Erweitertes Domänen-Pass-Through für Single Sign-On
Das erweiterte Domänen-Pass-Through für Single Sign-On verwendet Kerberos, um Single Sign-On in die Citrix Workspace-App und in die virtuellen Apps- und Desktopsitzungen zu ermöglichen, wenn in Active Directory (AD) eingebundene Clientgeräte und Citrix StoreFront verwendet werden.
Hinweis:
Diese Funktion wird auf 32-Bit-Betriebssystemen nicht unterstützt.
Diese Funktion ersetzt die ältere Pass-Through-Authentifizierungsfunktion, die auf dem Citrix Single Sign-on Service (ssonsvr.exe) basiert.
Wenn Sie die folgenden Versionen der Citrix Workspace-App und des VDA verwenden, wird diese Funktion unter Windows 11 nicht unterstützt:
VDA: 2308, 2311, 2402
- Citrix Workspace-App: 2309, 2309.1, 2311, 2402
Systemanforderungen
- Steuerungsebene
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2311 oder höher
- Virtual Delivery Agent
- Windows: Version 2308 oder höher
>**Hinweis:**
>
> Wenn Sie Virtual Delivery Agent-Versionen 2308 bis 2402 verwenden, wird diese Funktion unter Windows 11 nicht unterstützt. Version 2407 oder höher unterstützt diese Funktion unter Windows 11.
- Citrix Workspace™-App
- Citrix Workspace-App für Windows 2309 oder höher
- >**Hinweis:**
- >
- > Wenn Sie Citrix Workspace-App-Versionen 2309 bis 2402 verwenden, wird diese Funktion unter Windows 11 nicht unterstützt. Version 2405.10 oder höher unterstützt diese Funktion unter Windows 11.
- Clientgerät
- In Active Directory-Domäne eingebunden
- Windows 10 64-Bit
- Windows 11 64-Bit
- Multi-Session-Sitzungshosts:
- Windows Server 2019
- Windows Server 2022
- Windows 10 Enterprise Multi-Session 22H2
- Windows 11 Enterprise Multi-Session 22H2 oder höher
- Single-Session-Sitzungshosts:
- Windows 10 Version 22H2
- Windows 11 Version 22H2 oder höher
Hinweis:
- Das Clientgerät muss eine direkte Verbindung zu Domänencontrollern haben. Befindet sich das Gerät außerhalb des Netzwerks, wird Single Sign-On nicht unterstützt.
StoreFront™-Konfiguration
Sie müssen die Domänen-Pass-Through-Authentifizierung für den Store und die entsprechende Website aktivieren.
Führen Sie die folgenden Schritte aus, um das Domänen-Pass-Through für den Store zu aktivieren:
- Öffnen Sie die StoreFront-Verwaltungskonsole.
-
Gehen Sie zu Store > Authentifizierungsmethoden verwalten. Das Fenster Authentifizierungsmethoden verwalten – Web wird angezeigt.
-
Aktivieren Sie das Kontrollkästchen Domänen-Pass-Through.
- Klicken Sie auf OK.
Führen Sie die folgenden Schritte aus, um das Domänen-Pass-Through für die Website zu aktivieren:
- Öffnen Sie die StoreFront-Verwaltungskonsole.
- Öffnen Sie Stores > Registerkarte Receiver für Websites > Receiver für Websites verwalten > Konfigurieren > Authentifizierungsmethoden. Das Fenster Receiver für Website bearbeiten – /Citrix/Web wird angezeigt.
-
Aktivieren Sie das Kontrollkästchen Domänen-Pass-Through.
- Klicken Sie auf OK.
Citrix-Richtlinienkonfiguration
Sie müssen die Einstellung mithilfe der Citrix-Richtlinie aktivieren:
-
- Navigieren Sie zu Citrix Studio oder zur Webkonsole.
-
- Klicken Sie auf Richtlinien > Richtlinie erstellen. Das Dialogfeld Richtlinie erstellen wird angezeigt.
- Suchen Sie nach der Richtlinie Erweitertes Domänen-Pass-Through für Single Sign-On. Das Dialogfeld Einstellungen bearbeiten wird angezeigt.
-
Wählen Sie die Option Zulässig, um die Richtlinie Erweitertes Domänen-Pass-Through für Single Sign-On zu aktivieren.
- Klicken Sie auf OK.
Sitzungshostkonfiguration
Nachdem Sie die Funktion Erweitertes Domänen-Pass-Through für Single Sign-On mithilfe der Citrix-Richtlinie aktiviert haben, müssen Sie auch eine Windows-Einstellung auf den Sitzungshosts aktivieren. Sie können die Windows-Einstellung über die lokale Richtlinie oder GPO aktivieren:
- Navigieren Sie zu
Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation. -
Aktivieren Sie die Einstellung Remotehost erlaubt die Delegierung nicht exportierbarer Anmeldeinformationen.
- Starten Sie den Sitzungshost neu, damit die Einstellung wirksam wird.
Hinweis:
Die Einstellung Remotehost erlaubt die Delegierung nicht exportierbarer Anmeldeinformationen ist in der lokalen Richtlinie von Windows Server 2016 nicht verfügbar. Wenn Sie diese Einstellung lokal auf dem Sitzungshost konfigurieren müssen, anstatt GPO zu verwenden, müssen Sie den folgenden Registrierungswert hinzufügen:
Schlüssel: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
- Werttyp: DWORD
- Wertname: DisableRestrictedAdmin
- Wertdaten: 0
Clientgerätekonfiguration
Sie müssen auf dem Clientgerät Folgendes tun:
- Erweitertes Domänen-Pass-Through für Single Sign-On aktivieren
- StoreFront-Site vertrauen
Erweitertes Domänen-Pass-Through für Single Sign-On aktivieren
Sie müssen die Funktion Erweitertes Domänen-Pass-Through für Single Sign-On auf dem Clientgerät aktivieren. Dies kann über die lokale Richtlinie oder GPO erfolgen.
- Navigieren Sie zu
Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication. -
Aktivieren Sie die Einstellung Erweitertes Domänen-Pass-Through für Single Sign-On.
- Starten Sie die Citrix Workspace-App neu, damit die Einstellungen wirksam werden.
StoreFront-Site vertrauen
Sie müssen sicherstellen, dass Ihre StoreFront-URL von den Clientgeräten als vertrauenswürdig eingestuft wird. Wenn die URL nicht Teil einer bereits vertrauenswürdigen Domäne ist, müssen Sie sie entweder als lokale Intranet-Site oder als vertrauenswürdige Site hinzufügen. Dies kann über die lokale Richtlinie oder GPO erfolgen.
- Navigieren Sie zur Seite
Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security. -
Aktivieren Sie die Einstellung Site zu Zonenzuweisungsliste und fügen Sie die entsprechenden URLs und die zugehörige Zonenzuweisung hinzu.
-
Aktivieren Sie die Einstellung Anmeldeoptionen und setzen Sie sie auf Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.
