身份验证
自 Citrix Workspace 应用程序 2012 起,您可以在 Citrix Workspace 应用程序中查看身份验证对话框,并在登录屏幕上存储详细信息。此增强功能提供了更好的用户体验。
将加密和存储身份验证令牌,以便您在系统或会话重新启动时不需要重新输入凭据。
注意:
此身份验证增强功能仅在云部署中适用。
必备条件:
安装 libsecret 库。
默认情况下启用此功能。
Storebrowse 的身份验证增强功能
自版本 2205 起,身份验证对话框将显示在 Citrix Workspace 应用程序中,应用商店详细信息显示在登录屏幕上,以提供更好的用户体验。将加密和存储身份验证令牌,以便您在系统或会话重新启动时不需要重新输入凭据。
身份验证增强功能支持使用 storebrowse 执行以下操作:
-
Storebrowse -E:列出可用资源。 -
Storebrowse -L:启动与已发布资源的连接。 -
Storebrowse -S:列出订阅的资源。 -
Storebrowse -T:终止指定应用商店的所有会话。 -
Storebrowse -Wr:重新连接指定应用商店的处于活动状态但已断开连接的会话。[r] 选项将重新连接所有断开连接的会话。 -
storebrowse -WR:重新连接指定应用商店的处于活动状态但已断开连接的会话。[R] 选项将重新连接所有活动会话和断开连接的会话。 -
Storebrowse -s:订阅指定应用商店中的指定资源。 -
Storebrowse -u:从指定应用商店中取消订阅指定的资源。 -
Storebrowse -q:使用直接 URL 启动应用程序。此命令仅适用于 StoreFront 应用商店。
注意:
- 您可以像之前一样继续使用剩余的
storebrowse命令(使用 AuthMangerDaemon)。- 身份验证增强功能仅适用于云部署。
- 启用此增强功能后,将支持永久登录功能。
在 Azure AD 中支持 200 多个组
自 2305 版本起,属于 200 多个组的 Azure AD 用户可以查看分配给该用户的应用程序和桌面。以前,同一用户无法查看这些应用程序和桌面。
要启用此功能,请执行以下操作:
-
导航到 $ICAROOT/config/AuthManConfig.xml 并添加以下条目:
<compressedGroupsEnabled>true</compressedGroupsEnabled> <!--NeedCopy-->
注意:
用户必须从 Citrix Workspace 应用程序注销并重新登录才能启用此功能。
Storebrowse 配置的身份验证增强功能
默认情况下,身份验证增强功能处于禁用状态。
如果 gnome-keyring 不可用,令牌将存储在自助进程内存中。
要强制在内存中存储令牌,请使用以下步骤禁用 gnome-keyring:
- 导航到
/opt/Citrix/ICAClient/config/AuthmanConfig.xml。 -
添加以下条目:
<GnomeKeyringDisabled>true</GnomeKeyringDisabled> <!--NeedCopy-->
智能卡
要在适用于 Linux 的 Citrix Workspace 应用程序中配置智能卡支持,必须通过 StoreFront 控制台配置 StoreFront 服务器。
Citrix Workspace 应用程序支持与 PCSC-Lite 和 PKCS#11 驱动程序相应兼容的智能卡读卡器。默认情况下,Citrix Workspace 应用程序现在在其中一个标准位置查找 opensc-pkcs11.so。
Citrix Workspace 应用程序可以在非标准位置或其他 PKCS\#11 驱动程序中找到 opensc-pkcs11.so。可以使用以下过程存储各自的位置:
- 找到配置文件:
$ICAROOT/config/AuthManConfig.xml。 -
找到行 <key>PKCS11module</key>,将驱动程序位置添加到紧跟该行的 <value> 元素中。
注意:
如果您输入了驱动程序位置的文件名,Citrix Workspace 应用程序将导航到
$ICAROOT/PKCS\ #11目录中的相应文件。也可以使用以“/”开头的绝对路径。
删除智能卡后,请按照以下步骤更新 SmartCardRemovalAction,以配置 Citrix Workspace 应用程序的行为:
- 找到配置文件:
$ICAROOT/config/AuthManConfig.xml。 - 找到行 <key>SmartCardRemovalAction</key>,并将
noaction或forcelogoff添加到紧跟该行的 <value> 元素中。
默认行为为 noaction。不执行任何用于清除存储的凭据以及在删除智能卡时生成的令牌的操作。
forcelogoff 操作将在删除智能卡时清除 StoreFront 中的所有凭据和令牌。
限制:
- 对于具有多个用户的智能卡,尝试使用智能卡身份验证启动服务器 VDA 会话可能会失败。[HDX-44255]
启用智能卡支持
如果在服务器和 Citrix Workspace 应用程序中同时启用了智能卡,Citrix Workspace 应用程序将支持各种智能卡读卡器。
可以将智能卡用于以下用途:
- 智能卡登录身份验证 - 向 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)服务器进行身份验证。
- 智能卡应用程序支持 - 允许支持智能卡的已发布应用程序访问本地智能卡设备。
智能卡数据对安全性非常敏感,必须通过采用安全身份验证的通道(例如 TLS)进行传输。
要实现智能卡支持,必须具备以下条件:
- 智能卡读卡器和已发布的应用程序必须符合 PC/SC 工业标准。
- 安装适用于您的智能卡的驱动程序。
- 安装 PC/SC Lite 软件包。
- 安装并运行
pcscd守护程序,该程序提供使用 PC/SC 访问智能卡的中间件。 - 在 64 位系统中,64 位和 32 位版本的 libpscslite1 软件包必须存在。
有关在服务器上配置智能卡支持的详细信息,请参阅 Citrix Virtual Apps and Desktops 文档中的智能卡。
智能卡支持的增强功能
自版本 2112 起,Citrix Workspace 应用程序支持适用于智能卡读卡器的即插即用功能。
插入智能卡时,智能卡读卡器会在服务器和客户端中检测智能卡。
可以同时即插即用不同的智能卡,并且检测到所有这些智能卡。
必备条件:
在 Linux 客户端上安装 libpcscd 库。
注意:
默认情况下,此库可能会安装在大多数 Linux 发行版的最新版本中。但是,您可能需要在某些 Linux 发行版的早期版本中安装
libpcscd库,例如 Ubuntu 1604。
要禁用此增强功能,请执行以下操作:
- 导航到
<ICAROOT>/config/module.ini文件夹。 - 转到
SmartCard部分。 - 设置
DriverName=VDSCARD.DLL。
支持新 PIV 卡
自版本 2303 起,Citrix Workspace 应用程序支持以下新的个人身份验证 (PIV) 卡:
- IDEMIA 下一代智能卡
- DELL TicTok 智能卡
智能卡驱动程序的性能优化
Citrix Workspace 应用程序 2303 版本包括 VDSCARDV2.DLL 智能卡驱动程序的性能相关修复和优化。这些增强功能有助于超过版本 1 VDSCARD.DLL。
支持多重 (nFactor) 身份验证
多重身份验证要求用户提供额外的身份证明以获得访问权限,从而增强应用程序的安全性。
多重身份验证使得身份验证步骤和关联的凭据收集表单可由管理员配置。
本机 Citrix Workspace 应用程序通过在已针对 StoreFront 实现的表单登录支持的基础上构建来支持此协议。Citrix Gateway 的 Web 登录页面和流量管理器虚拟服务器也使用此协议。
有关详细信息,请参阅 Citrix ADC 文档中的 SAML 身份验证和多重 (nFactor) 身份验证。
支持在 HDX 会话中使用 FIDO2 进行身份验证
自 2303 版起,您可以在 HDX 会话中使用无密码 FIDO2 安全密钥进行身份验证。FIDO2 安全密钥为企业员工提供了一种无缝方式,无需输入用户名或密码即可对支持 FIDO2 的应用程序或桌面进行身份验证。有关 FIDO2 的详细信息,请参阅 FIDO2 Authentication(FIDO2 身份验证)。
注意:
如果您通过 USB 重定向使用 FIDO2 设备,请删除 FIDO2 设备的 USB 重定向规则。可以从
$ICAROOT/文件夹中的usb.conf文件访问此规则。此更新可帮助您切换到 FIDO2 虚拟通道。
默认情况下,FIDO2 身份验证处于禁用状态。要启用 FIDO2 身份验证,请执行以下操作:
- 导航到
<ICAROOT>/config/module.ini文件。 - 转到
ICA 3.0部分。 - 设置
FIDO2= On。
此功能当前支持带有 PIN 码和触摸功能的漫游身份验证程序(仅限 USB)。可以配置基于 FIDO2 安全密钥的身份验证。有关必备条件和使用此功能的信息,请参阅使用 FIDO2 的本地授权和虚拟身份验证。
当您访问支持 FIDO2 的应用程序或 Web 站点时,将显示一条提示,请求访问安全密钥。如果您之前已使用 PIN 注册过安全密钥,则必须在登录时输入该 PIN。PIN 最少可以包含 4 个字符,最多包含 64 个字符。
如果您之前在没有 PIN 的情况下注册了安全密钥,则只需触摸安全密钥即可登录。
限制:
您可能无法使用 FIDO2 身份验证将第二台设备注册到同一个帐户。
支持在连接到本地应用商店时使用 FIDO2 进行身份验证
自适用于 Linux 的 Citrix Workspace 应用程序版本 2309 起,用户在登录本地应用商店时可以使用无密码 FIDO2 安全密钥进行身份验证。安全密钥支持不同类型的安全输入,例如安全 PIN 码、生物特征识别、刷卡、智能卡、公钥证书等。有关 FIDO2 的详细信息,请参阅 FIDO2 Authentication(FIDO2 身份验证)。
Citrix Workspace 应用程序使用Citrix Enterprise Browser 作为 FIDO2 身份验证的默认浏览器。管理员可以配置用于对 Citrix Workspace 应用程序进行身份验证的浏览器类型。
要启用此功能,请导航到 $ICAROOT/config/AuthManConfig.xml 并添加以下条目:
<key>FIDO2Enabled</key>
<value>true</value>
<!--NeedCopy-->
要修改默认浏览器,请根据需要导航到 $ICAROOT/config/AuthManConfig.xml 并修改浏览器设置。可能的值为 CEB、chromium、firefox 和 chromium-browser。
<FIDO2AuthBrowser>CEB</FIDO2AuthBrowser>
<!--NeedCopy-->
自定义身份验证
下表提供了 Citrix Workspace 应用程序可用的自定义身份验证的参考:
| 实用程序 | SDK | 身份验证类型 | 使用的库 | 二进制文件 | 身份验证类型检测 |
|---|---|---|---|---|---|
| 快速连接 | 凭据插入 SDK | 用户名/密码/智能卡/域直通 | libCredInject.so | cis |
参数 - 由第三方身份验证器集成使用 |
| 自定义对话框 | 平台优化 SDK | 用户名/密码/智能卡 | UIDialogLib.so 和 UIDialogLibWebKit3.so | 否 | 自动检测 - 供瘦客户合作伙伴使用 |
Storebrowse |
Citrix Workspace 应用程序 | 用户名/密码 | 否 | Storebrowse |
参数 |