Citrix Gateway

Konfigurieren von Single Sign-On am Webinterface mithilfe einer Smartcard

Wenn Sie Smartcards für die Benutzeranmeldung verwenden, können Sie Single Sign-On am Webinterface konfigurieren. Sie konfigurieren Einstellungen auf Citrix Gateway und konfigurieren dann das Webinterface so, dass einmaliges Anmelden mit einer Smartcard akzeptiert wird. Einmaliges Anmelden wird auch als Passthrough-Authentifizierung bezeichnet.

Die Webinterface-Versionen 5.3 und 5.4 unterstützen einmaliges Anmelden am Webinterface mit einer Smartcard. Wenn Sie das Webinterface auf der Citrix ADC-Funktion aktivieren, die in NetScaler Version 10 verfügbar ist, können Sie auch Single Sign-On mit einer Smartcard verwenden. Weitere Informationen zum Konfigurieren dieser Funktion finden Sie unter Verwenden der Smartcard-Authentifizierung für das Webinterface über Citrix Gateway.

Benutzer können in mehreren CN-Gruppen im Active Directory sein, damit einmaliges Anmelden funktioniert, solange die Extraktion des Benutzernamens in der Zertifikataktion subjectAltName:PrincipalName lautet. Wenn Sie den Parameter Subject:CN verwenden, können Benutzer nicht Teil mehrerer CN-Gruppen sein.

Um Citrix Gateway für die einmalige Anmeldung am Webinterface mithilfe einer Smartcard zu konfigurieren, müssen Sie Folgendes tun:

  • Installieren Sie ein signiertes Serverzertifikat von einer Zertifizierungsstelle (CA). Weitere Informationen finden Sie unter Installieren des signierten Zertifikats auf Citrix Gateway.
  • Installieren Sie ein Stammzertifikat auf Citrix Gateway und dem Benutzergerät.
  • Erstellen Sie einen virtuellen Server als Anmeldepunkt für das Webinterface. Wenn Sie den virtuellen Server konfigurieren, müssen Sie den SSL-Parameter des Clientzertifikats auf Optional festlegen. Weitere Informationen zum Konfigurieren eines virtuellen Servers finden Sie unter Erstellen virtueller Server.
  • Erstellen Sie einen sekundären virtuellen Server, auf dem die Clientauthentifizierung in den SSL-Parametern deaktiviert ist. Diese Konfiguration verhindert, dass Benutzer eine sekundäre Anfrage nach ihrer persönlichen Identifikationsnummer (PIN) erhalten.
  • Erstellen Sie eine Richtlinie zur Clientzertifikatauthentifizierung Verwenden Sie im Feld Benutzername den Parameter subjectAltName:PrincipalName, um Benutzer aus mehreren Gruppen zu extrahieren. Lassen Sie das Feld für den Gruppennamen leer.
  • Erstellen Sie eine Sitzungsrichtlinie und ein Profil auf Citrix Gateway. Innerhalb des Sitzungsprofils aktivieren Sie den ICA-Proxy und geben das Webinterface und die Domäne an, die Sie für das einmalige Anmelden verwenden.

Sie können das folgende Verfahren verwenden, um ein Sitzungsprofil für die einmalige Anmeldung mit einer Smartcard zu erstellen.

So erstellen Sie ein Sitzungsprofil für einmaliges Anmelden mithilfe einer Smartcard

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway-Richtlinien, und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf die Registerkarte Profile und dann auf Hinzufügen.

  3. Klicken Sie auf der Registerkarte Client Experience neben Homepage auf Global überschreiben, und deaktivieren Sie dann Homepage anzeigen.
  4. Klicken Sie neben Single Sign-On bei Webanwendungen aufOverride Global,und klicken Sie dannauf Single Sign-On bei Webanwendungen.
  5. Klicken Sie auf die Registerkarte Published Applications.
  6. Klicken Sie neben ICA-Proxy auf Override Global und wählen Sie dann ONaus.
  7. Klicken Sie unter Webinterface-Adresseauf Override Global und geben Sie dann den vollqualifizierten Domänennamen (FQDN) oder das Webinterface ein.
  8. Klicken Sie in Single Sign-On Domäne aufOverride Global,und geben Sie dann den Domänennamen ein.

Hinweis: Verwenden Sie die Format-Domain und nicht das Format domain.com.

  1. Klicken Sie auf Create und dann auf Close.

Nachdem Sie das Sitzungsprofil fertiggestellt haben, konfigurieren Sie die Sitzungsrichtlinie und verwenden Sie das Profil als Teil der Richtlinie. Sie können dann die Sitzungsrichtlinie an den virtuellen Server binden.

Konfigurieren von Single Sign-On am Webinterface mithilfe einer Smartcard