Domänen-Passthrough-Zugriffsmatrix
Wenn Sie Citrix Workspace verwenden und Domänenpassthrough verwenden möchten, können Sie anhand der Tabellen in den Unterabschnitten ablesen, in welchen Szenarien Domänenpassthrough möglich ist.
Die verschiedenen Header-Elemente in den Tabellen und die zusätzlichen Informationen zu den Header-Elementen lauten wie folgt:
- Endpunkt verbunden mit: Gibt das Verzeichnis an, mit dem der Endpunkt verbunden ist. Das Verzeichnis ermöglicht die Steuerung des Zugriffs auf On-Premises-Ressourcen. Dabei kann es sich um ein On-Premises-Active Directory (AD), ein Azure Active Directory (AAD) oder ein Hybridverzeichnis handeln.
- Identitätsanbieter (IdP): Entität, die zur Bereitstellung von Authentifizierungsdiensten für Citrix Workspace verwendet wird. Sie ermöglicht die Herstellung einer Verbindung zu den Ressourcen.
- Verbundauthentifizierungsdienst (FAS): Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).
- Virtual Delivery Agent (VDA): Weitere Informationen finden Sie unter Installieren von VDAs.
- VDA verbunden mit: Gibt das Verzeichnis an, mit dem das VDA-Gerät verbunden ist. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
- Single Sign-On (SSO) bei Citrix Workspace/VDA: “Ja” oder “Nein” gibt an, ob Domänenpassthrough an Citrix Workspace oder den VDA unterstützt wird.
- Citrix Workspace-App: Informationen zum Erreichen von Single Sign-On finden Sie unter Single Sign-On während einer Neuinstallation in der Domänen-Passthrough-Authentifizierung konfigurieren oder Erweiterter Domänen-Pass-through für Single Sign-On.
Hinweis:
Möglicherweise benötigen Sie die neueste Version der Citrix Workspace-App, um Domänenpassthrough für einige der folgenden Szenarien zu ermöglichen.
Unterstützung von Domänen-Passthrough für Citrix Workspace
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO an Citrix Workspace | SSO an VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | On-Premises Citrix Gateway | AD | Ja | Citrix Workspace App/FAS | Domänen-Passthrough zu Citrix Workspace unter Verwendung des lokalen Citrix Gateways als Identitätsanbieter. |
| AD | Adaptive Authentifizierung | AD | Ja | Citrix Workspace App/FAS | Informationen zum Konfigurieren der adaptiven Authentifizierung finden Sie unter Adaptiver Authentifizierungsdienst und befolgen Sie die Anweisungen in Domänen-Passthrough zu Citrix Workspace unter Verwendung des lokalen Citrix Gateways als Identitätsanbieter. |
| AD | Citrix Gateway im Verbund mit einem anderen IdP (AAD/Okta) | AD | Ja | Citrix Workspace App/FAS | Konfigurieren Sie IdP gemäß Configure SAML single sign-on und lesen Sie die Dokumentation zu dem zum Konfigurieren von Domänenpassthrough verwendeten IdP. |
| AD | Okta | AD | Ja | Citrix Workspace App/FAS | Domänen-Passthrough zu Citrix Workspace mit Okta als Identitätsanbieter. |
| AD/Hybrid | AAD (AD mit AAD Connect) | AD | Ja | Citrix Workspace App/FAS ** | Domänen-Passthrough zu Citrix Workspace mit Azure Active Directory als Identitätsanbieter. |
| AD | Beliebiger SAML-basierter IdP (z. B. ADFS) | AD | Ja | Citrix Workspace App/FAS | Weitere Informationen finden Sie unter Verbinden von SAML als Identitätsanbieter mit Citrix Cloud und in der Dokumentation des zum Konfigurieren von Domänenpassthrough verwendeten IdP. |
| AD | AD | AD | Nein | Nicht unterstützt | N/A |
| AD | AD+OTP | AD | Nein | Nicht unterstützt | N/A |
| AD | AAD | AAD | Nein | Nicht unterstützt | N/A |
| AAD | AAD ohne On-Premises-AD | AD | Ja | FAS | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO am VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS). |
| AAD | AAD | AAD | Ja | Der Benutzer muss Anmeldeinformationen eingeben. | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO beim VDA wird nicht unterstützt. |
| Gehört keiner Domäne an | IdP, der kennwortlose Authentifizierung unterstützt – Link | AD | Nein | FAS | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO am VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Andere Möglichkeiten zur Authentifizierung bei Citrix Workspace. |
Hinweise:
- Der Client muss für AD erreichbar sein, damit Kerberos funktioniert.
- **Citrix Single Sign-on (SSONSVR.exe) funktioniert nur mit dem Benutzernamen oder Kennwort auf dem Client. Wenn der Benutzer Windows Hello zur Anmeldung verwendet, ist FAS erforderlich oder es wird Erweiterter Domänen-Passthrough für einmaliges Anmelden verwendet.
- Die Authentifizierung erfolgt in der Cloud möglicherweise nicht gänzlich automatisch, wenn LLT aktiviert oder die Richtlinie zur Annahme durch die Endbenutzer konfiguriert ist.
- Es wird empfohlen, FAS passend für Nicht-Windows-Plattformen zu konfigurieren.
Unterstützung von Domänen-Passthrough für StoreFront
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO an Citrix Workspace | SSO an VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | StoreFront | AD | Ja | Citrix Workspace App/FAS | Domänen-Passthrough-Authentifizierung |
| AD/Hybrid/Windows Hello for Business | StoreFront | AD | Ja (1) | Citrix Workspace-App/FAS (2) | Domänen-Passthrough-Authentifizierung und Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren. |
| AD | Citrix Gateway — Erweiterte Authentifizierung | AD | Ja | Citrix Workspace-App/FAS(3)) | |
| AD | Standardauthentifizierung mit Citrix Gateway | AD | Ja | Citrix Workspace-App (4) | Domänen-Passthrough-Authentifizierung. |
Hinweise:
Verwenden Sie Erweitertes Domänen-Passthrough für einmaliges Anmelden oder navigieren Sie im Registrierungs-Editor zum folgenden Pfad und setzen Sie die Zeichenfolge
SSONCheckEnabledaufFalse, wenn Sie die Komponente für einmaliges Anmelden nicht installiert haben.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App nach der Single Sign-On-Komponente sucht, sodass die Citrix Workspace-App die Authentifizierung bei StoreFront durchführen kann.
- Wenn Sie sich mit Windows Hello anmelden, sind FAS und eine Registrierungskonfiguration zum Aktivieren von SSO erforderlich.
- Der Client muss für AD erreichbar sein, da Kerberos verwendet wird.
- Funktioniert auch, wenn der Client für AD nicht erreichbar ist. Keine Verwendung von Kerberos.
Domänen-Passthrough-Zugriffsmatrix
Kopiert!
Fehler!