blog.sachathomet.ch
Anwendungsvirtualisierung, Internet der Dinge und Cloud Computing, Blog von Sacha Thomet

Monats-Archive: Juni 2025

Service Principals statt Secure Clients – Citrix Cloud wird sicherer!

TL;DR
Im Januar 2025 hat Citrix offiziell Service Principals für Citrix Cloud eingeführt – als sichere Alternative zu Secure Clients. Sie bieten zeitlich begrenzte Secrets, rollenbasierte Zugriffssteuerung und detailliertes Audit-Logging.

Lange bekannte Schwächen – jetzt gelöst

In meiner wiederkehrenden Präsentation „Benefits and Challenges with Citrix DaaS – Journey of 2 Swiss Citrix Customers to the Citrix Cloud“ habe ich mehrfach auf die Sicherheitsrisiken von Secure Clients hingewiesen: Tokens ohne Ablaufdatum, keine Möglichkeit zur Rechtebegrenzung und eingeschränktes Logging.

Mit der Einführung der Service Principals hat Citrix nun endlich eine robuste Lösung geliefert.

Warum Service Principals wichtig sind

  • Zentrale Rechteverwaltung: Rollenbasierte Berechtigungen lassen sich gezielt und unabhängig vom Ersteller zuweisen.
  • Ablaufende Secrets & Rotation: Secrets sind zeitlich begrenzt (Laufzeit wählbar), und Citrix erinnert rechtzeitig an das Ablaufen.
  • Verbessertes Audit-Logging: In den API-Logs ist ersichtlich, welcher Service Principal eine Aktion ausgelöst hat – volle Transparenz.
  • Reibungslose Migration: Bestehende Secure Clients lassen sich ohne großen Aufwand ersetzen.

Was du jetzt tun solltest

  • Falls ihr noch Secure Clients in Citrix Cloud verwendet – jetzt auf Service Principals umstellen:
    • Erstelle Service Principals mit minimal notwendigen Rechten (Least Privilege).
    • Definiere Ablaufdaten für Secrets und plane eine Rotation.
  • Auch Automatisierungen wie Ansible, VM-Bereitstellung etc. sollten auf Service Principals umgestellt werden.
  • Nutze die offiziellen Citrix-Dokumentationen und Tools zur Umsetzung.

Nützliche Citrix-Ressourcen

Fazit

Citrix Service Principals bringen moderne Sicherheitsstandards in die Citrix Cloud – mit klar definierten Rechten, ablaufenden Credentials und vollständigem Audit-Tracking.

Ich habe verschiedene Service Principals mit spezifischen Rechten für unterschiedliche Skripte und Anwendungsfälle erstellt.

Falls du bisher gezögert hast, weil Secure Clients „einfach laufen“ – jetzt ist der richtige Zeitpunkt, auf eine zukunftssichere Lösung umzusteigen.

Übrigens: Im Log siehst du nun genau, welcher Service Principal aktiv war:

Veröffentlicht unter Uncategorized | Hinterlasse einen Kommentar
Language switcher
Recent Posts
Categories
Schlagwörter
applepay AVD azure bev Citrix CitrixSynergy cloud CTP cvad DaaS euc ev fintech IoT knowledgebase lab microsoft MS Teams MyStrom neon network Nvidia octoblu pizza PowerShell Preparation ProvisioningServices pvs Quest revolut smartacus SmartHome StoreFront tesla vGPU VirtualReality VR windows365 windows 365 WindowsApp windows app XenApp XenDesktop XenDesktop 7.6 zak
Archiv
Meta
Neueste Beiträge
Neueste Kommentare
Archiv
Kategorien
Meta