Smartcard-Bereitstellungen
Die folgenden Arten von Smartcard-Bereitstellungen werden von dieser Produktversion und von gemischten Umgebungen, die diese Version enthalten, unterstützt. Andere Konfigurationen funktionieren möglicherweise, werden aber nicht unterstützt.
| Typ | StoreFront™-Konnektivität |
|---|---|
| Lokale in die Domäne eingebundene Computer | Direkt verbunden |
| Remotezugriff von in die Domäne eingebundenen Computern | Über Citrix Gateway verbunden |
| Nicht in die Domäne eingebundene Computer | Direkt verbunden |
| Remotezugriff von nicht in die Domäne eingebundenen Computern | Über Citrix Gateway verbunden |
| Nicht in die Domäne eingebundene Computer und Thin Clients, die auf die Desktop Appliance-Site zugreifen | Über Desktop Appliance-Sites verbunden |
| In die Domäne eingebundene Computer und Thin Clients, die über die XenApp® Services-URL auf StoreFront zugreifen | Verbunden über XenApp Services URLs |
Die Bereitstellungstypen werden durch die Eigenschaften des Benutzergeräts definiert, an das das Smartcard-Lesegerät angeschlossen ist:
- Ob das Gerät einer Domäne beigetreten ist oder nicht.
- Wie das Gerät mit StoreFront verbunden ist.
- Welche Software zum Anzeigen virtueller Desktops und Anwendungen verwendet wird.
Darüber hinaus können in diesen Bereitstellungen Smartcard-fähige Anwendungen wie Microsoft Word und Microsoft Excel verwendet werden. Diese Anwendungen ermöglichen es Benutzern, Dokumente digital zu signieren oder zu verschlüsseln.
Bimodale Authentifizierung
Wo immer möglich in jeder dieser Bereitstellungen unterstützt Receiver die bimodale Authentifizierung, indem er dem Benutzer die Wahl zwischen der Verwendung einer Smartcard und der Eingabe von Benutzername und Kennwort bietet. Dies ist nützlich, wenn die Smartcard nicht verwendet werden kann (z. B. wenn der Benutzer sie zu Hause vergessen hat oder das Anmeldezertifikat abgelaufen ist).
Da Benutzer von Geräten, die keiner Domäne beigetreten sind, sich direkt bei Receiver für Windows anmelden, können Sie Benutzern ermöglichen, auf die explizite Authentifizierung zurückzugreifen. Wenn Sie die bimodale Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit ihren Smartcards und PINs anzumelden, haben aber die Möglichkeit, die explizite Authentifizierung zu wählen, wenn sie Probleme mit ihren Smartcards haben.
Wenn Sie Citrix Gateway bereitstellen, melden sich Benutzer an ihren Geräten an und werden von Receiver für Windows aufgefordert, sich bei Citrix Gateway zu authentifizieren. Dies gilt sowohl für Geräte, die einer Domäne beigetreten sind, als auch für Geräte, die keiner Domäne beigetreten sind. Benutzer können sich bei Citrix Gateway entweder mit ihren Smartcards und PINs oder mit expliziten Anmeldeinformationen anmelden. Dies ermöglicht es Ihnen, Benutzern eine bimodale Authentifizierung für Citrix Gateway-Anmeldungen bereitzustellen. Konfigurieren Sie die Pass-Through-Authentifizierung von Citrix Gateway zu StoreFront und delegieren Sie die Anmeldeinformationsvalidierung an Citrix Gateway für Smartcard-Benutzer, damit Benutzer stillschweigend bei StoreFront authentifiziert werden.
Überlegungen zu mehreren Active Directory-Gesamtstrukturen
In einer Citrix-Umgebung werden Smartcards innerhalb einer einzelnen Gesamtstruktur unterstützt. Smartcard-Anmeldungen über Gesamtstrukturen hinweg erfordern eine direkte bidirektionale Gesamtstrukturvertrauensstellung zu allen Benutzerkonten. Komplexere Multi-Forest-Bereitstellungen mit Smartcards (d. h. wenn Vertrauensstellungen nur unidirektional oder von verschiedenen Typen sind) werden nicht unterstützt.
Sie können Smartcards in einer Citrix-Umgebung verwenden, die Remotedesktops umfasst. Diese Funktion kann lokal (auf dem Benutzergerät, an das die Smartcard angeschlossen ist) oder remote (auf dem Remotedesktop, mit dem sich das Benutzergerät verbindet) installiert werden.
Richtlinie zum Entfernen von Smartcards
Die im Produkt festgelegte Richtlinie zum Entfernen von Smartcards bestimmt, was passiert, wenn Sie die Smartcard während einer Sitzung aus dem Lesegerät entfernen. Die Richtlinie zum Entfernen von Smartcards wird über das Windows-Betriebssystem konfiguriert und verwaltet.
| Richtlinieneinstellung | Desktop-Verhalten |
|---|---|
| Keine Aktion | Keine Aktion. |
| Arbeitsstation sperren | Die Desktopsitzung wird getrennt und der virtuelle Desktop gesperrt. |
| Abmeldung erzwingen | Der Benutzer wird zur Abmeldung gezwungen. Geht die Netzwerkverbindung verloren und ist diese Einstellung aktiviert, kann die Sitzung abgemeldet werden und der Benutzer kann Daten verlieren. |
| Trennen, wenn eine Remotedesktopdienste-Sitzung | Die Sitzung wird getrennt und der virtuelle Desktop gesperrt. |
Überprüfung des Zertifikatswiderrufs
Wenn die Überprüfung des Zertifikatswiderrufs aktiviert ist und ein Benutzer eine Smartcard mit einem ungültigen Zertifikat in ein Lesegerät einführt, kann sich der Benutzer nicht authentifizieren oder auf den Desktop oder die Anwendung zugreifen, die mit dem Zertifikat verknüpft ist. Wenn das ungültige Zertifikat beispielsweise für die E-Mail-Entschlüsselung verwendet wird, bleibt die E-Mail verschlüsselt. Wenn andere Zertifikate auf der Karte, z. B. solche, die zur Authentifizierung verwendet werden, weiterhin gültig sind, bleiben diese Funktionen aktiv.
Bereitstellungsbeispiel: Domänenverbundene Computer
Diese Bereitstellung umfasst domänenverbundene Benutzergeräte, die den Desktop Viewer ausführen und direkt mit StoreFront verbunden sind.
Ein Benutzer meldet sich mit einer Smartcard und PIN an einem Gerät an. Receiver authentifiziert den Benutzer bei einem StoreFront-Server mithilfe der integrierten Windows-Authentifizierung (IWA). StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird er nicht erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in Receiver konfiguriert ist.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
Bereitstellungsbeispiel: Remotezugriff von in die Domäne eingebundenen Computern
Diese Bereitstellung umfasst in die Domäne eingebundene Benutzergeräte, die den Desktop Viewer ausführen und über Citrix Gateway/Access Gateway eine Verbindung zu StoreFront herstellen.
Ein Benutzer meldet sich mit einer Smartcard und PIN an einem Gerät an und meldet sich dann erneut bei Citrix Gateway/Access Gateway an. Diese zweite Anmeldung kann entweder mit der Smartcard und PIN oder mit einem Benutzernamen und Kennwort erfolgen, da Receiver in dieser Bereitstellung eine bimodale Authentifizierung zulässt.
Der Benutzer wird automatisch bei StoreFront angemeldet, das die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps™ oder Citrix Virtual Desktops übergibt. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird er nicht erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in Receiver konfiguriert ist.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer
Diese Bereitstellung umfasst nicht in die Domäne eingebundene Benutzergeräte, die den Desktop Viewer ausführen und direkt eine Verbindung zu StoreFront herstellen.
Ein Benutzer meldet sich an einem Gerät an. Typischerweise gibt der Benutzer einen Benutzernamen und ein Kennwort ein, aber da das Gerät nicht in eine Domäne eingebunden ist, sind Anmeldeinformationen für diese Anmeldung optional. Da in dieser Bereitstellung eine bimodale Authentifizierung möglich ist, fordert Receiver den Benutzer entweder zur Eingabe einer Smartcard und PIN oder eines Benutzernamens und Kennworts auf. Receiver authentifiziert sich dann bei StoreFront.
StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird er erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in dieser Bereitstellung nicht verfügbar ist.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
Bereitstellungsbeispiel: Remotezugriff von nicht in die Domäne eingebundenen Computern
Diese Bereitstellung umfasst Benutzergeräte, die nicht in die Domäne eingebunden sind, den Desktop Viewer ausführen und direkt eine Verbindung mit StoreFront herstellen.
Ein Benutzer meldet sich an einem Gerät an. Normalerweise gibt der Benutzer einen Benutzernamen und ein Kennwort ein, aber da das Gerät nicht in eine Domäne eingebunden ist, sind Anmeldeinformationen für diese Anmeldung optional. Da in dieser Bereitstellung eine bimodale Authentifizierung möglich ist, fordert Receiver den Benutzer entweder zur Eingabe einer Smartcard und PIN oder eines Benutzernamens und Kennworts auf. Receiver authentifiziert sich dann bei StoreFront.
StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet, wird er erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion in dieser Bereitstellung nicht verfügbar ist.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer und Thin Clients, die auf die Desktop Appliance-Site zugreifen
Diese Bereitstellung umfasst Benutzergeräte, die nicht in die Domäne eingebunden sind, den Desktop Lock ausführen und über Desktop Appliance-Sites eine Verbindung mit StoreFront herstellen können.
Der Desktop Lock ist eine separate Komponente, die mit Citrix Virtual Apps, Citrix Virtual Desktops und VDI-in-a-Box veröffentlicht wird. Er ist eine Alternative zum Desktop Viewer und wurde hauptsächlich für umfunktionierte Windows-Computer und Windows-Thin Clients entwickelt. Der Desktop Lock ersetzt die Windows-Shell und den Task-Manager auf diesen Benutzergeräten und verhindert, dass Benutzer auf die zugrunde liegenden Geräte zugreifen. Mit dem Desktop Lock können Benutzer auf Windows Server Machine-Desktops und Windows Desktop Machine-Desktops zugreifen. Die Installation des Desktop Lock ist optional.
Ein Benutzer meldet sich mit einer Smartcard an einem Gerät an. Wenn der Desktop Lock auf dem Gerät ausgeführt wird, ist das Gerät so konfiguriert, dass es eine Desktop Appliance-Site über Internet Explorer im Kioskmodus startet. Ein ActiveX-Steuerelement auf der Site fordert den Benutzer zur Eingabe einer PIN auf und sendet diese an StoreFront. StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Der erste verfügbare Desktop in der alphabetischen Liste einer zugewiesenen Desktopgruppe wird gestartet.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
Bereitstellungsbeispiel: In die Domäne eingebundene Computer und Thin Clients, die über die XenApp Services-URL auf StoreFront zugreifen
Diese Bereitstellung umfasst Benutzergeräte, die in die Domäne eingebunden sind, den Desktop Lock ausführen und über XenApp Services-URLs eine Verbindung mit StoreFront herstellen.
Der Desktop Lock ist eine separate Komponente, die mit Citrix Virtual Apps, Citrix Virtual Desktops und VDI-in-a-Box veröffentlicht wird. Er ist eine Alternative zum Desktop Viewer und wurde hauptsächlich für umfunktionierte Windows-Computer und Windows-Thin Clients entwickelt. Der Desktop Lock ersetzt die Windows-Shell und den Task-Manager auf diesen Benutzergeräten und verhindert, dass Benutzer auf die zugrunde liegenden Geräte zugreifen. Mit dem Desktop Lock können Benutzer auf Windows Server Machine-Desktops und Windows Desktop Machine-Desktops zugreifen. Die Installation des Desktop Lock ist optional.
Ein Benutzer meldet sich mit einer Smartcard und PIN an einem Gerät an. Wenn Desktop Lock auf dem Gerät ausgeführt wird, authentifiziert es den Benutzer bei einem StoreFront-Server mithilfe der integrierten Windows-Authentifizierung (IWA). StoreFront übergibt die Sicherheitskennungen (SIDs) des Benutzers an Citrix Virtual Apps oder Citrix Virtual Desktops. Wenn der Benutzer einen virtuellen Desktop startet, wird er nicht erneut zur Eingabe einer PIN aufgefordert, da die Single Sign-On-Funktion auf Receiver konfiguriert ist.
Diese Bereitstellung kann durch Hinzufügen eines zweiten StoreFront-Servers und eines Servers, der Anwendungen hostet, auf einen Double-Hop erweitert werden. Ein Receiver vom virtuellen Desktop authentifiziert sich beim zweiten StoreFront-Server. Für diese zweite Verbindung kann jede Authentifizierungsmethode verwendet werden. Die für den ersten Hop gezeigte Konfiguration kann im zweiten Hop wiederverwendet oder nur im zweiten Hop verwendet werden.
In diesem Artikel
- Bimodale Authentifizierung
- Überlegungen zu mehreren Active Directory-Gesamtstrukturen
- Richtlinie zum Entfernen von Smartcards
- Überprüfung des Zertifikatswiderrufs
- Bereitstellungsbeispiel: Domänenverbundene Computer
- Bereitstellungsbeispiel: Remotezugriff von in die Domäne eingebundenen Computern
- Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer
- Bereitstellungsbeispiel: Remotezugriff von nicht in die Domäne eingebundenen Computern
- Bereitstellungsbeispiel: Nicht in die Domäne eingebundene Computer und Thin Clients, die auf die Desktop Appliance-Site zugreifen
- Bereitstellungsbeispiel: In die Domäne eingebundene Computer und Thin Clients, die über die XenApp Services-URL auf StoreFront zugreifen