自定义安全和隐私策略
本文提供了在配置了工作区访问和身份验证之后如何自定义登录体验的指导。
有关配置工作区访问和身份验证所涉及的步骤的概述,请访问配置访问.有关如何将订阅者身份验证配置到工作区的信息,请访问安全工作区.
创建统一的用户登录流程
如果配置了Citrix Content Collaboration,则可以在员工经常与组织外的用户共享内容时创建员工用户和客户端用户。有关为思杰内容协作创建员工和客户端用户的详细信息,请访问人设置
默认的登录体验是员工用户和客户端(外部)用户的分屏。
若要删除分屏,请导航到工作空间配置>鉴权>用户统一登录流程并选择启用.启用此功能将为所有用户提供相同的登录选项。
为Web设置不活动超时
使用Web不活动超时设置在>自定义>首选项指定订阅者自动从Citrix工作区签出之前允许的空闲时间(最多8小时)。此设置仅适用于浏览器访问,不适用于从本地安装的Citrix Workspace应用程序进行访问。
与手动签出断开DaaS会话不同,订阅者在由于不活动而超时后仍保持与DaaS会话的连接。
设置Citrix Workspace应用程序的重新认证周期
使用工作区应用程序的重新验证周期设置在>自定义>首选项以指定订阅者在需要再次登录之前可以登录到Citrix Workspace应用程序的时间长度。
默认情况下,此设置要求订阅者每24小时(一天)登录一次。可以指定更长的重新认证周期,最多365天。较长的重新身份验证期间要求订阅者同意保持已登录状态。在2021年9月27日之后发放的用户,需要30天的时间才能再次登录。
在您设置的重新身份验证期间,订阅者将保持登录状态,除非他们一次处于非活动状态14天或更长时间。如果订阅者处于非活动状态14天或更长时间,则会提示他们在下次尝试访问工作区时重新进行身份验证。
您可以通过下载此文件使订阅者的会话失效PowerShell脚本并遵循下载中包含的说明。一旦使会话无效,订阅者必须在接下来的24小时内重新验证到他们的工作区。
如果您需要将Citrix Workspace应用程序的重新验证周期设置为小于24小时,您可以通过PowerShell来实现。有关更多信息,请参见配置InactivityTimeoutInMinutes的步骤.
支持的工作区应用程序客户端
以下版本的Citrix Workspace应用程序支持此功能:
- Windows或更高版本的工作区应用程序2106
- Mac或更高版本的工作区应用程序2106
- iOS 21.6.5或更高版本的工作区应用程序
- Android 21.6.0及以上版本的工作区应用
支持的身份验证方法
Citrix Workspace应用程序支持以下身份验证方法:
- 活动目录
- 活动目录加令牌
- Azure活动目录
- Citrix网关
- Okta
注意:
要获得与使用Okta或Azure Active Directory的Citrix DaaS客户相同的体验,请配置Citrix联邦身份验证服务(FAS)。有关FAS的更多信息,请参见使用Citrix联邦身份验证服务为工作区启用单点登录.
保持登录的订阅用户体验
当订阅者在其设备上登录到Workspace时,Workspace会提示他们同意继续登录。
当订阅者选择允许,它们在重新身份验证期间保持登录状态。如果在用户设备上连续四天没有检测到任何活动,则会自动提示用户重新进行身份验证。在他们登录到Citrix Workspace应用程序后,只要他们在设备上使用他们的应用程序和桌面,重新认证期限就会继续有效。
如果订阅者选择否认,工作区提示订阅者再次登录。之后,在24小时过后,Workspace会提示订阅者再次登录。
如果订阅者的密码更改,订阅者必须登出并在重新验证期间通过Citrix Workspace应用程序再次登录才能继续工作。
允许订阅者更改其帐户密码
注意:
该功能正在逐步向客户推出。在完成推出过程之前,您可能无法看到该特性。
Citrix的目标是在新功能和产品更新可用时向Citrix Workspace客户交付。这个过程对您来说是透明的。初始更新仅应用于Citrix内部站点,然后逐渐应用于客户环境。增量地交付更新有助于确保产品质量和最大化可用性。
的允许修改帐号密码设置在>自定义>首选项控制订阅者是否可以在Citrix工作区内更改其域密码。您还可以为订阅者提供指导,以便他们能够根据组织的密码策略创建有效的密码。
启用后(默认),订阅者可以根据组织的活动目录设置随时更改密码。如果禁用,工作区将提示订阅者在密码过期时更改密码,但他们无法在工作区中更改未过期的密码。
支持的身份验证方法
- 活动目录
- 活动目录加令牌
支持的工作区应用程序客户端
以下版本的Citrix Workspace应用程序支持此功能:
- Windows 2101或更高版本的工作区应用程序
- Mac 2012或更高版本的工作区应用程序
- Chrome 2010或更高版本的工作空间应用程序
- HTML5 2101或更高版本的工作区应用程序
- Android 21.1.0或更高版本的工作区应用程序
订阅者在使用最新版本的Edge、Chrome、Firefox或Safari网络浏览器访问工作区时也可以使用此功能。
此功能不支持旧版本的Citrix Workspace应用程序和Citrix Workspace应用程序for Linux。
密码的指导
您最多可以添加20个密码要求,以满足您组织的安全策略和您的身份提供者强制执行的密码要求。当订阅者更改密码时,工作区将显示这些需求作为指南帐户设置页面在工作区。如果您不添加任何密码要求,Workspace将显示消息“您组织的密码要求仍然适用”。
重要的是:
Citrix Workspace不会验证订阅者输入的新密码。如果订阅者试图通过Workspace将其有效密码更改为无效密码,您的身份提供程序将拒绝新密码。没有修改现有密码。
增加密码要求。
- 导航到>自定义>首选项.
- 下允许修改帐号密码,检查设置是否开启。如果未启用,请启用该设置。
选择添加密码要求.
输入与组织对有效密码的安全要求相匹配的要求。例如,您可以指定密码必须是某个字符长度。选择添加密码要求在订阅者更改密码时为其添加更多项。
- 当您完成添加需求时,请选择保存.
选择保存再次保存所有设置更改。
更改密码时的用户体验
提示:
为了提高订阅者对此特性的认识,可以考虑在内部知识库中建议订阅者通过Workspace更改域密码。下载此PDF档案您可以在自己的通信和知识库文章中包含相关说明。
当允许修改帐号密码已启用,订阅者可以通过转到帐户设置>安全与登录.
选择查看密码要求显示您输入的所有需求工作空间配置.
订阅者在更改密码后将自动从Workspace签出,并且必须使用新密码再次登录。
配置自定义横幅
配置自定义横幅以显示您选择的限时消息,例如即将到来的维护窗口。
自定义横幅将显示给所有客户端(包括web和移动设备)中的所有订阅者。订阅者登录后会看到横幅。订阅者不能删除这个横幅,但他们可以在移动设备上折叠它。
- 从Citrix云菜单中,选择工作空间配置>自定义>首选项>自定义横幅>配置.
- 输入要显示的消息的标题和文本,并选择向订阅者显示横幅的日期、时间和位置(顶部或底部)。
- 要查看您的横幅如何显示给订阅者,请选择预览.
- 完成后,选择保存.
配置登录策略
创建自定义登录策略,以便在订阅者登录到其工作空间时通知他们您组织的最终用户许可协议(EULA)。
启用并配置后,登录策略将显示在所有客户端上,包括web和移动设备。订阅者在登录时可以看到登录策略。订阅者不能绕过该策略,必须接受该策略才能登录到他们的工作区。
- 从Citrix云菜单中,选择>自定义>首选项.
- 在签到策略部分中,选择配置.如果存在策略,则该按钮读取编辑,而不是。
- 下的切换启用该特性使政策.
- 在政策的头,输入策略的标题。
- 输入订阅者在登录前必须同意的策略文本。如果需要,在同一文本框中添加其他语言的本地化文本。
为订阅者必须选择以同意策略的按钮输入名称。
- 选择预览查看订阅者的策略。
- 完成后,选择保存.
请注意
如果您将Citrix Gateway配置为您的Workspace身份提供者,那么您可能已经将登录策略作为AAA和nFactor身份验证流程的一部分。Citrix建议您只配置一个登录策略,可以作为现有nFactor身份验证流的一部分,也可以使用Citrix Cloud管理控制台在流之外配置。