Domänen-Passthrough-Authentifizierung an Citrix Workspace mit Azure Active Directory als Identitätsanbieter

Sie können Single Sign-On (SSO) bei Citrix Workspace mithilfe von Azure Active Directory (AAD) als Identitätsanbieter mit domänenverbundenen, Hybrid- und Azure AD-registrierten Endpunkten/VMs implementieren.

Mit dieser Konfiguration können Sie auch Windows Hello für SSO bei Citrix Workspace mit bei AAD-registrierten Endpunkten verwenden.

  • Sie können sich mit Windows Hello bei der Citrix Workspace-App authentifizieren.
  • FIDO2-basierte Authentifizierung bei der Citrix Workspace-App.
  • Single Sign-On bei der Citrix Workspace-App von Microsoft AAD-verbundenen Maschinen (AAD = IdP) und bedingter Zugriff mit AAD.

Um SSO für virtuelle Apps und Desktops zu erreichen, können Sie entweder FAS bereitstellen oder die Citrix Workspace-App wie folgt konfigurieren.

Hinweis:

SSO bei den Citrix Workspace-Ressourcen ist nur mit Windows Hello möglich. Sie werden jedoch aufgefordert, einen Benutzernamen und ein Kennwort einzugeben, wenn Sie auf Ihre veröffentlichten virtuellen Apps und Desktops zugreifen. Um diese Aufforderung zu lösen, können Sie FAS und SSO für virtuelle Apps und Desktops bereitstellen.

Voraussetzungen:

  1. Verbinden Sie Azure Active Directory mit Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud in der Citrix Cloud-Dokumentation.
  2. Aktivieren Sie Azure AD-Authentifizierung für den Zugriff auf Workspace. Weitere Informationen finden Sie unter Aktivieren der Azure AD-Authentifizierung für Workspaces in der Citrix Cloud-Dokumentation.

Gehen Sie für Single Sign-On bei Citrix Workspace folgendermaßen vor:

  1. Konfigurieren Sie die Citrix Workspace-App mit includeSSON.
  2. Deaktivieren Sie das Attribut prompt=login in Citrix Cloud.
  3. Konfigurieren Sie die Azure Active Directory-Passthrough-Authentifizierung mit Azure Active Directory Connect.

Konfigurieren der Citrix Workspace-App für die Unterstützung von SSO

Voraussetzungen:

  • Citrix Workspace Version 2109 oder höher.

Hinweis:

Wenn Sie FAS für SSO verwenden, ist die Konfiguration von Citrix Workspace nicht erforderlich.

  1. Installieren Sie die Citrix Workspace-App über die Verwaltungsbefehlszeile mit der Option includeSSON:

    CitrixWorkspaceApp.exe /includeSSON

  2. Melden Sie sich vom Windows-Client ab und melden Sie sich an, um den SSON-Server zu starten.
  3. Klicken Sie auf Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung, um das Citrix Workspace-Gruppenrichtlinienobjekt so zu ändern, dass Lokaler Benutzername und Kennwort zugelassen ist.

    Hinweis:

    Diese Richtlinien können über Active Directory auf das Clientgerät übertragen werden. Dieser Schritt ist nur erforderlich, wenn Sie über den Webbrowser auf Citrix Workspace zugreifen.

  4. Aktivieren Sie die Einstellung gemäß dem Screenshot.

    Benutzerauthentifizierung

  5. Fügen Sie die folgenden vertrauenswürdigen Websites über das GPO hinzu:

    • https://aadg.windows.net.nsatc.net
    • https://autologon.microsoftazuread-sso.com
    • https://xxxtenantxxx.cloud.com: Workspace-URL

Vertrauenswürdige Sites hinzufügen

Hinweis:

Single Sign-On für AAD ist deaktiviert, wenn die Registrierung AllowSSOForEdgeWebview- in Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle auf “false” gesetzt ist.

Deaktivieren des Parameters “prompt=login” in Citrix Cloud

Standardmäßig ist prompt=login für Citrix Workspace aktiviert, wodurch die Authentifizierung erzwungen wird, selbst wenn der Benutzer angemeldet bleibt oder das Gerät mit Azure AD verbunden ist.

Sie können prompt=login in Ihrem Citrix Cloud-Konto deaktivieren. Gehen Sie zu Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions und deaktivieren Sie die Umschaltfläche. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX253779.

citrixcloudpreferences

citrixcloudpreferences2

Hinweis:

Wenn AAD auf Geräten, die mit AAD oder hybriden AAD verbundenen sind, als IdP für Workspace verwendet wird, fordert die Citrix Workspace-App nicht zur Eingabe von Anmeldeinformationen auf. Benutzer können sich automatisch mit einem Arbeits- oder Schulkonto anmelden.

Um Benutzern die Anmeldung mit einem anderen Konto zu ermöglichen, legen Sie die folgende Registrierung auf “false” fest.

Erstellen und fügen Sie eine Registrierungszeichenfolge REG_SZ mit dem Namen AllowSSOForEdgeWebview unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzle oder Computer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzle hinzu und legen Sie den Wert auf “False” fest. Wenn sich Benutzer von der Citrix Workspace-App abmelden, können sie sich bei der nächsten Anmeldung auch mit einem anderen Konto anmelden.

Konfigurieren der Azure Active Directory-Passthrough-Authentifizierung mit Azure Active Directory Connect

  • Wenn Sie Azure Active Directory Connect zum ersten Mal installieren, wählen Sie auf der Seite Benutzeranmeldung als Anmeldemethode Passthrough-Authentifizierung. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Azure Active Directory-Passthrough-Authentifizierung: Schnellstart.
  • Wenn Microsoft Azure Active Directory Connect vorhanden ist:

    1. Wählen Sie den Task Benutzeranmeldung ändern und klicken Sie auf Weiter.
    2. Wählen Sie Passthrough-Authentifizierung als Anmeldemethode aus.

Hinweis:

Sie können diesen Schritt überspringen, wenn das Clientgerät mit Azure AD verbunden oder mit einer Hybrideinbindung konfiguriert ist. Wenn das Gerät mit AD verbunden ist, wird für die Domänen-Passthrough-Authentifizierung die Kerberos-Authentifizierung verwendet.

Domänen-Passthrough-Authentifizierung an Citrix Workspace mit Azure Active Directory als Identitätsanbieter