Domänen-Passthrough-Authentifizierung (Single Sign-On)

Mit Domänen-Passthrough (Single Sign-On oder SSON), auch bekannt als Legacy Domain Pass-Through (SSON), können Sie sich bei einer Domäne authentifizieren und Citrix Virtual Apps and Desktops und Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) verwenden, ohne sich erneut authentifizieren zu müssen.

Hinweis:

• Die Richtlinie MPR-Benachrichtigungen für das System aktivieren in der Gruppenrichtlinienobjektvorlage muss aktiviert sein, um das Domänen-Passthrough-Authentifizierungsfeature (Single Sign-On) unter Windows 11 zu unterstützen. Standardmäßig ist diese Richtlinie unter Windows 11 24H2 deaktiviert. Wenn Sie also auf Windows 11 24H2 aktualisiert haben, müssen Sie die Richtlinie MPR-Benachrichtigungen für das System aktivieren einschalten.

• Dieses Feature ist in der Citrix Workspace-App für Windows Version 2012 und höher verfügbar.

• Sie können Legacy Domain Pass-Through (SSON) und Enhanced Domain Pass-Through nicht gleichzeitig zur Authentifizierung verwenden.

Wenn Domänen-Passthrough (Single Sign-On) aktiviert ist, werden Ihre Anmeldeinformationen zwischengespeichert, sodass Sie eine Verbindung mit anderen Citrix Anwendungen herstellen können, ohne sich jedes Mal anmelden zu müssen. Stellen Sie sicher, dass nur Software auf Ihrem Gerät ausgeführt wird, die den Unternehmensrichtlinien entspricht, um das Risiko für die Anmeldeinformationen zu verringern.

Wenn Sie sich bei der Citrix Workspace-App anmelden, werden Ihre Anmeldeinformationen zusammen mit den Apps und Desktops sowie Startmenüeinstellungen an StoreFront übergeben. Nach der Konfiguration von Single Sign-On können Sie sich bei der Citrix Workspace-App anmelden und Sitzungen mit virtuellen Apps und Desktops starten, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen.

Sie müssen bei allen Webbrowsern Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren. Weitere Informationen zum Konfigurieren von Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage finden Sie unter Konfigurieren von Single Sign-On mit Citrix Gateway.

Sie können Single Sign-On sowohl bei der Neuinstallation als auch bei einem Upgrade konfigurieren, indem Sie eine der folgenden Optionen verwenden:

• Befehlszeilenoberfläche
• Grafische Benutzeroberfläche (GUI)

Hinweis:

Die Begriffe “Domänen-Passthrough”, “Single Sign-On” und “SSON” werden in diesem Dokument synonym verwendet.

Einschränkungen:

Beim Domänen-Passthrough mit Benutzeranmeldedaten gelten folgende Einschränkungen:

• Die Authentifizierungsmethode unterstützt keine kennwortlose Authentifizierung wie Windows Hello oder FIDO2. Für SSO ist zusätzlich der Verbundauthentifizierungsdienst (FAS) erforderlich.
• Für die Installation oder das Upgrade der Citrix Workspace-App mit aktiviertem SSON ist ein Neustart des Geräts erforderlich.
• Erfordert die Aktivierung von Multi Provider Router-Benachrichtigungen auf Windows 11-Maschinen.
• Muss ganz oben auf der Liste der Netzwerkanbieter stehen.

Um die oben genannten Einschränkungen zu umgehen, verwenden Sie Verbesserter Domänen-Passthrough für Single Sign-On (Enhanced SSO).

Single Sign-On während der Neuinstallation konfigurieren

Konfigurieren Sie Single Sign-On während einer Neuinstallation mit folgenden Schritten:

1. Konfiguration in StoreFront.
2. Konfigurieren Sie XML-Vertrauensdienste auf dem Delivery Controller.
3. Ändern der Internet Explorer-Einstellungen.
4. Installieren der Citrix Workspace-App mit Single Sign-On.

Single Sign-On in StoreFront konfigurieren

Mit Single Sign-On können Sie sich bei einer Domäne authentifizieren und das von dieser Domäne bereitgestellte Citrix Virtual Apps and Desktops und Citrix DaaS verwenden, ohne sich für jede App oder jeden Desktop neu authentifizieren zu müssen.

Wenn Sie mit dem Storebrowse-Hilfsprogramm einen Store hinzufügen, werden Ihre Anmeldeinformationen zusammen mit den für Sie enumerierten Apps und Desktops (einschließlich Startmenüeinstellungen) an den Citrix Gateway-Server übergeben. Nach dem Konfigurieren von Single Sign-On können Sie den Store hinzufügen, Ihre Apps und Desktops enumerieren und erforderliche Ressourcen starten, ohne Ihre Anmeldeinformationen mehrmals eingeben zu müssen.

Abhängig von der Citrix Virtual Apps and Desktops-Bereitstellung kann die Single Sign-On-Authentifizierung über die Verwaltungskonsole in StoreFront konfiguriert werden.

In der folgenden Tabelle finden Sie verschiedene Anwendungsfälle und die entsprechende Konfiguration:

Single Sign-On mit Citrix Gateway konfigurieren

Sie aktivieren Single Sign-On mit Citrix Gateway über die administrative Gruppenrichtlinienobjektvorlage. Sie müssen jedoch sicherstellen, dass Sie die Standardauthentifizierung und die Einzelfaktorauthentifizierung (nFactor mit 1 Faktor) auf dem Citrix Gateway aktiviert haben.

1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Gehen Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlage > Citrix-Komponenten > Citrix Workspace > BEnutzerauthentifizierung und wählen Sie Richtlinie Single Sign-On für die Citrix Gateway aus.
3. Wählen Sie Aktiviert.
4. Klicken Sie auf Anwenden und OK.
5. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

XML-Vertrauensdienste auf dem Delivery Controller konfigurieren

Führen Sie in Citrix Virtual Apps and Desktops und Citrix DaaS als Administrator den folgenden PowerShell-Befehl auf dem Delivery Controller aus:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Ändern der Internet Explorer-Einstellungen

1. Fügen Sie den StoreFront-Server der Liste der vertrauenswürdigen Sites im Internet Explorer hinzu. Schrittfolge zum Hinzufügen:
   1. Starten Sie Internetoptionen über die Systemsteuerung.

   2. Klicken Sie auf Sicherheit > Lokales Intranet und dann auf Sites.

      Das Fenster Lokales Intranet wird angezeigt.

   3. Wählen Sie Erweitert.
   4. Fügen Sie die URL des StoreFront-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
   5. Klicken Sie auf Anwenden und OK.
2. Ändern Sie im Internet Explorer die Einstellungen unter Benutzerauthentifizierung. Schrittfolge zum Modifizieren:
   1. Starten Sie Internetoptionen über die Systemsteuerung.
   2. Klicken Sie auf die Registerkarte Sicherheit > Lokales Intranet.
   3. Klicken Sie auf Stufe anpassen. Das Fenster Sicherheitseinstellungen – lokale Intranetzone wird angezeigt.

   4. Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

      

   5. Klicken Sie auf Anwenden und OK.

Single Sign-On über die Befehlszeilenschnittstelle konfigurieren

Installieren Sie die Citrix Workspace-App mit dem Switch /includeSSON und starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

Single Sign-On mit der GUI konfigurieren

1. Suchen Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe).
2. Doppelklicken Sie auf CitrixWorkspaceApp.exe, um das Installationsprogramm zu starten.
3. Wählen Sie im Installationsassistenten zum Aktivieren von Single Sign-On die Option Single Sign-On aktivieren.
4. Klicken Sie auf Weiter und folgen Sie den Anweisungen, um die Installation abzuschließen.

Sie können sich jetzt ohne Eingabe von Benutzeranmeldeinformationen mit der Citrix Workspace-App bei einem vorhandenen Store anmelden (oder einen neuen Store konfigurieren).

Single Sign-On in Workspace für Web konfigurieren

Sie können Single Sign-On in Workspace für Web mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren.

1. Öffnen Sie die administrative GPO-Vorlage von Workspace für Web, indem Sie gpedit.msc ausführen.
2. Gehen Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlage > Citrix-Komponente > Citrix Workspace > Benutzerauthentifizierung.
3. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort und legen Sie sie auf Aktiviert fest.
4. Klicken Sie auf Passthrough-Authentifizierung aktivieren. Mit dieser Option kann Workspace für Web Ihre Anmeldeinformationen für die Authentifizierung auf dem Remoteserver verwenden.
5. Klicken Sie auf Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen. Mit dieser Option werden alle Authentifizierungseinschränkungen umgangen und das Passthrough von Anmeldeinformationen für alle Verbindungen ermöglicht.
6. Klicken Sie auf Anwenden und OK.
7. Starten Sie Workspace für Web neu, um die Änderungen zu übernehmen.

Überprüfen Sie, ob die einmalige Anmeldung aktiviert ist, indem Sie den Task-Manager starten und prüfen, ob der Prozess ssonsvr.exe ausgeführt wird.

Single Sign-On mit Active Directory konfigurieren

Führen Sie die folgenden Schritte aus, um die Citrix Workspace-App für die Passthrough-Authentifizierung mit der Active Directory-Gruppenrichtlinie zu konfigurieren. In diesem Szenario können Sie die Authentifizierung per Single Sign-On auch ohne Enterprise-Software-Bereitstellungstools wie Microsoft System Center Configuration Manager erzielen.

1. Laden Sie die Installationsdatei für die Citrix Workspace-App (CitrixWorkspaceApp.exe) auf eine geeignete Netzwerkfreigabe herunter. Die Maschinen, auf denen die Citrix Workspace-App installiert werden soll, müssen darauf Zugriff haben.

2. Holen Sie sich die Vorlage CheckAndDeployWorkspacePerMachineStartupScript.bat von der Downloadseite der Citrix Workspace-App für Windows.

3. Bearbeiten Sie den Inhalt so, dass er den Standort und die Version von CitrixWorkspaceApp.exe widerspiegelt.

4. Geben Sie in der Konsole Active Directory-Gruppenrichtlinienverwaltung CheckAndDeployWorkspacePerMachineStartupScript.bat als Startskript ein. Weitere Informationen zum Bereitstellen der Startskripts finden Sie im Abschnitt Active Directory.

5. Gehen Sie im Knoten Computerkonfiguration zu Administrative Vorlagen > Vorlagen hinzufügen/entfernen, um die Datei receiver.adml hinzuzufügen.

6. Nachdem Sie die Vorlage receiver.adml hinzugefügt haben, gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Citrix Components > Citrix Workspace > Benutzerauthentifizierung. Weitere Informationen zum Hinzufügen der Vorlagendateien finden Sie unter Administrative Vorlage für Gruppenrichtlinienobjekte.

7. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort und legen Sie sie auf Aktiviert fest.

8. Wählen Sie Passthrough-Authentifizierung aktivieren und klicken Sie auf Übernehmen.

9. Starten Sie die Maschine neu, damit die Änderungen wirksam werden.

Single Sign-On in StoreFront konfigurieren

Konfigurieren in StoreFront

1. Starten Sie Citrix Studio auf dem StoreFront-Server und wählen Sie Stores > Authentifizierungsmethoden verwalten – Store aus.
2. Wählen Sie dann Domänen-Passthrough.

Domänen-Passthrough-Authentifizierung (Single Sign-On) mit Kerberos

Dieser Abschnitt gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops und Citrix DaaS.

Die Citrix Workspace-App für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung (Single Sign-On) in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Wenn diese Option aktiviert ist, authentifiziert sich Kerberos ohne Kennwörter für die Citrix Workspace-App. Dadurch werden Angriffe im Stil eines Trojaners auf das Benutzergerät verhindert, bei denen versucht wird, an Kennwörter zu gelangen. Benutzer nutzen eine beliebige Authentifizierungsmethode (z. B. biometrische Authentifizierungsmethoden wie ein Fingerabdrucklesegerät), um sich anzumelden und auf veröffentlichte Ressourcen zuzugreifen.

Sind die Citrix Workspace-App, StoreFront sowie Citrix Virtual Apps and Desktops und Citrix DaaS für die Smartcard-Authentifizierung konfiguriert, geschieht bei der Anmeldung bei der Citrix Workspace-App mit einer Smartcard Folgendes:

1. Die App erfasst die Smartcard-PIN beim Single Sign-On.

2. Die App authentifiziert den Benutzer mit IWA (Kerberos) bei StoreFront. StoreFront stellt der Citrix Workspace-App dann Informationen zum verfügbaren Citrix Virtual Apps and Desktops und Citrix DaaS bereit.

   Hinweis:

   Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wird die Kerberos-Authentifizierung nicht verwendet, führt die Citrix Workspace-App mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.

3. Die HDX Engine (zuvor “ICA-Client”) übergibt die Smartcard-PIN an den VDA, um den Benutzer an der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops und Citrix DaaS stellen dann die angeforderten Ressourcen bereit.

Zur Verwendung der Kerberos-Authentifizierung mit der Citrix Workspace-App prüfen Sie, ob die Kerberos-Konfiguration folgenden Punkten entspricht.

• Kerberos funktioniert nur zwischen Citrix Workspace-App und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern wird zudem für Delegierungszwecke vertraut. Dies können Sie über das Verwaltungstool für Active Directory-Benutzer und -Computer konfigurieren.
• Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops und Citrix DaaS aktiviert sein. Um hohe Sicherheitsstandards und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie in der Domäne alle IWA-Optionen außer Kerberos.
• Die Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung nutzen, stets vorgegebene Anmeldeinformationen verwenden oder immer zur Eingabe des Kennworts auffordern.

Warnung:

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Domänen-Passthrough-Authentifizierung (Single Sign-On) mit Kerberos für die Verwendung mit Smartcards

Lesen Sie zuerst die Informationen im Abschnitt Sichern der Bereitstellung in der Citrix Virtual Apps and Desktops-Dokumentation, bevor Sie fortfahren.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

• /includeSSON

  Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass der Workspace mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, mit der die HDX Engine eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und Citrix Virtual Apps and Desktops und Citrix DaaS herstellt. Citrix Virtual Apps and Desktops und Citrix DaaS wählen automatisch ein Zertifikat von der Smartcard aus und rufen die PIN von der HDX Engine ab.

  Eine verwandte Option, ENABLE_SSON, ist standardmäßig aktiviert.

Wenn Sie Single Sign-On aufgrund einer Sicherheitsrichtlinie auf einem Gerät nicht aktivieren können, konfigurieren Sie die Citrix Workspace-App mit der administrativen Gruppenrichtlinienobjektsvorlage.

1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App durch Ausführen von gpedit.msc.
2. Wählen Sie Administrative Vorlagen > Citrix Components > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort
3. Wählen Sie Passthrough-Authentifizierung aktivieren.

4. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

   

StoreFront konfigurieren:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie die Option Domänen-Passthrough. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Die Option “Smartcard” muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und mit Smartcards eine Verbindung mit StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.