{"id":2496,"date":"2025-06-24T21:30:57","date_gmt":"2025-06-24T19:30:57","guid":{"rendered":"https:\/\/blog.sachathomet.ch\/?p=2496"},"modified":"2025-06-24T21:41:39","modified_gmt":"2025-06-24T19:41:39","slug":"service-principals-vs-secure-clients-citrix-cloud-gets-more-secure","status":"publish","type":"post","link":"https:\/\/blog.sachathomet.ch\/de\/2025\/06\/24\/service-principals-vs-secure-clients-citrix-cloud-gets-more-secure\/","title":{"rendered":"Service Principals statt Secure Clients \u2013 Citrix Cloud wird sicherer!"},"content":{"rendered":"<\/p>\n\n\n<p><strong>TL;DR<\/strong><br>Im Januar 2025 hat Citrix offiziell <strong>Service Principals<\/strong> f\u00fcr Citrix Cloud eingef\u00fchrt \u2013 als sichere Alternative zu Secure Clients. Sie bieten zeitlich begrenzte Secrets, rollenbasierte Zugriffssteuerung und detailliertes Audit-Logging.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Lange bekannte Schw\u00e4chen \u2013 jetzt gel\u00f6st<\/h3>\n\n\n<p>In meiner wiederkehrenden Pr\u00e4sentation <em>&#8222;Benefits and Challenges with Citrix DaaS \u2013 Journey of 2 Swiss Citrix Customers to the Citrix Cloud&#8220;<\/em> habe ich mehrfach auf die Sicherheitsrisiken von Secure Clients hingewiesen: Tokens ohne Ablaufdatum, keine M\u00f6glichkeit zur Rechtebegrenzung und eingeschr\u00e4nktes Logging.<\/p>\n<p>Mit der Einf\u00fchrung der Service Principals hat Citrix nun endlich eine robuste L\u00f6sung geliefert.<\/p>\n\n\n<h3 class=\"wp-block-heading\">Warum Service Principals wichtig sind<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Zentrale Rechteverwaltung:<\/strong> Rollenbasierte Berechtigungen lassen sich gezielt und unabh\u00e4ngig vom Ersteller zuweisen.<\/li>\n\n\n\n<li><strong>Ablaufende Secrets &amp; Rotation:<\/strong> Secrets sind zeitlich begrenzt (Laufzeit w\u00e4hlbar), und Citrix erinnert rechtzeitig an das Ablaufen.<\/li>\n\n\n\n<li><strong>Verbessertes Audit-Logging:<\/strong> In den API-Logs ist ersichtlich, welcher Service Principal eine Aktion ausgel\u00f6st hat \u2013 volle Transparenz.<\/li>\n\n\n\n<li><strong>Reibungslose Migration:<\/strong> Bestehende Secure Clients lassen sich ohne gro\u00dfen Aufwand ersetzen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Was du jetzt tun solltest<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Falls ihr noch Secure Clients in Citrix Cloud verwendet \u2013 <strong>jetzt auf Service Principals umstellen<\/strong>:\n<ul class=\"wp-block-list\">\n<li>Erstelle Service Principals mit minimal notwendigen Rechten (Least Privilege).<\/li>\n\n\n\n<li>Definiere Ablaufdaten f\u00fcr Secrets und plane eine Rotation.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>Auch Automatisierungen wie Ansible, VM-Bereitstellung etc. sollten auf Service Principals umgestellt werden.<\/li>\n\n\n\n<li>Nutze die offiziellen Citrix-Dokumentationen und Tools zur Umsetzung.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">N\u00fctzliche Citrix-Ressourcen<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.citrix.com\/blogs\/2025\/01\/30\/service-principals-to-replace-secure-clients-in-citrix-cloud\/\" target=\"_blank\" rel=\"noopener\">\ud83d\udd17 Feature-Ank\u00fcndigung: \u201eService Principals to replace Secure Clients in Citrix Cloud\u201c<\/a> (30. Januar 2025)<\/li>\n\n\n\n<li><a href=\"https:\/\/developer-docs.citrix.com\/en-us\/citrix-cloud\/citrix-cloud-api-overview\/get-started-with-citrix-cloud-apis\" target=\"_blank\" rel=\"noopener\">\ud83d\udd17 Schritt-f\u00fcr-Schritt-Anleitung: \u201eGet started with Citrix Cloud APIs\u201c<\/a> (Mai 2025)<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Fazit<\/h3>\n\n\n<p>Citrix Service Principals bringen moderne Sicherheitsstandards in die Citrix Cloud \u2013 mit klar definierten Rechten, ablaufenden Credentials und vollst\u00e4ndigem Audit-Tracking.<\/p>\n<p>Ich habe verschiedene Service Principals mit spezifischen Rechten f\u00fcr unterschiedliche Skripte und Anwendungsf\u00e4lle erstellt.<\/p>\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"348\" src=\"https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1024x348.png\" alt=\"\" class=\"wp-image-2501\" srcset=\"https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1024x348.png 1024w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-300x102.png 300w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-768x261.png 768w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1536x522.png 1536w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-2048x696.png 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n<p>Falls du bisher gez\u00f6gert hast, weil Secure Clients &#8222;einfach laufen&#8220; \u2013 jetzt ist der richtige Zeitpunkt, auf eine zukunftssichere L\u00f6sung umzusteigen.<\/p>\n\n\n<p>\u00dcbrigens: Im Log siehst du nun genau, welcher Service Principal aktiv war:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"732\" src=\"https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1-1024x732.png\" alt=\"\" class=\"wp-image-2502\" srcset=\"https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1-1024x732.png 1024w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1-300x215.png 300w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1-768x549.png 768w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1-1536x1099.png 1536w, https:\/\/blog.sachathomet.ch\/wp-content\/uploads\/2025\/06\/image-1.png 1988w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n<p>","protected":false},"excerpt":{"rendered":"<p>TL;DRIm Januar 2025 hat Citrix offiziell Service Principals f\u00fcr Citrix Cloud eingef\u00fchrt \u2013 als sichere Alternative zu Secure Clients. Sie bieten zeitlich begrenzte Secrets, rollenbasierte Zugriffssteuerung und detailliertes Audit-Logging. Lange bekannte Schw\u00e4chen \u2013 jetzt gel\u00f6st In meiner wiederkehrenden Pr\u00e4sentation &#8222;Benefits and Challenges with Citrix DaaS \u2013 Journey of 2 Swiss Citrix Customers to the Citrix [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2496","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"translation":{"provider":"WPGlobus","version":"3.0.2","language":"de","enabled_languages":["en","de"],"languages":{"en":{"title":true,"content":true,"excerpt":false},"de":{"title":true,"content":true,"excerpt":false}}},"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/posts\/2496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/comments?post=2496"}],"version-history":[{"count":10,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/posts\/2496\/revisions"}],"predecessor-version":[{"id":2509,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/posts\/2496\/revisions\/2509"}],"wp:attachment":[{"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/media?parent=2496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/categories?post=2496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.sachathomet.ch\/de\/wp-json\/wp\/v2\/tags?post=2496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}