StoreFront

Authentifizierung mit andere Domänen

Einige Organisationen nutzen Richtlinien, die es nicht gestatten, externen Entwicklern oder Auftragnehmern Zugriff auf veröffentlichte Ressourcen in einer Produktionsumgebung zu geben. In diesem Artikel wird erläutert, wie Sie Zugriff auf veröffentlichte Ressourcen in einer Testumgebung geben, indem Sie die Authentifizierung über Citrix Gateway mit einer Domäne ermöglichen. Die Authentifizierung bei StoreFront und die Receiver für Web-Site kann dann über eine andere Domäne erfolgen. Die in diesem Artikel beschriebene Authentifizierung über Citrix Gateway wird für Benutzer unterstützt, die sich über die Receiver für Web-Site anmelden. Diese Authentifizierungsmethode wird nicht für Citrix Receiver für native Desktops oder mobile Geräte oder die Citrix Workspace-App unterstützt.

Einrichten einer Testumgebung

In diesem Beispiel werden die Produktionsdomäne “production.com” und die Testdomäne “development.com” verwendet.

production.com -Domäne

Die Domäne production.com ist im Beispiel wie folgt eingerichtet:

  • Citrix Gateway mit konfigurierter LDAP-Authentifizierungsrichtlinie für production.com.
  • Die Authentifizierung über das Gateway erfolgt mit einem Konto vom Typ production\testuser1 plus Kennwort.

development.com -Domäne

Die Domäne development.com ist im Beispiel wie folgt eingerichtet:

  • StoreFront, Citrix Virtual Apps and Desktops und VDAs befinden sich alle in derdevelopment.com Domäne.
  • Die Authentifizierung bei der Citrix Receiver für Web-Site erfolgt mit einem Konto vom Typ development\testuser1 plus Kennwort.
  • Es besteht keine Vertrauensstellung zwischen den beiden Domänen.

Konfigurieren eines Citrix Gateways für den Store

Gehen Sie zum Konfigurieren eines Citrix Gateways für den Store folgendermaßen vor:

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores und klicken Sie im Bereich Aktionen auf Citrix Gateways verwalten.
  2. Klicken Sie auf dem Bildschirm “Citrix Gateways verwalten” auf die Schaltfläche Hinzufügen.
  3. Legen Sie die Einstellungen für “Allgemeine Einstellungen”, “Secure Ticket Authority” und “Authentifizierung” fest.

    Screenshot des Fensters zum Hinzufügen einer Citrix Gateway Appliance, Abschnitt "Allgemeine Einstellungen"

    Screenshot des Fensters zum Hinzufügen einer Citrix Gateway Appliance, Abschnitt "Secure Ticket Authority"

    Screenshot des Fensters zum Hinzufügen einer Citrix Gateway Appliance, Abschnitt "Authentifizierungseinstellungen"

Hinweis:

Bedingte DNS-Weiterleitungen müssen ggf. hinzugefügt werden, damit DNS-Server in beiden Domänen FQDNs in der anderen Domäne auflösen können. Das Citrix ADC-Gerät muss die FQDNs des STA-Servers in der Domäne development.com auflösen können, indem es den DNS-Server von production.com verwendet. StoreFront muss außerdem die Rückruf-URL in der Domäne production.com auflösen können, indem es den DNS-Server von development.com verwendet. Als Alternative kann ein FQDN von development.com verwendet werden, der in die virtuelle IP-Adresse (VIP) des virtuellen Citrix Gateway-Servers aufgelöst wird.

Aktivieren von Passthrough von Citrix Gateway

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
  2. Aktivieren Sie auf dem Bildschirm “Authentifizierungsmethoden verwalten” die Option Passthrough-Authentifizierung von Citrix Gateway.
  3. Klicken Sie auf OK.

Screenshot des Fensters "Authentifizierungsmethoden verwalten"

Konfigurieren des Stores für einen Remotezugriff über Gateway

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Aktionsbereich auf Remotezugriffeinstellungen konfigurieren.
  2. Wählen Sie Remotezugriff aktivieren.
  3. Stellen Sie sicher, dass Sie Citrix Gateway beim Store registriert haben. Wenn Citrix Gateway nicht registriert ist, können keine STA-Sitzungstickets erstellt werden.

Screenshot des Fensters "Remotezugriffeinstellungen konfigurieren"

Deaktivieren der Tokenkonsistenz

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Storeeinstellungen konfigurieren.
  2. Wählen Sie auf der Seite “Storeeinstellungen konfigurieren” die Option Erweiterte Einstellungen aus.
  3. Deaktivieren Sie das Kontrollkästchen Tokenkonsistenz erforderlich. Weitere Informationen finden Sie unter Erweiterte Storeeinstellungen.

    Screenshot der erweiterten Einstellungen mit der Einstellung "Tokenkonsistenz erforderlich"

  4. Klicken Sie auf OK.

Hinweis:

Die Einstellung “Tokenkonsistenz erforderlich” ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, funktionieren SmartAccess-Features für die Citrix ADC-Endpunktanalyse (EPA) nicht mehr. Weitere Informationen zu SmartAccess finden Sie unter CTX138110.

Deaktivieren der Passthrough-Authentifizierung von Citrix Gateway für die Receiver für Web-Site

Wichtig:

Durch Deaktivieren der Passthrough-Authentifizierung von Citrix Gateway wird verhindert, dass Receiver für Web die falschen Anmeldeinformationen der Domäne production.com verwendet, die vom Citrix ADC-Gerät weitergegeben werden. Bei deaktivierter Passthrough-Authentifizierung von Citrix Gateway wird der Benutzer von Receiver für Web zur Eingabe der Anmeldeinformationen aufgefordert. Diese Anmeldeinformationen unterscheiden sich von den Anmeldeinformationen, die zur Anmeldung über Citrix Gateway verwendet werden.

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores.
  2. Wählen Sie den Store aus, den Sie ändern möchten.
  3. Klicken Sie im Bereich Aktionen auf Receiver für Web-Sites verwalten.
  4. Deaktivieren Sie unter “Authentifizierungsmethoden” Passthrough-Authentifizierung von Citrix Gateway.
  5. Klicken Sie auf OK.

    Screenshot des Fensters "Receiver für Web-Site bearbeiten", Abschnitt "Authentifizierungsmethoden"

Melden Sie sich beim Gateway mit einem Benutzerkonto und Anmeldeinformationen von production.com an

Zum Testen melden Sie sich beim Gateway mit einem Benutzerkonto und Anmeldeinformationen von production.com an.

Screenshot des Anmeldefensters

Nach der Anmeldung wird der Benutzer aufgefordert, die Anmeldeinformationen von development.com einzugeben.

Screenshot des zweiten Anmeldefensters

Hinzufügen einer Dropdownliste vertrauenswürdiger Domänen in StoreFront (optional)

Mit dieser optionalen Einstellung kann verhindert werden, dass Benutzer versehentlich die falsche Domäne zur Authentifizierung über Citrix Gateway eingeben.

Wenn der Benutzername für beide Domänen gleich ist, ist die Eingabe der falschen Domäne wahrscheinlicher. Neue Benutzer sind außerdem evtl. gewohnt, bei der Anmeldung über Citrix Gateway keine Domäne anzugeben. Benutzer können dann vergessen, domäne\benutzername für die zweite Domäne einzugeben, wenn sie aufgefordert werden, sich bei der Receiver für Web-Site anzumelden.

  1. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
  2. Klicken Sie auf den Dropdownpfeil neben Benutzername und Kennwort.
  3. Klicken Sie auf Hinzufügen, um development.com als vertrauenswürdige Domäne hinzuzufügen, und aktivieren Sie das Kontrollkästchen Domänenliste auf Anmeldeseite anzeigen.
  4. Klicken Sie auf OK.

Screenshot des Fensters "Vertrauenswürdige Domänen konfigurieren"

Screenshot des Anmeldefensters mit Domänen-Dropdown

Hinweis:

Die Kennwortzwischenspeicherung im Browser wird für dieses Authentifizierungsszenario nicht empfohlen. Wenn Benutzer unterschiedliche Kennwörter für die beiden Domänenkonten verwenden, kann die Kennwortzwischenspeicherung zu Fehlern führen.

Aktionsrichtlinie für Citrix Gateway-Sitzungen mit clientlosem VPN (CVPN)

  • Wenn Single Sign-On für Webanwendungen in der Citrix Gateway-Sitzungsrichtlinie aktiviert ist, ignoriert Receiver für Web falsche Anmeldeinformationen, die vom Citrix ADC-Gerät gesendet wurden, da die Authentifizierungsmethode Passthrough-Authentifizierung von Citrix Gateway auf der Receiver für Web-Site deaktiviert ist. Receiver für Web fordert Benutzer zur Eingabe der Anmeldeinformationen auf, unabhängig von der gewählten Einstellung für diese Option.
  • Das Ausfüllen der Single Sign-On-Einträge auf den Registerkarten “Client Experience” und “Published Apps” auf dem Citrix ADC-Gerät ändert nicht das in diesem Artikel beschriebene Verhalten.

    Screenshot des Netscaler-Richtlinienseite, Registerkarte "Client Experience"

    Screenshot des Netscaler-Richtlinienseite, Registerkarte "Published App"