Skip to main content
Skip table of contents

Verwendung der Smart Card- und Smart Key-Authentifizierung in IGEL OS 12

In IGEL OS 12 können Sie die Smartcard-Authentifizierung für Microsoft Azure Virtual Desktops (AVD) aktivieren, indem Sie Microsoft Entra Zertifikat-Based Authentication (CBA) nutzen. Dieser Artikel führt Sie durch die notwendigen Konfigurationen. Sie können auch den Blogbeitrag für einen Überblick lesen: https://www.igel.com/blog/authentication-to-windows-365-with-igel-smart-card/.

Weitere Informationen zu den von IGEL unterstützten Common Access Card (CAC) / Personal Identity Verification (PIV) Smart Cards und Yubikey PIV finden Sie unter https://www.igel.com/blog/cac-piv-smart-cards-yubikey-and-more-insider-tips-on-how-igel-os-use-both/ .


Voraussetzungen

  • IGEL OS Base System Version 12.6.0 oder höher

  • IGEL AVD App verison 1.3.0 oder höher

US-Militär-/Behördenkunden müssen sich für die vollständige Konfiguration an ihren regionalen IGEL-Vertreter wenden.

Prozess-Übersicht

  1. Wenn Sie ein Kunde des US-Militärs / der Regierung sind, wenden Sie sich bitte an Ihren regionalen IGEL-Vertreter, um Konfigurationsunterstützung zu erhalten.

  2. Konfigurieren Sie die zertifikatsbasierte Authentifizierung von Microsoft Entra ID wie in https://learn.microsoft.com/en-us/entra/identity/authentication/concept-certificate-based-authentication beschrieben.

  3. Konfigurieren Sie die Smart Card Middleware in IGEL OS.

  4. Konfigurieren Sie AVD in IGEL UMS Web App.

  5. Testen Sie die Authentifizierung auf dem IGEL OS-Endpunktgerät.

Smart Card-Middleware konfigurieren

IGEL verfügt über ein integriertes OpenSC, das Sie als Middleware verwenden können, oder Sie können eine Middleware aus dem IGEL App Portal auswählen.

Eingebautes OpenSC als Middleware

  1. Im Profilkonfigurator gehen Sie zu System > Registry > scard > pkcs11 > use_opens

  1. Aktivieren Sie den Parameter.

Smart Card Middleware von IGEL App Portal

  1. Gehen Sie zu der IGEL App Portal.

  1. Öffnen Sie die Kategorie Smartcard.

image-20250526-124154.png

  1. Wählen Sie eine App und importieren Sie diese in den IGEL UMS.

  1. Installieren Sie die App auf den IGEL OS-Endpunkten gemäß Ihrem App-Verteilungsprozess.

  1. Starten Sie die Endpunktgeräte neu.
    Die Middleware wird automatisch aktiv.

Konfigurieren Sie die AVD-Sitzung in der IGEL UMS Web App

  1. Importieren Sie die AVD-App aus dem IGEL App Portal auf Ihr UMS.

Verwenden Sie Version 1.3.0 oder höher.

  1. Erstellen Sie ein neues Profil. Details finden Sie unter Anlegen und Zuweisen von Profilen in der IGEL UMS Web App.

  1. Wählen Sie OS 12 (wird nur angezeigt, wenn OS 11-Geräte in der UMS registriert sind) und geben Sie den Namen des Profils ein.

  1. Klicken Sie auf Anwendungen auswählen und wählen Sie IGEL Azure Virtual Desktop.

  1. Klicken Sie auf Speichern.

  1. Go to Apps > AVD > AVD Sessions.

  1. Click + to create a new session and add a Session Name.

  1. Go to the Advanced Options of the session.

image-20250526-124049.png

  1. Aktivieren Sie Microsoft Authentication Library (MSAL)

  1. Gehen Sie zu System > Registry.

  1. Gehen Sie zum Registrierungsschlüssel scard.scwatchd.enable und aktivieren Sie Smart Card Insert and Removal Actions.
    Dies ermöglicht die Ausführung von Befehlen, wenn ein Hardware-Ereignis durch das Einstecken oder Entfernen der Smartcard aus dem Lesegerät ausgelöst wird.

  1. Gehen Sie zu scard.scwatchd.insert_action und setzen Sie den folgenden Befehl als Wert:

CODE
export avduser=$(pkcs11getloginname | grep "^Login:" | sed -e "s/^Login://"); su -c "appwrap avd0 avd" user

Dies liest den User Principal Name (UPN) auf der eingelegten Smartcard aus und startet die Sitzung.

  1. Gehen Sie zu scard.scwatchd.removal_action und setzen Sie den folgenden Befehl als Wert:

CODE
export avduser=""; killall -9 igelrdp3-avd; killall -9 igelrdp3-msal-auth

Dies setzt die Variable 'avduser' zurück und beendet die laufenden Prozesse, um die Verbindung zur Windows 365-Sitzung zu trennen.

  1. Go to app.avd.sessions.avd0.options.cmd_ext and set the following command as the value:

CODE
--username $avduser

Damit wird die IGEL AVD App angewiesen, den Benutzernamen auf den zuvor beim Einstecken der Karte abgerufenen UPN zu setzen.

Authentifizierung testen

Nachdem die Konfigurationen angewendet wurden, sollten Sie den Authentifizierungsprozess auf dem Endpunktgerät testen.

Sie sollten ein ähnliches Ergebnis wie im folgenden Demo-Video erhalten:

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.