Zugriffsmatrix für Domänen-Pass-Through
Wenn Sie Citrix Workspace verwenden und Domänen-Pass-Through erreichen möchten, beschreiben die Tabellen in den Unterabschnitten die verschiedenen Szenarien und ob Sie für jedes Szenario Domänen-Pass-Through erreichen können oder nicht.
-
Die verschiedenen Kopfzeilenelemente in den Tabellen und die zusätzlichen Informationen zu den Kopfzeilenelementen sind wie folgt:
- Endpunkt verbunden mit: Gibt das Verzeichnis an, mit dem der Endpunkt verbunden ist. Das Verzeichnis bietet Zugriffssteuerung für lokale Ressourcen. Dies kann lokales Active Directory (AD), Azure Active Directory (AAD) oder Hybrid sein.
- Identitätsanbieter (IdP): Entität, die zur Bereitstellung von Authentifizierungsdiensten für Citrix Workspace verwendet wird. Er ermöglicht Ihnen die Verbindung zu den Ressourcen.
- Federated Authentication Service (FAS): Weitere Informationen finden Sie unter Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren.
- Virtual Delivery Agent (VDA): Weitere Informationen finden Sie unter VDAs installieren.
- VDA verbunden mit: Gibt das Verzeichnis an, mit dem das VDA-Gerät verbunden ist. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung.
- Single Sign-On (SSO) bei Citrix Workspace/VDA: Der Wert Ja oder Nein gibt an, ob Domänen-Pass-Through zu Citrix Workspace oder VDA unterstützt wird.
- Citrix Workspace-App: Um Single Sign-On zu erreichen, siehe Single Sign-On bei Neuinstallation in der Domänen-Pass-Through-Authentifizierung konfigurieren oder Erweitertes Domänen-Pass-Through für Single Sign-On.
Hinweis:
Möglicherweise benötigen Sie die neueste Version der Citrix Workspace-App, um die Domänen-Pass-Through-Unterstützung für einige der folgenden Szenarien zu erhalten.
Domänen-Pass-Through-Unterstützung für Citrix Workspace
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO bei Citrix Workspace | SSO bei VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | Lokales Citrix Gateway | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through zu Citrix Workspace mit lokalem Citrix Gateway als Identitätsanbieter. |
| AD | Adaptive Authentifizierung | AD | Ja | Citrix Workspace-App/FAS | Informationen zum Konfigurieren der adaptiven Authentifizierung finden Sie unter Adaptive Authentication service und folgen Sie den Anweisungen unter Domänen-Pass-Through zu Citrix Workspace mit lokalem Citrix Gateway als Identitätsanbieter. |
| AD | Citrix Gateway mit einem anderen IdP (AAD/Okta) verbunden | AD | Ja | Citrix Workspace-App/FAS | Konfigurieren Sie den IdP mithilfe von SAML Single Sign-On konfigurieren und beachten Sie die Dokumentation des verwendeten IdP zur Konfiguration des Domänen-Pass-Through. |
| AD | Okta | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through zu Citrix Workspace mit Okta als Identitätsanbieter. |
| AD/Hybrid verbunden | AAD (AD mit AAD Connect) | AD | Ja | Citrix Workspace-App/FAS ** | Domänen-Pass-Through zu Citrix Workspace mit Azure Active Directory als Identitätsanbieter. |
| AD | Beliebiger SAML-basierter IdP (z. B. ADFS) | AD | Ja | Citrix Workspace-App/FAS | Siehe SAML als Identitätsanbieter mit Citrix Cloud verbinden und beachten Sie die Dokumentation des verwendeten IdP zur Konfiguration des Domänen-Pass-Through. |
| AD | AD | AD | Nein | Nicht unterstützt | NA |
| AD | AD+OTP | AD | Nein | Nicht unterstützt | NA |
| AD | AAD | AAD | Nein | Nicht unterstützt | NA |
| AAD | AAD ohne lokales AD | AD | Ja | FAS | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren. |
| AAD | AAD | AAD | Ja | Benutzer muss Anmeldeinformationen eingeben. | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird nicht unterstützt. |
| Nicht domänenverbunden | IdP, der passwortlose Authentifizierung unterstützt – Link | AD | Nein | FAS | Citrix Workspace verwendet Microsoft Edge WebView, das SSO zum Workspace ermöglicht. SSO zum VDA wird über FAS unterstützt. Weitere Informationen finden Sie unter Weitere Möglichkeiten zur Authentifizierung bei Citrix Workspace. |
Hinweise:
- Der Client muss für AD erreichbar sein, damit Kerberos funktioniert.
- Citrix Single Sign-On (SSONSVR.exe) funktioniert nur mit dem Benutzernamen oder Kennwort auf dem Client. Wenn der Benutzer Windows Hello zur Anmeldung verwendet, ist FAS erforderlich oder verwenden Sie Erweitertes Domänen-Pass-Through für Single Sign-On.
- Die Authentifizierung ist in der Cloud möglicherweise nicht vollständig transparent, wenn LLT aktiviert ist oder wenn die Endbenutzer-Akzeptanzrichtlinie konfiguriert ist.
- Es wird empfohlen, FAS zu konfigurieren, da es für Nicht-Windows-Plattformen gilt.
Ab Citrix Workspace™-App für Windows Version 2503 installiert das System SSON standardmäßig im Ruhezustand. Sie können SSON nach der Installation mithilfe der Gruppenrichtlinienobjekt (GPO)-Richtlinie aktivieren. Um dies zu aktivieren, navigieren Sie zu Benutzerauthentifizierung > Lokaler Benutzername und Kennwort und aktivieren Sie das Kontrollkästchen Pass-Through-Authentifizierung aktivieren.
Hinweis:
Sie müssen das System nach dem Aktualisieren der GPO-Richtlinie neu starten, damit die SSON-Einstellung wirksam wird.
Domänen-Pass-Through-Unterstützung für StoreFront
| Endpunkt verbunden mit | IdP | VDA verbunden mit | SSO bei Citrix Workspace | SSO bei VDA | Dokumentation |
|---|---|---|---|---|---|
| AD | StoreFront | AD | Ja | Citrix Workspace-App/FAS | Domänen-Pass-Through-Authentifizierung |
| AD/Hybrid verbunden/Windows Hello for Business | StoreFront | AD | Ja(1) | Citrix Workspace-App /FAS(2) | Domänen-Pass-Through-Authentifizierung und Single Sign-On für Workspaces mit Citrix Federated Authentication Service aktivieren. |
| AD | Citrix Gateway – Erweiterte Authentifizierung | AD | Ja | Citrix Workspace-App/FAS(3)) | |
| AD | Citrix Gateway – Standardauthentifizierung | AD | Ja | Citrix Workspace-App(4) | Domänen-Pass-Through-Authentifizierung. |
Hinweise:
Verwenden Sie Erweitertes Domänen-Pass-Through für Single Sign-On oder navigieren Sie im Registrierungs-Editor zum folgenden Pfad und setzen Sie den String
SSONCheckEnabledaufFalse, wenn Sie die Single Sign-On-Komponente nicht installiert haben.
HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App die Single Sign-On-Komponente überprüft, und ermöglicht der Citrix Workspace-App die Authentifizierung bei StoreFront.
- Wenn Sie Windows Hello zur Anmeldung verwenden, sind FAS und eine Registrierungskonfiguration zur Aktivierung von SSO erforderlich.
Der Client muss für AD erreichbar sein, da Kerberos verwendet wird.
- Funktioniert auch wenn der Client nicht über AD erreichbar ist. Verwendet kein Kerberos.