Authentifizierung mit andere Domänen
Einige Organisationen nutzen Richtlinien, die es nicht gestatten, externen Entwicklern oder Auftragnehmern Zugriff auf veröffentlichte Ressourcen in einer Produktionsumgebung zu geben. In diesem Artikel wird erläutert, wie Sie Zugriff auf veröffentlichte Ressourcen in einer Testumgebung geben, indem Sie die Authentifizierung über Citrix Gateway mit einer Domäne ermöglichen. Die Authentifizierung bei StoreFront und die Receiver für Web-Site kann dann über eine andere Domäne erfolgen. Die in diesem Artikel beschriebene Authentifizierung über Citrix Gateway wird für Benutzer unterstützt, die sich über die Receiver für Web-Site anmelden. Diese Authentifizierungsmethode wird nicht für Citrix Receiver für native Desktops oder mobile Geräte oder die Citrix Workspace-App unterstützt.
Einrichten einer Testumgebung
In diesem Beispiel werden die Produktionsdomäne “production.com” und die Testdomäne “development.com” verwendet.
production.com
-Domäne
Die Domäne production.com
ist im Beispiel wie folgt eingerichtet:
- Citrix Gateway mit konfigurierter LDAP-Authentifizierungsrichtlinie für
production.com
. - Die Authentifizierung über das Gateway erfolgt mit einem Konto vom Typ production\testuser1 plus Kennwort.
development.com
-Domäne
Die Domäne development.com
ist im Beispiel wie folgt eingerichtet:
- StoreFront, Citrix Virtual Apps and Desktops und VDAs befinden sich alle in der
development.com
Domäne. - Die Authentifizierung bei der Citrix Receiver für Web-Site erfolgt mit einem Konto vom Typ development\testuser1 plus Kennwort.
- Es besteht keine Vertrauensstellung zwischen den beiden Domänen.
Konfigurieren eines Citrix Gateways für den Store
Gehen Sie zum Konfigurieren eines Citrix Gateways für den Store folgendermaßen vor:
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores und klicken Sie im Bereich Aktionen auf Citrix Gateways verwalten.
- Klicken Sie auf dem Bildschirm “Citrix Gateways verwalten” auf die Schaltfläche Hinzufügen.
-
Legen Sie die Einstellungen für “Allgemeine Einstellungen”, “Secure Ticket Authority” und “Authentifizierung” fest.
Hinweis:
Bedingte DNS-Weiterleitungen müssen ggf. hinzugefügt werden, damit DNS-Server in beiden Domänen FQDNs in der anderen Domäne auflösen können. Das Citrix Gateway muss die FQDNs des STA-Servers in der Domäne
development.com
auflösen können, indem es den DNS-Server vonproduction.com
verwendet. StoreFront muss außerdem die Rückruf-URL in der Domäneproduction.com
auflösen können, indem es den DNS-Server vondevelopment.com
verwendet. Als Alternative kann ein FQDN vondevelopment.com
verwendet werden, der in die virtuelle IP-Adresse (VIP) des virtuellen Citrix Gateway-Servers aufgelöst wird.
Aktivieren von Passthrough von Citrix Gateway
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
- Aktivieren Sie auf dem Bildschirm “Authentifizierungsmethoden verwalten” die Option Passthrough-Authentifizierung von Citrix Gateway.
- Klicken Sie auf OK.
Konfigurieren des Stores für einen Remotezugriff über Gateway
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Aktionsbereich auf Remotezugriffeinstellungen konfigurieren.
- Wählen Sie Remotezugriff aktivieren.
- Stellen Sie sicher, dass Sie Citrix Gateway beim Store registriert haben. Wenn Citrix Gateway nicht registriert ist, können keine STA-Sitzungstickets erstellt werden.
Deaktivieren der Tokenkonsistenz
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Storeeinstellungen konfigurieren.
- Wählen Sie auf der Seite “Storeeinstellungen konfigurieren” die Option Erweiterte Einstellungen aus.
-
Deaktivieren Sie das Kontrollkästchen Tokenkonsistenz erforderlich. Weitere Informationen finden Sie unter Erweiterte Storeeinstellungen.
- Klicken Sie auf OK.
Hinweis:
Die Einstellung “Tokenkonsistenz erforderlich” ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, funktionieren SmartAccess-Features für die Citrix Gateway-Endpunktanalyse (EPA) nicht mehr. Weitere Informationen zu SmartAccess finden Sie unter CTX138110.
Passthrough-Authentifizierung von Citrix Gateway für die Website deaktivieren
Wichtig:
Durch Deaktivieren der Passthrough-Authentifizierung von Citrix Gateway wird verhindert, dass die Website die falschen Anmeldeinformationen der Domäne
production.com
verwendet, die vom Citrix Gateway weitergegeben werden. Bei deaktivierter Passthrough-Authentifizierung von Citrix Gateway wird der Benutzer zur Eingabe der Anmeldeinformationen aufgefordert. Diese Anmeldeinformationen unterscheiden sich von den Anmeldeinformationen, die zur Anmeldung über Citrix Gateway verwendet werden.
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores.
- Wählen Sie den Store aus, den Sie ändern möchten.
- Klicken Sie im Bereich Aktionen auf Receiver für Web-Sites verwalten.
- Deaktivieren Sie unter “Authentifizierungsmethoden” Passthrough-Authentifizierung von Citrix Gateway.
-
Klicken Sie auf OK.
production.com
an
Melden Sie sich beim Gateway mit einem Benutzerkonto und Anmeldeinformationen von Zum Testen melden Sie sich beim Gateway mit einem Benutzerkonto und Anmeldeinformationen von production.com
an.
Nach der Anmeldung wird der Benutzer aufgefordert, die Anmeldeinformationen von development.com
einzugeben.
Hinzufügen einer Dropdownliste vertrauenswürdiger Domänen in StoreFront (optional)
Mit dieser optionalen Einstellung kann verhindert werden, dass Benutzer versehentlich die falsche Domäne zur Authentifizierung über Citrix Gateway eingeben.
Wenn der Benutzername für beide Domänen gleich ist, ist die Eingabe der falschen Domäne wahrscheinlicher. Neue Benutzer sind außerdem evtl. gewohnt, bei der Anmeldung über Citrix Gateway keine Domäne anzugeben. Benutzer können dann vergessen, domäne\benutzername für die zweite Domäne einzugeben, wenn sie aufgefordert werden, sich bei der Receiver für Web-Site anzumelden.
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
- Klicken Sie auf den Dropdownpfeil neben Benutzername und Kennwort.
- Klicken Sie auf Hinzufügen, um
development.com
als vertrauenswürdige Domäne hinzuzufügen, und aktivieren Sie das Kontrollkästchen Domänenliste auf Anmeldeseite anzeigen. - Klicken Sie auf OK.
Hinweis:
Die Kennwortzwischenspeicherung im Browser wird für dieses Authentifizierungsszenario nicht empfohlen. Wenn Benutzer unterschiedliche Kennwörter für die beiden Domänenkonten verwenden, kann die Kennwortzwischenspeicherung zu Fehlern führen.
Aktionsrichtlinie für NetScaler-Sitzungen
- Wenn Single Sign-On für Webanwendungen in der Citrix Gateway-Sitzungsrichtlinie aktiviert ist, werden falsche Anmeldeinformationen, die vom Citrix Gateway an eine Website gesendet werden ignoriert, da die Authentifizierungsmethode Passthrough-Authentifizierung von Citrix Gateway auf der Website deaktiviert ist. Die Website fordert Benutzer zur Eingabe der Anmeldeinformationen auf, unabhängig von der gewählten Einstellung für diese Option.
-
Das Ausfüllen der Single Sign-On-Einträge auf den Registerkarten “Client Experience” und “Published Apps” auf dem Citrix Gateway ändert nicht das in diesem Artikel beschriebene Verhalten.
In diesem Artikel
- Einrichten einer Testumgebung
- Konfigurieren eines Citrix Gateways für den Store
- Aktivieren von Passthrough von Citrix Gateway
- Konfigurieren des Stores für einen Remotezugriff über Gateway
- Deaktivieren der Tokenkonsistenz
- Passthrough-Authentifizierung von Citrix Gateway für die Website deaktivieren
- Melden Sie sich beim Gateway mit einem Benutzerkonto und Anmeldeinformationen von production.com an
- Hinzufügen einer Dropdownliste vertrauenswürdiger Domänen in StoreFront (optional)
- Aktionsrichtlinie für NetScaler-Sitzungen