Produktdokumentation
Adaptive Authentifizierung
PDF anzeigen

Adaptiver Authentifizierungsdienst von Citrix

March 9, 2023
Beitrag von: 
C

Citrix Cloud-Kunden können mit Citrix Workspace die adaptive Authentifiizierung bei Citrix DaaS bereitstellen. Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der Kunden und Benutzern, die sich bei Citrix Workspace anmelden, eine verbesserte Authentifizierung ermöglicht. Die adaptive Authentifizierung ist ein von Citrix verwalteter und von Citrix Cloud gehosteter ADC mit verbesserten Authentifizierungsfunktionen, zum Beispiel:

Multifaktor-Authentifizierung: Die Multifaktor-Authentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identitätsnachweise vorlegen müssen, um Zugriff zu erhalten. Kunden können verschiedene Kombinationen von Faktoren im Multifaktor-Authentifizierungsmechanismus basierend auf den Geschäftsanforderungen konfigurieren. Einzelheiten finden Sie unter Beispielauthentifizierungskonfigurationen.

Gerätestatusscans: Benutzer können basierend auf dem Gerätestatus authentifiziert werden. Der Device Stature Scan, auch Endpoint Analysis Scan genannt, prüft, ob das Gerät konform ist. Wenn auf dem Gerät beispielsweise die neueste Betriebssystemversion ausgeführt wird, werden Service Packs und Registrierungsschlüssel festgelegt. Die Einhaltung der Sicherheitsrichtlinien umfasst Scans, um zu überprüfen, ob ein Antivirenprogramm installiert oder die Firewall aktiviert ist usw. Der Gerätestatus kann auch überprüfen, ob das Gerät verwaltet oder nicht verwaltet wird, ob es sich um ein unternehmenseigenes Gerät oder BYOL handelt.

Bedingte Authentifizierung: Basierend auf den Benutzerparametern wie Netzwerkstandort, Gerätestatus, Benutzergruppe, Tageszeit kann die bedingte Authentifizierung aktiviert werden. Sie können einen dieser Parameter oder eine Kombination dieser Parameter für die bedingte Authentifizierung verwenden. Beispiel für eine auf dem Gerätestatus basierende Geräteauthentifizierung: Sie können einen Gerätescan durchführen, um zu überprüfen, ob es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät oder BYOD handelt. Wenn es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät handelt, können Sie den Benutzer mit dem einfachen AD (Benutzername und Kennwort) herausfordern. Wenn es sich bei dem Gerät um ein BYOD handelt, können Sie den Benutzer mit der AD plus RADIUS-Authentifizierung herausfordern.

Wenn Sie virtuelle Apps und Desktops basierend auf dem Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen mithilfe von Citrix Studio-Richtlinien anstelle von Workspace durchgeführt werden. Wählen Sie beim Erstellen einer Bereitstellungsgruppe in der Einstellung Benutzer entweder die Option Verwendung dieser Bereitstellungsgruppe auf die folgenden Benutzer beschränken oder Authentifizierten Benutzern die Verwendung dieser Bereitstellungsgruppe erlauben aus. Dadurch wird unter “Bereitstellungsgruppe” die Registerkarte Zugriffsrichtlinie zum Konfigurieren des adaptiven Zugriffs aktiviert.

Kontextueller Zugriff auf Citrix DaaS: Adaptive Authentication ermöglicht kontextbezogenen Zugriff auf Citrix DaaS. Adaptive Authentication zeigt alle Richtlinieninformationen über den Benutzer an Citrix DaaS an. Administratoren können diese Informationen in ihren Richtlinienkonfigurationen verwenden, um die Benutzeraktionen zu steuern, die auf Citrix DaaS ausgeführt werden können. Eine Benutzeraktion kann beispielsweise das Aktivieren oder Deaktivieren des Zugriffs auf die Zwischenablage und die Druckerumleitung der Clientlaufwerke sein.

Der kontextbezogene Zugriff auf Secure Internet Access und andere Citrix Cloud-Dienste über Adaptive Authentication ist in den kommenden Versionen geplant.

Anpassung der Anmeldeseite: Adaptive Authentication hilft dem Benutzer, die Citrix Cloud-Anmeldeseite in hohem Maße anzupassen.

Adaptive Authentifizierungsfunktionen

Im Folgenden sind die Funktionen aufgeführt, die in Citrix Workspace mit adaptiver Authentifizierung unterstützt werden.

  • LDAP-Unterstützung (Active Directory)
  • LDAPS (Active Directory) -Unterstützung
  • Verzeichnisunterstützung für AD, Azure AD, Okta
  • RADIUS-Unterstützung (Duo, Symantec)
  • In AD + Token integrierte MFA
  • SAML 2.0
  • OAuth, OIDC-Unterstützung
  • Authentifizierung mit Client-Zertifikat
  • Bewertung des Gerätestatus (Endpunktanalyse)
  • Integration mit Drittanbieter-Authentifizierungsanbietern
  • Push-Benachrichtigung über die App
  • reCAPTCHA
  • Bedingte/richtliniengesteuerte Authentifizierung
  • Authentifizierungsrichtlinien für SmartAccess (kontextueller Zugriff)
  • Anpassung der Anmeldeseite
  • Self-Service-Kennwort zurücksetzen

Geteilte Sicherheitsverantwortung

Von Kunden benötigte Maßnahmen

Im Folgenden sind einige Maßnahmen der Kunden im Rahmen von Best Practices für die Sicherheit aufgeführt.

  • Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche für Adaptive Authentication: Der Kunde ist für die Erstellung und Verwaltung der Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche für Adaptive Authentication zuständig. Wenn der Kunde mit dem Citrix Support zusammenarbeitet, um ein Problem zu lösen, muss der Kunde diese Anmeldeinformationen möglicherweise an das Support-Personal weitergeben.

  • Sicherheit des Remote-CLI-Zugriffs: Citrix bietet Kunden Remote-CLI-Zugriff. Die Kunden sind jedoch dafür verantwortlich, die Sicherheit der Instanz während der Laufzeit zu gewährleisten.

  • Private SSL-Schlüssel: Da der Citrix ADC unter Kundenkontrolle steht, hat Citrix keinen Zugriff auf das Dateisystem. Kunden müssen sicherstellen, dass sie die Zertifikate und Schlüssel schützen, die sie auf der Citrix ADC-Instanz hosten.

  • Datenbackup: Erstellen Sie ein Backup von Konfiguration, Zertifikaten, Schlüsseln, Portalanpassungen und alle anderen Dateisystemänderungen.

  • Datenträgerimages der ADC-Instanzen: Pflegen und verwalten Sie den Citrix ADC-Speicherplatz und die Datenträgerbereinigung. Der Kunde ist dafür verantwortlich, diese Aufgaben sicher auszuführen.

  • Upgrade: Planen Sie das Upgrade der Adaptive Authentication-Instanzen Einzelheiten finden Sie unter Planen eines Upgrades Ihrer Adaptive Authentication-Instanzen.

  • Aktualisieren Sie die Adaptive Authentication-Instanzen nicht auf zufällige RTM-Builds. Alle Upgrades werden von Citrix Cloud verwaltet.

  • Da die Upgrades der Adaptive Authentication-Instanz von Citrix verwaltet werden, müssen Kunden sicherstellen, dass im VAR-Verzeichnis genügend Speicherplatz für das Upgrade vorhanden ist. Einzelheiten zum Freigeben von Speicherplatz im VAR-Verzeichnis finden Sie unter So geben Sie Speicherplatz im VAR-Verzeichnis für die Protokollierung von Problemen mit einer Citrix ADC-Appliancefrei.

  • Ändern Sie den Status für hohe Verfügbarkeit nicht von ENABLED auf STAY PRIMARY oder STAY SECONDARY. Der Hochverfügbarkeitsstatus muss für die adaptive Authentifizierung AKTIVIERT sein.

  • Ein Beispiel für eine LDAPS-Konfiguration mit Lastausgleich finden Sie unter Beispiel für eine LDAPS-Konfiguration mit Lastausgleich.

Erforderliche Maßnahmen sowohl vom Kunden als auch von Citrix

  • Disaster Recovery: In unterstützten Azure-Regionen werden die Citrix ADC-Hochverfügbarkeitsinstanzen zum Schutz vor Datenverlust in separaten Verfügbarkeitszonen bereitgestellt. Im Falle eines Azure-Datenverlusts stellt Citrix so viele Ressourcen im von Citrix verwalteten Azure-Abonnement wie möglich wieder her.

    Im Falle des Verlusts einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region wieder aufzubauen und ein neues VNet-Peering zu erstellen.

  • Sicherer Zugriff über die IP-Adresse der öffentlichen Verwaltung:

    Sichern Sie den Zugriff auf die Verwaltungsschnittstellen durch zugewiesene öffentliche IP-Adressen und ermöglichen Sie ausgehende Verbindungen zum Internet.

Einschränkungen

  • Das Hochladen von Zertifikatsbündeln wird nicht unterstützt
  • Der Lastenausgleich mit dem RADIUS-Server wird nicht unterstützt.
  • Die RADIUS-Authentifizierung ist für einige Minuten beeinträchtigt, wenn der Connector, der die RADIUS-Anforderung bedient, ausfällt. In diesem Fall muss sich der Benutzer erneut authentifizieren.

  • DNS-Tunneling wird nicht unterstützt. Statische Datensätze müssen auf der Citrix ADC Appliance für die FQDNs hinzugefügt werden, die in Authentifizierungsrichtlinien/-profilen (LDAP/RADIUS) für Authentifizierungsserver im on-premises Rechenzentrum des Kunden verwendet werden. Einzelheiten zum Hinzufügen statischer DNS-Einträge finden Sie unter Erstellen von Adressdatensätzen für einen Domänennamen.

  • Das Testen der Netzwerkkonnektivität im LDAP-Profil zeigt möglicherweise ein falsches Ergebnis wie “Server ist erreichbar”, auch wenn die Verbindung zum LDAP-Server nicht hergestellt wurde. Fehlermeldungen wie “Port ist nicht geöffnet” oder “Server ist kein LDAP” werden möglicherweise angezeigt, um auf den Fehler hinzuweisen. Citrix empfiehlt, die Ablaufverfolgungen in diesem Szenario zu sammeln und die Fehlerbehebung weiter
  • Damit EPA-Scans unter macOS funktionieren, müssen Sie die Standard-ECC-Kurven an den virtuellen Authentifizierungs- und Autorisierungsserver binden, indem Sie die Option ECC-Kurve als ALLauswählen.

Qualität der Dienstleistungen

Adaptive Authentication ist ein Dienst mit hoher Verfügbarkeit (Aktiv-Standby).

Adaptiver Authentifizierungsdienst von Citrix
March 9, 2023
Beitrag von: 
C
March 9, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.