So profitieren Citrix-Kunden von der bedingten Authentifizierung
Conditional Authentication für die Citrix Cloud
Citrix bietet seinen Kunden ab sofort mehr Flexibilität bei der Authentifizierung. Mit Conditional Authentication lassen sich verschiedenen Benutzergruppen automatisch unterschiedliche Authentifizierungsmethoden zuweisen – praktisch zum Beispiel für die Anbindung externer Anwender und Dienstleister. Die neue Funktion ist seit Ende Dezember für alle Citrix Cloud-Kunden verfügbar.
Das Produkt
Was ist Conditional Authentication?
Conditional Authentication ist eine neue Security-Funktion, mit der Unternehmen die Sicherheit ihrer Citrix Cloud-Infrastruktur weiter erhöhen können. Administratoren haben damit die Möglichkeit, Anwender während des Workspace-Anmeldevorgangs richtlinienbasiert an verschiedene Identity Provider (IdP) wie EntraID, Okta oder Google Cloud Identity weiterzuleiten. Bisher wurde in der Citrix Cloud jeweils nur ein Authentifizierungsdienst pro Tenant nativ unterstützt.
Mittels Adaptive Authentication war es zwar auch bisher schon möglich, mehrere Authentifizierungsverfahren für den Zugriff auf eine Citrix Cloud-Umgebung zu nutzen – allerdings setzte diese Funktion den Einsatz von NetScaler nFactor voraus. Für die Kunden bedeutete dies eine höhere Komplexität und zusätzlichen Administrationsaufwand. Mit Conditional Authentication entfällt dieser Aufwand und die Konfiguration von Identity und Access Management (IAM) wird deutlich einfacher.
Der Mechanismus dahinter
Wie funktioniert Conditional Authentication?
Die bedingte Authentifizierung basiert auf individuell definierten Richtlinien, die im Anmeldeprozess automatisch von einer Policy Engine angewendet werden. Citrix Cloud-Administratoren legen in diesen Richtlinien fest, zu welcher IdP-Instanz der Endanwender bei der Anmeldung weitergeleitet werden soll. Dabei lassen sich aktuell vier verschiedene Bedingungen berücksichtigen:
Workspace URL: Anfang letzten Jahres hat Citrix die Funktion Multi-Workspace URL eingeführt. Diese erlaubt es, unterschiedliche URLs für den Zugriff auf eine Citrix-Umgebung zu vergeben. Jede dieser Workspace URLs kann nun durch Conditional Authentication mit einer eigenen IdP-Instanz verknüpft werden. Zudem ist es auch möglich, mehrere Workspace-URLs derselben Richtlinie zuzuordnen. Alle Anwender, die eine dieser URLs aufrufen, werden dann an dieselbe IdP-Instanz weitergeleitet.
AD-Benutzergruppe: Administratoren können IdP-Instanzen für verschiedene Gruppen von Active Directory-Benutzern definieren. Je nach Gruppenzugehörigkeit gelten dann unterschiedliche Authentifizierungsanforderungen.
UPN-Suffix: IdP-Instanzen lassen sich auch für ein oder mehrere UPN-Suffixe wie username1@domain.com oder username2@domain.net konfigurieren. Dies erleichtert die Umsetzung von domänenspezifischen Sicherheitsanforderungen.
Domain-Down-Level-Anmeldename: Authentifizierungen können schließlich auch über Down-Level-Anmeldenamen gesteuert werden. Dazu müssen Administratoren eine IdP-Instanz einem oder mehreren Domainnamen zuweisen – zum Beispiel DOMAIN1\username1 oder DOMAIN1.COM\username1.

Das Zusammenspiel im System
Wie spielen Conditional Authentication, Multi-Workspace URL und Resource Filtering zusammen?
In vielen Unternehmen sollen unterschiedliche interne und externe Benutzergruppen Zugriff auf dieselbe Citrix-Umgebung erhalten. Mit der Funktion Multi-Workspace URL legt die IT-Abteilung zunächst für jede dieser Benutzergruppen eine eigene Zugriffsadresse fest. Bis zu zehn unterschiedliche URLs können dabei vergeben werden. Das Branding der Zugriffsseite lässt sich für jede dieser URLs individuell anpassen. So wissen die Anwender sofort, dass sie die richtige URL aufgerufen haben.
Beim Anmeldeprozess weist Conditional Authentication dem Anwender dann die von der IT vorgesehene Authentifizierungsmethode zu. Die Policy Engine berücksichtigt dabei automatisch die festgelegten Regeln und Bedingungen. Ein Anwender, der also zum Beispiel eine bestimmte Workspace URL aufgerufen hat UND Mitglied einer bestimmten AD-Benutzergruppe ist, wird direkt zur Multi-Faktor-Authentifizierung via OKTA weitergeleitet.
Nach der erfolgreichen Authentifizierung greift dann das Resource Filtering von Citrix. Dem Anwender werden alle Anwendungen, Desktops und Dienste angezeigt, die für sein Zugriffsprofil freigegeben sind. Alle anderen Ressourcen sind ausgeblendet.
Gute Gründe
Was sind die Vorteile von Conditional Authentication?
- Verbesserte Sicherheit: Citrix unterstützt mit Conditional Authentication eine Zero-Trust-Strategie, bei der Benutzer je nach Kontext zu unterschiedlichen IdPs geleitet werden. Dies reduziert das Risiko, dass unbefugte Benutzer oder unsichere Geräte auf Unternehmensressourcen zugreifen.
- Granulare Kontrolle über die Authentifizierung: Administratoren können nun detaillierte Richtlinien basierend auf Benutzergruppen, Workspace-URLs oder Domänenzugehörigkeit erstellen, um maßgeschneiderte Authentifizierungsprozesse zu definieren. Dies erleichtert die Absicherung von Benutzerzugriffen in großen, komplexen Umgebungen.
- Unterstützung für Multi-Tenant- und Multi-Domain-Umgebungen: Conditional Authentication eignet sich auch sehr gut für Multi-Tenant- und Multi-Domain-Szenarien. Authentifizierungsmethoden lassen sich so beispielsweise über unterschiedliche Geschäftsbereiche oder Regionen hinweg einheitlich verwalten.
- Vereinfachter Zugriff für externe Benutzer: Die Kombination von Conditional Authentication, Multi-Workspace URL und Resource Filtering erleichtert die Anbindung von externen Anwendern. So können auch diese sicher und unkompliziert auf Unternehmensressourcen zugreifen.
- Anpassbare Authentifizierungsabläufe: Conditional Authentication ermöglicht es, den Anmeldeprozess individuell anzupassen und zum Beispiel Multi-Faktor-Authentifizierung (MFA) nur unter bestimmten Bedingungen zu verlangen. Dies erhöht die Benutzerfreundlichkeit, ohne die Sicherheit zu vernachlässigen.

Die Anwendbarkeit
Wann ist Conditional Authentication hilfreich?
Wir haben bereits vor kurzem einen konkreten Use Case bei einem unserer Kunden identifiziert. Das Unternehmen möchte eine Trainingsumgebung für Kunden und Partner und eine Produktivumgebung unter einem Citrix Cloud Tenant zusammenführen. Mit Hilfe von Conditional Authentication können wir nun die Produktivumgebung mit EntraID verbinden, während die Authentifizierung in der Trainingsumgebung über Citrix Cloud MFA und Active Directory erfolgt. Die jeweilige Authentifizierungsmethode wird den Benutzern automatisch zugewiesen.
Die Einsatzgebiete
Weitere mögliche Use Cases für Conditional Authentication sind zum Beispiel:
Unternehmenszusammenschlüsse und Übernahmen:
Während des Fusionsprozesses kann es notwendig sein, Benutzer aus unterschiedlichen Organisationen an unterschiedliche IdPs zu leiten. Dies stellt sicher, dass sie über die richtige Authentifizierungsinfrastruktur auf die Unternehmensressourcen zugreifen.
Anbindung von Partnern und Dienstleistern:
Wenn externe Anwender Zugriff auf Citrix Workspace benötigen, können sie über spezifische Workspace-URLs mit einem dedizierten IdP verbunden werden. Dadurch lassen sich andere Sicherheitsrichtlinien als für interne Mitarbeiter definieren und durchsetzen.
Große Unternehmen mit verteilten Niederlassungen:
In großen Unternehmen mit mehreren Standorten oder Geschäftsbereichen können unterschiedliche Authentifizierungsanforderungen bestehen. Mit Conditional Authentication können Benutzer je nach Abteilung, Gruppe oder Region an unterschiedliche IdPs weitergeleitet werden.
Conditional Authentication unterstützt so die durchgängige Umsetzung einer Zero-Trust-Strategie und erhöht die Flexibilität beim Management von Zugriffsrichtlinien in komplexen Unternehmensstrukturen.

Die Verwendung
Erste Schritte mit Conditional Authentication
Sobald Conditional Authentication für Ihren Tenant aktiviert wurde, finden Sie unter „Identity and Access Management > Authentication“ die Option „Add an identity provider”. Über diese neue Schaltfläche können Sie ganz einfach weitere IdPs zu Ihrer Umgebung hinzufügen.
Wählen Sie dazu einfach die erforderlichen IdPs aus und vergeben Sie einen Namen dafür. Sie können übrigens auch mehrere IdPs desselben Typs hinzufügen – also zum Beispiel verschiedene EntraID-Mandanten.
Sobald Sie alle erforderlichen IdPs hinzugefügt haben, erstellen Sie ein Conditional Authentication Profile. Dieses Profil enthält die Richtlinien für die bedingte Authentifizierung. Jede dieser Richtlinien besteht aus einer oder mehreren Bedingungen, die den Benutzer zu einem bestimmten IdP leiten. Über Richtlinienprioritäten lässt sich steuern, welche Richtlinien zuerst angewendet werden sollen.
Nach der Konfiguration der erforderlichen Richtlinien im Profil können Sie die Conditional Authentication aktivieren. Für die Workspace-Authentifizierung ist dabei jeweils nur ein Profil aktiv. Sie können aber zu Testzwecken auch unterschiedliche Profile erstellen und bei Bedarf zwischen diesen wechseln.
Fazit und Ausblick
Wie geht es mit Conditional Authentication weiter?
Aus unserer Sicht ist Conditional Authentication eine wirklich nützliche Erweiterung für viele Citrix-Kunden – insbesondere für Organisationen mit komplexen Infrastrukturen und hohen Sicherheitsanforderungen. Mittlerweile hat Citrix auch bereits Erweiterungen für den Dienst angekündigt. So sollen zukünftig weitere Filterbedingungen wie der Netzwerkstandort und der Gerätezustand in die Policy Engine integriert werden. Damit können Administratoren unterschiedliche Authentifizierungsverfahren festlegen – je nachdem, ob die Anwender im Büro oder zu Hause arbeiten und welche Sicherheitsanforderungen ihr Endgerät erfüllt.
Schreiben Sie uns einfach eine E-Mail an vertrieb@if-tech.de oder rufen Sie uns an unter 089/200066920, wenn Sie mehr über Conditional Authentication erfahren möchten. Gerne besprechen wir mit Ihnen mögliche Einsatzszenarien in Ihrer Citrix-Umgebung.
Sie haben Fragen?
Sprechen Sie uns an!
„*“ zeigt erforderliche Felder an
