Passthrough-Authentifizierung von Citrix Gateway
Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet. Die Passthrough-Authentifizierung von Citrix Gateway ist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf den Store durchführen. Die Benutzer können mithilfe der lokal installierten Citrix Workspace-App oder eines Webbrowsers über Citrix Gateway eine Verbindung mit Stores herstellen. Weitere Informationen zum Konfigurieren von StoreFront für Citrix Gateway finden Sie unter Citrix Gateway konfigurieren.
StoreFront unterstützt Passthrough mit den folgenden Citrix Gateway-Authentifizierungsmethoden.
- Domäne: Die Benutzer melden sich mit ihrem Active Directory-Benutzernamen und -Kennwort an.
- RSA: Die Benutzer melden sich bei Citrix Gateway mit Passcodes an, die von mit Sicherheitstoken generierten Tokencodes abgeleitet werden, in einigen Fällen in Kombination mit persönlichen Identifikationsnummern. Wenn Sie zur Passthrough-Authentifizierung ausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie Microsoft Active Directory-Domänenanmeldeinformationen.
- Smartcard: Die Benutzer melden sich mit Smartcards an
- RSA + Domäne: Benutzer, die sich an Citrix Gateway anmelden, müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodes eingeben.
Wenn Sie für das Citrix Gateway die Authentifizierung oder Single Sign-On deaktiviert haben, wird Passthrough nicht verwendet und Sie müssen eine der anderen Authentifizierungsmethoden konfigurieren.
Wenn Sie die Zweiquellenauthentifizierung bei Citrix Gateway für Remotebenutzer konfigurieren, die von der Citrix Workspace-App aus auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien für Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode im Sitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie das Citrix Gateway-Gerät zu Ihrer StoreFront-Konfiguration hinzufügen, legen Sie den Anmeldetyp auf “Domäne und Sicherheitstoken” fest. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364.
Um die Multidomänenauthentifizierung über Citrix Gateway zu StoreFront zu aktivieren, setzen Sie in der Citrix Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne das SSO-Namensattribut auf “userPrincipalName”. Sie können festlegen, dass die Benutzer auf der Citrix Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zu verwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren der Citrix Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFront anmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänen beschränken.
Wenn die Citrix Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zur Steuerung des Benutzerzugriffs auf Citrix Virtual Apps and Desktops-Ressourcen auf der Basis von Citrix Gateway-Sitzungsrichtlinien verwenden.
Gateway-Passthrough-Authentifizierung aktivieren
Um die Gateway-Passthrough-Authentifizierung für den Storezugriff über die Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden das Kontrollkästchen Passthrough-Authentifizierung von Citrix Gateway.
Wenn Sie die Citrix Gateway-Passthrough-Authentifizierung für einen Store standardmäßig aktivieren, wird sie auch für alle Websites für diesen Store aktiviert. Sie können die Authentifizierung mit Benutzernamen und Kennwort für einzelne Websites auf der Registerkarte Authentifizierungsmethoden separat aktivieren oder deaktivieren.
Konfigurieren vertrauenswürdiger Benutzerdomänen
Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung konfiguriert ist, können Sie den Zugriff auf bestimmte Domänen einschränken.
-
Wählen Sie im Fenster “Authentifizierungsmethoden verwalten” aus dem Dropdownmenü Pass-through von Citrix Gateway > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.
-
Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste “Vertrauenswürdige Domänen” aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen, wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen.
Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen die Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.
-
Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.
-
Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen “Domänenliste auf Anmeldeseite anzeigen”.
Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway
Standardmäßig überprüft StoreFront den vom Citrix Gateway empfangenen Benutzernamen und das Kennwort. Wenn das Citrix Gateway für kennwortlose Authentifizierungsmethoden wie Smartcard konfiguriert ist, müssen Sie StoreFront so konfigurieren, dass es die Anmeldeinformationen nicht prüft und von der Authentifizierung durch das Gateway abhängig ist. In diesem Fall wird empfohlen, bei der Konfiguration des Citrix Gateways eine Rückruf-URL einzugeben, damit StoreFront die Herkunft der Anforderung überprüfen kann (siehe Citrix Gateways verwalten).
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdownmenü Pass-through von Citrix Gateway > Einstellungen die Option Delegierte Authentifizierung konfigurieren aus.
-
Aktivieren Sie Anmeldeinformationenvalidierung vollständig an Citrix Gateway delegieren.
.
PowerShell SDK
Um den Store so zu konfigurieren, dass die Authentifizierung mit der PowerShell SDK an das Citrix Gateway delegiert wird, verwenden Sie das Cmdlet Set-STFCitrixAGBasicOptions, um CredentialValidationMode
auf Auto
festzulegen. Um StoreFront für die Validierung der Anmeldeinformationen zu konfigurieren, setzen Sie CredentialValidationMode
auf Password
.
Zulassen, dass Benutzer abgelaufene Kennwörter ändern
Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung (Benutzername und Kennwort) konfiguriert ist, können Sie NetScaler so konfigurieren, dass abgelaufene Kennwörter bei der Anmeldung geändert werden können.
- Melden Sie sich auf der Website für die NetScaler-Verwaltung an
- Gehen Sie im Randmenü zu Authentifizierung > Dashboard.
- Klicken Sie auf den Authentifizierungsserver.
- Aktivieren Sie unter Other Settings die Option Allow Password Change.
Zulassen, dass Benutzer abgelaufene Kennwörter ändern
Sie können StoreFront so konfigurieren, dass die Benutzer ihr Kennwort nach der Anmeldung ändern können. Dieses Feature ist nur verfügbar, wenn das Gateway die LDAP-Authentifizierung verwendet und der Benutzer über einen Browser auf den Store zugreift, nicht über die lokal installierte Citrix Workspace-App.
Die StoreFront-Standardkonfiguration verhindert, dass die Benutzer ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdownmenü Pass-through von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten aus.
-
Damit die Benutzer ihre Kennwörter ändern können, aktivieren Sie das Kontrollkästchen Benutzer dürfen Kennwort ändern.
Hinweis:
Wenn Sie Benutzern erlauben, Kenn wörter zu ändern aktivieren oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Authentifizierung Benutzername und Kennwort aus.
PowerShell SDK
Verwenden Sie das Cmdlet Set-STFExplicitCommonOptions, um die Optionen zum Ändern von Kennwörtern über das PowerShell-SDK zu ändern.
Delivery Controller so konfigurieren, dass er StoreFront vertraut
Wenn das Citrix Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen den Delivery Controller daher so konfigurieren, dass er Anfragen von StoreFront vertraut. Weitere Informationen finden Sie unter Überlegungen und Best Practices zur Sicherheit von Citrix Virtual Apps and Desktops.
Single Sign-On zu VDAs mit dem Verbundauthentifizierungsdienst
Wenn das Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter, sodass ein Single Sign-On bei VDAs erfolgen kann. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen, sodass Single Sign-On nicht standardmäßig verfügbar ist. Sie können Federated Authentication Service verwenden, um einmaliges Anmelden bereitzustellen.
In diesem Artikel
- Gateway-Passthrough-Authentifizierung aktivieren
- Konfigurieren vertrauenswürdiger Benutzerdomänen
- Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway
- Zulassen, dass Benutzer abgelaufene Kennwörter ändern
- Zulassen, dass Benutzer abgelaufene Kennwörter ändern
- Delivery Controller so konfigurieren, dass er StoreFront vertraut
- Single Sign-On zu VDAs mit dem Verbundauthentifizierungsdienst