自定义安全和隐私政策
本文提供有关如何在配置完 Workspace 访问和身份验证后自定义登录体验的指导。
有关配置工作区访问和身份验证的概述,请访问 配置访问。 有关如何配置工作区订阅者身份验证的信息,请访问 配置身份验证。
工作区会话
使用 工作区配置 > 自定义 > 首选项 中的 工作区会话设置 来选择用户何时需要输入其凭据以及用户保持登录状态的时间。 更新设置后,按 保存 应用设置或按 恢复 取消设置。
始终提示最终用户输入其凭证
启用(默认)后,当需要新的 Workspace 会话时,Workspace 会强制向身份提供者发出登录提示。 对于 OIDC 身份验证,Workspace 在身份验证请求中包含 prompt=login 。 对于 SAML 身份验证,Workspace 在身份验证请求中发送 ForceAuthn=true 。
禁用时,如果身份提供者已经具有有效会话,则可能不会提示用户向身份提供者进行身份验证。
Web 浏览器不活动超时
使用 Web 浏览器不活动超时 设置来指定用户自动退出 Citrix Workspace 之前允许的空闲时间量(最多 8 小时)。 只有与 Workspace 的交互(例如刷新页面或启动应用程序)才算活动。
与断开 DaaS 会话的手动注销不同,即使因不活动而超时,用户仍能保持与其 DaaS 会话的连接。 用户未从其身份提供者中注销。 因此,如果“ 始终提示最终用户输入其凭据 ”处于关闭状态,则用户可能无需输入其凭据即可重新登录。
另请参阅 配置每个网络连接类型的超时。
Workspace 应用程序不活动超时
桌面
使用 Workspace 应用程序不活动超时 设置的 桌面 选项来指定在用户自动退出适用于 Windows、Mac 和 Linux 的 Citrix Workspace 应用程序之前允许的空闲时间量(最多 24 小时)。 任何与鼠标或键盘的交互都算作活动并延长超时。
与手动注销(断开 DaaS 会话)不同,即使因不活动而超时,订阅者仍然保持与其 DaaS 会话的连接。
您可以使用 PowerShell 模块修改设置。 使用 Set-WorkspaceCustomConfiguration cmdlet 和参数 InactivityTimeoutInMinutes。
另请参阅 配置每个网络连接类型的超时。
移动
使用 Workspace 应用程序不活动超时 设置的 移动 选项来指定 Citrix Workspace 应用程序锁定之前允许的空闲时间量(最多 24 小时)。 这适用于适用于 iOS 和 Android 的 Citrix Workspace 应用程序。 一旦锁定,用户必须使用生物识别技术或其设备 PIN 来解锁 Citrix Workspace 应用程序。 如果设备上未启用生物识别技术,则用户将被注销。
您可以使用 PowerShell 模块修改设置。 使用 Set-WorkspaceCustomConfiguration cmdlet 和参数 InactivityTimeoutInMinutesMobile。
另请参阅 配置每个网络连接类型的超时。
为每个网络连接类型配置超时
您可以根据用户是在您的内部网络、已知的外部网络还是其他任何地方,以不同的方式配置 Web、桌面和移动超时。 例如,您可以为连接到内部网络的设备配置更短的超时时间。
要配置网络连接类型的超时:
- 确保 Adaptive Access 已启用。
- 根据用户的公共 IP 地址,定义 网络位置 代表您的内部位置和外部已知位置。 如果用户的 IP 地址与网络位置不匹配,则其网络连接类型被视为未定义。
- 从 Citrix Workspace PowerShell 模块,使用
Internal、External或Undefined参数调用Set-StoreClientLocationConfigurationcmdlet。 参数值必须是一个哈希表,其键为inactivityTimeoutInMinutesWeb、inactivityTimeoutInMinutesDesktop或inactivityTimeoutInMinutesMobile,值以分钟为单位给出时间。
如果您没有为网络连接类型配置特定的超时,则将使用非位置特定的超时。
重要:
如果用户设备移动到具有不同连接类型的网络,则新的超时不会立即应用。 Citrix Workspace 应用程序每 90 分钟更新一次超时。 如果使用网络浏览器,则超时会在用户下次刷新网页时更新。
保持登录到 Workspace 应用程序
使用 保持登录到 Workspace 应用程序 设置来指定用户在需要再次登录之前可以保持登录到 Citrix Workspace 应用程序的时间长度。 这些设置不适用于网络浏览器。
认证期限 定义了用户必须重新认证之前的最长时间。 默认情况下,该值设置为 30 天,但您可以配置 1 到 365 天之间的值。 如果期限超过 1 天,则用户在进行身份验证时必须同意保持登录状态。
不活动期 定义了用户在必须重新认证之前可以处于不活动状态的时间。 默认情况下为 4 天,但您可以将其配置为 1 天到重新认证期之间的值。 如果用户处于不活动状态的时间超过此值,则下次尝试访问其工作区时,系统将提示他们重新进行身份验证。 要在桌面上设置少于 24 小时的不活动时间,请使用 工作区应用程序不活动超时 设置的 桌面 选项。
通过下载此 PowerShell 脚本 并按照下载中包含的说明操作,可以使订阅者的会话失效。 使会话失效后,订阅者必须在接下来的 24 小时内对其工作区重新进行身份验证。
支持的 Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 的 Workspace 应用程序 2106 或更高版本
- 适用于 Mac 的 Workspace 应用程序 2106 或更高版本
- 适用于 iOS 的 Workspace 应用程序 21.6.5 或更高版本
- 适用于 Android 的 Workspace 应用程序 21.6.0 或更高版本
支持的身份验证方法
以下身份验证方法支持保持对 Citrix Workspace 应用程序的登录状态:
- Active Directory
- Active Directory 加令牌
- 恩特拉身份证
- Citrix Gateway
- Okta
注意:
要获得与使用 Okta 或 Azure Active Directory 的 Citrix DaaS 客户相同的体验,请配置 Citrix 联合身份验证服务 (FAS)。 有关 FAS 的更多信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录。
保持登录状态的订阅者体验
当订阅者在其设备上登录 Workspace 时,Workspace 会提示他们同意保持登录状态。
当订阅者选择 允许 选项时,他们会在重新认证期间保持登录状态。 如果在配置的天数内未在订阅者的设备上检测到任何活动,则会自动提示订阅者重新进行身份验证。 登录 Citrix Workspace 应用程序后,只要他们在设备上使用应用程序和桌面,重新身份验证期限就会一直有效。
如果订阅者选择 拒绝,系统可能会提示用户再次登录。 之后,Workspace 会提示订阅者在 24 小时后再次登录。
如果订阅者的密码发生更改,则订阅者必须注销并通过 Citrix Workspace 应用程序重新登录,才能继续使用重新身份验证期。
允许最终用户更改其帐户密码
如果您使用 Active Directory 或 Active Directory (AD) 加令牌身份验证,那么您可以选择用户是否可以更改其密码。 启用后(默认),用户可以根据组织的 Active Directory 设置随时更改其密码。 如果禁用,Workspace 会在密码过期时提示订阅者更改密码,但他们无法在 Citrix Workspace 内更改未过期的密码。 要配置此项:
- 导航到 Workspace 配置 > 自定义 > 首选项。
- 转到部分 允许更改帐户密码。
-
切换 启用。
- 按 保存 保存任何更改。
您最多可以添加 20 个密码要求,以满足贵组织的安全策略并由身份提供商强制执行。 当订阅者从 Workspace 的“帐户设置”页面更改密码时,Workspace 会将这些要求显示为指南。 如果您未添加任何密码要求,Workspace 会显示消息“您所在组织的密码要求仍然适用。”
要添加密码要求,请执行以下操作:
-
如果当前没有密码要求,请选择 添加密码要求。 如果已经至少有一个密码要求,则选择 编辑。
-
输入符合贵组织对有效密码的安全要求的要求。 例如,您可以指定密码必须为特定的字符长度。 选择 添加密码要求可在 订阅者更改密码时为其添加更多项目。
-
添加完需求后,选择 保存。 您可以扩展需求列表:
-
再次选择“保存”以保存所有设置更改。
支持的 Citrix Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 2101 或更高版本的 Citrix Workspace 应用程序
- 适用于 Mac 的 Citrix Workspace 应用程序 2012 或更高版本
- 适用于 Chrome 2010 或更高版本的 Citrix Workspace 应用程序
- 适用于 HTML5 2101 或更高版本的 Citrix Workspace 应用程序
- 适用于 Android 的 Citrix Workspace 应用程序 21.1.0 或更高版本
订阅者从 Web 浏览器访问工作区时也可以使用此功能。
以下设备不支持此功能:
- 旧版本的 Citrix Workspace 应用程序
- 适用于 Linux 的 Citrix Workspace 应用程序
更改密码时的最终用户体验
提示:
要提高订阅者对该功能的认识,请考虑在内部知识库中包含一项建议,让订阅者通过 Workspace 更改其域密码。 下载 pdf 文件 获取可包含在您自己的通信和知识库文章中的说明。
当启用 允许更改帐户密码 时,最终用户可以通过转到 帐户设置 > 安全 & 登录在工作区中更改他们的密码。
选择查看密码要求以显示您在 Workspace 配置中输入的所有要求。
用户更改密码后会自动注销,必须使用新密码重新登录。
发送自定义公告
您可以在给定的时间段内向用户发送自定义公告,例如通知他们即将进行的维护。 您可以为每个工作区配置默认公告以及覆盖。 每个工作区只能配置一个公告。
添加公告
- 导航到 工作区配置 > 自定义 > 首选项 > 发送自定义公告。
- 要添加适用于没有活动覆盖的工作区的公告,请选择 添加默认通知。 要为特定工作区添加公告,请选择 添加覆盖通知。
- 如果您添加了覆盖公告,请选择适用该公告的工作区。 这不适用于默认公告。
- 输入 公告标题。
- 输入 描述文本。
- 输入公告出现的时间段。
- 选择将公告放在顶部还是底部。
- 要查看您的消息如何显示给用户,请选择 预览。
- 完成后,选择“保存”。
删除公告
- 在包含公告的行中,选择 … 打开菜单,然后选择 删除。
- 在确认窗口中,选择 删除。
编辑公告
- 在包含公告的行中,选择 … 打开菜单,然后选择 编辑。
- 根据需要进行更改。
- 选择 保存。
配置登录前显示的自定义对话框
创建在用户登录前显示的自定义对话框。 它显示在所有客户端上,包括网络、桌面和移动设备。 您可以使用它来显示公司使用政策或即将到来的维护窗口等信息。 用户必须接受该对话框才能进入登录屏幕。
- 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项。
- 导航到 登录对话框 部分。
-
如果未启用,请选择标有 的切换按钮,登录前。 如果已经启用,请单击 编辑 按钮。
- 将出现一个配置对话框。
- 输入对话框的 标题 。
- 输入要在对话框中显示的 描述 。 无法本地化文本,但是您可以在描述中添加多种不同的语言。
-
输入 按钮文本。 用户必须按下此按钮才能继续。
- 选择 预览 查看对话框对于最终用户的外观。
- 完成后,选择“保存”。
注意:
如果您已将 Citrix Gateway 配置为您的 Workspace 身份提供程序,则您可能已经将登录策略作为 AAA 和 nFactor 身份验证流程的一部分。 Citrix 建议您仅配置一个登录策略,可以作为现有 nFactor 身份验证流程的一部分,也可以使用 Citrix Cloud 管理控制台在流程之外配置。
配置登录后显示的自定义对话框
您可以配置用户登录后显示的自定义对话框。 它显示在所有客户端上,包括网络、桌面和移动设备。 您可以使用它来显示公司使用政策或即将到来的维护窗口等信息。 用户必须接受该对话框才能继续使用其资源。
管理员可以决定每个设备显示对话框的频率,即仅显示一次、每天显示一次、每 7 天显示一次或每 30 天显示一次。
注意:
当用户清除缓存和 cookie 时,对话框会再次出现。
- 从 Citrix Cloud 菜单中,选择 Workspace Configuration > Custom > Preferences。
- 导航到 登录对话框 部分。
-
如果未启用,请选择标有 的切换按钮,登录后 即可启用。 如果已经启用,请单击 编辑 按钮。
出现配置对话框。
- 输入对话框的 标题 。
- 输入要在对话框中显示的 描述 。 无法本地化文本。 但是,您可以在描述中附加多种不同的语言。
- 输入 按钮文本。 用户必须按下此按钮才能继续。
-
输入显示频率选项,以确定每个用户看到对话框的频率。
- 选择 预览 查看对话框对于最终用户的外观。
- 自我审查后,选择 保存。