Single Sign-On mit Azure Active Directory
Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ermöglicht einen Single Sign-On für domänengebundene Virtual Delivery Agents (VDAs). Hierfür erhält der VDA von FAS ein Benutzerzertifikat und authentifiziert damit den Benutzer gegenüber Active Directory (AD). Sobald Sie sich bei der VDA-Sitzung angemeldet haben, können Sie dann ohne erneute Authentifizierung auf AD-Ressourcen zugreifen.
Es ist üblich, Azure Active Directory (AAD) mit Synchronisierung zwischen Ihrem AD und AAD zu implementieren, wodurch Hybrididentitäten für Benutzer und Maschinen entstehen. In diesem Artikel wird beschrieben, welche zusätzliche Konfiguration bei Verwendung von FAS erforderlich ist, um sich aus der VDA-Sitzung heraus per Single Sign-On bei AAD anzumelden und auf AAD-geschützte Anwendungen zuzugreifen, ohne sich erneut zu authentifizieren.
Hinweis:
- Sie benötigen keine spezielle FAS-Konfiguration, um Single Sign-On für AAD zu verwenden.
- Sie benötigen keine sitzungsinternen Zertifikate für FAS.
- Sie können jede beliebige Version von FAS verwenden.
- Sie können jede VDA-Version verwenden, die FAS unterstützt.
Die Verfahren für den Single Sign-On für AAD sind in der folgenden Tabelle zusammengefasst:
AAD-Authentifizierungstyp | VDA ist domänengebunden | VDA mit Hybrideinbindung |
---|---|---|
Verwaltet | Seamless SSO AAD verwenden | AAD-zertifikatbasierte Authentifizierung verwenden |
Verbunden mit Active Directory-Verbunddienste (AD FS) | Windows-Authentifizierung bei AD FS aktivieren | Sicherstellen, dass der WS-Trust-Endpunkt certificatemixed aktiviert ist |
Verbunden mit einem externen Identitätsanbieter | Drittanbieter-Lösung verwenden | Drittanbieter-Lösung verwenden |
-
Eine verwaltete AAD-Domäne ist eine Domäne, in der die Benutzerauthentifizierung bei AAD erfolgt. Dies wird auch als “native AAD-Authentifizierung” bezeichnet.
-
Eine verbundene AAD-Domäne ist eine Domäne, in der AAD so konfiguriert ist, dass die Authentifizierung umgeleitet wird und an einem anderen Ort erfolgt. Zum Beispiel bei AD FS oder einem externen Identitätsanbieter.
-
Ein VDA mit Hybrideinbindung ist mit AD und mit AAD verbunden.
Domänengebundene VDAs
Bei domänengebundenen VDAs nutzen Sie Single Sign-On für AAD mittels Windows-Authentifizierung (traditionell als integrierte Windows-Authentifizierung oder Kerberos bezeichnet). Die Authentifizierung bei AAD erfolgt, wenn der Benutzer innerhalb der VDA-Sitzung auf eine AAD-geschützte Anwendung zugreift. Das folgende Diagramm zeigt den allgemeinen Authentifizierungsprozess:
Die genauen Details variieren je nachdem, ob die AAD-Domäne verwaltet oder verbunden ist.
Informationen zum Einrichten der verwalteten AAD-Domäne finden Sie unter Schnellstart: Nahtloses einmaliges Anmelden mit Azure Active Directory.
Bei einer mit AD FS verbundenen AAD-Domäne aktivieren Sie die Windows-Authentifizierung auf dem AD FS-Server.
Bei einer AAD-Domäne, die mit einem externen Identitätsanbieter verbunden ist, gibt es eine ähnliche Lösung. Wenden Sie sich an Ihren Identitätsanbieter, um weitere Hilfe zu erhalten.
Hinweis:
Sie können die aufgeführten Lösungen für domänengebundene VDAs auch für VDAs mit Hybrideinbindung verwenden. Bei Verwendung von FAS wird jedoch kein primärer Aktualisierungstoken (PRT) für AAD generiert.
VDAs mit Hybrideinbindung
VDAs mit Hybrideinbindung sind gleichzeitig mit AD und AAD verbunden. Wenn der Benutzer sich beim VDA anmeldet, werden folgende Artefakte erstellt:
- Ein Kerberos Ticket Granting Ticket (TGT) zur Authentifizierung bei AD-Ressourcen
- Ein primärer Aktualisierungstoken (PRT) zur Authentifizierung bei AAD-Ressourcen
Der PRT enthält Informationen zum Benutzer und zur Maschine. Diese Informationen werden bei Bedarf in einer AAD-Richtlinie für bedingten Zugriff verwendet.
Da FAS zur Benutzerauthentifizierung ein Zertifikat für den VDA bereitstellt, muss die zertifikatbasierte Authentifizierung für AAD implementiert sein, damit ein PRT erstellt wird. Das folgende Diagramm zeigt den allgemeinen Authentifizierungsprozess:
Die genauen Details variieren je nachdem, ob die AAD-Domäne verwaltet oder verbunden ist.
Bei einer verwalteten AAD-Domäne konfigurieren Sie die zertifikatbasierte AAD-Authentifizierung. Weitere Informationen finden Sie unter Übersicht über die zertifikatbasierte Authentifizierung mit Azure AD. Der VDA verwendet die zertifikatbasierte AAD-Authentifizierung, um den Benutzer mit seinem FAS-Zertifikat bei AAD zu authentifizieren.
Hinweis:
In der Microsoft-Dokumentation wird die Anmeldung mit einem Smartcard-Zertifikat beschrieben; die zugrundeliegende Technik gilt aber auch bei der Anmeldung mit einem FAS-Benutzerzertifikat.
Für eine mit AD FS verbundene AAD-Domäne verwendet der VDA den WS-Trust-Endpunkt certificatemixed des AD FS-Servers, um den Benutzer mit seinem FAS-Zertifikat bei AAD zu authentifizieren. Dieser Endpunkt ist standardmäßig aktiviert.
Für eine AAD-Domäne, die mit einem externen Identitätsanbieter verbunden ist, gibt es möglicherweise eine ähnliche Lösung. Der Identitätsanbieter muss einen WS-Trust-Endpunkt certificatemixed implementieren. Wenden Sie sich an Ihren Identitätsanbieter, um weitere Hilfe zu erhalten.