Smartcard-Bereitstellungen

Die folgenden Arten von Smartcard-Bereitstellungen werden von dieser Produktversion und von gemischten Umgebungen, die diese Version enthalten, unterstützt. Andere Konfigurationen funktionieren möglicherweise, werden aber nicht unterstützt.

Die Bereitstellungstypen werden durch die Eigenschaften des Benutzergeräts definiert, an das das Smartcard-Lesegerät angeschlossen ist:

• Ob das Gerät in eine Domäne eingebunden ist oder nicht.
• Wie das Gerät mit StoreFront verbunden ist.
• Welche Software zum Anzeigen von virtuellen Desktops und Anwendungen verwendet wird.

Darüber hinaus können in diesen Bereitstellungen Smartcard-fähige Anwendungen wie Microsoft Word und Microsoft Excel verwendet werden. Diese Anwendungen ermöglichen es Benutzern, Dokumente digital zu signieren oder zu verschlüsseln.

Bimodale Authentifizierung

Wo immer möglich, unterstützt Receiver in jeder dieser Bereitstellungen die bimodale Authentifizierung, indem dem Benutzer die Wahl zwischen der Verwendung einer Smartcard und der Eingabe von Benutzername und Kennwort geboten wird. Dies ist nützlich, wenn die Smartcard nicht verwendet werden kann (z. B. wenn der Benutzer sie zu Hause vergessen hat oder das Anmeldezertifikat abgelaufen ist).

Da sich Benutzer von Geräten, die nicht in eine Domäne eingebunden sind, direkt bei Receiver für Windows anmelden, können Sie Benutzern ermöglichen, auf die explizite Authentifizierung zurückzugreifen. Wenn Sie die bimodale Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit ihren Smartcards und PINs anzumelden, haben aber die Möglichkeit, die explizite Authentifizierung zu wählen, wenn sie Probleme mit ihren Smartcards haben.

Wenn Sie Citrix Gateway bereitstellen, melden sich Benutzer an ihren Geräten an und werden von Receiver für Windows aufgefordert, sich bei Citrix Gateway zu authentifizieren. Dies gilt sowohl für in eine Domäne eingebundene als auch für nicht in eine Domäne eingebundene Geräte. Benutzer können sich bei Citrix Gateway entweder mit ihren Smartcards und PINs oder mit expliziten Anmeldeinformationen anmelden. Dies ermöglicht es Ihnen, Benutzern eine bimodale Authentifizierung für Citrix Gateway-Anmeldungen bereitzustellen. Konfigurieren Sie die Pass-Through-Authentifizierung von Citrix Gateway zu StoreFront und delegieren Sie die Anmeldeinformationsvalidierung an Citrix Gateway für Smartcard-Benutzer, damit Benutzer stillschweigend bei StoreFront authentifiziert werden.

Überlegungen zu mehreren Active Directory-Gesamtstrukturen

In einer Citrix-Umgebung werden Smartcards innerhalb einer einzelnen Gesamtstruktur unterstützt. Smartcard-Anmeldungen über Gesamtstrukturen hinweg erfordern eine direkte bidirektionale Gesamtstrukturvertrauensstellung zu allen Benutzerkonten. Komplexere Multi-Forest-Bereitstellungen mit Smartcards (d. h. wenn Vertrauensstellungen nur unidirektional oder von unterschiedlichem Typ sind) werden nicht unterstützt.

Sie können Smartcards in einer Citrix-Umgebung verwenden, die Remotedesktops umfasst. Diese Funktion kann lokal (auf dem Benutzergerät, an das die Smartcard angeschlossen ist) oder remote (auf dem Remotedesktop, mit dem sich das Benutzergerät verbindet) installiert werden.

Richtlinie zum Entfernen von Smartcards

Die im Produkt festgelegte Richtlinie zum Entfernen von Smartcards bestimmt, was passiert, wenn Sie die Smartcard während einer Sitzung aus dem Lesegerät entfernen. Die Richtlinie zum Entfernen von Smartcards wird über das Windows-Betriebssystem konfiguriert und verwaltet.

Überprüfung des Zertifikatswiderrufs

Wenn die Überprüfung des Zertifikatswiderrufs aktiviert ist und ein Benutzer eine Smartcard mit einem ungültigen Zertifikat in ein Kartenlesegerät einführt, kann sich der Benutzer nicht authentifizieren oder auf den Desktop oder die Anwendung zugreifen, die mit dem Zertifikat verbunden ist. Wenn beispielsweise das ungültige Zertifikat für die E-Mail-Entschlüsselung verwendet wird, bleibt die E-Mail verschlüsselt. Wenn andere Zertifikate auf der Karte, wie z. B. solche, die zur Authentifizierung verwendet werden, noch gültig sind, bleiben diese Funktionen aktiv.

Bereitstellungsbeispiel: Domänen-verbundene Computer

Diese Bereitstellung umfasst domänen-verbundene Benutzergeräte, die den Desktop Viewer ausführen und direkt mit StoreFront verbunden sind.

A user logs on to a device using a smart card and PIN. Receiver authenticates the user to a Storefront server using Integrated Windows Authentication (IWA). StoreFront passes the user security identifiers (SIDs) to Citrix Virtual Apps or Citrix Virtual Desktops. When the user starts a virtual desktop or application, the user is not prompted for a PIN again because the single sign-on feature is configured on Receiver.

This deployment can be extended to a double-hop with the addition of a second StoreFront server and a server hosting applications. A Receiver from the virtual desktop authenticates to the second StoreFront server. Any authentication method can be used for this second connection. The configuration shown for the first hop can be reused in the second hop or used in the second hop only.

Bereitstellungsbeispiel: Remotezugriff von in die Domäne eingebundenen Computern

Diese Bereitstellung umfasst in die Domäne eingebundene Benutzergeräte, die den Desktop Viewer ausführen und über Citrix Gateway/Access Gateway eine Verbindung zu StoreFront herstellen.

Ein Benutzer meldet sich mit einer Smartcard und PIN an einem Gerät an und meldet sich dann erneut bei Citrix Gateway/Access Gateway an. Diese zweite Anmeldung kann entweder mit der Smartcard und PIN oder mit einem Benutzernamen und Kennwort erfolgen, da Receiver in dieser Bereitstellung eine bimodale Authentifizierung ermöglicht.

Der Benutzer wird automatisch bei StoreFront angemeldet, das die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps™ oder Citrix Virtual Desktops übergibt. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird der Benutzer nicht erneut zur Eingabe einer PIN aufgefordert, da die Single-Sign-On-Funktion auf Receiver konfiguriert ist.

Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.

Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer

This deployment involves non-domain-joined user devices that run the Desktop Viewer and connect directly to StoreFront.

A user logs on to a device. Typically, the user enters a user name and password but, since the device is not joined to a domain, credentials for this logon are optional. Because bimodal authentication is possible in this deployment, Receiver prompts the user either for a smart card and PIN or a user name and password. Receiver then authenticates to Storefront.

StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird der Benutzer erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in dieser Bereitstellung nicht verfügbar ist.

Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.

Bereitstellungsbeispiel: Remotezugriff von nicht in die Domäne eingebundenen Computern

Diese Bereitstellung umfasst nicht in die Domäne eingebundene Benutzergeräte, die den Desktop Viewer ausführen und sich direkt mit StoreFront verbinden.

Ein Benutzer meldet sich an einem Gerät an. Normalerweise gibt der Benutzer einen Benutzernamen und ein Kennwort ein, aber da das Gerät keiner Domäne beigetreten ist, sind Anmeldeinformationen für diese Anmeldung optional. Da in dieser Bereitstellung eine bimodale Authentifizierung möglich ist, fordert Receiver den Benutzer entweder zur Eingabe einer Smartcard und PIN oder eines Benutzernamens und Kennworts auf. Receiver authentifiziert sich dann bei StoreFront.

StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird der Benutzer erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in dieser Bereitstellung nicht verfügbar ist.

Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.

Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer und Thin Clients, die auf die Desktop Appliance-Site zugreifen

Diese Bereitstellung umfasst nicht in die Domäne eingebundene Benutzergeräte, die den Desktop Lock ausführen können und sich über Desktop Appliance-Sites mit StoreFront verbinden.

Der Desktop Lock ist eine separate Komponente, die mit Citrix Virtual Apps, Citrix Virtual Desktops und VDI-in-a-Box veröffentlicht wird. Er ist eine Alternative zum Desktop Viewer und wurde hauptsächlich für umfunktionierte Windows-Computer und Windows-Thin Clients entwickelt. Der Desktop Lock ersetzt die Windows-Shell und den Task-Manager auf diesen Benutzergeräten und verhindert so, dass Benutzer auf die zugrunde liegenden Geräte zugreifen können. Mit dem Desktop Lock können Benutzer auf Windows Server Machine-Desktops und Windows Desktop Machine-Desktops zugreifen. Die Installation des Desktop Lock ist optional.

Ein Benutzer meldet sich mit einer Smartcard an einem Gerät an. Wenn Desktop Lock auf dem Gerät ausgeführt wird, ist das Gerät so konfiguriert, dass es eine Desktop Appliance-Site über Internet Explorer im Kioskmodus startet. Ein ActiveX-Steuerelement auf der Site fordert den Benutzer zur Eingabe einer PIN auf und sendet diese an StoreFront. StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Der erste verfügbare Desktop in der alphabetischen Liste einer zugewiesenen Desktopgruppe wird gestartet.

Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.

Bereitstellungsbeispiel: In die Domäne eingebundene Computer und Thin Clients, die über die XenApp Services-URL auf StoreFront zugreifen

Diese Bereitstellung umfasst in die Domäne eingebundene Benutzergeräte, die den Desktop Lock ausführen und sich über XenApp Services-URLs mit StoreFront verbinden.

Der Desktop Lock ist eine separate Komponente, die mit Citrix Virtual Apps, Citrix Virtual Desktops und VDI-in-a-Box veröffentlicht wird. Er ist eine Alternative zum Desktop Viewer und wurde hauptsächlich für umfunktionierte Windows-Computer und Windows-Thin Clients entwickelt. Der Desktop Lock ersetzt die Windows-Shell und den Task-Manager auf diesen Benutzergeräten und verhindert so, dass Benutzer auf die zugrunde liegenden Geräte zugreifen können. Mit dem Desktop Lock können Benutzer auf Windows Server Machine-Desktops und Windows Desktop Machine-Desktops zugreifen. Die Installation des Desktop Lock ist optional.

Ein Benutzer meldet sich mit einer Smartcard und PIN an einem Gerät an. Wenn Desktop Lock auf dem Gerät ausgeführt wird, authentifiziert es den Benutzer bei einem StoreFront-Server mithilfe der integrierten Windows-Authentifizierung (IWA). StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop startet, wird er nicht erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in Receiver konfiguriert ist.

Diese Bereitstellung kann auf einen Double-Hop erweitert werden, indem ein zweiter StoreFront-Server und ein Server, der Anwendungen hostet, hinzugefügt werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.