Verbesserter Domänen-Passthrough für Single Sign-On

Das erweiterte Domänen-Passthrough für Single Sign-On verwendet Kerberos, um Single Sign-On in der Citrix Workspace-App und in den virtuellen Apps und Desktopsitzungen zu ermöglichen, wenn mit Active Directory (AD) verbundene Clientgeräte und Citrix StoreFront verwendet werden.

Hinweis:

  • Diese Funktion wird auf 32-Bit-Betriebssystemen nicht unterstützt.

  • Dieses Feature ist ein Ersatz für die ältere Passthrough-Authentifizierungsfunktion, die auf dem Citrix Single Sign-On Service (ssonsvr.exe) basiert.

Systemanforderungen

  • Steuerungsebene
    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2311 oder höher
  • Virtual Delivery Agent
    • Windows: Version 2407 oder höher
  • Workspace-App
    • Citrix Workspace-App für Windows 2405.1 oder höher
  • Clientgerät
    • Der Active Directory-Domäne beigetreten
    • Windows 10 (64-Bit)
    • Windows 11 64 Bit
  • Hosts für mehrere Sitzungen:
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise 22H2 mit mehreren Sitzungen
    • Windows 11 Enterprise Multisession 22H2 oder höher
  • Hosts für Einzelsitzungen:
    • Windows 10 Version 22H2
    • Windows 11 Version 22H2 oder höher

Hinweis:

  • Das Clientgerät muss eine direkte Verbindung zu den Domänencontrollern haben. Wenn sich das Gerät außerhalb des Netzwerks befindet, wird Single Sign-On nicht unterstützt.

  • Wenn Sie die folgenden Versionen der Citrix Workspace-App und des VDA verwenden, wird diese Funktion unter Windows 11 nicht unterstützt:

    ❖ VDA: 2308, 2311, 2402

    ❖ Citrix Workspace app: 2309, 2309.1, 2311, 2402

Konfigurieren in StoreFront

Sie müssen die Domain-Passthrough-Authentifizierung für den Store und die entsprechende Website aktivieren.

Gehen Sie wie folgt vor, um Domain-Passthrough für den Store zu aktivieren:

  1. _StoreFront-Verwaltungskonsole öffnen.
  2. Gehen Sie zu Store > Authentifizierungsmethoden verwalten. Das Fenster Authentifizierungsmethoden verwalten — Web wird angezeigt.

  3. Wählen Sie das Kontrollkästchen Domain-Passthrough aus.

    Authentifizierungsmethoden verwalten

  4. Klicken Sie auf OK.

Gehen Sie wie folgt vor, um Domain-Passthrough für die Website zu aktivieren:

  1. _StoreFront-Verwaltungskonsole öffnen.
  2. Öffnen Sie Stores > Registerkarte Receiver für Websites > Receiver für Web-Sites verwalten > Konfigurieren > Authentifizierungsmethoden. Das Fenster Receiver für Web-Site bearbeiten — /Citrix/Web wird angezeigt.
  3. Wählen Sie das Kontrollkästchen Domain-Passthrough aus.

    Receiver für Web-Site bearbeiten

  4. Klicken Sie auf OK.

Konfiguration der Citrix-Richtlinie

Sie müssen die Einstellung mithilfe der Citrix-Richtlinie aktivieren:

  1. Navigieren Sie zu Citrix Studio oder zur Webkonsole.
  2. Klicken Sie auf Richtlinien > Richtlinie erstellen. Das Dialogfeld Richtlinie erstellen wird angezeigt.
  3. Suchen Sie nach der Richtlinie Enhanced Domain Passthrough for Single Sign-On. Das Dialogfeld Einstellungen bearbeiten wird angezeigt.
  4. Wählen Sie die Option Zugelassen, um die Richtlinie Enhanced Domain Passthrough für Single Sign-On zu aktivieren. Receiver für Web-Site bearbeiten

  5. Klicken Sie auf OK.

Konfiguration des Sitzungshosts

Nachdem Sie die Funktion Enhanced Domain Passthrough für Single Sign-On mit der Citrix-Richtlinie aktiviert haben, müssen Sie auch eine Windows-Einstellung auf den Sitzungshosts aktivieren. Sie können die Windows-Einstellung über eine lokale Richtlinie oder ein GPO aktivieren:

  1. Navigieren Sie zu Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation.
  2. Aktivieren Sie die Einstellung Remote-Host erlaubt Delegierung nicht exportierbarer Anmeldeinformationen.

    Remote-Host ermöglicht die Delegierung von nicht exportierbaren Anmeldeinformationen

  3. Starten Sie den Sitzungshost neu, damit die Einstellung wirksam wird.

Hinweis:

Die Einstellung Remote-Host erlaubt Delegierung nicht exportierbarer Anmeldeinformationen ist in der lokalen Windows Server 2016-Richtlinie nicht verfügbar. Wenn Sie diese Einstellung lokal auf dem Sitzungshost konfigurieren müssen, anstatt GPO zu verwenden, müssen Sie die folgenden Registrierungswerte hinzufügen:

Schlüssel: HKLM\ SOFTWARE\ Citrix\ Rcg

  • Werttyp: DWORD
  • Wertname: ForceEnableRcg
  • Wertdaten: 1

Schlüssel: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • Werttyp: DWORD
  • Wertname: DisableRestrictedAdmin
  • Wertdaten: 0

Konfiguration des Clientgeräts

Sie müssen auf dem Clientgerät Folgendes tun:

  • Verbesserter Domänen-Passthrough für Single Sign-On
  • Trust Storefront-Website

Verbesserter Domänen-Passthrough für Single Sign-On

Sie müssen Enhanced Domain Passthrough for Single Sign-On auf dem Clientgerät aktivieren. Sie können dies über lokale Richtlinien oder GPO tun.

  1. Navigieren Sie zu Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication.
  2. Aktivieren Sie die Einstellung Enhanced Domain Passthrough für Single Sign-On.

    Ausgewählte erweiterte Domain

  3. Starten Sie die Citrix Workspace-App neu, damit die Einstellungen wirksam werden.

Trust Storefront-Website

Sie müssen sicherstellen, dass Ihre Storefront-URL von den Client-Geräten als vertrauenswürdig eingestuft wird. Wenn die URL nicht Teil einer bereits vertrauenswürdigen Domäne ist, müssen Sie sie entweder als lokale Intranetsite oder als vertrauenswürdige Site hinzufügen. Sie können dies über lokale Richtlinien oder GPO tun.

  1. Navigieren Sie zur Seite Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security.
  2. Aktivieren Sie die Einstellung Site to Zone Assignment List und fügen Sie die entsprechenden URLs und die entsprechende Zonenzuweisung hinzu.

    Site zu Zone

  3. Aktivieren Sie die Einstellung Anmeldeoptionen und setzen Sie sie auf Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

    Anmeldeoptionen

    Anmeldeoptionen aktiviert

Verbesserter Domänen-Passthrough für Single Sign-On