Produktdokumentation
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDF anzeigen

Domänen-Pass-Through-Authentifizierung (Single Sign-On)

April 16, 2026
Beitrag von: 
C C

Die Domänen-Pass-Through-Authentifizierung (Single Sign-On oder SSON), auch bekannt als Legacy-Domänen-Pass-Through (SSON), ermöglicht Ihnen die Authentifizierung bei einer Domäne und die Nutzung von Citrix Virtual Apps and Desktops™ und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service), ohne sich erneut authentifizieren zu müssen.

Hinweis:

  • Die Richtlinie MPR-Benachrichtigungen für das System aktivieren oder Übertragung des Benutzerkennworts im Inhalt von Winlogon-MPR-Benachrichtigungen konfigurieren in der Gruppenrichtlinienobjektvorlage muss aktiviert sein, um die Domänen-Pass-Through-Authentifizierungsfunktion (Single Sign-On) unter Windows 11 zu unterstützen. Abhängig vom Patchlevel 24H2 kann einer der beiden Richtliniennamen angezeigt werden. Standardmäßig ist diese Richtlinie unter Windows 11 24H2 deaktiviert. Wenn Sie also auf Windows 11 24H2 aktualisiert haben, müssen Sie die Richtlinie MPR-Benachrichtigungen für das System aktivieren aktivieren.

  • Diese Funktion ist ab Citrix Workspace-App für Windows Version 2012 und höher verfügbar.

  • Sie können Legacy-Domänen-Pass-Through (SSON) und erweitertes Domänen-Pass-Through nicht gleichzeitig zur Authentifizierung verwenden.

Wenn aktiviert, speichert die Domänen-Pass-Through-Authentifizierung (Single Sign-On) Ihre Anmeldeinformationen zwischen, sodass Sie sich mit anderen Citrix®-Anwendungen verbinden können, ohne sich jedes Mal anmelden zu müssen. Stellen Sie sicher, dass auf Ihrem Gerät nur Software ausgeführt wird, die Ihren Unternehmensrichtlinien entspricht, um das Risiko einer Kompromittierung von Anmeldeinformationen zu mindern.

  • Wenn Sie sich bei der Citrix Workspace-App anmelden, werden Ihre Anmeldeinformationen zusammen mit den Apps und Desktops sowie den Startmenüeinstellungen an StoreFront weitergeleitet. Nach der Konfiguration von Single Sign-On können Sie sich bei der Citrix Workspace-App anmelden und virtuelle Apps- und Desktopsitzungen starten, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen.

Alle Webbrowser erfordern, dass Sie Single Sign-On mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage (GPO) konfigurieren. Weitere Informationen zum Konfigurieren von Single Sign-On mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage (GPO) finden Sie unter Single Sign-On mit Citrix Gateway konfigurieren.

Sie können Single Sign-On sowohl bei einer Neuinstallation als auch bei einem Upgrade-Setup mit einer der folgenden Optionen konfigurieren:

  • Befehlszeilenschnittstelle
  • GUI

Hinweis:

  • Die Begriffe Domänen-Pass-Through, Single Sign-On und SSON können in diesem Dokument austauschbar verwendet werden.

  • Ab Citrix Workspace™-App für Windows Version 2503 installiert das System SSON standardmäßig im Ruhezustand. Sie können SSON nach der Installation mithilfe der Gruppenrichtlinienobjekt-Richtlinie (GPO) aktivieren. Um dies zu aktivieren, navigieren Sie zu Benutzerauthentifizierung > Lokaler Benutzername und Kennwort und aktivieren Sie das Kontrollkästchen Pass-Through-Authentifizierung aktivieren.

Hinweis:

Sie müssen das System neu starten, nachdem Sie die GPO-Richtlinie aktualisiert haben, damit die SSON-Einstellung wirksam wird.

Einschränkungen:

Domänen-Pass-Through mit Benutzeranmeldeinformationen weist die folgenden Einschränkungen auf:

  • Unterstützt keine kennwortlose Authentifizierung mit modernen Authentifizierungsmethoden wie Windows Hello oder FIDO2. Eine zusätzliche Komponente namens Federated Authentication Service (FAS) ist für Single Sign-On (SSO) erforderlich.
  • Die Installation oder das Upgrade der Citrix Workspace-App mit aktiviertem SSON erfordert einen Neustart des Geräts.
  • Erfordert, dass Multi Provider Router (MPR)-Benachrichtigungen auf Windows 11-Computern aktiviert sind.
  • Muss ganz oben in der Reihenfolge der Netzwerkanbieter stehen.

Um die vorstehenden Einschränkungen zu überwinden, verwenden Sie Erweitertes Domänen-Pass-Through für Single Sign-On (Enhanced SSO).

Single Sign-On bei Neuinstallation konfigurieren

Um Single Sign-On bei einer Neuinstallation zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Konfiguration in StoreFront.
  2. XML-Vertrauensdienste auf dem Delivery Controller konfigurieren.
  3. Internet Explorer-Einstellungen ändern.
  4. Citrix Workspace-App mit Single Sign-On installieren.

Single Sign-On in StoreFront konfigurieren

Single Sign-On ermöglicht Ihnen die Authentifizierung bei einer Domäne und die Nutzung von Citrix Virtual Apps and Desktops und Citrix DaaS aus derselben Domäne, ohne sich bei jeder App oder jedem Desktop erneut authentifizieren zu müssen.

Wenn Sie einen Store mithilfe des Dienstprogramms Storebrowse hinzufügen, werden Ihre Anmeldeinformationen über den Citrix Gateway-Server geleitet, zusammen mit den für Sie aufgelisteten Apps und Desktops, einschließlich Ihrer Startmenüeinstellungen. Nach der Konfiguration von Single Sign-On können Sie den Store hinzufügen, Ihre Apps und Desktops auflisten und die erforderlichen Ressourcen starten, ohne Ihre Anmeldeinformationen mehrmals eingeben zu müssen.

Abhängig von der Citrix Virtual Apps and Desktops-Bereitstellung kann die Single Sign-On-Authentifizierung in StoreFront mithilfe der Verwaltungskonsole konfiguriert werden.

Verwenden Sie die folgende Tabelle für verschiedene Anwendungsfälle und deren jeweilige Konfiguration:

Anwendungsfall Konfigurationsdetails Zusätzliche Informationen
SSON in StoreFront konfiguriert Starten Sie Citrix Studio, navigieren Sie zu Stores > Manage Authentication Methods - Store > aktivieren Sie Domain pass-through. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, wechselt sie automatisch die Authentifizierungsmethode von Domain pass-through zu User name and password, falls verfügbar.
Wenn Workspace für Web erforderlich ist Starten Sie Stores > Workspace for Web Sites > Manage Authentication Methods - Store > aktivieren Sie Domain pass-through. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, wechselt sie automatisch die Authentifizierungsmethode von Domain pass-through zu User name and password, falls verfügbar.

Single Sign-On mit Citrix Gateway konfigurieren

Sie aktivieren Single Sign-On mit Citrix Gateway mithilfe der administrativen Gruppenrichtlinienobjekt-Vorlage. Sie müssen jedoch sicherstellen, dass Sie die Basisauthentifizierung und die Ein-Faktor-Authentifizierung (nFactor mit 1 Faktor) auf dem Citrix Gateway aktiviert haben.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung, und wählen Sie die Richtlinie Single Sign-on for Citrix Gateway aus.
  3. Wählen Sie Aktiviert aus.
  4. Klicken Sie auf Übernehmen und OK.
  5. Starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

XML-Vertrauensdienste auf dem Delivery Controller konfigurieren

Führen Sie auf Citrix Virtual Apps and Desktops und Citrix DaaS™ den folgenden PowerShell-Befehl als Administrator auf dem Delivery Controller aus:

[[CODE_BLOCK_0]]

Internet Explorer-Einstellungen ändern

  1. Fügen Sie den StoreFront-Server mithilfe von Internet Explorer zur Liste der vertrauenswürdigen Sites hinzu. So fügen Sie ihn hinzu:
    1. Starten Sie die Internetoptionen über die Systemsteuerung.

    2. Klicken Sie auf Sicherheit > Lokales Intranet und dann auf Sites.

      Das Fenster Lokales Intranet wird angezeigt.

    3. Wählen Sie Erweitert.
    4. Fügen Sie die URL des StoreFront-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
    5. Klicken Sie auf Übernehmen und OK.
  2. Ändern Sie die Einstellungen für die Benutzerauthentifizierung in Internet Explorer. So ändern Sie sie:
    1. Starten Sie die Internetoptionen über die Systemsteuerung.
    2. Klicken Sie auf die Registerkarte Sicherheit > Lokales Intranet.
    3. Klicken Sie auf Benutzerdefinierte Ebene. Das Fenster Sicherheitseinstellungen – Zone Lokales Intranet wird angezeigt.

    4. Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

      Benutzerauthentifizierung

    5. Klicken Sie auf Übernehmen und OK.

Single Sign-On über die Befehlszeilenschnittstelle konfigurieren

Installieren Sie die Citrix Workspace-App mit dem Schalter /includeSSON und starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

Single Sign-On über die GUI konfigurieren

  1. Suchen Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe).
  2. Doppelklicken Sie auf CitrixWorkspaceApp.exe, um das Installationsprogramm zu starten.
  3. Wählen Sie im Assistenten Single Sign-On-Installation aktivieren die Option Single Sign-On aktivieren.
  4. Klicken Sie auf Weiter und folgen Sie den Anweisungen, um die Installation abzuschließen.

  • Sie können sich jetzt bei einem vorhandenen Store anmelden (oder einen neuen Store konfigurieren), indem Sie die Citrix Workspace-App verwenden, ohne Benutzeranmeldeinformationen eingeben zu müssen.

  • Single Sign-On für Workspace für Web konfigurieren

Sie können Single Sign-On für Workspace für Web mithilfe der administrativen Gruppenrichtlinienobjektvorlage konfigurieren.

  1. Öffnen Sie die administrative GPO-Vorlage für Workspace für Web, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponente > Citrix Workspace > Benutzerauthentifizierung.
  3. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort aus und setzen Sie sie auf Aktiviert.
    1. Klicken Sie auf Pass-Through-Authentifizierung aktivieren. Diese Option ermöglicht es Workspace für Web, Ihre Anmeldeinformationen für die Authentifizierung auf dem Remoteserver zu verwenden.
  1. Klicken Sie auf Pass-Through-Authentifizierung für alle ICA®-Verbindungen zulassen. Diese Option umgeht jegliche Authentifizierungseinschränkung und ermöglicht die Weitergabe von Anmeldeinformationen für alle Verbindungen.
  2. Klicken Sie auf Übernehmen und OK.
  3. Starten Sie Workspace für Web neu, damit die Änderungen wirksam werden.

Überprüfen Sie, ob Single Sign-On aktiviert ist, indem Sie den Task-Manager starten und prüfen, ob der Prozess ssonsvr.exe ausgeführt wird.

Single Sign-On mit Active Directory konfigurieren

Führen Sie die folgenden Schritte aus, um die Citrix Workspace-App für die Pass-Through-Authentifizierung mithilfe der Active Directory-Gruppenrichtlinie zu konfigurieren. In diesem Szenario können Sie die Single Sign-On-Authentifizierung ohne den Einsatz von Tools zur Unternehmenssoftwarebereitstellung, wie dem Microsoft System Center Configuration Manager, erreichen.

  1. Laden Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe) herunter und legen Sie sie auf einer geeigneten Netzwerkfreigabe ab. Sie muss für die Zielcomputer zugänglich sein, auf denen Sie die Citrix Workspace-App installieren.

  2. Rufen Sie die Vorlage CheckAndDeployWorkspacePerMachineStartupScript.bat von der Seite Citrix Workspace-App für Windows herunterladen ab.

  3. Bearbeiten Sie den Inhalt, um den Speicherort und die Version von CitrixWorkspaceApp.exe widerzuspiegeln.

  4. Geben Sie in der Konsole Active Directory-Gruppenrichtlinienverwaltung CheckAndDeployWorkspacePerMachineStartupScript.bat als Startskript ein. Weitere Informationen zum Bereitstellen der Startskripte finden Sie im Abschnitt Active Directory.

  5. Navigieren Sie im Knoten Computerkonfiguration zu Administrative Vorlagen > Vorlagen hinzufügen/entfernen, um die Datei receiver.adml hinzuzufügen.

  6. Nachdem Sie die Vorlage receiver.adml hinzugefügt haben, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung. Weitere Informationen zum Hinzufügen der Vorlagendateien finden Sie unter Administrative Gruppenrichtlinienobjektvorlage.

  7. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort aus und setzen Sie sie auf Aktiviert.

  8. Wählen Sie Pass-Through-Authentifizierung aktivieren und klicken Sie auf Übernehmen.

  9. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Einmaliges Anmelden (Single Sign-On) in StoreFront konfigurieren

StoreFront-Konfiguration

  1. Starten Sie Citrix Studio auf dem StoreFront-Server und wählen Sie Stores > Authentifizierungsmethoden verwalten – Store aus.
  2. Wählen Sie Domain-Pass-Through aus.

Screenshot der Authentifizierungsmethoden in StoreFront

Domain-Pass-Through-Authentifizierung (Single Sign-On) mit Kerberos

Dieses Thema gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops sowie Citrix DaaS.

Die Citrix Workspace-App unterstützt Kerberos für die Domain-Pass-Through-Authentifizierung (Single Sign-On oder SSON) in Bereitstellungen, die Smartcards verwenden. Kerberos ist eine der Authentifizierungsmethoden, die in der integrierten Windows-Authentifizierung (IWA) enthalten sind.

Wenn aktiviert, authentifiziert Kerberos die Citrix Workspace-App ohne Passwörter. Dadurch werden Trojaner-Angriffe auf das Benutzergerät verhindert, die versuchen, Zugriff auf Passwörter zu erhalten. Benutzer können sich mit jeder Authentifizierungsmethode anmelden und auf veröffentlichte Ressourcen zugreifen, beispielsweise mit einem biometrischen Authentifikator wie einem Fingerabdruckleser.

Wenn Sie sich mit einer Smartcard bei der Citrix Workspace-App, StoreFront, Citrix Virtual Apps and Desktops und Citrix DaaS anmelden, die für die Smartcard-Authentifizierung konfiguriert sind, führt die Citrix Workspace-App folgende Schritte aus:

  1. Erfasst die Smartcard-PIN während des Single Sign-On.

  2. Verwendet IWA (Kerberos), um den Benutzer bei StoreFront zu authentifizieren. StoreFront stellt Ihrer Citrix Workspace-App dann Informationen über die verfügbaren Citrix Virtual Apps and Desktops und Citrix DaaS bereit.

    Hinweis:

    Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wenn die Kerberos-Authentifizierung nicht verwendet wird, authentifiziert sich die Citrix Workspace-App bei StoreFront mithilfe der Smartcard-Anmeldeinformationen.

  3. Die HDX-Engine (früher als ICA-Client bezeichnet) übergibt die Smartcard-PIN an den VDA, um den Benutzer bei der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops und Citrix DaaS stellen dann die angeforderten Ressourcen bereit.

Um die Kerberos-Authentifizierung mit der Citrix Workspace-App zu verwenden, überprüfen Sie, ob die Kerberos-Konfiguration den folgenden Anforderungen entspricht.

  • Kerberos funktioniert nur zwischen der Citrix Workspace-App und Servern, die derselben oder vertrauenswürdigen Windows Server-Domäne angehören. Server sind für die Delegierung vertrauenswürdig, eine Option, die Sie über das Verwaltungstool “Active Directory-Benutzer und -Computer” konfigurieren.
  • Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops und Citrix DaaS aktiviert sein. Um die Sicherheit zu erhöhen und sicherzustellen, dass Kerberos verwendet wird, deaktivieren Sie alle Nicht-Kerberos-IWA-Optionen in der Domäne.
  • Die Kerberos-Anmeldung ist nicht verfügbar für Remote Desktop Services-Verbindungen, die für die Verwendung von Basisauthentifizierung, immer angegebene Anmeldeinformationen verwenden oder immer zur Passworteingabe auffordern konfiguriert sind.

Warnung:

Eine falsche Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus einer falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie bearbeiten.

Domain-Pass-Through-Authentifizierung (Single Sign-On) mit Kerberos für die Verwendung mit Smartcards

Bevor Sie fortfahren, lesen Sie den Abschnitt Bereitstellung sichern im Dokument zu Citrix Virtual Apps and Desktops.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Diese Option installiert die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer, wodurch Ihr Workspace die Authentifizierung bei StoreFront mithilfe von IWA (Kerberos) durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, die von der HDX-Engine verwendet wird, wenn sie die Smartcard-Hardware und -Anmeldeinformationen an Citrix Virtual Apps and Desktops und Citrix DaaS remote überträgt. Citrix Virtual Apps and Desktops und Citrix DaaS wählen automatisch ein Zertifikat von der Smartcard aus und erhalten die PIN von der HDX-Engine.

    Eine verwandte Option, ENABLE_SSON, ist standardmäßig aktiviert.

Wenn eine Sicherheitsrichtlinie Sie daran hindert, Single Sign-On auf einem Gerät zu aktivieren, konfigurieren Sie die Citrix Workspace-App mithilfe der administrativen Gruppenrichtlinienobjektvorlage.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort
  3. Wählen Sie Pass-Through-Authentifizierung aktivieren aus.

  4. Starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

    Pass-Through-Authentifizierung aktivieren

So konfigurieren Sie StoreFront:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, wählen Sie die Option Domain-Pass-Through aus. Diese Einstellung aktiviert die integrierte Windows-Authentifizierung. Sie müssen die Smartcard-Option nicht auswählen, es sei denn, Sie haben auch Clients, die nicht in die Domäne eingebunden sind und sich über Smartcards mit StoreFront verbinden.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Authentifizierungsdienst konfigurieren in der StoreFront-Dokumentation.

Domänen-Pass-Through-Authentifizierung (Single Sign-On)
April 16, 2026
Beitrag von: 
C C
April 16, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.