身份验证

自 Citrix Workspace 应用程序 2012 起,您可以在 Citrix Workspace 应用程序中查看身份验证对话框,并在登录屏幕上存储详细信息。这样可以提供更好的体验。

将加密和存储身份验证令牌,以便您在系统或会话重新启动时不需要重新输入凭据。

注意:

此身份验证增强功能仅在云部署中适用。

必备条件:

安装 libsecret 库。

默认情况下,此功能处于禁用状态。

要启用此增强功能,请执行以下操作:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. AuthManLiteEnabled 的值设置为 True

Storebrowse 的身份验证增强功能

注意:

自版本 2205 起,此功能普遍适用于 Citrix Workspace 应用程序。

自版本 2203 起,身份验证对话框将显示在 Citrix Workspace 应用程序中,应用商店详细信息显示在登录屏幕上,以提供更好的用户体验。将加密和存储身份验证令牌,以便您在系统或会话重新启动时不需要重新输入凭据。

身份验证增强功能支持使用 storebrowse 执行以下操作:

  • Storebrowse -E:列出可用资源。
  • Storebrowse -L:启动与已发布资源的连接。
  • Storebrowse -S:列出订阅的资源。
  • Storebrowse -T:终止指定应用商店的所有会话。
  • Storebrowse -Wr:重新连接指定应用商店的处于活动状态但已断开连接的会话。[r] 选项将重新连接所有断开连接的会话。
  • storebrowse -WR:重新连接指定应用商店的处于活动状态但已断开连接的会话。[R] 选项将重新连接所有活动会话和断开连接的会话。
  • Storebrowse -s:订阅指定应用商店中的指定资源。
  • Storebrowse -u:从指定应用商店中取消订阅指定的资源。
  • Storebrowse -q:使用直接 URL 启动应用程序。此命令仅适用于 StoreFront 应用商店。

注意:

  • 您可以像之前一样继续使用剩余的 storebrowse 命令(使用 AuthMangerDaemon)。
  • 身份验证增强功能仅适用于云部署。
  • 启用此增强功能后,将支持永久登录功能。

Storebrowse 配置的身份验证增强功能

默认情况下,身份验证增强功能处于禁用状态。

如果 gnome-keyring 不可用,令牌将存储在自助进程内存中。

要强制在内存中存储令牌,请使用以下步骤禁用 gnome-keyring:

  1. 导航到 /opt/Citrix/ICAClient/config/AuthmanConfig.xml
  2. 添加以下条目:

    <GnomeKeyringDisabled>true</GnomeKeyringDisabled>
    <!--NeedCopy-->
    

智能卡

要在适用于 Linux 的 Citrix Workspace 应用程序中配置智能卡支持,必须通过 StoreFront 控制台配置 StoreFront 服务器。

Citrix Workspace 应用程序支持与 PCSC-Lite 和 PKCS#11 驱动程序相应兼容的智能卡读卡器。默认情况下,Citrix Workspace 应用程序现在在其中一个标准位置查找 opensc-pkcs11.so

Citrix Workspace 应用程序可以在非标准位置或其他 PKCS\#11 驱动程序中找到 opensc-pkcs11.so。可以使用以下过程存储各自的位置:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>PKCS11module</key>,将驱动程序位置添加到紧跟该行的 <value> 元素中。

    注意:

    如果您输入了驱动程序位置的文件名,Citrix Workspace 应用程序将导航到 $ICAROOT/PKCS\ #11 目录中的相应文件。也可以使用以“/”开头的绝对路径。

删除智能卡后,请按照以下步骤更新 SmartCardRemovalAction,以配置 Citrix Workspace 应用程序的行为:

  1. 找到配置文件:$ICAROOT/config/AuthManConfig.xml
  2. 找到行 <key>SmartCardRemovalAction</key>,并将 noactionforcelogoff 添加到紧跟该行的 <value> 元素中。

默认行为为 noaction。不执行任何用于清除存储的凭据以及在删除智能卡时生成的令牌的操作。

forcelogoff 操作将在删除智能卡时清除 StoreFront 中的所有凭据和令牌。

启用智能卡支持

如果在服务器和 Citrix Workspace 应用程序中同时启用了智能卡,Citrix Workspace 应用程序将支持各种智能卡读卡器。

可以将智能卡用于以下用途:

  • 智能卡登录身份验证 - 向 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)服务器进行身份验证。
  • 智能卡应用程序支持 - 允许支持智能卡的已发布应用程序访问本地智能卡设备。

智能卡数据对安全性非常敏感,必须通过采用安全身份验证的通道(例如 TLS)进行传输。

要实现智能卡支持,必须具备以下条件:

  • 智能卡读卡器和已发布的应用程序必须符合 PC/SC 工业标准。
  • 安装适用于您的智能卡的驱动程序。
  • 安装 PC/SC Lite 软件包。
  • 安装并运行 pcscd 守护程序,该程序提供使用 PC/SC 访问智能卡的中间件。
  • 在 64 位系统中,64 位和 32 位版本的 libpscslite1 软件包必须存在。

有关在服务器上配置智能卡支持的详细信息,请参阅 Citrix Virtual Apps and Desktops 文档中的智能卡

智能卡支持的增强功能

注意:

此功能普遍适用于 Citrix Workspace 应用程序。

自版本 2112 起,Citrix Workspace 应用程序支持适用于智能卡读卡器的即插即用功能。

插入智能卡时,智能卡读卡器会在服务器和客户端中检测智能卡。

可以同时即插即用不同的智能卡,并且检测到所有这些智能卡。

必备条件:

在 Linux 客户端上安装 libpcscd 库。

注意:

默认情况下,此库可能会安装在大多数 Linux 发行版的最新版本中。但是,您可能需要在某些 Linux 发行版的早期版本中安装 libpcscd 库,例如 Ubuntu 1604。

要禁用此增强功能,请执行以下操作:

  1. 导航到 <ICAROOT>/config/module.ini 文件夹。
  2. 转到 SmartCard 部分。
  3. 设置 DriverName= VDSCARD.DLL

支持多重 (nFactor) 身份验证

多重身份验证要求用户提供额外的身份证明以获得访问权限,从而增强了应用程序的安全性。

多重身份验证使得身份验证步骤和关联的凭据收集表单可由管理员配置。

本机 Citrix Workspace 应用程序通过在已针对 StoreFront 实现的表单登录支持的基础上构建来支持此协议。Citrix Gateway 的 Web 登录页面和流量管理器虚拟服务器也使用此协议。

有关详细信息,请参阅 Citrix ADC 文档中的 SAML 身份验证多重 (nFactor) 身份验证

身份验证