Verbesserter Domänen-Passthrough für Single Sign-On (Enhanced SSO)
Bisher unterstützte die Citrix Workspace-App für Windows nur die SSON-Authentifizierung oder Authentifizierung mit Domänen-Passthrough für Single Sign-On in Citrix Virtual Apps and Desktops-Umgebungen mit Benutzeranmeldeinformationen. Diese Authentifizierung ermöglicht die Authentifizierung bei der Domäne auf dem Gerät und die Verwendung virtueller Apps und Desktops ohne erneute Authentifizierung.
Beim Domänen-Passthrough mit Benutzeranmeldedaten gelten folgende Einschränkungen:
- Die Authentifizierungsmethode unterstützt keine kennwortlose Authentifizierung wie Windows Hello oder FIDO2. Für SSO ist zusätzlich der Verbundauthentifizierungsdienst (FAS) erforderlich.
- Für die Installation oder das Upgrade der Citrix Workspace-App mit aktiviertem SSON ist ein Neustart des Geräts erforderlich.
- Erfordert die Aktivierung von Multi Provider Router-Benachrichtigungen auf Windows 11-Maschinen.
- Muss ganz oben auf der Liste der Netzwerkanbieter stehen.
Ab diesem Release unterstützt Citrix Workspace-App den erweiterten Domänen-Passthrough (eine neue SSO-Methode). Dieser nutzt anstelle von Benutzeranmeldedaten die Kerberos-Authentifizierung und trägt zur Überwindung der o. g. Einschränkungen bei. Die Benutzer können sich jetzt per integrierte Windows-Authentifizierung bei Citrix Virtual Apps and Desktops und StoreFront anmelden.
Hinweis:
Das Feature wird für 32-Bit-Windows 10- und Windows Server 2016-Maschinen nicht unterstützt.
Systemanforderungen
- Citrix Workspace-App 2309 oder höher
- Citrix Virtual Apps and Desktops 2308 oder höher
Unterstützte VDA-Betriebssystemversionen
-
Multisitzungs-OS:
- Windows Server 2019
- Windows Server 2022
-
Einzelsitzungs-OS:
- Windows 10 Version 22H2
- Windows 11 Version 22H2
Voraussetzungen
- Der Client bzw. Endpunkt muss mit der Domäne verbunden sein.
- Erfordert eine direkte Verbindung zu Active Directory.
StoreFront- und DDC-Einstellungen
Richten Sie die Domänen-Passthrough-Umgebung mit den folgenden Einstellungen ein:
Hinweis:
Sie können diesen Schritt überspringen, wenn Sie in Ihrer Umgebung bereits Domänen-Passthrough konfiguriert haben.
-
Wenn die Citrix Workspace-App in StoreFront konfiguriert ist:
- Öffnen Sie StoreFront Studio.
- Gehen Sie zu Store > Authentifizierungsmethoden verwalten.
- Aktivieren Sie Domänen-Passthrough.
Oder
-
Wenn Sie die Citrix Workspace-App über den Browser verwenden:
- Öffnen Sie StoreFront.
- Gehen Sie zu Stores > Receiver für Websites > Authentifizierungsmethoden verwalten.
-
Aktivieren Sie Domänen-Passthrough.
-
Aktivieren Sie das erweiterte Domain-Passthrough für die Single-Sign-On-Richtlinie auf DDC.
-
Klicken Sie auf OK.
VDA-Einstellungen
- Gehen Sie auf dem VDA zu Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationendelegierung.
-
Aktivieren Sie die Windows-Richtlinie Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen auf dem VDA.
- Starten Sie die VDA-Maschine neu.
Clienteinstellungen
- Stellen Sie sicher, dass die Clientmaschine mit der Domäne verbunden ist.
- Stellen Sie sicher, dass die Clientmaschine ein 64-Bit-Gerät ist.
- Öffnen Sie den Gruppenrichtlinien-Editor.
- Gehen Sie zu Computerkonfiguration\Administrative Vorlagen\Citrix Components\Citrix Workspace\Benutzerauthentifizierung.
-
Konfigurieren Sie die Gruppenrichtlinie Erweitertes Domänen-Passthrough für Single Sign-On.
- Ändern Sie die Einstellungen für Internetoptionen auf dem Client.
Hinweis:
Sie können diesen Schritt überspringen, wenn Sie in Ihrer Umgebung bereits Domänen-Passthrough konfiguriert haben.
-
Fügen Sie den StoreFront-Server der Liste der vertrauenswürdigen Sites über Internetoptionen hinzu. Schrittfolge zum Hinzufügen:
- Öffnen Sie Internetoptionen über Systemsteuerung > Netzwerk und Internet.
- Klicken Sie auf Sicherheit > Lokales Intranet und dann auf Sites. Das Fenster Lokales Intranet wird angezeigt.
- Klicken Sie auf die Registerkarte Erweitert.
- Fügen Sie die URL des StoreFront-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
- Klicken Sie auf Schließen und OK.
-
Ändern Sie im Internet Explorer die Einstellungen unter Benutzerauthentifizierung. Schrittfolge zum Modifizieren:
- Öffnen Sie Internetoptionen über die Systemsteuerung > Netzwerk und Internet.
- Klicken Sie auf die Registerkarte Sicherheit > Lokales Intranet.
- Klicken Sie auf Stufe anpassen. Das Fenster Sicherheitseinstellungen – lokale Intranetzone wird angezeigt.
- Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.
-
Klicken Sie auf OK.