Authentifizierung und Autorisierung

Konfigurieren der Zwei-Faktor-Clientzertifikatauthentifizierung

Sie können ein Clientzertifikat so konfigurieren, dass Benutzer zuerst authentifiziert werden. Anschließend müssen sich Benutzer mit einem sekundären Authentifizierungstyp wie LDAP oder RADIUS anmelden. In diesem Szenario authentifiziert das Clientzertifikat Benutzer zuerst. Anschließend wird eine Anmeldeseite angezeigt, auf der sie ihren Benutzernamen und ihr Kennwort eingeben können. Wenn der SSL-Handshake (Secure Sockets Layer) abgeschlossen ist, kann die Anmeldesequenz einen der folgenden beiden Pfade annehmen:

  • Weder der Benutzername noch die Gruppe werden aus dem Zertifikat extrahiert. Die Anmeldeseite wird dem Benutzer mit der Aufforderung angezeigt, gültige Anmeldeinformationen einzugeben. Citrix Gateway authentifiziert die Benutzeranmeldeinformationen wie bei der normalen Kennwortauthentifizierung.
  • Der Benutzername und der Gruppenname werden aus dem Clientzertifikat extrahiert. Wenn nur der Benutzername extrahiert wird, wird dem Benutzer, in dem der Anmeldename vorhanden ist, eine Anmeldeseite angezeigt, und der Benutzer kann den Namen nicht ändern. Nur das Kennwortfeld ist leer.

Gruppeninformationen, die Citrix Gateway während der zweiten Authentifizierungsrunde extrahiert, werden an die Gruppeninformationen angehängt, die Citrix Gateway aus dem Zertifikat extrahiert hat.

Konfigurieren der Zwei-Faktor-Clientzertifikatauthentifizierung