Installation

Reihenfolge der Schritte zur Installation und Einrichtung

  1. Installieren des Verbundauthentifizierungsdiensts (FAS)
  2. Aktivieren des FAS-Plug-Ins für StoreFront-Stores
  3. Delivery Controller konfigurieren
  4. Gruppenrichtlinie konfigurieren
  5. Verwenden Sie die FAS-Verwaltungskonsole für Folgendes:
    1. Zertifikatvorlagen bereitstellen
    2. Einrichten von Zertifizierungsstellen
    3. Autorisierte Verwendung Ihrer Zertifizierungsstellen durch den FAS
    4. Konfigurieren von Regeln
    5. Verbinden des FAS mit Citrix Cloud (optional)

Verbundauthentifizierungsdienst installieren

Citrix empfiehlt aus Sicherheitsgründen, den Verbundauthentifizierungsdienst (FAS) auf einem eigenen Server zu installieren. Dieser Server muss auf ähnliche Weise wie ein Domänencontroller oder eine Zertifizierungsstelle geschützt werden. Der FAS kann folgendermaßen installiert werden:

  • Mit dem Citrix Virtual Apps and Desktops-Installationsprogramm (über die Schaltfläche Verbundauthentifizierungsdienst auf dem Begrüßungsbildschirm der automatischen Ausführung, wenn die ISO-Datei eingefügt wird) oder
  • Mit der eigenständigen FAS-Installationsdatei (verfügbar als MSI-Datei unter Citrix Downloads).

Es werden folgende Komponenten installiert:

Aktualisieren des Verbundauthentifzierungsdiensts

Sie können den FAS über ein direktes Upgrade aktualisieren. Berücksichtigen Sie vor dem Upgrade Folgendes:

  • Alle FAS-Servereinstellungen bleiben erhalten, wenn Sie ein direktes Upgrade durchführen.
  • Schließen Sie die FAS-Verwaltungskonsole, bevor Sie den FAS aktualisieren.
  • Stellen Sie sicher, dass stets mindestens ein FAS-Server verfügbar ist. Wenn kein Server mit einem für den Verbundauthentifizierungsdienst aktivierten StoreFront-Server erreichbar ist, können die Benutzer sich nicht anmelden und keine Anwendungen starten.

Um ein Upgrade zu starten, installieren Sie den FAS mit dem Citrix Virtual Apps and Desktops-Installationsprogramm oder mit der eigenständigen FAS-Installationsdatei.

Aktivieren des FAS-Plug-Ins für StoreFront-Stores

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie als Administrator folgende PowerShell-Cmdlets aus. Wenn der Store einen anderen Namen hat, ändern Sie $StoreVirtualPath.

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

    Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
    $StoreVirtualPath = "/Citrix/Store"
    $store = Get-STFStoreService -VirtualPath $StoreVirtualPath
    $auth = Get-STFAuthenticationService -StoreService $store
    Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
    Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->

Delivery Controller konfigurieren

Hinweis:

Dieser Schritt ist nicht erforderlich, wenn Sie den FAS nur mit Citrix Cloud verwenden.

Zur Verwendung des FAS konfigurieren Sie den Citrix Virtual Apps- oder Citrix Virtual Desktops-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm verbunden werden. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus. Führen Sie diesen Befehl pro Site nur einmal aus, unabhängig von der Anzahl der Delivery Controller in der Site.

Gruppenrichtlinie konfigurieren

Nach der FAS-Installation geben Sie unter Verwendung der im Installationsprogramm enthaltenen Gruppenrichtlinienvorlagen den vollqualifizierten Domänennamen (FQDN) der FAS-Server in der Gruppenrichtlinie an.

Wichtig:

Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden Virtual Delivery Agents (VDAs) müssen die gleiche FQDN-Konfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Der Einfachheit halber zeigen die folgenden Beispiele die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Dies ist jedoch nicht erforderlich. FAS funktioniert, wenn die Liste der FQDNs für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Siehe Schritt 6.

Schritt 1: Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Dateien C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und CitrixBase.admx und den Ordner “de-DE”.

lokalisierte Abbildung

Schritt 2: Kopieren Sie diese Dateien auf die Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3: Führen Sie Microsoft Management Console (Befehlszeile: “mmc.exe”) aus. Wählen Sie auf der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie nach einem Gruppenrichtlinienobjekt gefragt werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Alternativ können Sie ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

lokalisierte Abbildung

Schritt 4: Gehen Sie zur Richtlinie Verbundauthentifizierungsdienst (Federated Authentication Service) unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

Authentifizierungsvorlagen.

Hinweis:

Die Einstellung der Verbundauthentifizierungsdienst-Richtlinie ist nur im Gruppenrichtlinienobjekt der Domäne verfügbar, wenn Sie die Vorlagendatei CitrixBase.admx/CitrixBase.adml in den Ordner PolicyDefinitions einfügen. Nach Schritt 3 wird die Richtlinieneinstellung für den Verbundauthentifizierungsdienst im Ordner Administrative Vorlagen > Citrix Komponenten > Authentifizierung aufgeführt.

Schritt 5: Öffnen Sie die Verbundauthentifizierungsdienst-Richtlinie und wählen Sie Aktiviert. Dadurch wird die Schaltfläche Anzeigen wählbar, über die Sie die FQDNs der FAS-Server konfigurieren.

FQDNs.

Schritt 6. Geben Sie die FQDNs der FAS-Server ein.

Wichtig:

Wenn Sie mehrere FQDNs eingeben, muss die Reihenfolge der Liste für VDAs, StoreFront-Server (falls vorhanden) und FAS-Server übereinstimmen. Siehe Gruppenrichtlinieneinstellungen.

Schritt 7: Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Änderungen der Gruppenrichtlinie anzuwenden. Sie müssen u. U. die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

In-session Behavior

Diese Richtlinie aktiviert einen Agentprozess in der VDA-Sitzung des Benutzers, der sitzungsinterne Zertifikate, Zustimmung und Trennung bei Sperre unterstützt. Sitzungsinterne Zertifikate sind nur verfügbar, wenn diese Richtlinie aktiviert ist und wenn die zum Erstellen des Zertifikats verwendete FAS-Regel die sitzungsinterne Nutzung gestattet, siehe Konfigurieren von Regeln.

In-session Behavior.

Enable aktiviert diese Richtlinie und ermöglicht die Ausführung eines FAS-Agentprozesses in der VDA-Sitzung des Benutzers.

Disable deaktiviert die Richtlinie und stoppt die Ausführung des FAS-Agentprozesses.

Prompt Scope

Wenn diese Richtlinie aktiviert ist, steuert Prompt Scope, wie Benutzer aufgefordert werden zuzustimmen, damit eine Anwendung ein sitzungsinternes Zertifikat verwenden kann. Es gibt drei Optionen:

  • No consent required: Diese Option deaktiviert die Sicherheitsaufforderung und private Schlüssel werden im Hintergrund verwendet.
  • Per-process consent: Für jedes laufende Programm ist die separate Zustimmung erforderlich.
  • Per-session consent: Sobald der Benutzer auf OK klickt, gilt diese Option für alle Programme in der Sitzung.

Wenn diese Richtlinie aktiviert ist, definiert Consent Timeout, wie lange die Zustimmung gültig ist (in Sekunden). Bei einer Gültigkeit von 300 Sekunden müssen Benutzer beispielsweise alle fünf Minuten neu zustimmen. Beim Wert Null müssen Benutzer bei jedem Privatschlüsselvorgang zustimmen.

Disconnect on lock

Wenn diese Richtlinie aktiviert ist, wird die Sitzung des Benutzers automatisch getrennt, wenn der Bildschirm gesperrt wird. Dieses Verhalten ähnelt der Richtlinie zum Trennen beim Entfernen von Smartcards. Verwenden Sie dieses Feature, wenn die Benutzer keine Active Directory-Anmeldeinformationen haben.

Hinweis:

Die Richtlinie zum Trennen der Verbindung beim Sperren gilt für alle Sitzungen auf dem VDA.

Verwendung der FAS-Verwaltungskonsole

Hinweis:

Die FAS-Verwaltungskonsole eignet sich für die meisten Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Informationen zu den FAS-PowerShell-Cmdlets finden Sie unter PowerShell-Cmdlets.

Die FAS-Verwaltungskonsole wird als Teil des FAS installiert. Ein Symbol (Citrix Verbundauthentifizierungsdienst) wird in das Startmenü eingefügt.

Wenn Sie die Verwaltungskonsole zum ersten Mal verwenden, werden Sie durch den folgenden Prozess geführt:

  • Zertifikatvorlagen bereitstellen.
  • Zertifizierungsstelle einrichten.
  • Verwendung der Zertifizierungsstelle durch den FAS autorisieren.

Sie können auch die Konfigurationstools des Betriebssystems verwenden, um einige der Schritte manuell auszuführen.

Die FAS-Verwaltungskonsole stellt standardmäßig eine Verbindung zum On-Premises-Verbundauthentifizierungsdienst her. Bei Bedarf können Sie über Connect to another Server rechts oben in der Konsole eine Verbindung zu einem Remotedienst herstellen.

lokalisierte Abbildung

Zertifikatvorlagen bereitstellen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet der FAS drei eigene Citrix Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei Active Directory registriert sein. Klicken Sie auf die Schaltfläche Deploy und dann auf OK.

lokalisierte Abbildung

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung “certificatetemplate” zu finden. Diese werden mit dem FAS in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Ordner für Zertifikatvorlagen.

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden, die sich im Ordner mit den Vorlagen befinden:

    $template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
    $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
    $CertEnrol.InitializeImport($template)
    $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
    $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
    $writabletemplate.Initialize($comtemplate)
    $writabletemplate.Commit(1, $NULL)
<!--NeedCopy-->

Active Directory-Zertifikatdienste einrichten

Nach Installation der Citrix Zertifikatvorlagen müssen sie auf mindestens einem Microsoft Enterprise-Zertifizierungsstellenserver veröffentlicht werden. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Ein Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle muss die Vorlagen auf mindestens einem Server veröffentlichen. Verwenden Sie Set Up Certificate Authority, um sie zu veröffentlichen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

lokalisierte Abbildung

Autorisieren des Verbundauthentifizierungsdiensts

Dieser Schritt leitet die Autorisierung des FAS ein. Von der Verwaltungskonsole wird die Vorlage “Citrix_RegistrationAuthority_ManualAuthorization” zum Erstellen einer Zertifikatanforderung verwendet, die dann an eine der Zertifizierungsstellen gesendet wird, die das Zertifikat veröffentlichen.

lokalisierte Abbildung

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole als ausstehende Anforderung des FAS-Maschinenkontos angezeigt. Der Administrator der Zertifizierungsstelle muss die Anforderung ausstellen oder ablehnen, damit die Konfiguration des FAS fortgesetzt werden kann.

Die FAS-Verwaltungskonsole zeigt ein Drehfeld an, bis der Administrator Ausstellen oder Verweigern wählt.

Klicken Sie in der Konsole der Microsoft-Zertifizierungsstelle mit der rechten Maustaste auf Alle Tasks und wählen Sie für die Zertifikatsanforderung Ausstellen oder Verweigern. Wenn Sie Ausstellen wählen, zeigt die FAS-Verwaltungskonsole das Autorisierungszertifikat an. Wenn Sie Verweigern wählen, zeigt die Konsole eine Fehlermeldung an.

lokalisierte Abbildung

Die FAS-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Er kann einige Minuten dauern.

lokalisierte Abbildung

Konfigurieren von Regeln

Der Verbundauthentifizierungsdienst (FAS) verwendet Regeln, um die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront zu autorisieren.

Jede Regel spezifiziert Folgendes:

  • StoreFront-Server, denen zum Zweck des Anforderns der Zertifikate vertraut wird.
  • Gruppe von Benutzern, für die die Zertifikate angefordert werden können.
  • Gruppe von VDA-Maschinen, die die Zertifikate verwenden dürfen.

Citrix empfiehlt, eine Regel mit dem Namen “default” zu erstellen, da StoreFront bei der Kontaktaufnahme mit dem FAS eine Regel dieses Namens anfordert.

Sie können weitere benutzerdefinierte Regeln erstellen, um auf verschiedene Zertifikatvorlagen und Zertifizierungsstellen zu verweisen und für sie unterschiedliche Eigenschaften und Berechtigungen zu konfigurieren. Diese Regeln können für die Verwendung durch verschiedene StoreFront-Server oder von Workspace konfiguriert werden. Konfigurieren Sie die StoreFront-Server so, dass die benutzerdefinierte Regel über den Namen angefordert wird. Verwenden Sie dazu die Konfigurationsoptionen für die Gruppenrichtlinien.

Klicken Sie auf der Registerkarte “Rules” auf Create (oder Create Rules), um den Assistenten zur Regelerstellung zu starten, der Informationen zum Erstellen der Regel sammelt. Die Registerkarte “Rules” zeigt eine Zusammenfassung der einzelnen Regeln.

lokalisierte Abbildung

Der Assistent erfasst die folgenden Informationen:

Template: Die Zertifikatvorlage, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Dies muss die Vorlage Citrix_SmartcardLogon oder eine modifizierte Kopie sein (siehe Zertifikatvorlagen).

Certificate Authority: Die Zertifizierungsstelle, die Benutzerzertifikate ausstellt und die Vorlage veröffentlicht. Für Failover und Lastausgleich können mehrere Zertifizierungsstellen hinzugefügt werden. Stellen Sie sicher, dass der Status für die gewählte Zertifizierungsstelle “Template available” anzeigt. Siehe Zertifizierungsstellenverwaltung.

In-Session Use: Mit der Option Allow in-session use legen Sie fest, ob ein Zertifikat nach der Anmeldung am VDA verwendet werden kann.

  • Allow in-session use nicht ausgewählt (Standardeinstellung, empfohlen): Das Zertifikat wird nur für das Anmelden oder Wiederverbinden verwendet, und Benutzer haben nach der Authentifizierung keinen Zugriff auf das Zertifikat.
  • Allow in-session use ist ausgewählt: Benutzer haben nach der Authentifizierung Zugriff auf das Zertifikat. Die meisten Kunden dürfen diese Option nicht wählen. Auf Ressourcen wie Intranet-Websites oder Datenfreigaben, auf die innerhalb der VDA-Sitzung zugegriffen wird, kann mit Kerberos Single Sign-On zugegriffen werden. Daher ist hier kein sitzungsinternes Zertifikat erforderlich.

    Wenn Sie Allow in-session use auswählen, muss die Gruppenrichtlinie In-session Behavior auch aktiviert und auf den VDA angewendet werden. Zertifikate werden dann nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist.

Access control: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Für all diese Berechtigungen können Sie einzelne AD-Objekte oder Gruppen hinzufügen.

Wichtig:

Die Einstellung Access control ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

Hinweis:

Wenn Sie den FAS-Server nur mit Citrix Cloud verwenden, müssen Sie “Access control” nicht konfigurieren. Wenn eine Regel von Citrix Cloud verwendet wird, werden die StoreFront-Zugriffsberechtigungen ignoriert. Sie können dieselbe Regel mit Citrix Cloud und mit einer On-Premises-StoreFront-Bereitstellung verwenden. StoreFront-Zugriffsberechtigungen werden auch dann angewendet, wenn die Regel von einem On-Premises-StoreFront genutzt wird.

Die Standardberechtigung (“Assert Identity” zugelassen) verweigert alles. Daher müssen Sie Ihre StoreFront-Server explizit zulassen.

lokalisierte Abbildung

Restrictions: Liste der VDA-Maschinen, die Benutzer über den FAS anmelden können, und die Liste der Benutzer, für die Zertifikate über den FAS ausgestellt werden können.

  • Mit Manage VDA permissions können Sie angeben, auf welchen VDAs Benutzer sich über den FAS anmelden können. Die Liste der VDAs wird standardmäßig auf “Domain Computers” festgelegt.

  • Mit Manage user permissions können Sie angeben, welche Benutzer sich über den FAS bei einem VDA anmelden können. Die Liste der Benutzer wird standardmäßig auf “Domain Users” festgelegt.

Hinweis:

Wenn die Domäne des FAS-Servers sich von der Domäne der VDAs und Benutzer unterscheidet, müssen die Standardeinschränkungen geändert werden.

lokalisierte Abbildung

lokalisierte Abbildung

Cloud rule: Gibt an, ob die Regel angewendet wird, wenn Identitätsassertions von Citrix Workspace empfangen werden. Wenn Sie eine Verbindung mit Citrix Cloud herstellen, wählen Sie aus, welche Regel für Citrix Cloud zu verwenden ist. Nach dem Verbinden mit Citrix Cloud können Sie die Regel auch über einen Link im Abschnitt Connect to Citrix Cloud ändern.

lokalisierte Abbildung

Verbindung mit Citrix Cloud herstellen

Sie können den FAS-Server über Citrix Workspace mit Citrix Cloud verbinden. Weitere Informationen bietet dieser Citrix Workspace Artikel.

  1. Klicken Sie auf der Registerkarte für die Ersteinrichtung unter Connect to Citrix Cloud auf Connect.

    Ersteinrichtung

  2. Wählen Sie die Cloud aus, mit der Sie sich verbinden möchten, und klicken Sie auf Weiter.

    Citrix Cloud wählen

    Hinweis

    In der Vorschau ist nur Citrix Cloud verfügbar.

  3. Das Fenster zeigt einen eindeutigen Registrierungscode an, der in Citrix Cloud genehmigt werden muss. Weitere Informationen finden Sie unter Registrieren von On-Premises-Produkten bei Citrix Cloud.

    Bestätigung

  4. Wählen Sie nach der Bestätigung des Registrierungscodes den erforderlichen Ressourcenstandort aus der Dropdownliste.

    Ressourcenstandort

  5. Wählen Sie ggf. das Kundenkonto und dann den Ressourcenstandort, an dem Sie den FAS-Server verbinden möchten. Klicken Sie auf Continue und schließen Sie das Bestätigungsfenster.

  6. Verwenden Sie im Abschnitt Choose a rule eine vorhandene Regel, oder erstellen Sie eine Regel. Klicken Sie auf Weiter.

    Regel wählen

  7. Klicken Sie auf der Registerkarte Summary auf Finish, um die Citrix Cloud-Verbindung herzustellen.

    Mit Cloud verbinden - Zusammenfassung

Citrix Cloud registriert den FAS-Server und zeigt ihn in Ihrem Citrix Cloud-Konto auf der Seite “Ressourcenstandorte” an.

Hinweis

Ein On-Premises-FAS-Server kann Benutzerzertifikate ausstellen, um den gleichzeitigen Zugriff auf Citrix Cloud und Citrix Virtual Apps and Desktops zu ermöglichen.

Trennen der Verbindung mit Citrix Cloud

Nachdem Sie den FAS-Server wie in diesem Citrix Workspace-Artikel beschrieben aus Ihrem Citrix Cloud-Ressourcenstandort entfernt haben, wählen Sie unter Connect to Citrix Cloud den Befehl Disable.