StoreFront

Passthrough-Authentifizierung von Citrix Gateway

Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet. Die Passthrough-Authentifizierung von Citrix Gateway ist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf den Store durchführen. Die Benutzer können mithilfe der lokal installierten Citrix Workspace-App oder eines Webbrowsers über Citrix Gateway eine Verbindung mit Stores herstellen. Weitere Informationen zum Konfigurieren von StoreFront für Citrix Gateway finden Sie unter Citrix Gateway konfigurieren.

StoreFront unterstützt Passthrough mit den folgenden Citrix Gateway-Authentifizierungsmethoden.

  • Domäne: Die Benutzer melden sich mit ihrem Active Directory-Benutzernamen und -Kennwort an.
  • RSA: Die Benutzer melden sich bei Citrix Gateway mit Passcodes an, die von mit Sicherheitstoken generierten Tokencodes abgeleitet werden, in einigen Fällen in Kombination mit persönlichen Identifikationsnummern. Wenn Sie zur Passthrough-Authentifizierung ausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie Microsoft Active Directory-Domänenanmeldeinformationen.
  • Smartcard: Die Benutzer melden sich mit Smartcards an
  • RSA + Domäne: Benutzer, die sich an Citrix Gateway anmelden, müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodes eingeben.

Wenn Sie für das Citrix Gateway die Authentifizierung oder Single Sign-On deaktiviert haben, wird Passthrough nicht verwendet und Sie müssen eine der anderen Authentifizierungsmethoden konfigurieren.

Wenn Sie die Zweiquellenauthentifizierung bei Citrix Gateway für Remotebenutzer konfigurieren, die von der Citrix Workspace-App aus auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien für Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode im Sitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie das Citrix Gateway-Gerät zu Ihrer StoreFront-Konfiguration hinzufügen, legen Sie den Anmeldetyp auf “Domäne und Sicherheitstoken” fest. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364

Um die Multidomänenauthentifizierung über Citrix Gateway zu StoreFront zu aktivieren, setzen Sie in der Citrix Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne das SSO-Namensattribut auf “userPrincipalName”. Sie können festlegen, dass die Benutzer auf der Citrix Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zu verwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren der Citrix Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFront anmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänen beschränken.

Wenn die Citrix Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zur Steuerung des Benutzerzugriffs auf Citrix Virtual Apps and Desktops-Ressourcen auf der Basis von Citrix Gateway-Sitzungsrichtlinien verwenden.

Gateway-Passthrough-Authentifizierung aktivieren

Um die Gateway-Passthrough-Authentifizierung für den Storezugriff über die Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden das Kontrollkästchen Passthrough-Authentifizierung von Citrix Gateway.

Wenn Sie die Citrix Gateway-Passthrough-Authentifizierung für einen Store standardmäßig aktivieren, wird sie auch für alle Websites für diesen Store aktiviert. Sie können die Authentifizierung mit Benutzernamen und Kennwort für einzelne Websites auf der Registerkarte Authentifizierungsmethoden separat aktivieren oder deaktivieren.

Konfigurieren vertrauenswürdiger Benutzerdomänen

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung konfiguriert ist, können Sie den Zugriff auf bestimmte Domänen einschränken.

  1. Wählen Sie im Fenster “Authentifizierungsmethoden verwalten” im Dropdownmenü Passthrough von Citrix Gateway > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.

  2. Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste “Vertrauenswürdige Domänen” aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen, wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen.

    Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen die Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.

  3. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.

  4. Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen “Domänenliste auf Anmeldeseite anzeigen”.

Screenshot des Fensters für vertrauenswürdige Domänen

Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway

Standardmäßig überprüft StoreFront den vom Citrix Gateway empfangenen Benutzernamen und das Kennwort. Wenn das Citrix Gateway für kennwortlose Authentifizierungsmethoden wie Smartcard konfiguriert ist, müssen Sie StoreFront so konfigurieren, dass es die Anmeldeinformationen nicht prüft und von der Authentifizierung durch das Gateway abhängig ist. In diesem Fall wird empfohlen, bei der Konfiguration des Citrix Gateways eine Rückruf-URL einzugeben, damit StoreFront die Herkunft der Anforderung überprüfen kann (siehe Citrix Gateways verwalten).

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Passthrough-Authentifizierung von Citrix Gateway > Einstellungen die Option Delegierte Authentifizierung konfigurieren.

  2. Aktivieren Sie Anmeldeinformationenvalidierung vollständig an Citrix Gateway delegieren.

Screenshot des Fensters "Delegierte Authentifizierung konfigurieren"

PowerShell SDK

Um den Store so zu konfigurieren, dass er die Authentifizierung mit dem PowerShell SDK an das Citrix Gateway delegiert, verwenden Sie das Cmdlet Set-STFCitrixAGBasicOptions, um CredentialValidationMode auf Auto festzulegen. Um StoreFront für die Überprüfung der Anmeldeinformationen zu konfigurieren, setzen Sie CredentialValidationMode auf Password.

Zulassen, dass Benutzer abgelaufene Kennwörter ändern

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung (Benutzername und Kennwort) konfiguriert ist, können Sie NetScaler so konfigurieren, dass abgelaufene Kennwörter bei der Anmeldung geändert werden können.

  1. Melden Sie sich auf der Website für die NetScaler-Verwaltung an
  2. Gehen Sie im Seitenmenü Authentication > Dashboard.
  3. Klicken Sie auf den Authentifizierungsserver.
  4. Aktivieren Sie unter Other Settings die Option Allow Password Change.

Zulassen, dass Benutzer abgelaufene Kennwörter ändern

Sie können StoreFront so konfigurieren, dass die Benutzer ihr Kennwort nach der Anmeldung ändern können. Dieses Feature ist nur verfügbar, wenn das Gateway die LDAP-Authentifizierung verwendet und der Benutzer über einen Browser auf den Store zugreift, nicht über die lokal installierte Citrix Workspace-App.

Die StoreFront-Standardkonfiguration verhindert, dass die Benutzer ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Passthrough-Authentifizierung von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten.

  2. Damit die Benutzer ihre Kennwörter ändern können, aktivieren Sie das Kontrollkästchen Benutzer dürfen Kennwort ändern.

Screenshot der Optionen für "Kennwort verwalten"

Hinweis:

Wenn Sie Benutzer dürfen Kennwort ändern aktivieren oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Authentifizierung mit Benutzername und Kennwort aus.

PowerShell SDK

Verwenden Sie das Cmdlet Set-STFExplicitCommonOptions, um die Optionen zum Ändern von Kennwörtern über das PowerShell-SDK zu ändern.

Delivery Controller so konfigurieren, dass er StoreFront vertraut

Wenn das Citrix Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen den Delivery Controller daher so konfigurieren, dass er Anfragen von StoreFront vertraut. Weitere Informationen finden Sie unter Überlegungen und Best Practices zur Sicherheit von Citrix Virtual Apps and Desktops.

Single Sign-On zu VDAs mit dem Verbundauthentifizierungsdienst

Wenn das Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter, sodass ein Single Sign-On bei VDAs erfolgen kann. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen, sodass Single Sign-On nicht standardmäßig verfügbar ist. Sie können den Verbundauthentifizierungsdienst verwenden, um Single Sign-On bereitzustellen.