Citrix Workspace™

Single Sign-On mit Citrix Federated Authentication Service aktivieren

Citrix Federated Authentication Service (FAS) ermöglicht Single Sign-On (SSO) für Ressourcen, die auf in Active Directory eingebundenen VDAs gehostet werden. Dadurch wird sichergestellt, dass Benutzer, sobald sie sich bei Citrix Workspace™ angemeldet haben, virtuelle Apps und Desktops starten können, ohne zur erneuten Eingabe ihrer Anmeldeinformationen aufgefordert zu werden.

FAS wird typischerweise eingesetzt, wenn Sie einen der folgenden Identitätsanbieter für die Citrix Workspace-Authentifizierung verwenden:

  • Microsoft Entra ID
  • Okta
  • SAML 2.0
  • Citrix Gateway
  • Google Cloud Identity

FAS ist für SSO zu Ressourcen nicht erforderlich, wenn Sie Active Directory (AD), AD plus Token oder bestimmte Konfigurationen von Citrix Gateway verwenden. Weitere Informationen zur Konfiguration von Citrix Gateway finden Sie unter Erstellen einer OAuth-IdP-Richtlinie auf dem lokalen Citrix Gateway.

Für Single Sign-On zu in Entra eingebundenen VDAs siehe stattdessen Entra ID SSO zu VDAs.

FAS-Server

Innerhalb jedes Ressourcenstandorts können Sie mehrere FAS-Server mit Citrix Cloud™ für Lastenausgleichs- und Failover-Zwecke verbinden.

Citrix Cloud unterstützt die Verwendung von FAS-Servern in den folgenden Szenarien.

In beiden Szenarien geben Abonnenten, die sich über einen föderierten Identitätsanbieter bei ihren Workspaces anmelden, ihre Anmeldeinformationen nur einmal ein, um auf Apps und Desktops zuzugreifen.

FAS-Server, die mit einem einzigen Ressourcenstandort verbunden sind

Wenn Ihre Ressourcenstandorte unterschiedliche Infrastrukturen enthalten (z. B. verschiedene Ressourcenstandorte unterschiedliche AD-Gesamtstrukturen enthalten), stellen Sie FAS-Server an dem Ressourcenstandort bereit, an dem sich Ihre VDAs befinden. SSO ist nur an Ressourcenstandorten aktiv, an denen ein oder mehrere FAS-Server verbunden sind.

FAS-Server mit mehreren Ressourcenstandorten verbunden

Wenn Sie eine Netzwerkverbindung zwischen Ihren Ressourcenstandorten haben und diese eine ähnliche Infrastruktur enthalten, können Sie Ihre FAS-Server mit mehreren Ressourcenstandorten verbinden. SSO ist für Workspace-Abonnenten aktiv, die sich mit Apps und Desktops an diesen Ressourcenstandorten verbinden. In diesem Szenario ist es nicht erforderlich, separate FAS-Server mit jedem Ressourcenstandort zu verbinden.

Wenn Abonnenten eine virtuelle App oder einen virtuellen Desktop starten, wählt Citrix Cloud einen FAS-Server am selben Ressourcenstandort wie die gestartete App oder der gestartete Desktop aus. Citrix Cloud kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das den Zugriff auf ein auf dem FAS-Server gespeichertes Benutzerzertifikat gewährt. Um den Abonnenten zu authentifizieren, verbindet sich der VDA mit dem FAS-Server und präsentiert das Ticket.

Sie können denselben FAS-Server sowohl für lokale Umgebungen als auch für Citrix Cloud mit der richtigen Regelkonfiguration verwenden.

FAS-Server-Anforderungsfluss mit Citrix Cloud

Failover-Priorität für mehrere Ressourcenstandorte

Bei der Verwendung von FAS-Servern mit mehreren Ressourcenstandorten können FAS-Server an einem Ressourcenstandort ein Failover für FAS-Server an anderen Ressourcenstandorten bereitstellen. Wenn Sie FAS-Server zu anderen Ressourcenstandorten hinzufügen, weisen Sie jedem Server die Bezeichnung primär oder sekundär zu. Wenn Abonnenten eine virtuelle App oder einen virtuellen Desktop starten, verwendet Citrix Cloud diese Bezeichnung auf folgende Weise, um einen FAS-Server auszuwählen:

  • FAS-Server, die am jeweiligen Ressourcenstandort als primär bezeichnet sind, werden zuerst berücksichtigt.
  • Wenn keine primären Server verfügbar sind, werden FAS-Server berücksichtigt, die als sekundär bezeichnet sind.
  • Wenn keine sekundären Server verfügbar sind, wird der Start fortgesetzt, aber Single Sign-On findet nicht statt.

Videoübersicht

Für einen Überblick über den Federated Authentication Service für Citrix Workspace sehen Sie sich dieses Tech Insight-Video an:

Citrix Federated Authentication Service für Citrix Workspace

Anforderungen

Konnektivitätsanforderungen

Verwenden Sie die FAS-Verwaltungskonsole, um einen FAS-Server mit Citrix Cloud zu verbinden. Sie können diese Konsole verwenden, um einen lokalen oder Remote-FAS-Server zu konfigurieren. Um SSO für Workspaces mit FAS zu aktivieren, greifen die FAS-Verwaltungskonsole und der FAS-Dienst über das Konto des Konsolenbenutzers bzw. das Network Service-Konto auf die folgenden Adressen zu.

  • FAS-Verwaltungskonsole, unter Verwendung des Kontos des Konsolenbenutzers:
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Adressen, die von einem Drittanbieter-Identitätsanbieter benötigt werden, falls dieser in Ihrer Umgebung verwendet wird
  • FAS-Dienst, unter Verwendung des Network Service-Kontos:
    • *.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

Wenn Ihre Umgebung Proxyserver umfasst, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Network Service-Konto entsprechend Ihrer Umgebung konfiguriert ist.

FAS-Systemanforderungen

Sie müssen den Federated Authentication Service 2003 (Version 10.1) oder höher an jedem Ressourcenstandort bereitstellen, an dem Sie Single Sign-On aktivieren möchten. Die vollständigen Systemanforderungen für den FAS-Server werden im Abschnitt System Requirements der FAS-Produktdokumentation beschrieben.

Citrix Workspace

Sie müssen Citrix DaaS™ in Workspace bereitgestellt und aktiviert haben. Standardmäßig ist DaaS in der Workspace-Konfiguration aktiviert, nachdem Sie den Dienst abonniert haben. Der Dienst erfordert jedoch, dass Sie Citrix Cloud Connectors bereitstellen, damit Citrix Cloud mit Ihrer lokalen Umgebung kommunizieren kann.

Cloud Connectors

Citrix Cloud Connectors ermöglichen die Kommunikation zwischen Ihrem Ressourcenstandort (wo sich die VDAs befinden) und Citrix Cloud. Stellen Sie mindestens zwei Cloud Connectors bereit, um Hochverfügbarkeit zu gewährleisten. Die Server, auf denen Sie die Cloud Connector-Software installieren, müssen die folgenden Anforderungen erfüllen:

  • Systemanforderungen, wie in Technische Details zu Cloud Connector beschrieben
  • Es sind keine anderen Citrix-Komponenten installiert, der Server ist kein Active Directory-Domänencontroller und keine Maschine, die für Ihre Ressourcenstandortinfrastruktur kritisch ist.
  • Beitritt zur Domäne, in der sich Ihre VDAs befinden.

Weitere Informationen zur Bereitstellung von Cloud Connectors finden Sie in den folgenden Artikeln:

Übersicht über die Einrichtung

  1. Wenn Sie neue FAS-Server bereitstellen, lesen Sie die Anforderungen und befolgen Sie die Anweisungen unter FAS installieren und konfigurieren in diesem Artikel.
  2. Verbinden Sie Ihren FAS-Server mit Citrix Cloud, wie unter „FAS-Server mit Citrix Cloud verbinden“ in diesem Artikel beschrieben. Durch das Abschließen dieser Aufgabe wird Ihr FAS-Server mit einem einzelnen Ressourcenstandort verbunden.
  3. Wenn Sie Ihren FAS-Server mit mehreren Ressourcenstandorten verbinden möchten, befolgen Sie die Anweisungen unter FAS-Server zu mehreren Ressourcenstandorten hinzufügen in diesem Artikel.

FAS installieren und konfigurieren

Befolgen Sie den Installations- und Konfigurationsprozess für FAS, der in der FAS-Produktdokumentation beschrieben ist. Die Konfigurationsschritte für StoreFront und den Delivery Controller sind nicht erforderlich.

Tipp:

Sie können das Installationsprogramm für den Federated Authentication Service auch über die Citrix Cloud-Konsole herunterladen:

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Wählen Sie die Kachel FAS-Server und klicken Sie dann auf Herunterladen.

FAS-Server mit Citrix Cloud verbinden

Verwenden Sie die FAS-Verwaltungskonsole, um Ihren FAS-Server mit Citrix Cloud zu verbinden, wie unter Installieren und Konfigurieren in der FAS-Produktdokumentation beschrieben.

Nachdem Sie den Konfigurationsschritt Mit Citrix Cloud verbinden abgeschlossen haben, registriert Citrix Cloud den FAS-Server und zeigt ihn auf der Seite „Ressourcenstandorte“ in Ihrem Citrix Cloud-Konto an.

Seite „Ressourcenstandorte“ mit hinzugefügtem FAS-Server

Wenn die Seite „Ressourcenstandorte“ bereits in Ihrem Browser geladen ist, aktualisieren Sie die Seite, um den registrierten FAS-Server anzuzeigen.

Unterstützung für Cloud-Benachrichtigungen

FAS unterstützt jetzt Cloud-Benachrichtigungen. Mit den neuen Cloud-Benachrichtigungen für FAS-Server erhalten Sie Benachrichtigungen in den folgenden Fällen:

  • Ein FAS-Server ist ausgefallen oder nicht verfügbar.
  • Das Zertifikat der Registrierungsstelle (RA) eines FAS-Servers ist abgelaufen oder läuft bald ab.
  • Eine neue Version von FAS steht zum Download bereit.

Benachrichtigungen auslösen

Eine regelmäßige Überprüfung auf neue Benachrichtigungen wird durchgeführt und in der Citrix Cloud-Verwaltungskonsole angezeigt. Die Benachrichtigungen werden unter dem Glockensymbol in der oberen rechten Ecke der Citrix Cloud-Verwaltungskonsole angezeigt. Wählen Sie Alle anzeigen auf dem Benachrichtigungssymbol, um alle Benachrichtigungen anzuzeigen. Weitere Informationen finden Sie unter Benachrichtigungen.

FAS Cloud-Benachrichtigungen

Hinweis:

Sobald eine Benachrichtigung ausgelöst wurde, wird sie nur dann regelmäßig erneut ausgelöst, wenn das Problem nicht behoben ist.

Alle Benachrichtigungen enthalten den FQDN des betroffenen FAS-Servers. Die Benachrichtigung über den Ablauf des RA-Zertifikats wird nur für FAS-Server mit Version 10.10.0.14 und höher angezeigt.

FAS-Server zu mehreren Ressourcenstandorten hinzufügen

  1. Wählen Sie im Citrix Cloud-Menü Ressourcenstandorte und dann die Registerkarte FAS-Server.
  2. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie auf die Auslassungspunkte (…) auf der rechten Seite des Eintrags, und wählen Sie dann Server verwalten. Registerkarte „FAS-Server“ mit hervorgehobener Menüoption „Server verwalten“
  3. Wählen Sie Zu einem Ressourcenstandort hinzufügen und dann die gewünschten Ressourcenstandorte aus. Dialogfeld „Server verwalten“ mit hervorgehobener Option „Zu Ressourcenstandort hinzufügen“
  4. Wählen Sie Primär oder Sekundär für die Failover-Priorität des FAS-Servers an jedem ausgewählten Ressourcenstandort.
  5. Wählen Sie Änderungen speichern.

Um den hinzugefügten FAS-Server anzuzeigen, wählen Sie im Menü Citrix Cloud die Option Ressourcenstandorte und dann die Registerkarte FAS-Server. Eine Liste aller FAS-Server für alle verbundenen Ressourcenstandorte wird angezeigt. Um FAS-Server für einen bestimmten Ressourcenstandort anzuzeigen, wählen Sie den Ressourcenstandort aus der Dropdown-Liste aus.

Failover-Priorität eines FAS-Servers ändern

  1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort aus, den Sie verwalten möchten.
  2. Wählen Sie die Registerkarte FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie auf die Auslassungspunkte auf der rechten Seite des Eintrags, und wählen Sie dann Server verwalten.
  4. Suchen Sie den Ressourcenstandort mit der Priorität, die Sie ändern möchten, und wählen Sie die neue Priorität aus der Dropdown-Liste aus. FAS-Server verwalten mit hervorgehobener Dropdown-Liste für die Priorität
  5. Wählen Sie Änderungen speichern.

Föderierte Authentifizierung für Workspaces aktivieren

  1. Wählen Sie im Citrix Cloud-Menü Workspacekonfiguration und dann Authentifizierung.
  2. Klicken Sie auf FAS aktivieren. Es kann bis zu fünf Minuten dauern, bis diese Änderung auf Abonnentensitzungen angewendet wird.

Seite „Workspacekonfiguration“ mit hervorgehobener Schaltfläche „FAS aktivieren“

Danach ist der Federated Authentication Service für alle Starts von virtuellen Apps und Desktops aus Citrix Workspace aktiv.

Seite „Workspacekonfiguration“ mit aktiviertem FAS

Wenn Abonnenten sich bei ihrem Workspace anmelden und eine virtuelle App oder einen virtuellen Desktop am selben Ressourcenstandort wie der FAS-Server starten, wird die App oder der Desktop ohne Aufforderung zur Eingabe von Anmeldeinformationen gestartet.

Hinweis:

Wenn alle FAS-Server an einem Ressourcenstandort ausgefallen oder im Wartungsmodus sind, sind Anwendungsstarts erfolgreich, aber Single Sign-On ist nicht aktiv. Abonnenten werden aufgefordert, ihre AD-Anmeldeinformationen einzugeben, um auf jede Anwendung oder jeden Desktop zuzugreifen.

FAS-Server entfernen

So entfernen Sie einen FAS-Server von einem einzelnen Ressourcenstandort:

  1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort aus, den Sie verwalten möchten.
  2. Wählen Sie die Registerkarte FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie auf die Auslassungspunkte auf der rechten Seite des Eintrags und wählen Sie dann Server verwalten.
  4. Suchen Sie den Ressourcenstandort, den Sie entfernen möchten, und klicken Sie dann auf das X-Symbol. FAS-Server mit hervorgehobenen Entfernungssymbolen verwalten

So entfernen Sie einen FAS-Server von allen verbundenen Ressourcenstandorten:

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Suchen Sie den Ressourcenstandort, den Sie verwalten möchten, und wählen Sie dann die Kachel FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie entfernen möchten, klicken Sie auf die Auslassungspunkte auf der rechten Seite des Eintrags und wählen Sie dann FAS-Server entfernen. Menübefehl „FAS-Server entfernen“
  4. Wählen Sie in der FAS-Verwaltungskonsole (auf Ihrem lokalen FAS-Server) unter Mit Citrix Cloud verbinden die Option trennen. Alternativ können Sie FAS deinstallieren. FAS-Verwaltungskonsole mit hervorgehobenem Befehl „Deaktivieren“

Problembehandlung

Wenn der FAS-Server nicht verfügbar ist, wird auf der Seite „FAS-Server“ eine Warnmeldung angezeigt.

FAS-Server-Konsolenseite

Um das Problem zu diagnostizieren, öffnen Sie die FAS-Verwaltungskonsole auf Ihrem lokalen FAS-Server und überprüfen Sie den Status. Zum Beispiel ist der FAS-Server nicht in der FAS-Server-GPO vorhanden:

FAS-Server in der FAS-Server-Administratorkonsole nicht verfügbar

Wenn die FAS-Verwaltungskonsole anzeigt, dass der Server ordnungsgemäß funktioniert, aber immer noch VDA-Anmeldeprobleme bestehen, konsultieren Sie den FAS-Fehlerbehandlungsleitfaden.

Weitere Informationen

Konfigurieren von Single Sign-On für die Workspace-App