Single Sign-On für die Citrix Workspace-App konfigurieren

Single Sign-On mit Azure Active Directory

In diesem Abschnitt wird erläutert, wie Sie Single Sign-On (SSO) mithilfe von Azure Active Directory (AAD) als Identitätsanbieter mit domänenverbundenen Workloads in Hybrid- oder AAD-registrierten Endpunkten implementieren. Bei dieser Konfiguration ist die Authentifizierung bei Workspace mit Windows Hello oder FIDO2 auf bei AAD registrierten Endpunkten möglich.

Hinweis:

Wenn Sie Windows Hello als eigenständige Authentifizierung verwenden, ist Single Sign-On bei der Citrix Workspace-App möglich. Beim Zugriff auf veröffentlichte virtuelle Apps oder Desktops werden Ihr Benutzername und das Kennwort jedoch angefordert. Dieses Problem können Sie umgehen, indem Sie den Verbundauthentifizierungsdienst (FAS) implementieren.

Voraussetzungen

• Aktive Verbindung von Azure Active Directory mit Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud.

• Azure Active Directory-Authentifizierung für Workspace Weitere Informationen finden Sie unter Aktivieren der Azure AD-Authentifizierung für Workspaces.

• Stellen Sie sicher, dass Sie Azure AD Connect konfiguriert haben. Weitere Informationen finden Sie unter Erste Schritte mit Azure AD Connect mit Expresseinstellungen.

• Aktivieren Sie die Passthrough-Authentifizierung auf Azure AD Connect. Überprüfen Sie außerdem, ob die Optionen für Single Sign-On und Passthrough auf dem Azure-Portal funktionieren. Weitere Informationen finden Sie unter Azure Active Directory-Passthrough-Authentifizierung: Schnellstart.

Konfiguration

Führen Sie die folgenden Schritte aus, um SSO auf Ihrem Gerät zu konfigurieren:

1. Installieren der Citrix Workspace-App über die Windows-Befehlszeile mit der Option includeSSON:

CitrixWorkspaceApp.exe /includeSSON

1. Starten Sie das Gerät neu.

2. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

3. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.

4. Wählen Sie Passthrough-Authentifizierung aktivieren. Je nach Konfiguration und Sicherheitseinstellungen müssen Sie möglicherweise Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen aktivieren, damit die Passthrough-Authentifizierung funktioniert.

5. Ändern Sie im Internet Explorer die Einstellungen unter Benutzerauthentifizierung. Schrittfolge zum Anpassen der Einstellungen:

   • Öffnen Sie in der Systemsteuerung die Option Interneteigenschaften.

   • Navigieren Sie zu Allgemeine Eigenschaften > Lokales Intranet und klicken Sie auf Sites.

   • Klicken Sie im Fenster Lokales Intranet auf Erweitert, vertrauenswürdige Sites hinzufügen fügen Sie die folgenden vertrauenswürdigen Sites hinzu und klicken Sie auf Schließen:

     • https://aadg.windows.net.nsatc.net
     • https://autologon.microsoftazuread-sso.com
     • The name of your tenant, for example: https://xxxtenantxxx.cloud.com

6. Deaktivieren Sie zusätzliche Authentifizierungsaufforderungen, indem Sie das Attribut prompt=login im Mandanten deaktivieren. Weitere Informationen finden Sie unter User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers. Sie können den technischen Support von Citrix bitten, das Attribut prompt=login in Ihrem Mandanten für die Konfiguration von Single Sign-On zu deaktivieren.

7. Aktivieren Sie die Domänen-Passthrough-Authentifizierung auf dem Citrix Workspace-App-Client. Weitere Informationen finden Sie unter Domänen-Passthrough-Authentifizierung.

8. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

Single Sign-On mit Okta und Verbundauthentifizierungsdienst

In diesem Abschnitt wird erläutert, wie Sie Single Sign-On (SSO) mit Okta als Identitätsanbieter mit domänenverbundenem Gerät und Verbundauthentifizierungsdienst implementieren können. Bei dieser Konfiguration können Sie sich mit Okta bei Workspace per Single Sign-On authentifizieren und eine zweite Anmeldeaufforderung vermeiden. Dieser Authentifizierungsmechanismus erfordert den Citrix Verbundauthentifizierungsdienst in Citrix Cloud. Weitere Informationen finden Sie unter Verbinden des Citrix Verbundauthentifizierungsdiensts (FAS) mit Citrix Cloud.

Voraussetzungen

• Cloud Connector. Weitere Informationen zur Installation des Cloud Connectors finden Sie unter Cloud Connector-Installation.

• Ein Okta-Agent. Weitere Informationen zum Installieren eines Okta-Agents finden Sie unter Install the Okta Active Directory agent. Sie können außerdem den Okta IWA Web-Agent für die Anmeldung von einem mit der Windows-Domäne verbundenen Gerät konfigurieren. Weitere Informationen finden Sie unter Install and configure the Okta IWA Web agent for Desktop single sign-on

• Aktive Verbindung von Azure Active Directory mit Citrix Cloud. Weitere Informationen finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud.

• Verbundauthentifizierungsdienst. Weitere Informationen finden Sie unter Installieren des Verbundauthentifizierungsdiensts.

Konfiguration

Führen Sie die folgenden Schritte aus, um SSO auf Ihrem Gerät zu konfigurieren:

Verbinden von Citrix Cloud mit Ihrer Okta-Organisation:

1. Laden Sie den Okta Active Directory-Agent herunter und installieren Sie ihn. Weitere Informationen finden Sie unter Install the Okta Active Directory agent.

2. Melden Sie sich bei Citrix Cloud auf https://citrix.cloud.com an.

3. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung.

4. Suchen Sie Okta, klicken Sie auf die Auslassungspunkte (…) und wählen Sie im Menü Verbinden aus.

5. Geben Sie unter Okta-URL Ihre Okta-Domäne ein.

6. Geben Sie unter Okta-API-Token den API-Token für Ihre Okta-Organisation ein.

7. Geben Sie für Client-ID und Geheimer Clientschlüsseldie Client-ID und den geheimen Clientschlüssel der zuvor erstellten OIDC-Webanwendungsintegration ein. Um diese Werte aus der Okta-Konsole zu kopieren, wählen Sie Anwendungen und suchen die Okta-Anwendung. Klicken Sie unter Client-Anmeldeinformationen auf die Schaltfläche In Zwischenablage kopieren für jeden Wert.

8. Klicken Sie auf Testen und schließen. Citrix Cloud überprüft Ihre Okta-Details und testet die Verbindung.

Aktivieren der Okta-Authentifizierung für Workspaces:

1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration > Authentifizierung.

2. Wählen Sie Okta. Wählen Sie Ich verstehe die Auswirkungen auf Abonnenten, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf Akzeptieren, um die Berechtigungsanforderung zu akzeptieren.

Aktivieren des Verbundauthentifizierungsdiensts:

1. Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann Authentifizierung.

2. Klicken Sie auf FAS aktivieren. Es kann bis zu fünf Minuten dauern, bis die Änderung auf Teilnehmersitzungen angewendet wird.

Anschließend ist der Verbundauthentifizierungsdienst für alle Starts virtueller Apps und Desktops in Citrix Workspace aktiv.

Wenn sich Abonnenten bei ihrem Workspace anmelden und eine virtuelle App oder einen virtuellen Desktop am Ressourcenstandort des FAS-Servers starten, erfolgt der Start ohne Aufforderung zur Eingabe von Anmeldeinformationen.

Hinweis:

Wenn alle FAS-Server an einem Ressourcenstandort ausgefallen sind oder sich im Wartungsmodus befinden, wird die Anwendung erfolgreich gestartet, aber Single Sign-On ist nicht aktiv. Abonnenten müssen dann bei jedem Zugriff auf eine App oder einen Desktop ihre AD-Anmeldeinformationen eingeben.