Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS)

Der Citrix Verbundauthentifizierungsdienst (FAS) unterstützt Single Sign-On (SSO) für DaaS in Citrix Workspace. FAS wird normalerweise verwendet, wenn Sie einen der folgenden Identitätsanbieter für die Authentifizierung in Citrix Workspace verwenden:

• Azure Active Directory
• Okta
• SAML 2.0
• Citrix Gateway
• Google Cloud Identity

Mit FAS geben Abonnenten ihre Anmeldeinformationen nur einmal ein, um auf ihre DaaS-Apps und -Desktops zuzugreifen.

Wenn Sie Active Directory (AD), AD plus Token oder bestimmte Konfigurationen von Citrix Gateway verwenden, ist FAS für Single Sign-On (SSO) bei DaaS nicht erforderlich. Weitere Informationen zum Konfigurieren von Citrix Gateway finden Sie unter Create an OAuth IdP policy on the on-premises Citrix Gateway.

FAS-Server

Sie können an jedem Ressourcenstandort mehrere FAS-Server mit Citrix Cloud verbinden, um Lastausgleich und Failover zu ermöglichen.

Citrix Cloud unterstützt die Verwendung von FAS-Servern in den folgenden Szenarios:

In beiden Szenarios geben Abonnenten, die sich über einen Verbundidentitätsanbieter bei ihrem Workspace anmelden, ihre Anmeldeinformationen nur einmal ein, um auf Apps und Desktops zuzugreifen.

FAS-Server mit Verbindung zu einem einzelnen Ressourcenstandort

Wenn Ihre Ressourcenstandorte eine hybride Infrastruktur enthalten (z. B. unterschiedliche Active Directory-Gesamtstrukturen), stellen Sie FAS-Server am Ressourcenstandort mit den VDAs bereit. Single Sign-On ist nur an Ressourcenstandorten mit mindestens einem verbundenen FAS-Server aktiv.

FAS-Server mit Verbindung zu mehreren Ressourcenstandorten

Wenn zwischen den Ressourcenstandorten eine Netzwerkverbindung besteht und die Standorte eine ähnliche Infrastruktur aufweisen, können Sie die FAS-Server mit mehreren Ressourcenstandorten verbinden. Single Sign-On ist für Workspace-Abonnenten aktiv, die sich mit Apps und Desktops an diesen Ressourcenstandorten verbinden. Es müssen dann keine separaten FAS-Server mit jedem Ressourcenstandort verbunden werden.

Wenn Abonnenten eine virtuelle App oder einen Desktop starten, wählt Citrix Cloud einen FAS-Server aus, der sich am gleichen Ressourcenstandort wie die/der gestartete App oder Desktop befindet. Citrix Cloud kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein auf dem FAS-Server gespeichertes Benutzerzertifikat gewährt. Der VDA stellt eine Verbindung mit dem FAS-Server her und präsentiert das Ticket, um den Abonnenten zu authentifizieren.

Bei korrekter Regelkonfiguration können Sie denselben FAS-Server verwenden, um sich on-premises oder über Citrix Cloud anzumelden.

Failoverpriorität bei mehreren Ressourcenstandorten

Bei Verwendung von FAS-Servern mit mehreren Ressourcenstandorten können die Server an einem Ressourcenstandort ein Failover für diejenigen an anderen Ressourcenstandorten bieten. Wenn Sie FAS-Server zu anderen Ressourcenstandorten hinzufügen, weisen Sie jeden Server als primären oder sekundären Server aus. Wenn Abonnenten eine virtuelle App oder einen virtuellen Desktop starten, verwendet Citrix Cloud diese Ausweisung zur Auswahl des FAS-Servers wie folgt:

• FAS-Server, die an einem Ressourcenstandort als primär festgelegt sind, werden zuerst berücksichtigt.
• Wenn keine Primärserver verfügbar sind, fällt die Wahl auf sekundäre FAS-Server.
• Wenn keine sekundären Server verfügbar sind, wird der Start fortgesetzt, es erfolgt jedoch kein Single Sign-On.

Überblick im Video

Einen Überblick über den Verbundauthentifizierungsdienst für Citrix Workspace bietet folgendes Tech Insight-Video:

Anforderungen

Konnektivitätsanforderungen

Verwenden Sie die FAS-Verwaltungskonsole, um einen FAS-Server mit Citrix Cloud zu verbinden. Sie können diese Konsole zum Konfigurieren eines lokalen oder remote vorhandenen FAS-Servers verwenden. Zum Aktivieren von Single Sign-On für Workspaces mit FAS greifen die FAS-Verwaltungskonsole und der FAS-Dienst über das Konto des Konsolenbenutzers bzw. das Netzwerkdienstkonto auf die folgenden Adressen zu.

• FAS-Verwaltungskonsole, über das Konto des Konsolenbenutzers:
  • *.cloud.com
  • *.citrixworkspacesapi.net
  • Adressen, die von einem externen Identitätsanbieter benötigt werden (sofern dieser in Ihrer Umgebung verwendet wird)
• FAS-Dienst, über das Netzwerkdienstkonto:
  • *.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net/

Wenn Ihre Umgebung Proxyserver enthält, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Netzwerkdienstkonto entsprechend Ihrer Umgebung konfiguriert ist.

FAS-Systemvoraussetzungen

Die in diesem Abschnitt aufgeführten Anforderungen gelten für alle FAS-Server, die Sie mit Citrix Cloud verbinden.

Die vollständigen Systemvoraussetzungen für den FAS-Server werden im Abschnitt Systemanforderungen der FAS-Produktdokumentation beschrieben.

Auf FAS-Servern in Ihrer On-Premises-Umgebung für Citrix Virtual Apps and Desktops muss der Verbundauthentifizierungsdienst 2003 (Version 10.1) oder höher installiert sein.

Wenn Ihr FAS-Server älter ist als Version 10, können Sie die aktuelle FAS-Software von Citrix herunterladen und den Server vor Ort aktualisieren, bevor Sie diese Verbindung herstellen. Beim Erstellen der Verbindung wählen Sie den Ressourcenstandort für Ihren FAS-Server. SSO ist für Abonnenten nur an Ressourcenstandorten mit FAS-Server aktiv.

Weitere Informationen zum Upgrade eines bestehenden FAS-Servers finden Sie unter Installation und Konfiguration in der FAS-Produktdokumentation. Für Workspace- und On-Premises-Bereitstellungen kann derselbe FAS-Server verwendet werden.

Citrix Workspace

Sie müssen Citrix DaaS in Workspace bereitgestellt und aktiviert haben. DaaS ist nach dem Abonnieren standardmäßig in der Workspacekonfiguration aktiviert. Sie müssen jedoch Citrix Cloud Connectors bereitstellen, damit Citrix Cloud mit Ihrer On-Premises-Umgebung kommunizieren kann.

Cloud Connectors

Citrix Cloud Connectors ermöglichen die Kommunikation zwischen Ihrem Ressourcenstandort (wo sich die VDAs befinden) und Citrix Cloud. Stellen Sie mindestens zwei Cloud Connectors bereit, um eine hohe Verfügbarkeit sicherzustellen. Die Server, auf denen Sie die Cloud Connector-Software installieren, müssen die folgenden Anforderungen erfüllen:

• Systemanforderungen (siehe Technische Daten zu Citrix Cloud Connector)
• Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
• Sie müssen mit der Domäne verbunden sein, in der sich die VDAs befinden.

Weitere Informationen zum Bereitstellen von Cloud Connectors finden Sie in den folgenden Artikeln:

• Cloud Connector-Proxy und Firewall konfigurieren
• Cloud Connector-Installation

Übersicht über die Einrichtung

1. Wenn Sie neue FAS-Server bereitstellen, lesen Sie die Hinweise unter Anforderungen und folgen Sie den Anweisungen unter Installieren und Konfigurieren von FAS in diesem Artikel.
2. Verbinden Sie Ihren FAS-Server mit Citrix Cloud (siehe Verbinden eines FAS-Servers mit Citrix Cloud). Bei diesem Verfahren wird der FAS-Server mit einem einzelnen Ressourcenstandort verbunden.
3. Wenn Sie Ihren FAS-Server mit mehreren Ressourcenstandorten verbinden möchten, folgen Sie den Anweisungen unter Hinzufügen eines FAS-Servers zu mehreren Ressourcenstandorten in diesem Artikel.

Installieren und Konfigurieren von FAS

Folgen Sie dem FAS-Installations- und Konfigurationsprozess in der FAS-Produktdokumentation. Die Konfigurationsschritte für StoreFront und den Delivery Controller sind nicht erforderlich.

Tipp:

Sie können auch das Installationsprogramm für den Verbundauthentifizierungsdienst von der Citrix Cloud-Konsole herunterladen:

1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
2. Wählen Sie die Kachel FAS-Server und klicken Sie auf Download.

Verbinden von FAS-Servern mit Citrix Cloud

Verwenden Sie die FAS-Verwaltungskonsole zum Verbinden des FAS-Servers mit Citrix Cloud (siehe Installation und Konfiguration in der FAS-Produktdokumentation).

Nach Abschluss des Konfigurationsschritts Mit Citrix Cloud verbinden registriert Citrix Cloud den FAS-Server und zeigt ihn auf der Seite Ressourcenstandorte in Ihrem Citrix Cloud-Konto an.

Wenn Sie die Seite “Ressourcenstandorte” bereits im Browser geladen haben, müssen Sie die Seite aktualisieren, um den registrierten FAS-Server anzuzeigen.

Unterstützung für Cloudbenachrichtigungen

FAS unterstützt jetzt Cloudbenachrichtigungen. Mit den neuen Cloudbenachrichtigungen für FAS-Server erhalten Sie Benachrichtigungen in den folgenden Situationen:

• Ein FAS-Server ist ausgefallen oder nicht verfügbar.
• Das Registrierungsstellenzertifikat eines FAS-Servers ist abgelaufen oder läuft bald ab.
• Eine neue Version des FAS steht zum Download zur Verfügung.

Benachrichtigungen

Die Citrix Cloud-Verwaltungskonsole prüft regelmäßig auf neue Benachrichtigungen. Die Benachrichtigungen werden unter dem Glockensymbol oben rechts in der Citrix Cloud-Verwaltungskonsole angezeigt. Wählen Sie auf dem Benachrichtigungssymbol Alle anzeigen, um alle Benachrichtigungen anzuzeigen. Weitere Informationen finden Sie unter Benachrichtigungen.

Hinweis:

Sobald eine Benachrichtigung ausgelöst wurde, wird sie von Zeit zu Zeit wieder ausgelöst, wenn das Problem nicht behoben ist.

Alle Benachrichtigungen enthalten den FQDN des beeinträchtigten FAS-Servers. Die Benachrichtigung über den RA-Zertifikatablauf wird nur für FAS-Server mit Version 10.10.0.14 und höher angezeigt.

Hinzufügen eines FAS-Servers zu mehreren Ressourcenstandorten

1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte und dann die Registerkarte FAS-Server.
2. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten.
3. Wählen Sie Zu Ressourcenstandort hinzufügen und dann die gewünschten Ressourcenstandorte.
4. Wählen Sie Primär oder Sekundär für die Failoverpriorität des FAS-Servers an jedem ausgewählten Ressourcenstandort.
5. Wählen Sie Änderungen speichern.

Um den hinzugefügten FAS-Server anzuzeigen, wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte und dann die Registerkarte FAS-Server. Eine Liste aller FAS-Server für alle verbundenen Ressourcenstandorte wird angezeigt. Um die FAS-Server eines bestimmten Ressourcenstandorts anzuzeigen, wählen Sie diesen aus der Dropdownliste aus.

Ändern der Failoverpriorität eines FAS-Servers

1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort, den Sie verwalten möchten.
2. Wählen Sie die Registerkarte FAS-Server.
3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten.
4. Suchen Sie den Ressourcenstandort, für den Sie die Priorität ändern möchten, und wählen Sie die neue Priorität aus der Dropdownliste aus.
5. Wählen Sie Änderungen speichern.

Aktivieren der Verbundauthentifizierung für Workspaces

1. Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann Authentifizierung.
2. Klicken Sie auf FAS aktivieren. Es kann bis zu fünf Minuten dauern, bis die Änderung auf Teilnehmersitzungen angewendet wird.

Anschließend ist der Verbundauthentifizierungsdienst für alle Starts virtueller Apps und Desktops in Citrix Workspace aktiv.

Wenn sich Abonnenten bei ihrem Workspace anmelden und eine virtuelle App oder einen virtuellen Desktop am Ressourcenstandort des FAS-Servers starten, erfolgt der Start ohne Aufforderung zur Eingabe von Anmeldeinformationen.

Hinweis:

Wenn alle FAS-Server an einem Ressourcenstandort ausgefallen sind oder sich im Wartungsmodus befinden, wird die Anwendung erfolgreich gestartet, aber Single Sign-On ist nicht aktiv. Abonnenten müssen dann bei jedem Zugriff auf eine App oder einen Desktop ihre AD-Anmeldeinformationen eingeben.

Entfernen eines FAS-Servers

Entfernen eines FAS-Servers aus einem Ressourcenstandort:

1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort, den Sie verwalten möchten.
2. Wählen Sie die Registerkarte FAS-Server.
3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten.
4. Suchen Sie den Ressourcenstandort, den Sie entfernen möchten, und klicken Sie auf das X.

Entfernen eines FAS-Servers aus allen verbundenen Ressourcenstandorten:

1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
2. Suchen Sie den Ressourcenstandort, den Sie verwalten möchten, und wählen Sie die Kachel FAS-Server.
3. Suchen Sie den FAS-Server, den Sie entfernen möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie FAS-Server entfernen.
4. Wählen Sie in der FAS-Verwaltungskonsole (auf Ihrem On-Premises-FAS-Server) unter Mit Citrix Cloud verbinden die Option Trennen. Alternativ können Sie FAS deinstallieren.

Problembehandlung

Wenn der FAS-Server nicht verfügbar ist, wird auf der Seite “FAS-Server” eine Warnmeldung angezeigt.

Um das Problem zu untersuchen, öffnen Sie die FAS-Verwaltungskonsole auf Ihrem On-Premises-FAS-Server und überprüfen Sie den Status. Beispiel, wenn der FAS-Server nicht im FAS-Server-Gruppenrichtlinienobjekt vorhanden ist:

Wenn in der FAS-Verwaltungskonsole angezeigt wird, dass der Server ordnungsgemäß funktioniert, es aber dennoch VDA-Anmeldeprobleme gibt, konsultieren Sie die Anleitung zur FAS-Problembehandlung.

Weitere Informationen

Konfigurieren von Single Sign-On für die Workspace-App