Citrix Gateway 13.0

Konfigurieren von Single Sign-On für das Webinterface mit einer Smartcard

Wenn Sie Smartcards für die Benutzeranmeldung verwenden, können Sie die einmalige Anmeldung am Webinterface konfigurieren. Sie konfigurieren Einstellungen in Citrix Gateway und konfigurieren dann das Webinterface so, dass Single Sign-On mit einer Smartcard akzeptiert wird. Single Sign-On wird auch als Pass-Through-Authentifizierung bezeichnet.

Webinterface Versionen 5.3 und 5.4 unterstützen Single Sign-On am Webinterface mit einer Smartcard. Wenn Sie das Webinterface on Citrix ADC-Feature aktivieren, das in NetScaler Version 10 verfügbar ist, können Sie auch Single Sign-On mit einer Smartcard verwenden. Weitere Hinweise zum Konfigurieren dieses Features finden Sie unter Verwenden der Smartcard-Authentifizierung für das Webinterface über Citrix Gateway.

Benutzer können sich in mehreren CN-Gruppen in Active Directory befinden, damit das einmalige Anmelden funktioniert, sofern die Extraktion des Benutzernamens in der Zertifikataktion SubjectAltName:PrincipalName ist. Wenn Sie den Parameter Subject: CN verwenden, können Benutzer nicht zu mehreren CN-Gruppen gehören.

Um Citrix Gateway für das einmalige Anmelden am Webinterface mit einer Smartcard zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  • Installieren Sie ein signiertes Serverzertifikat von einer Zertifizierungsstelle (Certificate Authority, CA). Weitere Informationen finden Sie unter Installieren des signierten Zertifikats auf Citrix Gateway.
  • Installieren Sie ein Stammzertifikat auf Citrix Gateway und dem Benutzergerät.
  • Erstellen Sie einen virtuellen Server als Anmeldepunkt für das Webinterface. Wenn Sie den virtuellen Server konfigurieren, müssen Sie den SSL-Parameter des Clientzertifikats auf Optional festlegen. Weitere Hinweise zum Konfigurieren eines virtuellen Servers finden Sie unterCreating Virtual Servers.
  • Erstellen Sie einen sekundären virtuellen Server, auf dem die Clientauthentifizierung in den SSL-Parametern deaktiviert ist. Diese Konfiguration verhindert, dass Benutzer eine sekundäre Anforderung für ihre persönliche Identifikationsnummer (PIN) erhalten.
  • Erstellen Sie eine Clientzertifikatauthentifizierungsrichtlinie. Verwenden Sie im Feld Benutzername den Parameter SubjectAltName: PrincipalName, um Benutzer aus mehreren Gruppen zu extrahieren. Lassen Sie das Feld “Gruppenname” leer.
  • Erstellen Sie eine Sitzungsrichtlinie und ein Profil auf Citrix Gateway. Im Sitzungsprofil aktivieren Sie ICA-Proxy und geben das Webinterface und die Domäne an, die Sie für die einmalige Anmeldung verwenden.

Sie können das folgende Verfahren verwenden, um ein Sitzungsprofil für Single Sign-On mit einer Smartcard zu erstellen.

So erstellen Sie ein Sitzungsprofil für Single Sign-On mit einer Smartcard

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway-Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf die Registerkarte Profile, und klicken Sie dann auf Hinzufügen.

3. Klicken Sie auf der Registerkarte Client Experience neben Homepage auf Global überschreiben, und deaktivieren Sie dann Startseite anzeigen.

  1. Klicken Sie neben Single Sign-On to Web Applications auf Global überschreiben, und klicken Sie dann auf Single Sign-On to Web Applications.
  2. Klicken Sie auf die Registerkarte Veröffentlichte Anwendungen.
  3. Klicken Sie neben ICA-Proxy auf Global überschreiben, und wählen Sie dann ON aus.
  4. Klicken Sie unter Webinterface-Adresse auf Global überschreiben, und geben Sie dann den vollqualifizierten Domänennamen (FQDN) oder das Webinterface ein.
  5. Klicken Sie unter Single Sign-On-Domäne auf Global überschreiben, und geben Sie dann den Domänennamen ein.

    Hinweis: Sie müssen die Formatdomäne und nicht das Format domain.com verwenden.

  6. Klicken Sie auf Create und dann auf Close.

Nachdem Sie das Sitzungsprofil abgeschlossen haben, konfigurieren Sie die Sitzungsrichtlinie und verwenden Sie das Profil als Teil der Richtlinie. Anschließend können Sie die Sitzungsrichtlinie an den virtuellen Server binden.

Konfigurieren von Single Sign-On für das Webinterface mit einer Smartcard