Authentifizierung und Autorisierung

Konfigurieren der Smartcard-Authentifizierung

Sie können Citrix Gateway so konfigurieren, dass eine kryptografische Smartcard zur Authentifizierung von Benutzern verwendet wird.

Um eine Smartcard für die Verwendung mit Citrix Gateway zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine Zertifikatauthentifizierungsrichtlinie. Weitere Informationen finden Sie unter Konfigurieren der Clientzertifikatauthentifizierung.
  • Binden Sie die Authentifizierungsrichtlinie an einen virtuellen Server.
  • Fügen Sie das Stammzertifikat der Certificate Authority (CA), die die Clientzertifikate ausstellt, Citrix Gateway hinzu. Weitere Informationen finden Sie unter So installieren Sie ein Stammzertifikat in Citrix Gateway.

    Wichtig: Wenn Sie das Stammzertifikat zum virtuellen Server für die Smartcardauthentifizierung hinzufügen, müssen Sie das Zertifikat aus dem Dropdownfeld Zertifizierungsstellenzertifikat auswählen auswählen, wie in der folgenden Abbildung dargestellt. Abbildung 1. Hinzufügen eines Stammzertifikats für die Smartcard-Authentifizierung

    lokalisiertes Bild

Nachdem Sie das Clientzertifikat erstellt haben, können Sie das Zertifikat, bekannt als Flash, auf die Smartcard schreiben. Wenn Sie diesen Schritt abgeschlossen haben, können Sie die Smartcard testen.

Wenn Sie das Webinterface für die Smartcard-Passthrough-Authentifizierung konfigurieren und eine der folgenden Bedingungen vorliegt, schlägt das einmalige Anmelden am Webinterface fehl:

  • Wenn Sie die Domäne auf der Registerkarte Veröffentlichte Anwendungen als mydomain.com anstelle von mydomain festlegen.
  • Wenn Sie den Domänennamen nicht auf der Registerkarte Veröffentlichte Anwendungen festlegen und den Befehl wi-sso-split-upn ausführen, indem Sie den Wert auf 1 setzen. In diesem Fall enthält der UserPrincipalName den Domänennamen “mydomain.com.”

Sie können die Smartcard-Authentifizierung verwenden, um den Anmeldeprozess für Ihre Benutzer zu optimieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu erhöhen. Der Zugriff auf das interne Unternehmensnetzwerk wird durch eine zertifikatbasierte Zwei-Faktor-Authentifizierung mit Public Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.

Sie können Smartcards für die Benutzerauthentifizierung über StoreFront für Desktops und Anwendungen verwenden, die von Citrix Virtual Apps and Desktops bereitgestellt werden. Smartcard-Benutzer, die sich bei StoreFront anmelden, können auch auf Anwendungen zugreifen, die von Citrix Endpoint Management bereitgestellt werden. Benutzer müssen sich jedoch erneut authentifizieren, um auf Endpoint Management-Webanwendungen zuzugreifen, die Clientzertifikatauthentifizierung verwenden.

Weitere Informationen finden SieKonfigurieren der Smartcard-Authentifizierungin der StoreFront-Dokumentation.

Konfigurieren der Smartcard-Authentifizierung mit sicheren ICA-Verbindungen

Benutzer, die sich mit einer Smartcard anmelden und eine sichere ICA-Verbindung herstellen, die auf Citrix Gateway konfiguriert ist, erhalten möglicherweise zu zwei verschiedenen Zeiten Eingabeaufforderungen zur Eingabe ihrer persönlichen Identifikationsnummer (PIN): beim Anmelden und beim Starten einer veröffentlichten Ressource. Diese Situation tritt auf, wenn der Webbrowser und die Citrix Workspace-App denselben virtuellen Server verwenden, der für die Verwendung von Clientzertifikaten konfiguriert ist. Die Citrix Workspace-App gibt keinen Prozess oder eine SSL-Verbindung (Secure Sockets Layer) mit dem Webbrowser frei. Wenn die ICA-Verbindung den SSL-Handshake mit Citrix Gateway abschließt, ist das Clientzertifikat daher ein zweites Mal erforderlich.

Um zu verhindern, dass Benutzer die zweite PIN-Eingabeaufforderung erhalten, müssen Sie zwei Einstellungen ändern:

  • Die Clientauthentifizierung auf dem virtuellen VPN-Server muss deaktiviert sein.
  • SSL-Neuverhandlung muss aktiviert sein.

Binden Sie nach der Konfiguration des virtuellen Servers einen oder mehrere STA-Server an den virtuellen Server, wie unter beschriebenKonfigurieren der Citrix Gateway-Einstellungen in Webinterface 5.3.

Möglicherweise möchten Sie auch die Smartcard-Authentifizierung testen.

So deaktivieren Sie die Clientauthentifizierung:

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
  2. Wählen Sie im Hauptdetailbereich den entsprechenden virtuellen Server aus, und klicken Sie dann auf Bearbeiten.
  3. Klicken Sie im Bereich Erweiterte Optionen auf SSL-Parameter.
  4. Deaktivieren Sie das Kontrollkästchen Clientauthentifizierung.
  5. Klicken Sie auf Fertig.

So aktivieren Sie SSL-Neuverhandlung:

  1. Navigieren Sie mit dem Konfigurationsdienstprogramm auf der Registerkarte Konfiguration zu Verkehrsverwaltung, und klicken Sie dann auf SSL.
  2. Klicken Sie im Hauptfenster auf Erweiterte SSL-Einstellungen ändern.
  3. Wählen Sie im Menü SSL-Neuverhandlung verweigern die Option NEIN aus.

So testen Sie die Smartcard-Authentifizierung:

  1. Schließen Sie die Smartcard an das Benutzergerät an.
  2. Öffnen Sie Ihren Webbrowser, und melden Sie sich bei Citrix Gateway an.
Konfigurieren der Smartcard-Authentifizierung