | Lokales Gateway/AD/AAD | Ja | Nein | Ja | |
| Browser mit HTML5 | Lokales Gateway/AD/AAD | Nein | Nein | Nein | |
| Mac | Lokales Gateway/AD/AAD | Nein | Nein | Ja | |
| Linux | Lokales Gateway/AD/AAD | Nein | Nein | Ja | |
| ChromeOS | Lokales Gateway/AD/AAD | Ja | Nein | Ja | |
| iOS | Lokales Gateway/AD/AAD | Nein | Nein | Ja | |
| Android | Lokales Gateway/AD/AAD | Nein | Nein | Ja | |
| Abgeleitete Anmeldeinformationen | iOS | Lokales Gateway/AD/AAD | Nein | Nein | Ja ** |
| Android | Lokales Gateway/AD/AAD | Nein | Nein | Nein |
Hinweise
Jeder IdP, der die Smartcard-Authentifizierung über den Verbund unterstützt, kann SSO unterstützen.
Unterstützung für iOS gibt es nur bei Purebred.
Kennwortlose Authentifizierung (StoreFront)
| Authentifizierung über | Betriebssystem | Support starten | Unterstützung für die StoreFront-Anmeldung | Gateway — Grundlegende Authentifizierung | Gateway — Erweiterte Authentifizierung | Smartcard in Sitzung |
|---|---|---|---|---|---|---|
| Smartcard | Windows | Vor dem Start | Ja | Ja | Ja | Ja |
| Browser + natives CWA | Vor dem Start | Ja | Ja | Ja | Ja | |
| Browser - HTML5 | Vor dem Start | Nein | Ja | Nein | Nein | |
| Mac | Vor dem Start | Ja | Ja | Ja | Ja | |
| Linux | Vor dem Start | Ja | Ja | Nein | Ja | |
| ChromeOS | Vor dem Start | Ja | Ja | Nein | Ja | |
| iOS | Vor dem Start | Ja | Ja | Nein | Ja | |
| Android | Vor dem Start | Ja | Ja | Nein | Ja | |
| Windows | Nach dem Start — SSO zum VDA (Pin-Caching) | Ja | Ja | Nein | Ja | |
| Browser + natives CWA | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Ja | |
| Browser - HTML5 | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Nein | |
| Mac | Nach dem Start — SSO zum VDA (Pin-Caching) | Ja | Ja | Nein | Ja | |
| Linux | Nach dem Start — SSO zum VDA (Pin-Caching) | Ja | Ja | Nein | Ja | |
| ChromeOS | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Ja | |
| iOS | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Ja | |
| Android | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Nein | |
| Abgeleitete Anmeldeinformationen | iOS | Vor dem Start | Ja | Ja | Nein | Ja |
| Android | Vor dem Start | Nein | Nein | Nein | Nein | |
| iOS | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Ja | |
| Android | Nach dem Start — SSO zum VDA (Pin-Caching) | Nein | Nein | Nein | Nein |
FIDO2-Unterstützung mit Workspace/Storefront — Kennwortlose Authentifizierung
FIDO2 ist ein Authentifizierungsstandard, der es Benutzern ermöglicht, sich mithilfe von Public-Key-Kryptografie sicher und bequem bei Onlinediensten zu authentifizieren. FIDO2 ermöglicht die kennwortlose Authentifizierung, sodass Benutzer keine Kennwörter erstellen und sich diese merken müssen, und reduziert das Risiko von Phishing und anderen Formen von Cyberangriffen.
Mit der Unterstützung von CWA FIDO2 können Benutzer ein kennwortloses Authentifizierungserlebnis genießen, das sowohl sicher als auch bequem ist. Sie können sich an ihrem Citrix Workspace-Konto anmelden, ohne sich Kennwörter zu merken, was es einfacher macht, von überall und auf jedem Gerät sicher zu arbeiten. Die FIDO2-Unterstützung trägt auch zur Verbesserung der Sicherheitslage bei, indem das Risiko von kennwortbezogenen Cyberangriffen verringert wird.
| Typ | CWA OS | Unterstützte IdPs | Unterstützung vor dem Start | VDA-Anmeldung mit FIDO-Sicherheitsschlüssel | Verwendung des FIDO-Sicherheitsschlüssels innerhalb einer Sitzung |
|---|---|---|---|---|---|
| FIDO | Windows | Ja | Nein | Ja | |
| Browser mit nativem CWA | Ja | Nein | Ja | ||
| Browser mit HTML5 | Ja | Nein | Nein | ||
| Mac | Jeder IdP, der FIDO unterstützt | Nein | Nein | Ja | |
| Linux | Jeder IdP, der FIDO unterstützt | Nein | Nein | Ja | |
| ChromeOS | Jeder IdP, der FIDO unterstützt | Ja | Nein | Nein | |
| iOS | Jeder IdP, der FIDO unterstützt | Nein | Nein | Nein | |
| Android | Jeder IdP, der FIDO unterstützt | Nein | Nein | Nein |
In diesem Artikel
- Übersicht
- Anmeldeaufforderung erzwingen
- Dauerhafte Anmeldung bei der Citrix Workspace-App
- Persistente Anmeldung zu VDI-Sitzungen
- Inaktivitätstimer für die Citrix Workspace-App
- Domain-Passthrough-Unterstützung auf Citrix Workspace
- Domain-Passthrough-Unterstützung für StoreFront
- Unterstützung für Smartcard/abgeleitete Anmeldeinformationen
- FIDO2-Unterstützung mit Workspace/Storefront — Kennwortlose Authentifizierung