Adaptive Authentifizierung

Citrix Cloud-Kunden können mit Citrix Workspace die adaptive Authentifiizierung bei Citrix DaaS bereitstellen. Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der Kunden und Benutzern, die sich bei Citrix Workspace anmelden, eine verbesserte Authentifizierung ermöglicht. Die adaptive Authentifizierung ist ein von Citrix verwalteter und von Citrix Cloud gehosteter ADC mit verbesserten Authentifizierungsfunktionen, zum Beispiel:

Multifaktor-Authentifizierung: Die Multifaktor-Authentifizierung erhöht die Sicherheit einer Anwendung, da Benutzer mehrere Identitätsnachweise vorlegen müssen, um Zugriff zu erhalten. Kunden können verschiedene Kombinationen von Faktoren im Multifaktor-Authentifizierungsmechanismus basierend auf den Geschäftsanforderungen konfigurieren. Einzelheiten finden Sie unter Beispielauthentifizierungskonfigurationen.

Geräte-Haltungsscans: Benutzer können basierend auf der Gerätehaltung authentifiziert werden. Der Device Stature Scan, auch Endpoint Analysis Scan genannt, prüft, ob das Gerät konform ist. Wenn auf dem Gerät beispielsweise die neueste Betriebssystemversion ausgeführt wird, werden Service Packs und Registrierungsschlüssel festgelegt. Die Einhaltung der Sicherheitsrichtlinien umfasst Scans, um zu überprüfen, ob ein Antivirenprogramm installiert oder die Firewall aktiviert ist usw. Die Gerätehaltung kann auch überprüfen, ob das Gerät verwaltet oder nicht verwaltet wird, ob es sich um ein unternehmenseigenes Gerät oder BYOL handelt.

Bedingte Authentifizierung: Basierend auf den Benutzerparametern wie Netzwerkstandort, Gerätehaltung, Benutzergruppe, Tageszeit kann die bedingte Authentifizierung aktiviert werden. Sie können einen dieser Parameter oder eine Kombination dieser Parameter für die bedingte Authentifizierung verwenden. Beispiel für eine auf der Körperhaltung basierende Geräteauthentifizierung: Sie können einen Gerätescan durchführen, um zu überprüfen, ob es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät oder BYOD handelt. Wenn es sich bei dem Gerät um ein vom Unternehmen verwaltetes Gerät handelt, können Sie den Benutzer mit dem einfachen AD (Benutzername und Kennwort) herausfordern. Wenn es sich bei dem Gerät um ein BYOD handelt, können Sie den Benutzer mit der AD plus RADIUS-Authentifizierung herausfordern.

Wenn Sie virtuelle Apps und Desktops basierend auf dem Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen mithilfe von Citrix Studio-Richtlinien anstelle von Workspace durchgeführt werden. Wählen Sie beim Erstellen einer Bereitstellungsgruppe in der Einstellung Benutzer entweder die Option Verwendung dieser Bereitstellungsgruppe auf die folgenden Benutzer beschränkenoder Authentifizierten Benutzern die Verwendung dieser Bereitstellungsgruppe erlaubenaus. Dadurch wird unter “Bereitstellungsgruppe” die RegisterkarteZugriffsrichtlinie zum Konfigurieren des adaptiven Zugriffs aktiviert.

Kontextueller Zugriff auf Citrix DaaS: Adaptive Authentication ermöglicht kontextbezogenen Zugriff auf Citrix DaaS. Adaptive Authentication zeigt alle Richtlinieninformationen über den Benutzer an Citrix DaaS an. Administratoren können diese Informationen in ihren Richtlinienkonfigurationen verwenden, um die Benutzeraktionen zu steuern, die auf Citrix DaaS ausgeführt werden können. Eine Benutzeraktion kann beispielsweise das Aktivieren oder Deaktivieren des Zugriffs auf die Zwischenablage und die Druckerumleitung der Clientlaufwerke sein.

Der kontextbezogene Zugriff auf Secure Internet Access und andere Citrix Cloud-Dienste über Adaptive Authentication ist in den kommenden Versionen geplant.

Anpassung der Anmeldeseite: Adaptive Authentication hilft dem Benutzer, die Citrix Cloud-Anmeldeseite in hohem Maße anzupassen.

Adaptive Authentifizierungsfunktionen

Im Folgenden sind die Funktionen aufgeführt, die in Citrix Workspace mit adaptiver Authentifizierung unterstützt werden.

  • LDAP (Active Directory)
  • Verzeichnisunterstützung für AD, Azure AD, Okta
  • RADIUS-Unterstützung (Duo, Symantec)
  • In AD + Token integrierte MFA
  • SAML 2.0
  • OAuth, OIDC-Unterstützung
  • Authentifizierung mit Client-Zertifikat
  • Beurteilung der Gerätehaltung (Endpunktanalyse)
  • Integration mit Drittanbieter-Authentifizierungsanbietern
  • Push-Benachrichtigung über die App
  • reCAPTCHA
  • Bedingte/richtliniengesteuerte Authentifizierung
  • Authentifizierungsrichtlinien für SmartAccess (kontextueller Zugriff)
  • Anpassung der Anmeldeseite
  • Self-Service-Kennwort zurücksetzen

Voraussetzungen

  • Reservieren Sie einen FQDN für Ihre Instanz der adaptiven Authentifizierung. Beispiel: aauth.xyz.com, dabei wird angenommen, dass xyz.com Ihre Unternehmensdomäne ist. Dieser FQDN wird in diesem Dokument als FQDN des Adaptive Authentication Service bezeichnet und bei der Bereitstellung der Instanz verwendet. Ordnen Sie den FQDN der öffentlichen IP-Adresse des virtuellen IdP-Servers zu. Diese IP-Adresse wird nach der Bereitstellung im Schritt Zertifikat hochladen abgerufen.
  • Beschaffen Sie sich ein Zertifikat für aauth.xyz.com. Zertifikate müssen das SAN-Attribut enthalten. Andernfalls werden die Zertifikate nicht akzeptiert.

  • Die Benutzeroberfläche für die adaptive Authentifizierung unterstützt das Hochladen von Zertifikatspaketen nicht. Informationen zum Verknüpfen eines Zwischenzertifikats finden Sie unter Zwischenzertifikate konfigurieren.

  • Wählen Sie Ihren Konnektivitätstyp für die lokale AD/RADIUS-Konnektivität. Die folgenden zwei Optionen sind verfügbar. Wenn Sie keine Erreichbarkeit des Rechenzentrums wünschen, verwenden Sie den Konnektivitätstyp Connector.

  • Konfigurieren Sie den NTP-Server (Network Time Protocol), um Zeitversatz zu vermeiden. Einzelheiten finden Sie unter Synchronisieren der Systemuhr mit Servern im Netzwerk.

Wichtige Hinweise

  • Citrix empfiehlt, Clear Config für keine Adaptive Authentication-Instanz auszuführen oder Konfigurationen mit dem Präfix AA (z. B. AAuthAutoConfig), einschließlich Zertifikaten, zu ändern. Dadurch wird die Verwaltung der adaptiven Authentifizierung gestört und der Benutzerzugriff wird beeinträchtigt. Die einzige Möglichkeit zur Wiederherstellung ist die erneute Bereitstellung.
  • Fügen Sie kein SNIP oder zusätzliche Routen auf der Adaptive Authentication-Instanz hinzu.
  • Die Benutzerauthentifizierung schlägt fehl, wenn die Kunden-ID nicht in Kleinbuchstaben geschrieben ist. Sie können Ihre ID in Kleinbuchstaben konvertieren und sie mit dem Befehl auf der ADC-Instanz festlegen set cloud parameter -customerID <all_lowercase_customerid>.
  • Die nFactor-Konfiguration, die für den Citrix Workspace- oder den Citrix Secure Private Access Service erforderlich ist, ist die einzige Konfiguration, die Kunden direkt auf den Instanzen erstellen sollten. Derzeit gibt es im Citrix ADC keine Prüfungen oder Warnungen, die verhindern, dass Administratoren diese Änderungen vornehmen.
  • Aktualisieren Sie die Adaptive Authentication-Instanzen nicht auf zufällige RTM-Builds. Alle Upgrades werden von Citrix Cloud verwaltet.
  • Es wird nur der Windows-basierte Cloud-Connector unterstützt. Connector-Appliance wird in dieser Version nicht unterstützt.
  • Wenn Sie bereits Citrix Cloud-Kunde sind und Azure AD (oder andere Authentifizierungsmethoden) bereits konfiguriert haben, müssen Sie Adaptive Authentication als Authentifizierungsmethode konfigurieren und die Authentifizierungsrichtlinien in der Instanz für adaptive Authentifizierung. Einzelheiten finden Sie unter Verbinden von Citrix Cloud mit Azure AD.
  • Fügen Sie für die Bereitstellung eines RADIUS-Servers alle privaten Connector-IP-Adressen als RADIUS-Clients im RADIUS-Server hinzu.
  • Fügen Sie Ihre LDAP- oder RADIUS-Server nicht als Dienst oder Server hinzu.
  • In der aktuellen Version ist der externe ADM-Agent nicht zulässig und daher wird Citrix Analytics (CAS) nicht unterstützt.
  • Der Citrix Application Delivery Management Service sammelt das Backup für Ihre Adaptive Authentication-Instanz. Integrieren Sie den ADM Service, um das Backup aus ADM zu extrahieren. Einzelheiten finden Sie unter Konfiguration Backup und wiederherstellen. Citrix nimmt die Backups nicht explizit vom Adaptive Authentication Service. Kunden müssen bei Bedarf die Backup ihrer Konfigurationen vom Application Delivery Management Service erstellen.

So konfigurieren Sie den Adaptiven Authentifizierungsdienst

Greifen Sie auf die Benutzeroberfläche für Adaptive

Sie können mit einer der folgenden Methoden auf die Benutzeroberfläche für Adaptive Authentication zugreifen.

  • Geben Sie die URL manuell ein https://adaptive-authentication.cloud.com.
  • Melden Sie sich mit Ihren Anmeldeinformationen an und wählen Sie einen Kunden aus

    Nachdem Sie erfolgreich authentifiziert wurden, werden Sie zur Benutzeroberfläche für Adaptive Authentication umgeleitet.

ODER

  • Navigieren Sie zu Citrix Cloud > Identitäts- und Zugriffsmanagement.
  • Klicken Sie auf der Registerkarte Authentifizierung unter Adaptive Authentifizierungauf das Ellipsenmenü und wählen Sie Verwaltenaus.

Die Benutzeroberfläche der adaptiven Authentifizierung wird angezeigt.

Die folgende Abbildung zeigt die Schritte, die beim Konfigurieren der adaptiven Authentifizierung erforderlich sind.

Provisioning der Hauptseite

Schritt 1: Adaptive Authentifizierung bereitstellen

Gehen Sie wie folgt vor:

  1. Klicken Sie auf der Benutzeroberfläche für adaptive Authentifizierung auf Bereitstellen.
  2. Wählen Sie die bevorzugte Verbindung für die adaptive Authentifizierung aus.

    • Citrix Cloud Connector: Für diesen Verbindungstyp müssen Sie einen Connector in Ihrem lokalen Netzwerk einrichten. Citrix empfiehlt, dass Sie mindestens zwei Citrix Cloud Connectors in Ihrer Umgebung bereitstellen, um die Verbindung mit dem auf Azure gehosteten Citrix Gateway einzurichten. Sie müssen Ihrem Citrix Cloud Connector den Zugriff auf die Domäne/URL ermöglichen, die Sie für die Instanz der adaptiven Authentifizierung reserviert haben. Erlauben Sie beispielsweise https://aauth.xyz.com/*.

      Einzelheiten zu Citrix Cloud Connector finden Sie unter Citrix Cloud Connector.

    • Azure VNet-Peering — Sie müssen die Konnektivität zwischen den Servern mithilfe des VNet-Peering von Azure einrichten.

    Verbindungstyp

    So fügen Sie einen Citrix Cloud Connector als Ihre bevorzugte Verbindung hinzu:

    Führen Sie die folgenden Schritte durch.

    • Wählen Sie die Option Citrix Cloud Connector und aktivieren Sie dann das Kontrollkästchen Endbenutzervereinbarung.
    • Klicken Sie auf Provisioning. Es kann bis zu 30 Minuten dauern, das Provisioning einzurichten.

    Hinweis:

    Stellen Sie für den Konnektivitätstyp des Connectors sicher, dass Ihr FQDN für Adaptive Authentication nach der Bereitstellung von der virtuellen Connector-Maschine

    So richten Sie Azure VNet-Peering ein:

    Wenn Sie Azure VNet-Peering als Verbindung auswählen, müssen Sie einen Subnetz-CIDR-Block hinzufügen, der zum Bereitstellen der Adaptive Authentication-Instanz verwendet werden muss. Sie müssen auch sicherstellen, dass sich der CIDR-Block nicht mit den anderen Netzwerkbereichen Ihres Unternehmens überschneidet.

    Einzelheiten finden Sie unter Einrichten der Konnektivität zu On-Premises-Authentifizierungsservern mit Azure VNet-Peering.

  3. Richten Sie Anmeldeinformationen ein, um auf die Instanzen zuzugreifen, die Sie für Adaptive Authentication aktiviert haben. Sie benötigen den Zugriff auf die Verwaltungskonsole, um Richtlinien für die Authentifizierung, den bedingten Zugriff usw. zu erstellen.

    1. Geben Sie im Bildschirm für den Zugriff auf die Konsole den Benutzernamen und das Kennwort ein.
    2. Klicken Sie auf Weiter.

    Hinweis: Benutzer, die über den Konsolenzugriffsbildschirm erstellt wurden, erhalten “SuperUser” -Berechtigungen, die Shell-Zugriff haben.

    Zugriff auf die Konsole

  4. Fügen Sie den FQDN des Adaptive Authentication Service hinzu und laden Sie das Zertifikatschlüssel Sie müssen den FQDN des Adaptive Authentication Service Ihrer Wahl für den öffentlich zugänglichen Authentifizierungsserver eingeben.

    1. Geben Sie im Fenster Zertifikat hochladen den FQDN ein, den Sie für Adaptive Authentication reserviert haben.
    2. Wählen Sie den Zertifikatstyp aus.
    3. Laden Sie das Zertifikat und den Schlüssel hoch.

    Hinweis:

    • Installieren Sie Ihr Zwischenzertifikat auf der Adaptive Authentication-Instanz und verknüpfen Sie es mit dem Serverzertifikat

      1.  Melden Sie sich bei der Adaptive Authentication-Instanz 1.  Navigieren Sie zu **Traffic Management > SSL**. Einzelheiten finden Sie unter [Konfigurieren von Zwischenzertifikaten](/de-de/citrix-gateway/current-release/install-citrix-gateway/certificate-management-on-citrix-gateway/configure-intermediate-certificate.html).
      
    • Es werden nur öffentliche Zertifikate akzeptiert. Von privaten oder unbekannten Zertifizierungsstellen signierte Zertifikate werden nicht akzeptiert.
    • Die Zertifikatkonfiguration darf nur mit der Adaptive Authentication-Benutzeroberfläche erfolgen. Ändern Sie es nicht direkt auf der Instanz, da dies zu Inkonsistenzen führen kann.

    FQDN hinzufügen

  5. Laden Sie das Zertifikat und den Schlüssel hoch.

    Die Adaptive Authentication-Instanz ist jetzt mit dem Identity and Access Management-Dienst verbunden. Der Status der adaptiven Authentifizierungsmethode wird als Verbundenangezeigt.

    Adaptive Authentifizierung über IDAM verbunden

  6. Richten Sie IP-Adressen ein, über die auf die Adaptive Authentication-Verwaltungskonsole zugegriffen werden kann.
    1. Geben Sie im Bildschirm Zulässige IP-Adressen für jede Instanz eine öffentliche IP-Adresse als Verwaltungs-IP-Adresse ein. Um den Zugriff auf die Management-IP-Adresse einzuschränken, können Sie mehrere IP-Adressen hinzufügen, die auf die Managementkonsole zugreifen dürfen.
    2. Um mehrere IP-Adressen hinzuzufügen, müssen Sie auf Hinzufügenklicken, die IP-Adresse eingeben und dann auf Fertigklicken. Dies muss für jede IP-Adresse erfolgen. Wenn Sie nicht auf die Schaltfläche Fertig klicken, werden die IP-Adressen nicht zur Datenbank hinzugefügt, sondern nur in der Benutzeroberfläche hinzugefügt.

    Erlaubte IP-Adressen

Schritt 2: Richtlinien für die adaptive Authentifizierung konfigurieren

Nach der Bereitstellung können Sie direkt auf die Verwaltungs-IP-Adresse für Adaptive Authentication zugreifen. Der Zugriff auf die Instanz über die IP-Adresse ist jedoch nicht vertrauenswürdig und viele Browser blockieren den Zugriff mit Warnungen. Citrix empfiehlt den Zugriff auf die Verwaltungskonsole für Adaptive Authentication mit FQDN, um Sicherheitsbarrieren zu vermeiden Sie müssen den FQDN für die Verwaltungskonsole für Adaptive Authentication reservieren und ihn der primären und sekundären Management-IP-Adresse zuordnen.

Wenn Ihre AA-Instanz-IP beispielsweise 20.1.1.1 und Secondary: 20.2.2.2 ist:

  • primary.domain.com kann 20.1.1.1 zugeordnet werden

  • secondary.domain.com kann 20.2.2.2 zugeordnet werden

Nachdem Sie auf die Adaptive Authentication-Instanz zugegriffen haben, können Sie die Anwendungsfälle für den Authentifizierungsfluss gemäß Ihren Anforderungen konfigurieren. Für verschiedene Anwendungsfälle siehe Beispielauthentifizierungskonfigurationen.

Informationen zum Zugriff auf die Verwaltungskonsole für Adaptive Authentication mithilfe des FQDN finden Sie unter Konfigurieren von SSL für den ADC-

Richtlinien für die adaptive Authentifizierung konfigurieren

Wichtig:

  • In einem Hochverfügbarkeitssetup werden die Zertifikate im Rahmen des Synchronisationsprozesses ebenfalls synchronisiert. Stellen Sie also sicher, dass Sie das Wildcard-Zertifikat verwenden.
  • Wenn Sie für jeden Knoten ein eindeutiges Zertifikat benötigen, laden Sie die Zertifikatsdateien und Schlüssel in einen beliebigen Ordner hoch, der nicht synchronisiert wird (erstellen Sie z. B. einen separaten Ordner (nosync_cert) im Verzeichnis nsConfig/ssl), und laden Sie das Zertifikat dann eindeutig auf jeden Knoten hoch.
  • Um Single Sign-On bei Anwendungen zu aktivieren, stellen Sie sicher, dass Sie die Option Kennwort senden im OAuth-IdP-Profil aktivieren.

Schritt 3: Adaptive Authentifizierung für Workspace aktivieren

Nach Abschluss der Bereitstellung können Sie die Authentifizierung für Workspace aktivieren, indem Sie im Abschnitt Adaptive Authentifizierung für Workspace aktivieren auf Aktivieren klicken.

Adaptive Authentifizierung für Workspace aktivieren

Hinweis:

Mit diesem Schritt ist die Konfiguration der adaptiven Authentifizierung abgeschlossen.

Migrieren Sie Ihre Authentifizierungsmethode zur Adaptiven Authentifizierung

Kunden, die bereits Adaptive Authentication mit Authentifizierungsmethode Citrix Gateway verwenden, müssen Adaptive Authentication migrieren und dann die OAuth-Konfiguration aus der Adaptive Authentication-Instanz entfernen.

  1. Wechseln Sie zu einer anderen Authentifizierungsmethode als Citrix Gateway.
  2. Klicken Sie in Citrix Cloud > Identitäts- und Zugriffsmanagementauf die Ellipsenschaltfläche für Citrix Gateway, und klicken Sie dann auf Trennen.

    Gateway trennen

  3. Wählen Sie Ich verstehe die Auswirkungen auf das Abonnentenerlebnisaus und klicken Sie dann auf Bestätigen.

    Wenn Sie auf Bestätigenklicken, wirkt sich dies auf die Workspace-Anmeldung bei Endbenutzern aus und die adaptive Authentifizierung wird erst dann zur Authentifizierung verwendet, wenn die adaptive Authentifizierung erneut aktiviert wird.

  4. Entfernen Sie in der Verwaltungskonsole der Adaptive Authentication-Instanz die OAuth-bezogene Konfiguration.

    Mit der CLI:

    unbind authentication vs <authvsName> -policy <oauthIdpPolName>
    rm authentication oauthIdpPolicy <oauthIdpPolName>
    rm authentication oauthIdpProfile <oauthIdpProfName>
    <!--NeedCopy-->
    

    Durch die Verwendung der GUI:

    1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.
    2. Lösen Sie die OAuth-Richtlinie.
    3. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > OAuth IDP.
    4. Löschen Sie die OAuth-Richtlinie und das Profil.
  5. Navigieren Sie zu Citrix Cloud > Identitäts- und Zugriffsmanagement. Klicken Sie auf der Registerkarte Authentifizierung unter Adaptive Authentifizierung auf das Ellipsenmenü und wählen Sie Verwaltenaus.

    ODER-Anschluss https://adaptive-authentication.cloud.com

  6. Klicken Sie auf Details anzeigen.
  7. Gehen Sie im Fenster „Zertifikat hochladen “ wie folgt vor:
    • Fügen Sie den FQDN für adaptive Authentifizierung hinzu
    • Entfernen Sie die Zertifikate und Schlüsseldateien und laden Sie sie erneut hoch.

    FQDN bearbeiten

    Wichtig:

    Wenn Sie einen FQDN oder das Zertifikatschlüsselpaar direkt bearbeiten, ohne auf Adaptive Authenticationzu migrieren, schlägt die Verbindung zur Identitäts- und Zugriffsverwaltung fehl und die folgenden Fehler werden angezeigt. Sie müssen zur Adaptive Authentication-Methode migrieren, um diese Fehler zu beheben.

    • ADC-Befehl ist mit einem Fehler fehlgeschlagen. Eine Richtlinie ist bereits an die angegebene Priorität gebunden.
    • ADC-Befehl ist mit einem Fehler fehlgeschlagen. Die Bindung einer Richtlinie, die nicht gebunden ist, kann nicht aufgehoben werden.
  8. Klicken Sie auf Änderungen speichern.

    Zu diesem Zeitpunkt zeigt das Identitäts- und Zugriffsmanagement die adaptive Authentifizierung als Verbunden an, und für die Adaptive Authentication-Instanz ist das OAuth-Profil automatisch konfiguriert.

    Sie können dies von der GUI aus überprüfen.

    1. Greifen Sie auf Ihre Adaptive Authentication-Instanz zu und melden Sie sich
    2. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server. Sie müssen sehen, dass das OAuth-IdP-Profil erstellt wurde.
    3. Navigieren Sie zu Citrix Cloud > Identitäts- und Zugriffsmanagement. Die adaptive Authentifizierung befindet sich im Status Verbunden .
  9. Aktivieren Sie die Methode Adaptive Authentifizierung erneut, indem Sie auf der Homepage der adaptiven Authentifizierung auf Aktivieren (Schritt 3) klicken.

    Authentifizierung aktivieren

    Dieser Schritt aktiviert die Authentifizierungsmethode als Adaptive Authentication in Ihrer Workspace-Konfiguration.

  10. Klicken Sie in Schritt 3 auf den Workspace-Link, nachdem Sie auf Aktivierenge Sie müssen sehen, dass die Authentifizierungsmethode in Adaptive Authentication geändert wurde.

Hinweis:

Neue Benutzer müssen dieselben Schritte ausführen, mit Ausnahme des Schritts zum Entfernen der OAuth-bezogenen Konfiguration.

Einen FQDN bearbeiten

Sie können einen FQDN nicht bearbeiten, wenn Adaptive Authentication als Authentifizierungsmethode in der Workspace-Konfiguration ausgewählt ist. Sie müssen zu einer anderen Authentifizierungsmethode wechseln, um den FQDN zu bearbeiten. Sie können das Zertifikat jedoch bei Bedarf bearbeiten.

Wichtig:

  • Stellen Sie vor dem Ändern des FQDN sicher, dass der neue FQDN der öffentlichen IP-Adresse des virtuellen IdP-Servers zugeordnet ist.
  • Bestehende Benutzer, die mithilfe von OAuth-Richtlinien mit Citrix Gateway verbunden sind, müssen Ihre Authentifizierungsmethode auf Adaptive Authenticationmigrieren. Einzelheiten finden Sie unter Migrieren Ihrer Authentifizierungsmethode zu Adaptive Authentication.

Gehen Sie wie folgt vor, um einen FQDN zu bearbeiten:

  1. Wechseln Sie zu einer anderen Authentifizierungsmethode als Adaptive Authentication.

    Authentifizierungsmethode wechseln

  2. Wählen Sie Ich verstehe die Auswirkungen auf das Abonnentenerlebnis aus und klicken Sie dann auf Bestätigen.

    Wenn Sie auf Bestätigenklicken, wirkt sich dies auf die Workspace-Anmeldung bei Endbenutzern aus und die adaptive Authentifizierung wird erst dann für die Authentifizierung verwendet, wenn Adaptive Authentication Daher wird empfohlen, den FQDN während eines Wartungsfensters zu ändern.

  3. Ändern Sie im Fenster Zertifikat hochladen den FQDN.

    FQDN bearbeiten

  4. Klicken Sie auf Änderungen speichern.

    Wichtig:

    Wenn Sie einen FQDN bearbeiten, müssen Sie das Zertifikat auch erneut hochladen.

  5. Aktivieren Sie die Methode Adaptive Authentication erneut, indem Sie auf der Homepage der adaptiven Authentifizierung auf Aktivieren (Schritt 3) klicken

    Authentifizierung aktivieren

  6. Klicken Sie auf Aktualisieren.

Erweiterte Konfigurationsoptionen

Mithilfe der grafischen Benutzeroberfläche für die Adaptive Authentifizierung können Sie auch Folgendes einrichten.

  • Planen Sie ein Upgrade Ihrer Adaptive Authentication-Instanzen
  • Provisioning Ihrer Adaptive Authentication-Instanzen aufheben
  • Ermöglichen Sie sicheren Zugriff auf das Gateway

Fortgeschrittene Optionen

Planen Sie ein Upgrade Ihrer Adaptive Authentication-Instanzen

Für die aktuelle Site oder Bereitstellung können Sie das Wartungsfenster für das Upgrade auswählen.

Wichtig:

Aktualisieren Sie die Adaptive Authentication-Instanzen nicht auf zufällige RTM-Builds. Alle Upgrades werden von Citrix Cloud verwaltet.

  1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.
  2. Klicken Sie auf Upgrades planen.
  3. Wählen Sie den Tag und die Uhrzeit für das Upgrade aus.

Upgrade planen

Provisioning Ihrer Adaptive Authentication-Instanzen aufheben

Kunden können die Adaptive Authentication-Instanzen in den folgenden Fällen und gemäß dem Vorschlag des Citrix-Supports deaktivieren.

  • Auf die Instanzen der adaptiven Authentifizierung kann nicht zugegriffen werden (insbesondere nach einem geplanten Upgrade), obwohl dieses Szenario möglicherweise nicht auftritt.
  • Wenn der Kunde vom VNet-Peering-Modus in den Connector-Modus oder umgekehrt wechseln muss.
  • Wenn der Kunde zum Zeitpunkt der Bereitstellung des VNet-Peering-Modus ein falsches Subnetz ausgewählt hat (das Subnetz steht in Konflikt mit anderen Subnetzen in seinem Rechenzentrum oder Azure VNet).

Hinweis:

Beim Deprovisioning wird auch das Konfigurationsbackup der Instanzen gelöscht. Daher müssen Sie die Backupdateien herunterladen und speichern, bevor Sie die Bereitstellung Ihrer Adaptive Authentication-Instanzen aufheben.

Führen Sie Folgendes aus, um die Bereitstellung einer Adaptive Authentication-Instanz

  1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.
  2. Klicken Sie auf Deprovision.

    Hinweis:

    Vor dem Aufheben der Bereitstellung müssen Sie Citrix Gateway von der Workspace-Konfiguration trennen.

  3. Geben Sie die Kunden-ID ein, um die Bereitstellung der Instanzen für Adaptive

Bereitstellung aufheben

Ermöglichen Sie sicheren Zugriff auf das Gateway

  1. Klicken Sie auf der Benutzeroberfläche der adaptiven Authentifizierung im Abschnitt Adaptive Authentication-Instanzen bereitstellen auf die Schaltfläche mit den Auslassungspunkten.
  2. Klicken Sie auf Sicherer Zugriff auf das Gateway.

    Sicherer Zugriff

  3. Wählen Sie unter Schlüssel sollten ablaufen ineine Ablaufdauer für den neuen SSH-Schlüssel aus.
  4. Klicken Sie auf Schlüssel generieren und herunterladen. Kopieren Sie den privaten SSH-Schlüssel oder laden Sie ihn zur späteren Verwendung herunter, da er nach dem Schließen der Seite nicht angezeigt wird. Dieser Schlüssel kann verwendet werden, um sich mit dem Benutzernamen bei den Adaptive Authentication-Instanzen anzumelden authadmin.

    Sie können auf Schlüssel generieren und herunterladen klicken, um ein neues Schlüsselpaar zu erstellen, falls das frühere Schlüsselpaar abläuft. Es kann jedoch nur ein Schlüsselpaar aktiv sein.

  5. Klicken Sie auf Fertig.

Wichtig:

  • Wenn Sie PuTTY unter Windows verwenden, um eine Verbindung zu Adaptive Authentication-Instanzen herzustellen, müssen Sie den heruntergeladenen privaten Schlüssel in PEM konvertieren. Einzelheiten finden Sie unter https://www.puttygen.com/convert-pem-to-ppk.

  • Es wird empfohlen, den folgenden Befehl zu verwenden, um über das Terminal über den MAC oder die PowerShell/Eingabeaufforderung von Windows (Version 10) eine Verbindung zu den Instanzen der adaptiven Authentifizierung herzustellen. ssh -i <path-to-private-key> authadmin@<ip address of ADC>
  • Wenn Sie möchten, dass die AD-Benutzer auf die GUI für Adaptive Authentication zugreifen können, müssen Sie sie als neue Administratoren zur LDAP-Gruppe hinzufügen. Einzelheiten finden Sie unter https://support.citrix.com/article/CTX123782. Für alle anderen Konfigurationen empfiehlt Citrix, dass Sie die GUI für Adaptive Authentication und nicht die CLI-Befehle verwenden.

Richten Sie mithilfe von Azure VNet-Peering Konnektivität zu lokalen Authentifizierungsservern ein

Sie müssen diese Konfiguration nur einrichten, wenn Sie den Konnektivitätstyp als Azure VNet-Peering ausgewählt haben.

Hinweis: Wenn Sie Drittanbieter-IDPs wie Okta, Azure AD, Ping verwenden, ist dieser Schritt nicht erforderlich.

  1. Klicken Sie auf der Benutzeroberfläche von Connect Adaptive Authentication auf Provisionund dann auf Azure VNet Peering.

    VNet-Peering

    Das Feld Citrix Managed Service Principal enthält die Anwendungs-ID eines Azure Service Principal, der von Citrix für Ihren Kunden erstellt wurde. Dieser Dienstprinzipal ist erforderlich, damit Citrix ein VNet-Peering zu einem VNet in Ihrem Abonnement und Mandanten hinzufügen kann.

    Damit sich dieser Dienstprinzipal beim Kundenmandanten anmelden kann, muss der Administrator am Kundenstandort (globaler Administrator des Mandanten) die folgenden PowerShell-Befehle ausführen, um den SPN zum Mandanten hinzuzufügen. CloudShell kann auch verwendet werden. Connect-AzureAD New-AzureADServicePrincipal -AppId $App_ID Dabei ist $App_ID eine SPN-Anwendungs-ID, die von Citrix mitgeteilt wurde.

    Hinweis:

    • Der zuvor erwähnte Befehl gibt einen Dienstprinzipalnamen aus, der für die Rollenzuweisungen verwendet werden muss.
    • Damit dieser Dienstprinzipal ein Azure VNet-Peering hinzufügen kann, muss der Administrator am Kundenstandort (nicht auf globale Administratoren beschränkt) dem VNet eine Rolle “Network Contributor” hinzufügen, die mit dem Citrix Managed VNet verknüpft sein muss.
    • SPN ist eine eindeutige Kennung, die verwendet wird, um das virtuelle Citrix-Netzwerk in Azure zuzuordnen. Durch die Verknüpfung des SPN mit VNet kann das virtuelle Citrix Netzwerk über das VNet von Azure eine Verbindung mit on-premises Netzwerk des Kunden herstellen.
  2. Erstellen Sie ein VNet-Peering.

    • Geben Sie die Mandant-ID ein, für die die vorherigen Schritte ausgeführt wurden, und klicken Sie auf Abrufen.

    Dadurch wird die vom Kunden verwaltete VNet-Ressourcen-ID mit den möglichen VNets aufgefüllt, für die die Netzwerkbeitragsrolle für den SPN hinzugefügt wird. Wenn Sie Ihr VNet nicht sehen, stellen Sie sicher, dass die vorherigen Schritte korrekt ausgeführt wurden, oder wiederholen Sie die Schritte.

    Hinweis:

    Einzelheiten zum Auffinden Ihrer Mandanten-ID finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-how-to-find-tenant.

  3. Wählen Sie Azure VPN Gateway verwenden, um Ihre on-premises Netzwerke mit Azure zu verbinden.
  4. Wählen Sie unter Customer managed VNet Resource IDdas für Peering identifizierte VNet aus und klicken Sie auf Hinzufügen. Das VNet wird der Tabelle mit dem anfänglichen Status In Bearbeitunghinzugefügt. Sobald das Peering erfolgreich abgeschlossen wurde, ändert sich der Status in Fertig.
  5. Klicken Sie auf Fertig.
  6. Fahren Sie mit der Konfiguration fort, siehe Schritt 1: Bereitstellen der adaptiven Authentifizierung.

    Wichtig:

    • Damit der Datenverkehr zwischen dem von Citrix verwalteten VNet und dem lokalen Netzwerk fließt, können Firewall- und Routing-Regeln on-premises geändert werden, um den Datenverkehr an das Citrix Managed VNet weiterzuleiten.
    • Sie können jeweils nur einen VNet-Peer hinzufügen. Mehrere VNet-Peerings sind derzeit nicht zulässig. Sie können ein VNet-Peering löschen oder nach Bedarf erstellen.

Provisioning ist abgeschlossen

Andere verwandte Konfigurationen

Ändern Sie das authadmin-Kennwort

Mit den folgenden Schritten können Sie das Kennwort für den Benutzer authadmin sowohl auf den Instanzen als auch im ADM-Geräteprofil ändern.

  1. Navigieren Sie zu System > Benutzerverwaltung > Benutzer, und erstellen Sie den Benutzer. Einzelheiten finden Sie unter Konfigurieren von Benutzerkonten.
  2. Speichern Sie die Konfiguration.
  3. Führen Sie im Citrix Application Delivery Management Service Folgendes aus:
    • Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC.
    • Klicken Sie auf Profile und wählen Sie das Profil mit dem Präfix Gateway-Hosted aus.
    • Wählen Sie Kennwort ändern und legen Sie das in Schritt 2 verwendete Kennwort fest.
    • Klicken Sie auf Zurück.
    • Gehen Sie zu Citrix ADC > Wählen Sie Aktion > Wiederfinden.

Weitere Informationen finden Sie unter So ändern Sie das Citrix ADC MPX- und VPX-Root-Kennwort.

Benutzerdefinierte Workspace-URL oder Vanity-URL

Konfigurieren Sie für die benutzerdefinierte Workspace-URL oder Vanity-URL ein neues OAuthIDP-Profil mit derselben Client-ID, demselben Geheimnis und derselben Zielgruppe wie Ihr aktuelles, jedoch mit einer Umleitungs-URL von https://your.company.com/core/login-cip. In diesem Beispiel your.company.com entspricht die benutzerdefinierte Workspace-URL Ihrer Domain. Zum Beispiel nssvctesting.net ist die Domain und die benutzerdefinierte Workspace-URL ws1.nssvctesting.net. Erstellen Sie eine neue OAuthIDP-Richtlinie und binden Sie sie an den virtuellen Authentifizierungs- und Autorisierungsserver.

Hinweis:

Beide OAuthIDP-Richtlinien können nebeneinander existieren und ein Benutzer kann über die Standard-Workspace-URL oder die benutzerdefinierte Workspace-URL oder beides auf Workspace zugreifen.

Backup und Wiederherstellung der Konfiguration

Der Application Delivery Management Service führt die Backupverwaltung für die Adaptive Authentication-Instanzen Einzelheiten finden Sie unter Backup und Wiederherstellen von Citrix ADC-Instanzen.

  1. Klicken Sie in der Application Delivery Management-Kachel auf Manage.
  2. Navigieren Sie zu Infrastruktur > Instanzen und greifen Sie auf die Backups zu.

Hinweis:

Wenn der Service nicht integriert ist, integrieren Sie den Application Delivery Management Service. Einzelheiten finden Sie unter Erste Schritte.

Problembehandlung

Die Probleme werden basierend auf den verschiedenen Stufen der Konfiguration kategorisiert:

  • Provisioning — Probleme bei der Bereitstellung der Adaptive Authentication-Instanz
  • Problem mit der Barrierefreiheit der Instanz: Die Instanz wurde bereitgestellt, aber der Administrator kann nicht darauf zugreifen
  • AD/Radius-Konnektivitäts- und Authentifizierungsproblem: Die Authentifizierungsrichtlinie ist für das lokale eingerichtet, funktioniert aber nicht
  • Probleme mit der Authentifizierung
  • Probleme im Zusammenhang mit der EPA/Gerätehaltung
  • Probleme im Zusammenhang mit Smarttags
  • Protokollsammlung

Sie können die Probleme auch mit der Adaptive Authentication CLI beheben. Gehen Sie wie folgt vor, um eine Verbindung mit der CLI herzustellen:

  • Laden Sie den SSH-Client wie putty/securecrt auf Ihren Computer herunter.
  • Greifen Sie über die Verwaltungs-IP-Adresse (primäre) auf die Adaptive Authentication-Instanz
  • Melden Sie sich mit Ihren Anmeldeinformationen an.

Einzelheiten finden Sie unter Zugreifen auf eine Citrix ADC Appliance.

Provisioningprobleme

  • Zugriff auf die Benutzeroberfläche der adaptiven Authentifizierung nicht möglich

    Prüfen Sie, ob die Berechtigung für Ihre Kunden-ID/Ihren Mandanten aktiviert ist.

  • Ich stecke länger als 45 Minuten auf der Provisioning-Seite fest

    Sammeln Sie den Screenshot des Fehlers, falls vorhanden, und wenden Sie sich an den Citrix Support, um Unterstützung zu erhalten.

  • VNet-Peer ist ausgefallen

    • Überprüfen Sie, ob im Azure-Portal Warnungen vorhanden sind, die diesem Peering entsprechen, und führen Sie die empfohlenen Maßnahmen aus.
    • Löschen Sie das Peering und fügen Sie es erneut über die Benutzeroberfläche der adaptiven Authentifizierung hinzu.
  • Die Aufhebung der Bereitstellung ist nicht abgeschlossen

    Wenden Sie sich an Citrix Support, um Unterstützung zu erhalten.

Problem beim Zugriff auf eine Instanz

  • Die Management-IP-Adresse ist für die Instanz nicht zugänglich

    • Überprüfen Sie, ob die öffentliche IP-Adresse des Clients, die für den Zugriff verwendet wird, zu den zulässigen Quell-IP-Adressen gehört.

    • Überprüfen Sie, ob ein Proxy die IP-Adresse der Client-Quelle ändert.

  • Anmeldung bei der Instanz nicht möglich

    Stellen Sie sicher, dass der Administratorzugriff mit den Anmeldeinformationen, die Sie bei der Bereitstellung eingegeben haben, einwandfrei funktioniert.

  • Endbenutzer haben keine vollständigen Rechte

    Stellen Sie beim Hinzufügen des Benutzers sicher, dass Sie die geeignete Befehlsrichtlinie für den Zugriff gebunden haben. Weitere Informationen finden Sie unter Benutzer, Benutzergruppen und Befehlsrichtlinien.

AD- oder RADIUS-Konnektivitätsproblem

Problem mit Azure Vnet-Peering-Konnektivitätstyp:

  • Überprüfen Sie, ob das vom Kunden verwaltete Azure VNet von den Adaptive Authentication-Instanzen
  • Prüfen Sie, ob die Konnektivität/Erreichbarkeit des vom Kunden verwalteten Azure VNet zu AD funktioniert.
  • Stellen Sie sicher, dass geeignete Routen hinzugefügt werden, um den Datenverkehr von lokal zu Azure VNets zu leiten

Windows-basierter Connector:

  • Alle Protokolle sind im Verzeichnis /var/log/ns.log verfügbar und jedem Protokoll wird das Präfix [NS_AAUTH_TUNNEL] vorangestellt.
  • ConnectionID aus Protokollen kann verwendet werden, um verschiedene Transaktionen zu korrelieren.
  • Stellen Sie sicher, dass die private IP-Adresse der virtuellen Connector-Maschine als einer der RADIUS-Clients im RADIUS-Server hinzugefügt wird, da diese IP-Adresse die Quell-IP-Adresse für den Connector ist.

    Für jede Authentifizierungsanforderung wird der Tunnel zwischen der Adaptive Authentication-Instanz (NS - AAAD-Prozess) und dem Authentifizierungsserver eingerichtet. Sobald der Tunnel erfolgreich eingerichtet wurde, erfolgt die Authentifizierung.

    Stellen Sie sicher, dass die virtuelle Connector-Maschine den FQDN für adaptive Authentifizierung auflösen kann.

  • Der Connector ist installiert, die lokale Konnektivität schlägt jedoch fehl.

    Überprüfen Sie, ob NSAUTH-TUNNEL eingerichtet wird.

    Cat ns.log | grep -I “tunnel”

    Wenn das folgende Beispielprotokoll nicht in der Datei ns.log für die Authentifizierungsanforderung gedruckt wird, liegt möglicherweise ein Problem beim Aufbau eines Tunnels oder ein Problem von der Konnektorseite vor.

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    Überprüfen Sie die Protokolldetails und ergreifen Sie entsprechende Maßnahmen.

    Angaben protokollieren Korrekturmaßnahme
    In der Protokolldatei [NS_AAUTH_TUNNEL] sind keine Logs mit Präfix enthalten Führen Sie den Befehl show cloudtunnel vserver aus. Dieser Befehl muss beide virtuellen Cloud-Tunnelserver (TCP und UDP) mit dem Status “UP” auflisten.
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector Für dieses Protokoll, wenn die folgende Antwort nicht empfangen wird: [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" Überprüfen Sie, ob der Konnektorcomputer in der Lage ist, den FQDN für adaptive Authentifizierung zu erreichen, ODER überprüfen Sie die konnektorseitige Firewall auf ausgehende Verbindungen zum FQDN für Adaptive
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0 und[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" Wenden Sie sich an den Citrix Support.

Keine Antwort vom Konnektor:

  • Stellen Sie sicher, dass der FQDN für adaptive Authentifizierung von der virtuellen Connector-Maschine aus erreichbar ist
  • Stellen Sie sicher, dass ein Zwischenzertifikat gebunden und mit dem Serverzertifikat auf der Adaptive Authentication-Instanz verknüpft ist.

Falsche LDAP/RADIUS-Einstellungen:

Wenn die IP-Adresse Ihres AD/RADIUS-Servers eine öffentliche IP-Adresse ist, müssen Sie das Subnetz oder die IP-Adresse hinzufügen, die die Ausdrücke in der Citrix ADC Appliance adressiert. Bearbeiten Sie nicht die vorhandenen Bereiche.

  • So fügen Sie ein Subnetz oder eine IP-Adresse mit der CLI hinzu:

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • So fügen Sie mithilfe der GUI ein Subnetz oder eine IP-Adresse hinzu:

    Navigieren Sie zu Appexpert > Expressions. Ausdruck hinzufügen aauth_allow_rfc1918_subnets

Wenn der Tunnel eingerichtet ist, die Authentifizierung jedoch weiterhin fehlschlägt, führen Sie die folgenden Schritte aus, um das Problem zu beheben.

LDAP:

  • Überprüfen Sie die Details des Bind-DN.
  • Bestätigen Sie den Fehler mithilfe der Testkonnektivität.
  • Überprüfen Sie die Fehler mit aaad-Debug.
  • Melden Sie sich mit der CLI bei der Adaptive Authentication-Instanz an.

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

Häufige LDAP-Fehler:

Radius:

  • Die Connector-IP-Adresse muss als Quell-IP-Adresse des RADIUS-Clients in der RADIUS-Serverkonfiguration hinzugefügt werden.

Probleme mit der Authentifizierung

  • Fehler nach der Assertion für OAuth

    • Stellen Sie sicher, dass alle Anträge von AD bereitgestellt werden. Sie benötigen 7 Claims, um dies erfolgreich zu machen.

    • Überprüfen Sie die Protokolle in den Dateien var/log ns.log, um den Fehler für OAuth-Fehler zu finden.

    • Überprüfen Sie die OAuth-Profilparameter.

  • Azure AD-Authentifizierung bleibt bei der Assertion hängen

    Fügen Sie AD-Authentifizierung als nächsten Faktor hinzu, wobei die Authentifizierung auf Aus gesetzt ist. Dies dient dazu, alle erforderlichen Ansprüche für eine erfolgreiche Authentifizierung abzurufen.

EPA-bezogene Probleme

  • Das Plug-in ist bereits vorhanden, aber der Benutzer wird aufgefordert, das Plug-in herunterzuladen.

    Mögliche Ursachen: Versionskonflikt oder beschädigte Dateien

    • Führen Sie Entwicklertools aus und überprüfen Sie, ob die Plugin-Listendatei dieselbe Version wie die des Citrix ADC und Ihres Client-Computers enthält.

    • Stellen Sie sicher, dass die Client-Version auf dem Citrix ADC dieselbe ist wie auf dem Client-Computer.

      Aktualisieren Sie den Client auf dem Citrix ADC.

      Navigieren Sie in der Adaptive Authentication-Instanz zu Citrix Gateway > Globale Einstellungen > Clientbibliotheken aktualisieren.

      Auf der Seite EPA-Plug-in-Bibliotheken auf Citrix Downloads finden Sie detaillierte Informationen.

    • Manchmal kann die Anfrage auf Citrix ADC zwischengespeichert werden, auch wenn die Version aktualisiert wird.

      show cache object zeigt die Details des zwischengespeicherten Plug-ins an. Sie können es löschen, indem Sie den Befehl verwenden;

      flush cache object -locator 0x00000023345600000007

    Einzelheiten zur Erfassung von EPA-Protokollen finden Sie unter https://support.citrix.com/article/CTX209148.

  • Gibt es eine Möglichkeit, die EPA-Einstellungen (Immer, Ja, Nein) zurückzusetzen, nachdem der Benutzer eine Option ausgewählt hat.

    Derzeit erfolgt das Zurücksetzen der EPA-Einstellungen manuell.

    • Navigieren Sie auf dem Client-Computer zu C:\Users<user_name>\ AppData\ Local\ Citrix\ AGEE.
    • Öffnen Sie die Datei config.js und setzen Sie TrustAlways auf null - "trustAlways":null

Probleme mit Smart-Zugriff-Tags

  • Nach der Konfiguration des Smart Access sind Anwendungen nicht verfügbar

    Stellen Sie sicher, dass die Tags sowohl in der Adaptive Authentication-Instanz als auch in den Citrix VDA-Bereitstellungsgruppen definiert sind.

    Vergewissern Sie sich, dass die Tags der Workspace-Bereitstellungsgruppe in Großbuchstaben hinzugefügt wurden.

    Sie können die Datei ns.log sammeln und sich an den Citrix Support wenden, falls dies nicht funktioniert.

Allgemeine Protokollsammlung für die Adaptive Authentifizierungsinstanz

Weitere Informationen erhalten Sie vom Citrix Support.

Beispielkonfigurationen zur Authentifizierung

Kunden können eine Authentifizierungsrichtlinie ihrer Wahl konfigurieren und an den virtuellen Authentifizierungsserver binden. Bindungen des Authentifizierungsprofils sind für den virtuellen Authentifizierungsserver nicht erforderlich. Nur die Authentifizierungsrichtlinien können konfiguriert werden. Im Folgenden sind einige der Anwendungsfälle aufgeführt.

Wichtig:

Die Authentifizierungskonfiguration darf nur auf den primären Knoten erfolgen.

Multifaktor-Authentifizierung mit bedingter Authentifizierung

Integration von Drittanbietern mit Multifaktor-Authentifizierung

Haltungsscans von Geräten (EPA)

Verschiedene Szenarien

Geteilte Sicherheitsverantwortung

Von Kunden benötigte Maßnahmen

Im Folgenden sind einige Maßnahmen der Kunden im Rahmen von Best Practices für die Sicherheit aufgeführt.

  • Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche für Adaptive Authentication: Der Kunde ist für die Erstellung und Verwaltung der Anmeldeinformationen für den Zugriff auf die Benutzeroberfläche für Adaptive Wenn der Kunde mit dem Citrix Support zusammenarbeitet, um ein Problem zu lösen, muss der Kunde diese Anmeldeinformationen möglicherweise an das Support-Personal weitergeben.
  • Ändern des Kennworts authadmin: Im Rahmen der Bereitstellung erstellt Citrix einen ersten Benutzer mit dem Namen authadmin und das entsprechende Geräteprofil in den Instanzen Citrix Application Delivery Management Service und Adaptive Authentication. Kunden müssen das Kennwort dieses Benutzers im primären Knoten und im Geräteprofil von ADM ändern. Melden Sie sich bei Ihrem Citrix Gateway an, ändern Sie den Benutzernamen und das Kennwort. Einzelheiten finden Sie unter “authadmin-Kennwort ändern”.

  • Sicherheit des Remote-CLI-Zugriffs: Citrix bietet Kunden Remote-CLI-Zugriff. Die Kunden sind jedoch dafür verantwortlich, die Sicherheit der Instanz während der Laufzeit zu gewährleisten.

  • Private SSL-Schlüssel: Da der Citrix ADC unter Kundenkontrolle steht, hat Citrix keinen Zugriff auf das Dateisystem. Kunden müssen sicherstellen, dass sie die Zertifikate und Schlüssel schützen, die sie auf der Citrix ADC-Instanz hosten.

  • Datenbackup: Erstellen Sie ein Backup von Konfiguration, Zertifikaten, Schlüsseln, Portalanpassungen und alle anderen Dateisystemänderungen.

  • Datenträgerimages der ADC-Instanzen: Pflegen und verwalten Sie den Citrix ADC-Speicherplatz und die Datenträgerbereinigung. Der Kunde ist dafür verantwortlich, diese Aufgaben sicher auszuführen.
  • Upgrade: Planen Sie das Upgrade der Adaptive Authentication-Instanzen Einzelheiten finden Sie unter Planen eines Upgrades Ihrer Adaptive Authentication-Instanzen.

Erforderliche Maßnahmen sowohl vom Kunden als auch von Citrix

  • Disaster Recovery: In unterstützten Azure-Regionen werden die Citrix ADC-Hochverfügbarkeitsinstanzen zum Schutz vor Datenverlust in separaten Verfügbarkeitszonen bereitgestellt. Im Falle eines Azure-Datenverlusts stellt Citrix so viele Ressourcen im von Citrix verwalteten Azure-Abonnement wie möglich wieder her.

    Im Falle des Verlusts einer gesamten Azure-Region ist der Kunde dafür verantwortlich, sein vom Kunden verwaltetes virtuelles Netzwerk in einer neuen Region wieder aufzubauen und ein neues VNet-Peering zu erstellen.

  • Sicherer Zugriff über die IP-Adresse der öffentlichen Verwaltung:

    Sichern Sie den Zugriff auf die Verwaltungsschnittstellen durch zugewiesene öffentliche IP-Adressen und ermöglichen Sie ausgehende Verbindungen zum Internet.

Einschränkungen

  • Die Authentifizierung über einen virtuellen Load Balancing-Server wird nicht unterstützt.
  • Das Hochladen von Zertifikatsbündeln wird nicht unterstützt
  • Die RADIUS-Authentifizierung ist für einige Minuten beeinträchtigt, wenn der Konnektor, der die RADIUS-Anforderung bedient, ausfällt. In diesem Fall muss sich der Benutzer erneut authentifizieren.
  • Derzeit kann die Adaptive Authentication-Instanz die lokale Datenverkehrsanforderung an jeden Connector an einem beliebigen Ressourcenstandort senden. Die Konnektivität des Rechenzentrums schlägt möglicherweise fehl, wenn die Rechenzentren nicht verbunden sind. Bei Bedarf kann der gesamte lokale Konnektivitätsdatenverkehr mit dem folgenden Befehl an einen Ressourcenstandort gesendet werden:

    set cloudtunnel parameter -resourceLocation <RL>

    Verwenden Sie den folgenden Befehl, um zu den Standardeinstellungen zurückzukehren:

    set cloudtunnel parameter -resourceLocation 00000000-0000-0000-0000-000000000000

  • DNS-Tunneling wird nicht unterstützt. Statische Datensätze müssen auf der Citrix ADC Appliance für die FQDNs hinzugefügt werden, die in Authentifizierungsrichtlinien/-profilen (LDAP/RADIUS) für Authentifizierungsserver im lokalen Rechenzentrum des Kunden verwendet werden. Einzelheiten zum Hinzufügen statischer DNS-Einträge finden Sie unter Erstellen von Adressdatensätzen für einen Domainnamen.

  • DasTesten der Netzwerkkonnektivität im LDAP-Profil zeigt möglicherweise ein falsches Ergebnis wie „Server ist erreichbar“, auch wenn die Verbindung zum LDAP-Server nicht hergestellt wurde. Fehlermeldungen wie „Port ist nicht geöffnet“ oder „Server ist kein LDAP“ werden möglicherweise angezeigt, um auf den Fehler hinzuweisen. Citrix empfiehlt, die Ablaufverfolgungen in diesem Szenario zu sammeln und die Fehlerbehebung weiter
  • Damit EPA-Scans unter macOS funktionieren, müssen Sie die Standard-ECC-Kurven an den virtuellen Authentifizierungs- und Autorisierungsserver binden, indem Sie die Option ECC-Kurve als ALLauswählen.

Qualität der Dienstleistungen

Adaptive Authentication ist ein Dienst mit hoher Verfügbarkeit (Aktiv-Standby).