Domänen-Pass-Through-Zugriffsmatrix
Wenn Sie Citrix Workspace verwenden und Domänen-Pass-Through erreichen möchten, beschreiben die Tabellen in den Unterabschnitten die verschiedenen Szenarien und ob Sie für jedes Szenario Domänen-Pass-Through erreichen können oder nicht.
-
Die verschiedenen Kopfzeilenelemente in den Tabellen und die zusätzlichen Informationen zu den Kopfzeilenelementen sind wie folgt:
- Endpunkt verbunden mit: Gibt das Verzeichnis an, mit dem der Endpunkt verbunden ist. Das Verzeichnis bietet Zugriffssteuerung für lokale Ressourcen. Dies kann lokales Active Directory (AD), Azure Active Directory (AAD) oder hybrid sein.
- Identitätsanbieter (IdP): Entität, die zur Bereitstellung von Authentifizierungsdiensten für Citrix Workspace verwendet wird. Sie ermöglicht Ihnen die Verbindung zu den Ressourcen.
- Federated Authentication Service (FAS): Weitere Informationen finden Sie unter Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren.
- Virtual Delivery Agent (VDA): Weitere Informationen finden Sie unter VDAs installieren.
- VDA verbunden mit: Gibt das Verzeichnis an, mit dem das VDA-Gerät verbunden ist. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
- Single Sign-On (SSO) zu Citrix Workspace/VDA: Der Wert Ja oder Nein gibt an, ob Domänen-Pass-Through zu Citrix Workspace oder VDA unterstützt wird.
- Citrix Workspace-App: Um Single Sign-On zu erreichen, siehe Single Sign-On bei Neuinstallation in der Domänen-Pass-Through-Authentifizierung konfigurieren oder Erweitertes Domänen-Pass-Through für Single Sign-On.
Hinweis:
Möglicherweise benötigen Sie die neueste Version der Citrix Workspace-App, um die Domänen-Pass-Through-Unterstützung für einige der folgenden Szenarien zu erhalten.
Domänen-Pass-Through-Unterstützung für Citrix Workspace
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO zu Citrix Workspace | SSO zu VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | Lokales Citrix Gateway | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through zu Citrix Workspace mit lokalem Citrix Gateway als Identitätsanbieter. |
| AD | Adaptive Authentifizierung | AD | Ja | Citrix Workspace-App/FAS | Informationen zum Konfigurieren der adaptiven Authentifizierung finden Sie unter Dienst für adaptive Authentifizierung und befolgen Sie die Anweisungen unter Domänen-Pass-Through zu Citrix Workspace mit lokalem Citrix Gateway als Identitätsanbieter. |
| AD | Citrix Gateway mit einem anderen IdP (AAD/Okta) verbunden | AD | Ja | Citrix Workspace-App/FAS | Konfigurieren Sie den IdP mithilfe von SAML-Single Sign-On konfigurieren und lesen Sie die Dokumentation des verwendeten IdP, um das Domänen-Pass-Through zu konfigurieren. |
| AD | Okta | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through zu Citrix Workspace mit Okta als Identitätsanbieter. |
| AD/Hybrid verbunden | AAD (AD mit AAD Connect) | AD | Ja | Citrix Workspace-App/FAS ** | Domänen-Pass-Through zu Citrix Workspace mit Azure Active Directory als Identitätsanbieter. |
| AD | Jeder SAML-basierte IdP (z. B. ADFS) | AD | Ja | Citrix Workspace-App/FAS | Siehe SAML als Identitätsanbieter mit Citrix Cloud verbinden und lesen Sie die Dokumentation des verwendeten IdP, um das Domänen-Pass-Through zu konfigurieren. |
| AD | AD | AD | Nein | Nicht unterstützt | N/A |
| AD | AD+OTP | AD | Nein | Nicht unterstützt | N/A |
| AD | AAD | AAD | Nein | Nicht unterstützt | N/A |
| AAD | AAD ohne lokales AD | AD | Ja | FAS | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren. |
| AAD | AAD | AAD | Ja | Benutzer muss Anmeldeinformationen eingeben. | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird nicht unterstützt. |
| Nicht domänenverbunden | IdP, der passwortlose Authentifizierung unterstützt | AD | Nein | FAS | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Andere Möglichkeiten zur Authentifizierung bei Citrix Workspace. |
Hinweise:
- Der Client muss für Kerberos erreichbar sein, damit Kerberos funktioniert.
- **Citrix Single Sign-On (SSONSVR.exe) funktioniert nur mit dem Benutzernamen oder Kennwort auf dem Client. Wenn der Benutzer Windows Hello zur Anmeldung verwendet, ist FAS erforderlich oder verwenden Sie Erweitertes Domänen-Pass-Through für Single Sign-On.
- Die Authentifizierung ist in der Cloud möglicherweise nicht vollständig transparent, wenn LLT aktiviert oder die Endbenutzer-Akzeptanzrichtlinie konfiguriert ist.
- Es wird empfohlen, FAS zu konfigurieren, da es für Nicht-Windows-Plattformen gilt.
Ab Citrix Workspace™-App für Windows Version 2503 installiert das System SSON standardmäßig im Ruhezustand. Sie können SSON nach der Installation mithilfe der Gruppenrichtlinienobjekt-Richtlinie (GPO) aktivieren. Um dies zu aktivieren, navigieren Sie zu Benutzerauthentifizierung > Lokaler Benutzername und Kennwort und aktivieren Sie das Kontrollkästchen Pass-Through-Authentifizierung aktivieren.
Hinweis:
Sie müssen das System neu starten, nachdem Sie die GPO-Richtlinie aktualisiert haben, damit die SSON-Einstellung wirksam wird.
Domänen-Pass-Through-Unterstützung für StoreFront
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO zu Citrix Workspace | SSO zu VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | StoreFront | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through-Authentifizierung |
| AD/Hybrid verbunden/Windows Hello for Business | StoreFront | AD | Ja(1) | Citrix Workspace-App/FAS(2) | Domänen-Pass-Through-Authentifizierung und Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren. |
| AD | Citrix Gateway - Erweiterte Authentifizierung | AD | Ja | Citrix Workspace-App/FAS(3) | |
| AD | Citrix Gateway - Standardauthentifizierung | AD | Ja | Citrix Workspace-App(4) | Domänen-Pass-Through-Authentifizierung. |
Hinweise:
Verwenden Sie Erweitertes Domänen-Pass-Through für Single Sign-On oder navigieren Sie im Registrierungs-Editor zum folgenden Pfad und setzen Sie den String
SSONCheckEnabledaufFalse, wenn Sie die Single Sign-On-Komponente nicht installiert haben.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App die Single Sign-On-Komponente überprüft, und ermöglicht der Citrix Workspace-App die Authentifizierung bei StoreFront.
- Wenn Sie Windows Hello zur Anmeldung verwenden, ist FAS erforderlich und eine Registrierungskonfiguration zur Aktivierung von SSO.
- Erfordert, dass der Client für AD erreichbar ist, da er Kerberos verwendet.
- Funktioniert auch, wenn der Client für AD nicht erreichbar ist. Verwendet kein Kerberos.