身份验证

为了提供更好的体验,自 Citrix Workspace 应用程序 2012 起,我们将在 Citrix Workspace 应用程序中显示身份验证对话框,并在登录屏幕上显示应用商店详细信息。我们会加密和存储身份验证令牌,以便您在系统或会话重新启动时不需要重新输入凭据。

注意:

此身份验证增强功能仅在云部署中适用。

必备条件:

必须安装 libsecret 库。

默认情况下,此功能处于禁用状态。

要启用此增强功能,请执行以下操作:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. AuthManLiteEnabled 的值设置为 true

智能卡

要在适用于 Linux 的 Citrix Workspace 应用程序中配置智能卡支持,必须通过 StoreFront 控制台配置 StoreFront 服务器。

Citrix Workspace 应用程序支持与 PCSC-Lite 和 PKCS#11 驱动程序相应兼容的智能卡读卡器。默认情况下,Citrix Workspace 应用程序现在在其中一个标准位置查找 opensc-pkcs11.so

Citrix Workspace 应用程序可以在非标准位置或其他 PKCS\#11 驱动程序中找到 opensc-pkcs11.so。可以使用以下过程存储各自的位置:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>PKCS11module</key>,将驱动程序位置添加到紧跟该行的 <value> 元素中。

    注意:

    如果您输入了驱动程序位置的文件名,Citrix Workspace 应用程序将导航到 $ICAROOT/PKCS\ #11 目录中的相应文件。或者,可以使用以“/”开头的绝对路径。

删除智能卡后,请按照以下步骤更新配置文件中的 SmartCardRemovalAction,以配置 Citrix Workspace 应用程序的行为:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>SmartCardRemovalAction</key>,并将 noactionforcelogoff 添加到紧跟该行的 <value> 元素中。

默认行为为 noaction。不执行任何用于清除存储的凭据以及在删除智能卡时生成的令牌的操作。

forcelogoff 操作将在删除智能卡时清除 StoreFront 中的所有凭据和令牌。

启用智能卡支持

如果在服务器和 Citrix Workspace 应用程序中同时启用了智能卡,Citrix Workspace 应用程序将支持各种智能卡读卡器。

可以将智能卡用于以下用途:

  • 智能卡登录身份验证 - 对 Citrix Virtual Apps 服务器进行身份验证。
  • 智能卡应用程序支持 - 允许支持智能卡的已发布应用程序访问本地智能卡设备。

智能卡数据对安全性非常敏感,必须通过采用安全身份验证的通道(例如 TLS)进行传输。

要实现智能卡支持,必须具备以下条件:

  • 智能卡读卡器和已发布的应用程序必须符合 PC/SC 工业标准。
  • 安装适用于您的智能卡的驱动程序。
  • 安装 PC/SC Lite 软件包。
  • 安装并运行 pcscd 守护程序,该程序提供使用 PC/SC 访问智能卡的中间件。
  • 在 64 位系统中,64 位和 32 位版本的 libpscslite1 软件包必须存在。

有关在服务器上配置智能卡支持的详细信息,请参阅 Citrix Virtual Apps and Desktops 文档中的智能卡

支持多重 (nFactor) 身份验证

多重身份验证要求用户提供多个身份证明以获得访问权限,从而增强了应用程序的安全性。多重身份验证使得身份验证步骤和关联的凭据收集表单可由管理员配置。

本机 Citrix Workspace 应用程序通过在已针对 StoreFront 实现的表单登录支持的基础上构建来支持此协议。Citrix Gateway 的 Web 登录页面和流量管理器虚拟服务器也使用此协议。

有关详细信息,请参阅 Citrix ADC 文档中的 SAML 身份验证多重 (nFactor) 身份验证

身份验证