配置智能卡身份验证

适用于 Windows 的 Citrix Workspace 应用程序支持以下智能卡身份验证:

  • 直通身份验证 (Single Sign-On) - 当用户登录 Citrix Workspace 应用程序时,直通身份验证可捕获智能卡凭据。Citrix Workspace 应用程序按以下方式使用捕获的凭据:

    • 使用智能卡凭据登录 Citrix Workspace 应用程序的已加入域的设备用户无需重新进行身份验证即可启动虚拟桌面和应用程序。
    • 在使用智能卡凭据的情况下,对于在未加入域的设备上运行的 Citrix Workspace 应用程序,用户必须再次键入凭据才可启动虚拟桌面或应用程序。

直通身份验证需要使用 StoreFront 和 Citrix Workspace 应用程序上的配置。

  • 双模式身份验证 - 双模式身份验证允许用户在使用智能卡与键入用户名和密码之间进行选择。无法使用智能卡时(例如,登录证书已过期),可使用此功能。必须为每个站点设置专用存储才允许使用双模式身份验证,并将 DisableCtrlAltDel 方法设置为 False 以允许使用智能卡。双模式身份验证需要 StoreFront 配置。如果解决方案中包含 Citrix Gateway,也需要此配置。

    通过使用双模式身份验证,StoreFront 管理员可以允许用户针对同一个应用商店使用用户名和密码身份验证以及智能卡身份验证,方法是在 StoreFront 控制台中进行选择。请参阅 StoreFront 文档。

  • 多个证书 – 如果正在使用多个证书,则其可用于单个智能卡。如果您将智能卡插入读卡器,则这些证书适用于在用户设备上运行的所有应用程序,包括 Citrix Workspace 应用程序。

  • 客户端证书身份验证 – 客户端证书身份验证需要使用 Citrix Gateway 和 StoreFront 配置。

    • 要通过 Citrix Gateway 访问 StoreFront,在移除智能卡后您可能必须重新进行身份验证。
    • 当 Citrix Gateway SSL 配置设置为强制客户端证书身份验证时,操作更加安全。但是,强制客户端证书身份验证与双模式身份验证不兼容。
  • 双跳会话 - 如果需要双跳,则需要在 Citrix Workspace 应用程序和用户的虚拟桌面之间建立连接。支持双跳的部署在 Citrix Virtual Apps and Desktops 文档中进行了介绍。

  • 支持智能卡的应用程序 - 支持智能卡的应用程序(如 Microsoft Outlook 和 Microsoft Office)允许用户对 Citrix Virtual Apps and Desktops 会话中的文档进行数字签名或加密。

限制

  • 证书必须存储在智能卡上,而非存储在用户设备上。
  • Citrix Workspace 应用程序不保存用户证书选择信息,但在配置时存储 PIN。PIN 仅在用户会话期间缓存在非分页内存中,不会存储在磁盘中。
  • 插入智能卡后,Citrix Workspace 应用程序不会重新连接会话。
  • 针对智能卡身份验证进行配置后,Citrix Workspace 应用程序不支持虚拟专用网络 (VPN) 单点登录或会话预启动。要结合使用 VPN 与智能卡身份验证,请安装 Citrix Gateway 插件并通过 Web 页面登录,在每一步都使用智能卡和 PIN 进行身份验证。使用 Citrix Gateway 插件通过直通身份验证访问 StoreFront 不适用于智能卡用户。
  • Citrix Workspace 应用程序 Updater 与 citrix.com 通信,且 Merchandising Server 与 Citrix Gateway 上的智能卡身份验证不兼容。

警告

某些配置需要编辑注册表。注册表编辑器使用不当可能导致问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。在编辑注册表之前,请务必进行备份。

为智能卡身份验证启用 Single Sign-On

要配置适用于 Windows 的 Citrix Workspace 应用程序,请在安装期间包含以下命令行选项:

  • ENABLE\_SSON=Yes

    Single Sign-On 是另一个用于直通身份验证的术语。启用此设置可阻止 Citrix Workspace 应用程序第二次显示 PIN 提示。

  • 如果未安装 Single Sign-On 组件,请将 SSONCheckEnabled 设置为 false。此注册表项可阻止 Citrix Workspace 应用程序身份验证管理器查找 Single Sign-On 组件,因此允许 Citrix Workspace 应用程序向 StoreFront 进行身份验证。

    HKEY_CURRENT_USER\Software\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software\Citrix\AuthManager\protocols\integratedwindows\

要为 StoreFront 启用智能卡身份验证而非 Kerberos,请使用下面的命令行选项安装适用于 Windows 的 Citrix Workspace 应用程序。

  • /includeSSON 安装 Single Sign-On(直通)身份验证。启用凭据缓存以及使用基于域的直通身份验证。

  • 如果用户使用智能卡以外的适用于 Windows 的 Citrix Workspace 应用程序身份验证方法(如用户名和密码)登录端点,则命令行如下:

/includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

这样可阻止在登录时捕获凭据,并允许在登录 Citrix Workspace 应用程序时 Citrix Workspace 应用程序存储 PIN。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
  2. 转至管理模板 > Citrix 组件 > Citrix Workspace > 用户身份验证 > 本地用户名和密码
  3. 选择启用直通身份验证。根据配置和安全设置,选择允许对所有 ICA 执行直通身份验证选项以便能够使用直通身份验证。

配置 StoreFront:

  • 配置身份验证服务时,请选中智能卡复选框。

有关将智能卡用于 StoreFront 的详细信息,请参阅 StoreFront 文档中的配置身份验证服务

使用户设备支持使用智能卡

  1. 将证书颁发机构根证书导入设备的密钥库。
  2. 安装供应商的加密中间件。
  3. 安装和配置 Citrix Workspace 应用程序。

更改证书的选择方式

默认情况下,如果多个证书有效,则 Citrix Workspace 应用程序将提示用户从列表中选择证书。或者,可以将 Citrix Workspace 应用程序配置为使用默认证书(根据智能卡提供商)或近期即将过期的证书。如果没有有效的登录证书,则会向用户发出通知,并提供使用其他可用登录方法的选项。

有效证书必须具备以下所有特点:

  • 本地计算机上时钟的当前时间在证书有效期内。
  • 使用者公钥必须使用 RSA 算法且密钥长度为 1024 位、2048 位或 4096 位。
  • 密钥用法必须包含数字签名。
  • 使用者备用名称必须包含用户主体名称 (UPN)。
  • 增强型密钥用法必须包含智能卡登录和客户端身份验证或所有密钥用法。
  • 证书颁发者链条中的证书颁发机构之一必须匹配服务器在 TLS 握手时发送的允许的可分辨名称 (DN) 之一。

使用以下方法之一可更改证书的选择方式:

  • 在 Citrix Workspace 应用程序命令行中,指定选项 AM\_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry }

    默认有提示。对于 SmartCardDefault 或 LatestExpiry,如果有多个证书符合条件,则 Citrix Workspace 应用程序将提示用户从中选择一个证书。

  • 将以下注册表项值添加到注册表项 HKEY_CURRENT_USER 或 HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }。

在 HKEY_CURRENT_USER 中定义的值优先级高于 HKEY_LOCAL_MACHINE 中的值,可更好地帮助用户选择证书。

使用 CSP PIN 提示

默认情况下,向用户显示的 PIN 提示由适用于 Windows 的 Citrix Workspace 应用程序而不是智能卡加密服务提供程序 (CSP) 提供。Citrix Workspace 应用程序在需要时提示用户输入 PIN,然后将 PIN 传递给智能卡 CSP。如果您的站点或智能卡有更严格的安全要求(如不允许在每进程或每会话缓存 PIN),则可将 Citrix Workspace 应用程序配置为使用 CSP 组件以管理 PIN 条目,包括输入 PIN 的提示。

使用以下方法之一更改 PIN 条目的处理方式:

  • 在 Citrix Workspace 应用程序命令行中,指定选项 AM\_SMARTCARDPINENTRY=CSP
  • 将以下注册表项值添加到注册表项 HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Citrix\AuthManager: SmartCardPINEntry=CSP。