Citrix Virtual Apps and Desktops

FIDO2 和 WebAuthn 身份验证

使用 FIDO2 和 WebAuthn 的本地授权和虚拟身份验证

用户可以在其虚拟会话中使用 FIDO2 安全密钥以及安装了 TPM 2.0 和 Windows Hello 的集成生物特征识别设备利用 FIDO2 或 WebAuthn 对应用程序进行身份验证。

有关 FIDO2 的详细信息,请参阅 FIDO2: WebAuthn & CTAP

有关使用此功能的信息,请参阅 FIDO2 重定向

注意

请注意,此功能不支持使用 WebAuthn 或 FIDO2 登录虚拟会话。此功能仅允许在虚拟会话内的应用程序中使用这些身份验证方法。

双跃点场景不支持此功能。

支持能力表

会话主机操作系统 Web 应用程序身份验证 UWP 应用程序身份验证
Windows Server 2016 通过 USB 重定向提供支持 不支持
Windows Server 2019 支持 不支持
Windows Server 2022 支持 支持
Windows 10 支持 支持
Windows 11 支持 支持

如需更多信息,请查看下面的要求。

Web 应用程序身份验证

要求

下面是在 Web 应用程序中使用 FIDO2 和 WebAuthn 身份验证的要求:

Citrix 控制平面

  • Citrix Virtual Apps and Desktops 2009 或更高版本

会话主机

  • 操作系统
    • Windows 10 1809 或更高版本
    • Windows Server 2019 或更高版本
  • VDA
    • Windows:2009 或更高版本

客户端设备

  • 操作系统
    • Windows 10 1809 或更高版本
    • Linux:请参阅适用于 Linux 的 Workspace 应用程序的系统要求
  • Workspace 应用程序
    • Windows:版本 2009.1 或更高版本
    • Linux:2303 或更高版本

Web 浏览器要求

  • 仅限 64 位浏览器

支持的身份验证方法

  • FIDO2 安全密钥
  • Windows Hello
    • TPM 2.0
    • 集成的生物热症识别技术
      • 面部识别
      • 指纹扫描仪
    • WebAuthn

UWP 应用程序身份验证

随着 Citrix Virtual Apps and Desktops 2112 的发布,Citrix 在 UWP 应用程序中支持 WebAuthn 和 FIDO2 身份验证。

Microsoft Teams、Microsoft Outlook for Office 365 和 OneDrive 等应用程序使用 UWP 应用程序进行身份验证作为指向 Azure Active Directory 的链接。Citrix 现在支持使用 FIDO2 对这些应用程序进行身份验证。

要求

下面是在 UWP 应用程序中使用 FIDO2 和 WebAuthn 身份验证的要求:

Citrix 控制平面

  • Citrix Virtual Apps and Desktops 2112 或更高版本

会话主机

  • 操作系统
    • Windows 10 1809 或更高版本
    • Windows Server 2022 或更高版本
  • VDA
    • Windows:版本 2112 或更高版本

客户端设备

  • 操作系统
    • Windows 10 1809 或更高版本
    • Linux:请参阅适用于 Linux 的 Workspace 应用程序的系统要求
  • Workspace 应用程序
    • Windows:版本 2009.1 或更高版本
    • Linux:2303 或更高版本

支持的身份验证方法

  • FIDO2 安全密钥
  • Windows Hello
    • TPM 2.0
    • 集成的生物热症识别技术
      • 面部识别
      • 指纹扫描仪
    • WebAuthn

注意:

在由于客户端或 VDA 或操作系统不支持 FIDO2 重定向功能而导致该功能不可用的情况下,可以使用 USB 重定向功能来重定向基于 USB 的 FIDO2 密钥。 在可以使用 FIDO2 重定向功能的情况下,也可以使用 USB 重定向功能来重定向基于 USB 的 FIDO2 密钥。在这种情况下,必须禁用 FIDO2 重定向并配置相应的 USB 重定向规则。 有关如何使用 USB 重定向规则配置 FIDO2 密钥的详细信息,请参阅 USB 重定向设备规则文档。

基于 msedgewebview2.exe 的应用程序的高级配置

注意:

注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。 使用注册表编辑器需自担风险。在编辑注册表之前,请务必进行备份。

对于拥有基于 msedgewebview2.exe 的 Web 应用程序的企业,需要在 VDA 上添加额外的注册表值,以便 FIDO2 重定向能够在 HDX 会话中运行 -

在 AllowedProcesses 注册表值中附加 msedgewebview2.exe 的完整路径:

  • 注册表项:HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
  • 值名称:AllowedProcesses
  • 值类型:REG_MULTISZ
  • 值数据:<add full path of the msedgewebview2.exe here >

对于 64 位应用程序,需要设置以下值:

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 值名称:FilePathName
  • 值类型:REG_SZ
  • 值数据:C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 值名称:Flag
  • 值类型:DWORD
  • 值数据:00000002

对于 32 位应用程序,需要设置以下值:

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 值名称:FilePathName
  • 值类型:REG_SZ
  • 值数据:C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
  • 值名称:Flag
  • 值类型:DWORD
  • 值数据:00000002

将 FIDO2 重定向的注册表值设置为对基于 msedgewebview2.exe 的应用程序启用后重新启动 VDA。

FIDO2 和 WebAuthn 身份验证