Citrix ADC und StoreFront für die delegierte Formularauthentifizierung (DFA) konfigurieren
Die erweiterbare Authentifizierung (extensible authentication) bietet einen einzelnen Anpassungspunkt zur Erweiterung der formularbasierten Authentifizierung des Citrix ADC-Geräts und von StoreFront. Zum Erstellen einer Authentifizierungslösung mit dem Extensible Authentication-SDK müssen Sie die delegierte Formularauthentifizierung (DFA) zwischen dem Citrix ADC-Gerät und StoreFront konfigurieren. Das Protokoll der delegierten Formularauthentifizierung ermöglicht die Erstellung und Verarbeitung von Authentifizierungsformularen, einschließlich Validierung der Anmeldeinformationen, zur Delegierung an eine andere Komponente. Beispiel: Citrix Gateway delegiert seine Authentifizierung an StoreFront und StoreFront interagiert dann mit einem Drittanbieter-Authentifizierungsserver oder -dienst.
Das Konfigurieren der delegierten Formularauthentifizierung in Citrix Gateway wird in CTX200383 beschrieben.
Installationsempfehlungen
- Zum Schützen der Kommunikation zwischen dem Citrix ADC-Gerät und StoreFront verwenden Sie HTTPS anstelle von HTTP.
- Bei Clusterbereitstellungen stellen Sie sicher, dass auf allen Knoten das gleiche Serverzertifikat installiert und in der IIS HTTPS-Bindung konfiguriert ist, bevor Sie mit der Konfiguration beginnen.
- Stellen Sie sicher, dass auf dem Citrix ADC-Gerät der Aussteller des StoreFront-Serverzertifikats als vertrauenswürdige Zertifizierungsstelle eingerichtet ist, wenn in StoreFront HTTPS konfiguriert ist.
Überlegungen zur StoreFront-Clusterinstallation
- Installieren Sie das Authentifizierungs-Plug-In eines Drittanbieters auf allen Knoten bevor Sie diese gruppieren.
- Konfigurieren Sie alle Einstellungen für die delegierte Formularauthentifizierung auf einem Knoten und verteilen Sie die Änderungen auf die anderen. Weitere Informationen finden Sie unter “Aktivieren der delegierten Formularauthentifizierung”.
Aktivieren der delegierten Formularauthentifizierung
Da es in StoreFront keine GUI-Option zur Einrichtung des vorinstallierten Schlüssels für Citrix gibt, installieren die delegierte Formularauthentifizierung mit der PowerShell-Konsole.
-
Installieren Sie die delegierte Formularauthentifizierung. Sie wird nicht standardmäßig installiert und muss mit der PowerShell-Konsole installiert werden.
PS C:\Users\administrator.PTD.000> cd 'C:\Program Files\Citrix\Receiver StoreFront\Scripts' PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> & .\ImportModules.ps1 Adding snapins Importing modules Loading 'C:\Program Files\Citrix\Receiver StoreFront\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll' Loading 'C:\Program Files\Citrix\Receiver StoreFront\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll' PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Install-DSDFAServer Id : bf694fbc-ae0a-4d56-8749-c945559e897a ClassType : e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc FrameworkController : Citrix.DeliveryServices.Framework.FileBased.FrameworkController ParentInstance : 8dd182c7-f970-466c-ad4c-27a5980f716c RootInstance : 5d0cdc75-1dee-4df7-8069-7375d79634b3 TenantId : 860e9401-39c8-4f2c-928d-34251102b840 Data : {} ReadOnlyData : {[Name, DelegatedFormsServer], [Cmdlet, Add-DSWebFeature], [Snapin, Citrix.DeliverySer vices.Web.Commands], [Tenant, 860e9401-39c8-4f2c-928d-34251102b840]} ParameterData : {[FeatureClassId, e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc], [ParentInstanceId, 8dd182c7-f 970-466c-ad4c-27a5980f716c], [TenantId, 860e9401-39c8-4f2c-928d-34251102b840]} AdditionalInstanceDependencies : {b1e48ef0-b9e5-4697-af9b-0910062aa2a3} IsDeployed : True FeatureClass : Citrix.DeliveryServices.Framework.Feature.FeatureClass <!--NeedCopy-->
-
Fügen Sie Citrix Trusted Client hinzu. Konfigurieren Sie den gemeinsamen geheimen Schlüssel (Passphrase) zwischen StoreFront und dem Citrix ADC-Gerät. Passphrase und Client-ID müssen mit denen auf dem Citrix ADC-Gerät identisch sein.
PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Add-DSCitrixPSKTrustedClient -clientId netscaler.fqdn.com -passphrase secret <!--NeedCopy-->
-
Richten Sie die Formularkonversationsfactory für die delegierte Formularauthentifizierung für die Leitung des gesamten Datenverkehrs an das benutzerdefinierte Formular ein. Sie finden ConversationFactory unter C:\inetpub\wwwroot\Citrix\Authentication\web.config. Dies ist ein Beispiel für das, was Sie sehen.
<example connectorURL="http://Example.connector.url:8080/adapters-sf-aaconnector-webapp"> <routeTable order="1000"> <routes> <route name="StartExampleAuthentication" url="Example-Bridge-Forms/Start"> <defaults> <add param="controller" value="ExplicitFormsAuthentication" /> <add param="action" value="AuthenticateStart" /> <add param="postbackAction" value="Authenticate" /> <add param="cancelAction" value="CancelAuthenticate" /> <add param="conversationFactory" value="ExampleBridgeAuthentication" /> <add param="changePasswordAction" value="StartChangePassword" /> <add param="changePasswordController" value="ChangePassword" /> <add param="protocol" value="CustomForms" /> </defaults> </route> <!--NeedCopy-->
-
Legen Sie die Formularkonversationsfactory für die delegierte Formularauthentifizierung in PowerShell fest. In diesem Beispiel auf ExampleBridgeAuthentication.
PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Set-DSDFAProperty -ConversationFactory ExampleBridgeAuthentication <!--NeedCopy-->
Bei den Argumenten in PowerShell wird nicht zwischen Groß- und Kleinschreibung unterschieden: -ConversationFactory ist identisch mit -conversationfactory.
StoreFront deinstallieren
Bevor Sie StoreFront deinstallieren, deinstallieren Sie jegliche Authentifizierungs-Plug-Ins von Drittanbietern, da diese sich auf die Funktionalität von StoreFront auswirken.