Bereitstellungsarchitekturen

Einführung

Der Federated Authentication Service (FAS) ist eine Citrix®-Komponente, die sich in Ihre Active Directory-Zertifizierungsstelle integriert und Benutzern eine nahtlose Authentifizierung in einer Citrix-Umgebung ermöglicht. Dieses Dokument beschreibt verschiedene Authentifizierungsarchitekturen, die für Ihre Bereitstellung geeignet sein könnten.

• Wenn aktiviert, delegiert FAS Benutzerauthentifizierungsentscheidungen an vertrauenswürdige StoreFront-Server. StoreFront verfügt über eine umfassende Reihe integrierter Authentifizierungsoptionen, die auf modernen Webtechnologien basieren, und ist mithilfe des StoreFront SDK oder von IIS-Plugins von Drittanbietern leicht erweiterbar. Das grundlegende Designziel ist, dass jede Authentifizierungstechnologie, die einen Benutzer an einer Website authentifizieren kann, nun zum Anmelden bei einer Citrix Virtual Apps- oder Citrix Virtual Desktops™-Bereitstellung verwendet werden kann.

• Dieses Dokument beschreibt beispielhafte Bereitstellungsarchitekturen auf oberster Ebene, geordnet nach zunehmender Komplexität.

• Interne Bereitstellung
• Citrix Gateway-Bereitstellung
• ADFS SAML
• B2B-Kontenzuordnung
• Windows 10 Azure AD-Beitritt

Links zu verwandten FAS-Artikeln werden bereitgestellt. Für alle Architekturen ist der Artikel Installieren und Konfigurieren die primäre Referenz für die Einrichtung von FAS.

Architektonische Übersicht

FAS ist berechtigt, Smartcard-Klassenzertifikate automatisch im Namen von Active Directory-Benutzern auszustellen, die von StoreFront authentifiziert werden. Dies verwendet ähnliche APIs wie Tools, die Administratoren das Bereitstellen physischer Smartcards ermöglichen. Wenn ein Benutzer an einen Citrix Virtual Apps™- oder Citrix Virtual Desktops Virtual Delivery Agent (VDA) vermittelt wird, wird das Zertifikat an den Computer angehängt, und die Windows-Domäne betrachtet die Anmeldung als eine Standard-Smartcard-Authentifizierung.

Vertrauenswürdige StoreFront™-Server kontaktieren FAS, wenn Benutzer den Zugriff auf die Citrix-Umgebung anfordern. FAS gewährt ein Ticket, das einer einzelnen Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung die Authentifizierung mit einem Zertifikat für diese Sitzung ermöglicht. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung zu FAS her und löst das Ticket ein. Nur FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats; der VDA muss jeden Signier- und Entschlüsselungsvorgang, den er mit dem Zertifikat durchführen muss, an FAS senden.

Das folgende Diagramm zeigt, wie FAS in eine Microsoft-Zertifizierungsstelle integriert ist und Support-Dienste für StoreFront und Citrix Virtual Apps and Desktops™ Virtual Delivery Agents (VDAs) bereitstellt.

Interne Bereitstellung

FAS ermöglicht Benutzern die sichere Authentifizierung bei StoreFront mithilfe einer Vielzahl von Authentifizierungsoptionen (einschließlich Kerberos Single Sign-On) und die Verbindung zu einer vollständig authentifizierten Citrix HDX™-Sitzung.

Dies ermöglicht die Windows-Authentifizierung ohne Aufforderungen zur Eingabe von Benutzeranmeldeinformationen oder Smartcard-PINs und ohne die Verwendung von “gespeicherten Kennwortverwaltungs”-Funktionen wie dem Single Sign-On-Dienst. Dies kann verwendet werden, um die in früheren Versionen von Citrix Virtual Apps verfügbaren Anmeldefunktionen der eingeschränkten Kerberos-Delegierung zu ersetzen.

Alle Benutzer haben innerhalb ihrer Sitzung Zugriff auf PKI-Zertifikate (Public Key Infrastructure), unabhängig davon, ob sie sich mit einer Smartcard an den Endgeräten anmelden oder nicht. Dies ermöglicht eine reibungslose Migration zu Zwei-Faktor-Authentifizierungsmodellen, selbst von Geräten wie Smartphones und Tablets, die keinen Smartcard-Leser besitzen.

• Diese Bereitstellung fügt einen neuen Server hinzu, auf dem FAS ausgeführt wird, der berechtigt ist, Smartcard-Klassenzertifikate im Namen von Benutzern auszustellen. Diese Zertifikate werden dann verwendet, um sich bei Benutzersitzungen in einer Citrix HDX-Umgebung anzumelden, als ob eine Smartcard-Anmeldung verwendet worden wäre.

Die Citrix Virtual Apps- oder Citrix Virtual Desktops-Umgebung muss ähnlich wie die Smartcard-Anmeldung konfiguriert werden, was in CTX206156 dokumentiert ist.

In einer bestehenden Bereitstellung beinhaltet dies normalerweise nur die Sicherstellung, dass eine in die Domäne eingebundene Microsoft-Zertifizierungsstelle verfügbar ist und dass Domänencontrollern Domänencontroller-Zertifikate zugewiesen wurden. (Siehe den Abschnitt “Ausstellen von Domänencontroller-Zertifikaten” in CTX206156.)

• Verwandte Informationen:

• Schlüssel können in einem Hardware Security Module (HSM) oder einem integrierten Trusted Platform Module (TPM) gespeichert werden. Details finden Sie im Artikel Schutz des privaten Schlüssels.
• Der Artikel Installieren und Konfigurieren beschreibt, wie FAS installiert und konfiguriert wird.

Citrix Gateway-Bereitstellung

Die Citrix Gateway-Bereitstellung ähnelt der internen Bereitstellung, fügt jedoch Citrix Gateway in Verbindung mit StoreFront hinzu, wodurch der primäre Authentifizierungspunkt auf Citrix Gateway selbst verlagert wird. Citrix Gateway umfasst ausgeklügelte Authentifizierungs- und Autorisierungsoptionen, die zur Sicherung des Fernzugriffs auf die Websites eines Unternehmens verwendet werden können.

Diese Bereitstellung kann verwendet werden, um mehrere PIN-Eingabeaufforderungen zu vermeiden, die auftreten, wenn man sich zuerst bei Citrix Gateway authentifiziert und sich dann bei einer Benutzersitzung anmeldet. Sie ermöglicht auch die Nutzung fortschrittlicher Citrix Gateway-Authentifizierungstechnologien, ohne zusätzlich AD-Passwörter oder Smartcards zu erfordern.

• Die Citrix Virtual Apps- oder Citrix Virtual Desktops-Umgebung muss ähnlich wie die Smartcard-Anmeldung konfiguriert werden, was in CTX206156 dokumentiert ist.

In einer bestehenden Bereitstellung muss dabei in der Regel nur sichergestellt werden, dass eine in die Domäne eingebundene Microsoft-Zertifizierungsstelle verfügbar ist und dass Domänencontrollern Domänencontroller-Zertifikate zugewiesen wurden. (Siehe den Abschnitt „Ausstellen von Domänencontroller-Zertifikaten“ in CTX206156).

Beim Konfigurieren von Citrix Gateway als primäres Authentifizierungssystem stellen Sie sicher, dass alle Verbindungen zwischen Citrix Gateway und StoreFront mit TLS gesichert sind. Stellen Sie insbesondere sicher, dass die Callback-URL korrekt konfiguriert ist und auf den Citrix Gateway-Server verweist, da dies zur Authentifizierung des Citrix Gateway-Servers in dieser Bereitstellung verwendet werden kann.

Verwandte Informationen:

• Informationen zum Konfigurieren von Citrix Gateway finden Sie unter „Konfigurieren von NetScaler Gateway 10.5 zur Verwendung mit StoreFront 3.6 und Citrix Virtual Desktops 7.6“.
• Installieren und Konfigurieren beschreibt die Installation und Konfiguration von FAS.

ADFS-SAML-Bereitstellung

Eine wichtige Authentifizierungstechnologie von Citrix Gateway ermöglicht die Integration mit Microsoft ADFS, das als SAML Identity Provider (IdP) fungieren kann. Eine SAML-Assertion ist ein kryptografisch signierter XML-Block, der von einem vertrauenswürdigen IdP ausgestellt wird und einen Benutzer zur Anmeldung an einem Computersystem autorisiert. Dies bedeutet, dass der FAS-Server die Authentifizierung eines Benutzers an den Microsoft ADFS-Server (oder einen anderen SAML-fähigen IdP) delegieren kann.

ADFS wird häufig verwendet, um Benutzer sicher und remote über das Internet an Unternehmensressourcen zu authentifizieren; zum Beispiel wird es oft für die Office 365-Integration verwendet.

Verwandte Informationen:

• Der Artikel zur ADFS-Bereitstellung enthält Details.
• Der Artikel Installieren und Konfigurieren beschreibt die Installation und Konfiguration von FAS.
• Der Abschnitt zur Citrix Gateway-Bereitstellung in diesem Artikel enthält Konfigurationsüberlegungen.

B2B-Kontozuordnung

Wenn zwei Unternehmen die Computersysteme des jeweils anderen nutzen möchten, besteht eine gängige Option darin, einen Active Directory Federation Service (ADFS)-Server mit einer Vertrauensstellung einzurichten. Dies ermöglicht Benutzern eines Unternehmens, sich nahtlos in die Active Directory (AD)-Umgebung eines anderen Unternehmens zu authentifizieren. Bei der Anmeldung verwendet jeder Benutzer seine eigenen Anmeldeinformationen des Unternehmens; ADFS ordnet dies automatisch einem „Schattenkonto“ in der AD-Umgebung des Partnerunternehmens zu.

Verwandte Informationen:

• Der Artikel Installieren und Konfigurieren beschreibt die Installation und Konfiguration von FAS.

Windows 10 Azure AD Join

Windows 10 führte das Konzept des „Azure AD Join“ ein, das konzeptionell dem traditionellen Windows-Domänenbeitritt ähnelt, aber auf „über das Internet“-Szenarien abzielt. Dies funktioniert gut mit Laptops und Tablets. Wie beim traditionellen Windows-Domänenbeitritt verfügt Azure AD über Funktionen, die Single Sign-On-Modelle für Unternehmenswebsites und -ressourcen ermöglichen. Diese sind alle „Internet-fähig“ und funktionieren daher von jedem mit dem Internet verbundenen Standort aus, nicht nur im Büro-LAN.

Diese Bereitstellung ist ein Beispiel, bei dem es effektiv kein Konzept von „Endbenutzern im Büro“ gibt. Laptops werden registriert und authentifizieren sich vollständig über das Internet mithilfe moderner Azure AD-Funktionen.

Beachten Sie, dass die Infrastruktur in dieser Bereitstellung überall dort ausgeführt werden kann, wo eine IP-Adresse verfügbar ist: lokal, bei einem gehosteten Anbieter, in Azure oder bei einem anderen Cloud-Anbieter. Der Azure AD Connect-Synchronizer stellt automatisch eine Verbindung zu Azure AD her. Die Beispielgrafik verwendet Azure-VMs zur Vereinfachung.

Verwandte Informationen:

• Der Artikel Installieren und Konfigurieren beschreibt die Installation und Konfiguration von FAS.
• Der Artikel zur Azure AD-Integration enthält Details.