Produktdokumentation
Citrix Cloud™
PDF anzeigen

ADFS als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren

April 2, 2026
Author:  Mark Dear

Dieser Artikel beschreibt, wie Sie die Vertrauensstellung der vertrauenden Seite konfigurieren, die Citrix Cloud™ für die Anmeldung bei Citrix Workspace™ oder Citrix Cloud über SAML benötigt.

Nachdem Sie die Schritte in diesem Artikel abgeschlossen haben, können Sie die SAML-Verbindung zwischen Ihrem ADFS-Server und Citrix Cloud konfigurieren, wie unter SAML als Identitätsanbieter in Citrix Cloud verbinden beschrieben. Eine Anleitung zur Eingabe der korrekten ADFS-Werte für Ihre SAML-Verbindung finden Sie in diesem Artikel unter SAML-Konfiguration in Citrix Cloud.

  • Voraussetzungen

    • Die Anweisungen in diesem Artikel setzen voraus, dass Sie eine funktionierende ADFS-Serverbereitstellung mit Citrix FAS in Ihrer Umgebung haben. Citrix FAS ist erforderlich, um Single Sign-On für VDAs während des Sitzungsstarts bereitzustellen.

Weitere Informationen finden Sie in den folgenden Artikeln:

-  Citrix FAS-Dokumentation:
-  [Installieren und Konfigurieren](/de-de/federated-authentication-service/current-release/install-configure.html)
-  [ADFS-Bereitstellung](/de-de/federated-authentication-service/current-release/deployment-architectures/adfs)

Eine Vertrauensstellung der vertrauenden Seite für Citrix Cloud konfigurieren

  1. Klicken Sie in der AD FS-Verwaltungskonsole im linken Bereich auf den Knoten AD FS, um ihn zu erweitern.

  2. Klicken Sie mit der rechten Maustaste auf Vertrauensstellungen der vertrauenden Seite und wählen Sie Vertrauensstellung der vertrauenden Seite hinzufügen aus.

    Menüoption "Vertrauensstellung der vertrauenden Seite hinzufügen"

    Der Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite wird angezeigt.

  3. Wählen Sie Anspruchsbasiert und dann Weiter aus.

    ADFS-Vertrauensassistent mit ausgewählter Option "Anspruchsbasiert"

  4. Geben Sie unter Verbundmetadatenadresse https://saml.cloud.com/saml/metadata.xml ein. Wählen Sie Weiter aus.

    ADFS-Vertrauensassistent mit eingegebener Verbundmetadatenadresse

  5. Geben Sie als Anzeigenamen CitrixCloudProd ein. Wählen Sie Weiter aus.

    ADFS-Vertrauensassistent mit eingegebenem Anzeigenamen

  6. Wählen Sie für die Zugriffssteuerungsrichtlinie Jeder zulassen aus. Wählen Sie Weiter aus.

    ADFS-Vertrauensassistent mit hervorgehobener Zugriffssteuerungsrichtlinie

  7. Wählen Sie auf dem Bildschirm Vertrauensstellung hinzufügen die Option Weiter aus.

  8. Wählen Sie auf dem Bildschirm Fertig stellen die Option Anspruchsausstellungsrichtlinie für diese Anwendung konfigurieren aus. Wählen Sie Weiter aus.

    ADFS-Konsole mit ausgewählter Menüoption "Anspruchsausstellungsrichtlinie bearbeiten"

  9. Klicken Sie mit der rechten Maustaste auf die neu erstellte Vertrauensstellung der vertrauenden Seite und wählen Sie Anspruchsausstellungsrichtlinie bearbeiten aus.
  10. Klicken Sie auf Regel hinzufügen und wählen Sie dann LDAP-Attribute als Ansprüche senden aus. Wählen Sie Weiter aus.
  11. Geben Sie unter Anspruchsregelname CitrixCloud ein.
  12. Wählen Sie unter Attributspeicher die Option Active Directory aus.

  13. Fügen Sie unter Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen die folgenden LDAP-Attribute genau wie gezeigt hinzu:

    LDAP-Attribut Ausgehender Anspruchstyp
    User-Principal-Name Name ID
    User-Principal-Name cip_upn
    Display-Name displayName
    Given-Name givenName
    Surname familyName

    Wichtig:

    Die NameID muss immer der erste Anspruch sein, der der Liste der Ansprüche hinzugefügt wird, da sonst Single Logout (SLO) nicht korrekt funktioniert.

    Konfigurierte Anspruchsregel

  14. Wählen Sie Fertig stellen aus.

  15. Klicken Sie mit der rechten Maustaste auf die neu erstellte Vertrauensstellung der vertrauenden Seite namens “CitrixCloudProd” und wählen Sie “Eigenschaften” aus.

  16. Wählen Sie die Registerkarte Endpunkte und klicken Sie auf SAML hinzufügen.

  17. Wählen Sie SAML-Abmeldung aus der Dropdown-Liste für den Endpunkttyp aus.
    1. Wählen Sie POST aus der Dropdown-Liste für die Bindung aus.
    1. Geben Sie https://saml.cloud.com/saml/logout/callback> sowohl in das Feld “Vertrauenswürdige URL:” als auch in das Feld “Antwort-URL:” ein.

    SAML-Endpunkt

  1. Klicken Sie auf OK und Übernehmen.

Eine Vertrauensstellung der vertrauenden Seite von Citrix Cloud mit PowerShell ändern

Wenn Sie Ihren ADFS-Server mit der Standardkonfiguration (“out of the box”) eingerichtet haben, können Sie ihn mit den Schritten in diesem Abschnitt so aktualisieren, dass er die von Citrix empfohlene Konfiguration erfüllt. Diese Aufgabe ist erforderlich, um ein Problem zu beheben, bei dem das SAML Single Logout von Citrix Cloud oder Citrix Workspace fehlschlägt, wenn das Attribut nameidentifier nicht im Anspruchsregelsatz enthalten oder nicht das erste SAML-Attribut im Anspruchsregelsatz ist.

Hinweis:

Sie müssen diese Aufgabe nicht ausführen, wenn Sie Ihren Anspruchsregelsatz gemäß den Schritten unter Eine Vertrauensstellung der vertrauenden Seite für Citrix Cloud konfigurieren in diesem Artikel erstellt haben.

Um diese Aufgabe abzuschließen, ersetzen Sie den vorhandenen Regelsatz durch einen neuen Anspruchsregelsatz mithilfe von PowerShell. Die ADFS-Verwaltungskonsole unterstützt diese Art von Vorgang nicht.

  1. Suchen Sie auf dem ADFS-Server die PowerShell ISE. Klicken Sie mit der rechten Maustaste und wählen Sie Als Administrator ausführen aus.

  2. Sichern Sie Ihre vorhandenen ADFS-Anspruchsregeln in einer Textdatei:

    Get-ADFSRelyingPartyTrust -name "CitrixCloudProd" | Select-Object -ExpandProperty IssuanceTransformRules | Out-File "$env:USERPROFILE\desktop\claimrulesbackup.txt"
<!--NeedCopy-->
  3. Laden Sie die Datei “claimrules.txt” herunter, die Citrix unter https://github.com/citrix/sample-scripts/tree/master/citrix-cloud bereitstellt.
  4. Kopieren Sie die Datei “claimrules.txt” auf Ihren Desktop.

  5. Importieren Sie die erforderlichen Anspruchsregeln mithilfe der Datei “claimrules.txt”:

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                      -MetadataUrl "https://saml.cloud.com/saml/metadata" `
                      -AutoUpdateEnabled $True `
                      -IssuanceTransformRulesFile "$env:USERPROFILE\desktop\claimrules.txt" `
                      -SignedSamlRequestsRequired $True `
                      -SamlResponseSignature "MessageAndAssertion" `
                      -Enabled $True
<!--NeedCopy-->

SAML-Signierungseinstellungen für die Vertrauensstellung der vertrauenden Seite mit PowerShell aktualisieren

Standardmäßig haben ADFS-Vertrauensstellungen der vertrauenden Seite die folgenden Einstellungen:

  • EncryptClaims: True
  • SignedSamlRequestsRequired: False
  • SamlResponseSignature: AssertionOnly

Für erhöhte Sicherheit empfiehlt Citrix die Verwendung signierter SAML-Anfragen für Single Sign-On (SSO) und Single Logout. Dieser Abschnitt beschreibt, wie Sie die Signierungseinstellungen einer vorhandenen Vertrauensstellung der vertrauenden Seite mit PowerShell aktualisieren, damit sie die von Citrix empfohlene Konfiguration erfüllen.

  1. Rufen Sie die aktuelle RelyingPartyTrust-Konfiguration auf Ihrem ADFS-Server ab.

    Get-ADFSRelyingPartyTrust -TargetName "CitrixCloudProd"
<!--NeedCopy-->

  2. Aktualisieren Sie die Einstellungen der Vertrauensstellung der vertrauenden Seite CitrixCloudProd.

    Set-ADFSRelyingPartyTrust -Name "CitrixCloudProd" `
                      -SignedSamlRequestsRequired $True `
                      -SamlResponseSignature "MessageAndAssertion"
<!--NeedCopy-->

SAML-Konfiguration in Citrix Cloud

Wenn Sie die SAML-Verbindung in Citrix Cloud konfigurieren (wie unter SAML-Anbietermetadaten zu Citrix Cloud hinzufügen beschrieben), geben Sie die Werte für ADFS wie folgt ein:

Verwenden Sie die standardmäßig empfohlenen Werte für die SAML-Verbindung unter Identitäts- und Zugriffsverwaltung > Authentifizierung > Identitätsanbieter hinzufügen > SAML.

In diesem Feld in Citrix Cloud Geben Sie diesen Wert ein
Entitäts-ID https://adfs.YourDomain.com/adfs/services/trust, wobei YourDomain.com Ihre ADFS-Serverdomäne ist.
Authentifizierungsanfrage signieren Ja
SSO-Dienst-URL https://adfs.YourDomain.com/adfs/ls, wobei YourDomain.com Ihre ADFS-Serverdomäne ist.
SSO-Bindungsmechanismus HTTP Post
SAML-Antwort Antwort oder Assertion signieren
Authentifizierungskontext Nicht spezifiziert, Exakt
Abmelde-URL https://adfs.YourDomain.com/adfs/ls, wobei YourDomain.com Ihre ADFS-Serverdomäne ist.
Abmeldeanfrage signieren Ja
SLO-Bindungsmechanismus HTTP Post

Exportieren Sie das ADFS-Signaturzertifikat aus der MMC ADFS-Verwaltungskonsole. Der folgende Screenshot zeigt, welches der 3 Zertifikate das richtige ist, das in Citrix Cloud innerhalb der SAML-Verbindung hochgeladen werden muss.

ADFS exportieren

ADFS als SAML-Anbieter für die Workspace-Authentifizierung konfigurieren
April 2, 2026
Author:  Mark Dear
April 2, 2026
Author:  Mark Dear

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.