FIDO2 和 WebAuthn 两种身份验证方式

使用 FIDO2 和 WebAuthn 进行本地授权和虚拟身份验证

用户可以使用 FIDO2 安全密钥以及集成 TPM 2.0 和 Windows Hello 的生物识别设备，在其虚拟会话中对利用 FIDO2 或 WebAuthn 的应用程序进行身份验证。

有关 FIDO2 的更多信息，请参阅 (https://fidoalliance.org/fido2/) 中关于 [FIDO2: WebAuthn & CTAP] 的内容。

有关使用此功能的信息，请参阅 FIDO2 redirection。

注意

请注意，此功能不支持使用 WebAuthn 或 FIDO2 登录虚拟会话。此功能仅允许在虚拟会话中的应用程序中使用这些身份验证方法。

支持能力矩阵

如需了解更多信息，请查阅以下要求。

Web 应用程序身份验证

必备条件

以下是使用 FIDO2 和 WebAuthn 身份验证与 Web 应用程序的要求：

Citrix® 控制平面

• Citrix 虚拟应用和桌面™ 2009 或更高版本

会话主机

• 操作系统
  • Windows 10 1809 或更高版本
  • Windows 服务器 2019 或更高版本
• VDA
  • Windows: 2009 或更高版本

客户端设备

• 操作系统
  • Windows 10 1809 或更高版本
  • Linux: 请参阅适用于 Linux 的 Workspace 应用程序的系统要求
• 工作区应用程序
  • Windows: 2009.1 或更高版本
  • Linux: 2303 或更高版本

网页浏览器要求

• 32 位和 64 位浏览器

支持的身份验证方法

• FIDO2 安全密钥
• Windows Hello
  • TPM 2.0
  • 集成生物识别
    • 面部识别技术
    • 指纹扫描仪
  • Web 身份验证

UWP 应用程序身份验证

With the release of Citrix Virtual Apps and Desktops 2112, Citrix supports WebAuthn and FIDO2 authentication in UWP applications.

诸如 Microsoft Teams、适用于 Office 365 的 Microsoft Outlook 和 OneDrive 等应用程序，它们使用 UWP 应用程序进行身份验证，以作为连接到 Azure Active Directory 的链接。Citrix 现已支持使用 FIDO2 对这些应用程序进行身份验证操作。

先决条件

以下是使用 FIDO2 和 WebAuthn 身份验证与 UWP 应用程序的要求：

Citrix 控制平面

• Citrix 虚拟应用和桌面 2112 或更高版本

会话主机

• 操作系统
  • Windows 10 1809 或更高版本
  • Windows 11
  • Windows 服务器 2022 版本或更高版本
• VDA
  • Windows: 2112 版或更高版本

客户端设备

• 操作系统
  • Windows 10 1809 或更高版本
  • 视窗 11
  • Linux: 请参阅适用于 Linux 的 Workspace 应用程序的系统要求
• 工作区应用程序
  • Windows: 2009.1 版或更高版本
  • Linux: 2303 或更高版本

UWP 应用程序要求

• 32 位和 64 位应用程序

支持的身份验证方法

• FIDO2 安全密钥
• 视窗你好
  • TPM 2.0
  • 集成生物识别
    • 面部识别身份验证
    • 指纹扫描仪
  • 网页认证

注意：

对上述身份验证方法的支持，取决于底层操作系统的功能及其所提供的能力。

在客户端、VDA 或操作系统不支持 FIDO2 重定向功能而导致 FIDO2 重定向不可用的情况下，可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。 在 FIDO2 重定向可用的情况下，也可以使用 USB 重定向来重定向基于 USB 的 FIDO2 密钥。在这种情况下，您必须禁用 FIDO2 重定向并配置相应的 USB 重定向规则。 有关如何使用 USB 重定向规则配置 FIDO2 密钥的详细信息，请参阅 USB 重定向设备规则 文档。

基于 msedgewebview2.exe 应用程序的高级配置

注意：

不正确地编辑注册表可能导致严重问题，甚至可能需要重新安装操作系统。Citrix 无法保证能够解决因不正确使用注册表编辑器而导致的问题。 请自行承担使用注册表编辑器的风险。编辑注册表之前，请务必备份注册表。

对于拥有基于 msedgewebview2.exe 的 Web 应用程序的企业，需要在 VDA 上添加额外的注册表值，以便 FIDO2 重定向在 HDX 会话中正常工作 -

Append the full path of the msedgewebview2.exe in the AllowProcesses registry value:

• Key: HKLM\SOFTWARE\Citrix\WebAuthnAllowedProcesses
• Value name: AllowProcesses
• Value type: REG_MULTISZ
• 值数据：<add full path of the msedgewebview2.exe here >

对于 64 位应用程序，需要设置以下值：

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
• Value name: FilePathName
• Value type: REG_SZ

• Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
• 值名称: Flag
• 数据类型: DWORD
• 值数据: 00000002

对于 32 位应用程序，需要设置以下值:

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook\msedgewebview2.exe

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
• Value name: FilePathName
• Value type: REG_SZ

• Value data: C:\Program Files\Citrix\HDX\bin\CtxWebAuthnHook.dll

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_DLLs\CtxWebAuthnHook
• 值名称: Flag
• 数据类型: DWORD
• 值数据: 00000002

设置注册表值后，重新启动 VDA，以便为基于 msedgewebview2.exe 的应用程序启用 FIDO2 重定向。