Domänen-Passthrough-Zugriffsmatrix
Wenn Sie Citrix Workspace verwenden und Domänenpassthrough verwenden möchten, können Sie anhand der Tabellen in den Unterabschnitten ablesen, in welchen Szenarien Domänenpassthrough möglich ist.
Die Spaltenüberschriften haben folgende Bedeutung:
- Endpunkt verbunden mit: Gibt das Verzeichnis an, mit dem der Endpunkt verbunden ist. Das Verzeichnis ermöglicht die Steuerung des Zugriffs auf On-Premises-Ressourcen. Dabei kann es sich um ein On-Premises-Active Directory (AD), ein Azure Active Directory (AAD) oder ein Hybridverzeichnis handeln.
- Identitätsanbieter (IdP): Entität, die zur Bereitstellung von Authentifizierungsdiensten für Citrix Workspace verwendet wird. Sie ermöglicht die Herstellung einer Verbindung zu den Ressourcen.
- Verbundauthentifizierungsdienst (FAS): Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS).
- Virtual Delivery Agent (VDA): Weitere Informationen finden Sie unter Installieren von VDAs.
- VDA verbunden mit: Gibt das Verzeichnis an, mit dem das VDA-Gerät verbunden ist. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
- Single Sign-On (SSO) bei Citrix Workspace/VDA: “Ja” oder “Nein” gibt an, ob Domänenpassthrough an Citrix Workspace oder den VDA unterstützt wird.
- Citrix Workspace-App: Informationen zum Bereitstellen von Single Sign-On finden Sie unter Konfigurieren von Single Sign-On während der Neuinstallation.
Hinweis:
Möglicherweise benötigen Sie die neueste Version der Citrix Workspace-App, um Domänenpassthrough für einige der folgenden Szenarien zu ermöglichen.
Unterstützung von Domänen-Passthrough für Citrix Workspace
Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO an Citrix Workspace | SSO an VDA | Dokumentation |
---|---|---|---|---|---|
AD | On-Premises Citrix Gateway | AD | Ja | Citrix Workspace App/FAS | Domänen-Passthrough-Authentifizierung an Citrix Workspace mit On-Premises-Citrix Gateway als Identitätsanbieter |
AD | Adaptive Authentifizierung | AD | Ja | Citrix Workspace App/FAS | Zum Konfigurieren der adaptiven Authentifizierung lesen Sie Adaptive Authentifizierung und folgen Sie den Anweisungen unter Domänen-Passthrough-Authentifizierung an Citrix Workspace mit On-Premises-Citrix Gateway als Identitätsanbieter. |
AD | Citrix Gateway im Verbund mit einem anderen IdP (AAD/Okta) | AD | Ja | Citrix Workspace App/FAS | Konfigurieren Sie IdP gemäß Configure SAML single sign-on und lesen Sie die Dokumentation zu dem zum Konfigurieren von Domänenpassthrough verwendeten IdP. |
AD | Okta | AD | Ja | Citrix Workspace App/FAS | Domänen-Passthrough-Authentifizierung an Citrix Workspace mit Okta als Identitätsanbieter. |
AD/Hybrid | AAD (AD mit AAD Connect) | AD | Ja | Citrix Workspace-App/FAS ** | Domänen-Passthrough-Authentifizierung an Citrix Workspace mit Azure Active Directory als Identitätsanbieter. |
AD | Beliebiger SAML-basierter IdP (z. B. ADFS) | AD | Ja | Citrix Workspace App/FAS | Weitere Informationen finden Sie unter Verbinden von SAML als Identitätsanbieter mit Citrix Cloud und in der Dokumentation des zum Konfigurieren von Domänenpassthrough verwendeten IdP. |
AD | AD | AD | Nein | Nicht unterstützt | Nicht verfügbar |
AD | AD+OTP | AD | Nein | Nicht unterstützt | Nicht verfügbar |
AD | AAD | AAD | Nein | Nicht unterstützt | Nicht verfügbar |
AAD | AAD ohne On-Premises-AD | AD | Ja | FAS | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO am VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS). |
AAD | AAD | AAD | Ja | Der Benutzer muss Anmeldeinformationen eingeben. | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO beim VDA wird nicht unterstützt. |
Gehört keiner Domäne an | IdP, der kennwortlose Authentifizierung unterstützt – Link | AD | Nein | FAS | Citrix Workspace verwendet Microsoft Edge WebView, was SSO beim Workspace ermöglicht. SSO am VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Weitere Methoden der Authentifizierung bei Citrix Workspace. |
Hinweise:
- Der Client muss für AD erreichbar sein, damit Kerberos funktioniert.
- **Citrix Single Sign-On (SSONSVR.exe) funktioniert nur mit dem Benutzernamen oder Kennwort auf dem Client. Wenn sich der Benutzer mit Windows Hello anmeldet, ist FAS erforderlich.
- Die Authentifizierung erfolgt in der Cloud möglicherweise nicht gänzlich automatisch, wenn LLT aktiviert oder die Richtlinie zur Annahme durch die Endbenutzer konfiguriert ist.
- Es wird empfohlen, FAS passend für Nicht-Windows-Plattformen zu konfigurieren.
Unterstützung von Domänen-Passthrough für StoreFront
Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO an Citrix Workspace | SSO an VDA | Dokumentation |
---|---|---|---|---|---|
AD | StoreFront | AD | Ja | Citrix Workspace-App | Domänen-Passthrough-Authentifizierung |
AD/Hybrid/Windows Hello for Business | StoreFront | AD | Ja (1) | Citrix Workspace-App/FAS (2) | Domänen-Passthrough-Authentifizierung und Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS) |
AD | Citrix Gateway — Erweiterte Authentifizierung | AD | Ja | Citrix Workspace-App (3) | |
AD | Standardauthentifizierung mit Citrix Gateway | AD | Ja | Citrix Workspace-App (4) | Domänen-Passthrough-Authentifizierung. |
Hinweise:
Navigieren Sie im Registrierungs-Editor zum folgenden Pfad und legen Sie die Zeichenfolge
SSONCheckEnabled
aufFalse
fest, wenn die Single Sign-On-Komponente nicht installiert ist.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\
The key prevents the Citrix Workspace app authentication manager from checking for the single sign-on component and allows Citrix Workspace app to authenticate to StoreFront.
- Wenn Sie sich mit Windows Hello anmelden, sind FAS und eine Registrierungskonfiguration zum Aktivieren von SSO erforderlich.
- Der Client muss für AD erreichbar sein, da Kerberos verwendet wird.
- Funktioniert auch, wenn der Client für AD nicht erreichbar ist. Keine Verwendung von Kerberos.