智能卡身份验证的要求

适用于 Mac 的 Citrix Workspace 应用程序支持在以下配置中使用智能卡身份验证:

  • 对适用于 Web 的 Workspace/StoreFront 2.x 及更高版本、Citrix Virtual Apps and Desktops 7 1808 及更高版本、XenDesktop 7.1 及更高版本或 XenApp 6.5 及更高版本进行智能卡身份验证。

  • 支持智能卡的应用程序(例如 Microsoft Outlook 和 Microsoft Office)允许用户对虚拟桌面或应用程序会话中的文档进行数字签名或加密。

  • 使用多个证书 - 适用于 Mac 的 Citrix Workspace 应用程序支持将多个证书与一个或多个智能卡结合使用。如果用户将智能卡插入读卡器,这些证书可用于在设备上运行的所有应用程序,包括适用于 Mac 的 Citrix Workspace 应用程序。

  • 在双跳会话中 - 如果需要使用双跳,则需要在适用于 Mac 的 Citrix Workspace 应用程序与用户的虚拟桌面之间建立更进一步的连接。

关于对 Citrix Gateway 进行智能卡身份验证

如果智能卡上存在多个可用证书,则使用智能卡对连接进行身份验证时,适用于 Mac 的 Citrix Workspace 应用程序会提示您选择证书。选择证书时,适用于 Mac 的 Citrix Workspace 应用程序会提示您输入智能卡密码;通过身份验证后,会话将启动。

如果智能卡上只有一个适用证书,适用于 Mac 的 Citrix Workspace 应用程序会使用该证书,不提示您进行选择。但是,您仍必须输入与该智能卡关联的密码以对连接进行身份验证以及启动会话。

为智能卡身份验证指定 PKCS#11 模块

注意:

不强制安装 PKCS#11 模块。本节仅适用于 ICA 会话。不适用于在需要智能卡的情况下 Citrix Workspace 对 Citrix Gateway 或 StoreFront 的访问。

要为智能卡身份验证指定 PKCS#11 模块,请执行以下操作:

  1. 在适用于 Mac 的 Citrix Workspace 应用程序中,选择首选项
  2. 单击安全和隐私
  3. 安全和隐私部分中,单击智能卡
  4. PKCS#11 字段中,选择恰当的模块;单击其他浏览到 PKCS#11 模块所在的位置(如果未列出所需模块)。
  5. 选择恰当的模块后,单击添加

支持的读卡器、中间件和智能卡配置文件

适用于 Mac 的 Citrix Workspace 应用程序支持大部分 macOS 兼容的智能卡读卡器和加密中间件。Citrix 已验证以下各项的操作。

支持的读卡器:

  • 通用 USB 连接智能卡读卡器

支持的中间件:

  • Clariify
  • Activeidentity 客户端版本
  • Charismathics 客户端版本

支持的智能卡:

  • PIV 卡
  • 通用访问卡 (CAC)
  • Gemalto .NET 卡

请按照供应商的 macOS 兼容智能卡读卡器和加密中间件提供的配置用户设备的说明进行操作。

限制

  • 证书必须存储在智能卡上,而非存储在用户设备上。
  • 适用于 Mac 的 Citrix Workspace 应用程序不保存用户所做的证书选择。
  • 适用于 Mac 的 Citrix Workspace 应用程序不存储或保存用户的智能卡 PIN。PIN 的获取由操作系统进行处理,而操作系统可能有自己的缓存机制。
  • 插入智能卡后,适用于 Mac 的 Citrix Workspace 应用程序不会重新连接会话。
  • 要将智能卡身份验证与 VPN 通道结合使用,用户必须安装 Citrix Gateway 插件并通过 Web 页面登录,在每一步都使用智能卡和 PIN 进行身份验证。使用 Citrix Gateway 插件通过直通身份验证访问 StoreFront 不适用于智能卡用户。