Domänen-Pass-Through zu Citrix Workspace unter Verwendung von Azure Active Directory als Identitätsanbieter
Sie können Single Sign-On (SSO) zu Citrix Workspace implementieren, indem Sie Azure Active Directory (AAD) als Identitätsanbieter mit domänengebundenen, hybriden und in Azure AD registrierten Endpunkten/VMs verwenden.
-
Mit dieser Konfiguration können Sie auch Windows Hello für SSO zu Citrix Workspace unter Verwendung von in AAD registrierten Endpunkten nutzen.
- Sie können sich bei der Citrix Workspace-App mit Windows Hello authentifizieren.
- FIDO2-basierte Authentifizierung mit der Citrix Workspace-App.
- Single Sign-On zur Citrix Workspace-App von in Microsoft AAD eingebundenen Maschinen (AAD als IdP) und bedingter Zugriff mit AAD.
Um SSO für virtuelle Apps und Desktops zu erreichen, können Sie entweder FAS bereitstellen oder die Citrix Workspace-App wie folgt konfigurieren.
Hinweis:
Sie können SSO für die Citrix Workspace-Ressourcen nur bei Verwendung von Windows Hello erreichen. Sie werden jedoch zur Eingabe von Benutzername und Kennwort aufgefordert, wenn Sie auf Ihre veröffentlichten virtuellen Apps und Desktops zugreifen. Um diese Aufforderung zu umgehen, können Sie FAS bereitstellen und SSO für virtuelle Apps und Desktops konfigurieren.
Voraussetzungen:
- Verbinden Sie Azure Active Directory mit Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud in der Citrix Cloud-Dokumentation.
-
- Aktivieren Sie die Azure AD-Authentifizierung für den Zugriff auf den Workspace. Weitere Informationen finden Sie unter Aktivieren der Azure AD-Authentifizierung für Workspaces in der Citrix Cloud-Dokumentation.
-
Um Single Sign-On zu Citrix Workspace zu erreichen:
- Konfigurieren Sie die Citrix Workspace-App mit includeSSON.
- Deaktivieren Sie das Attribut
prompt=loginin Citrix Cloud. - Konfigurieren Sie Azure Active Directory Pass-Through mit Azure Active Directory Connect.
Konfigurieren der Citrix Workspace-App zur Unterstützung von SSO
Voraussetzungen:
- Citrix Workspace-Version 2109 oder höher.
- > **Hinweis:**
- >
- > Wenn Sie FAS für SSO verwenden, ist keine Citrix Workspace-Konfiguration erforderlich.
-
Installieren Sie die Citrix Workspace-App über die administrative Befehlszeile mit der Option
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Melden Sie sich vom Windows-Client ab und melden Sie sich wieder an, um den SSON-Server zu starten.
-
Klicken Sie auf Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung, um die Citrix Workspace GPO zu ändern und Lokaler Benutzername und Kennwort zuzulassen.
Hinweis:
Diese Richtlinien können über Active Directory an das Clientgerät übertragen werden. Dieser Schritt ist nur erforderlich, wenn Sie über den Webbrowser auf Citrix Workspace zugreifen.
-
Aktivieren Sie die Einstellung gemäß dem Screenshot.
-
Fügen Sie die folgenden vertrauenswürdigen Sites über GPO hinzu:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: Workspace-URL
Hinweis:
Single Sign-On für AAD ist deaktiviert, wenn der Registrierungswert AllowSSOForEdgeWebview unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzleauf „false“ gesetzt ist.
Deaktivieren des Parameters prompt=login in Citrix Cloud
Standardmäßig ist prompt=login für Citrix Workspace aktiviert, was die Authentifizierung erzwingt, selbst wenn der Benutzer sich entschieden hat, angemeldet zu bleiben, oder wenn das Gerät in Azure AD eingebunden ist.
Sie können prompt=login in Ihrem Citrix Cloud-Konto deaktivieren. Navigieren Sie zu Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions und deaktivieren Sie den Schalter.
Weitere Informationen finden Sie im Knowledge Center-Artikel CTX253779.
Hinweis:
Auf in AAD eingebundenen oder hybriden AAD-eingebundenen Geräten, wenn AAD als IdP für Workspace verwendet wird, fordert die Citrix Workspace-App keine Anmeldeinformationen an. Benutzer können sich automatisch mit einem Geschäfts- oder Schulkonto anmelden.
Um Benutzern die Anmeldung mit einem anderen Konto zu ermöglichen, setzen Sie den folgenden Registrierungswert auf „false“.
Erstellen und fügen Sie einen Registrierungs-String REG_SZ mit dem Namen AllowSSOForEdgeWebview unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleoderComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzlehinzu und setzen Sie dessen Wert auf „False“. Alternativ können sich Benutzer, wenn sie sich von der Citrix Workspace-App abmelden, beim nächsten Anmeldevorgang mit einem anderen Konto anmelden.
Konfigurieren von Azure Active Directory Pass-Through mit Azure Active Directory Connect
- Wenn Sie Azure Active Directory Connect zum ersten Mal installieren, wählen Sie auf der Seite Benutzeranmeldung die Option Pass-Through-Authentifizierung als Anmeldemethode aus. Weitere Informationen finden Sie unter Azure Active Directory Pass-Through-Authentifizierung: Schnellstart in der Microsoft-Dokumentation.
-
Wenn Microsoft Azure Active Directory Connect bereits vorhanden ist:
- Wählen Sie die Aufgabe Benutzeranmeldung ändern aus und klicken Sie auf Weiter.
- Wählen Sie Pass-Through-Authentifizierung als Anmeldemethode aus.
Hinweis:
Sie können diesen Schritt überspringen, wenn das Clientgerät in Azure AD eingebunden oder hybrid eingebunden ist. Wenn das Gerät in AD eingebunden ist, funktioniert die Domänen-Pass-Through-Authentifizierung über die Kerberos-Authentifizierung.