Domänen-Passthrough zu Citrix Workspace unter Verwendung von Azure Active Directory als Identitätsanbieter
Sie können Single Sign-On (SSO) für Citrix Workspace unter Verwendung von Azure Active Directory (AAD) als Identitätsanbieter mit domänengebundenen, hybriden und in Azure AD registrierten Endpunkten/VMs implementieren.
-
Mit dieser Konfiguration können Sie auch Windows Hello verwenden, um SSO für Citrix Workspace über in AAD registrierte Endpunkte zu ermöglichen.
- Sie können sich bei der Citrix Workspace-App mit Windows Hello authentifizieren.
- FIDO2-basierte Authentifizierung mit der Citrix Workspace-App.
- Single Sign-On für die Citrix Workspace-App von in Microsoft AAD eingebundenen Maschinen (AAD als IdP) und bedingter Zugriff mit AAD.
Um SSO für virtuelle Apps und Desktops zu erreichen, können Sie entweder FAS bereitstellen oder die Citrix Workspace-App wie folgt konfigurieren.
Hinweis:
Sie können SSO für die Citrix Workspace-Ressourcen nur bei Verwendung von Windows Hello erreichen. Sie werden jedoch zur Eingabe von Benutzername und Kennwort aufgefordert, wenn Sie auf Ihre veröffentlichten virtuellen Apps und Desktops zugreifen. Um diese Aufforderung zu umgehen, können Sie FAS und SSO für virtuelle Apps und Desktops bereitstellen.
Voraussetzungen:
- Verbinden Sie Azure Active Directory mit Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud in der Citrix Cloud-Dokumentation.
- Aktivieren Sie die Azure AD-Authentifizierung für den Zugriff auf den Workspace. Weitere Informationen finden Sie unter Aktivieren der Azure AD-Authentifizierung für Workspaces in der Citrix Cloud-Dokumentation.
Um Single Sign-On für Citrix Workspace zu erreichen:
- 1. Konfigurieren Sie die Citrix Workspace-App mit includeSSON.
- Deaktivieren Sie das Attribut
prompt=loginin Citrix Cloud. - Konfigurieren Sie Azure Active Directory-Passthrough mit Azure Active Directory Connect.
Ab der Citrix Workspace™-App für Windows, Version 2503, installiert das System SSON standardmäßig im Ruhemodus. Sie können SSON nach der Installation mithilfe der Gruppenrichtlinienobjekt-Richtlinie (GPO) aktivieren. Um dies zu aktivieren, navigieren Sie zu Benutzerauthentifizierung > Lokaler Benutzername und Kennwort und aktivieren Sie das Kontrollkästchen Pass-Through-Authentifizierung aktivieren.
Hinweis:
Sie müssen das System nach dem Aktualisieren der GPO-Richtlinie neu starten, damit die SSON-Einstellung wirksam wird.
Konfigurieren der Citrix Workspace-App zur Unterstützung von SSO
Voraussetzungen:
- Citrix Workspace Version 2109 oder höher.
- > **Hinweis:** > > Wenn Sie FAS für SSO verwenden, ist keine Citrix Workspace-Konfiguration erforderlich.
-
Installieren Sie die Citrix Workspace-App über die administrative Befehlszeile mit der Option
includeSSON:CitrixWorkspaceApp.exe /includeSSON - Melden Sie sich vom Windows-Client ab und melden Sie sich wieder an, um den SSON-Server zu starten.
-
Klicken Sie auf Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung, um die Citrix Workspace-GPO zu ändern, um Lokaler Benutzername und Kennwort zuzulassen.
Hinweis:
Diese Richtlinien können über Active Directory an das Clientgerät übertragen werden. Dieser Schritt ist nur erforderlich, wenn Sie über den Webbrowser auf Citrix Workspace zugreifen.
-
Aktivieren Sie die Einstellung gemäß dem Screenshot.
-
- Fügen Sie die folgenden vertrauenswürdigen Sites über GPO hinzu:
https://aadg.windows.net.nsatc.nethttps://autologon.microsoftazuread-sso.com-
https://xxxtenantxxx.cloud.com: Workspace-URL
Hinweis:
Single Sign-On für AAD ist deaktiviert, wenn der Registrierungseintrag AllowSSOForEdgeWebview unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\Dazzleauf false gesetzt ist.
Deaktivieren des Parameters prompt=login in Citrix Cloud
Standardmäßig ist prompt=login für Citrix Workspace aktiviert, was die Authentifizierung erzwingt, selbst wenn der Benutzer sich für angemeldet bleiben entschieden hat oder das Gerät in Azure AD eingebunden ist.
Sie können prompt=login in Ihrem Citrix Cloud-Konto deaktivieren. Navigieren Sie zu Workspace Configuration\Customize\Preferences-Federated Identity Provider Sessions und deaktivieren Sie den Schalter. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX253779.
Hinweis:
Auf in AAD eingebundenen oder hybriden AAD-eingebundenen Geräten, wenn AAD als IdP für Workspace verwendet wird, fordert die Citrix Workspace-App keine Anmeldeinformationen an. Benutzer können sich automatisch mit einem Geschäfts- oder Schulkonto anmelden.
Um Benutzern die Anmeldung mit einem anderen Konto zu ermöglichen, setzen Sie den folgenden Registrierungswert auf false.
Erstellen und fügen Sie einen Registrierungs-String REG_SZ mit dem Namen AllowSSOForEdgeWebview unter
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\DazzleoderComputer\HKEY_CURRENT_USER\SOFTWARE\Citrix\Dazzlehinzu und setzen Sie dessen Wert auf False. Alternativ können sich Benutzer, wenn sie sich von der Citrix Workspace-App abmelden, beim nächsten Anmeldevorgang mit einem anderen Konto anmelden.
Konfigurieren von Azure Active Directory-Passthrough mit Azure Active Directory Connect
- Wenn Sie Azure Active Directory Connect zum ersten Mal installieren, wählen Sie auf der Seite Benutzeranmeldung die Option Pass-Through-Authentifizierung als Anmeldemethode aus. Weitere Informationen finden Sie unter Azure Active Directory Pass-Through-Authentifizierung: Schnellstart in der Microsoft-Dokumentation.
-
Wenn Microsoft Azure Active Directory Connect bereits vorhanden ist:
- Wählen Sie die Aufgabe Benutzeranmeldung ändern aus und klicken Sie auf Weiter.
- Wählen Sie Pass-Through-Authentifizierung als Anmeldemethode aus.
Hinweis:
Sie können diesen Schritt überspringen, wenn das Clientgerät in Azure AD eingebunden oder hybrid eingebunden ist. Wenn das Gerät in AD eingebunden ist, funktioniert die Domänen-Pass-Through-Authentifizierung über die Kerberos-Authentifizierung.