Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (Technical Preview)

Hinweis:

Die Verwendung des Verbundauthentifizierungsdienstes mit Citrix Cloud ist derzeit als Technical Preview verfügbar. Citrix empfiehlt, Features des Technical Preview nur in Testumgebungen und eingeschränkten Produktionsumgebungen zu verwenden.

Der Citrix Verbundauthentifizierungsdienst (FAS) unterstützt Single Sign-On für virtuelle Apps und Desktops in Citrix Workspace. Sie können an jedem Ressourcenstandort mehrere FAS-Server mit Citrix Cloud verbinden, um Lastausgleich und Failover zu ermöglichen. Bei korrekter Regelkonfiguration können Sie denselben FAS-Server verwenden, um sich on-premises oder über Citrix Cloud anzumelden.

Fluss der FAS-Server-Anforderungen bei Citrix Cloud

Abonnenten, die sich über Azure AD bei ihrem Workspace anmelden, geben ihre Anmeldeinformationen nur einmal ein, um auf Apps und Desktops zuzugreifen. Wenn Abonnenten eine virtuelle App oder einen Desktop in ihrem Workspace starten, wählt Citrix Cloud einen FAS-Server aus, der sich am gleichen Ressourcenstandort wie der gestartete VDA befindet. Citrix Cloud kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein auf dem FAS-Server gespeichertes Benutzerzertifikat gewährt. Der VDA stellt eine Verbindung mit FAS her und präsentiert das Ticket, um den Abonnenten zu authentifizieren.

Wichtig:

  • Wenn Sie Single Sign-On über FAS aktivieren, ist die Funktion nur an Ressourcenstandorten mit verbundenen FAS-Servern aktiv. An einem Ressourcenstandort ohne FAS-Server ist das Single Sign-On für Ressourcen nicht möglich.
  • Wenn Sie FAS an Ihrem Ressourcenstandort aktivieren, ist der Verbundauthentifizierungsdienst für alle Starts virtueller Apps und Desktops in Citrix Workspace aktiv.

Einen Überblick über den Verbundauthentifizierungsdienst für Citrix Workspace bietet folgendes Tech Insight-Video:

Citrix Verbundauthentifizierungsdienst für Citrix Workspace

Anforderungen

FAS-Server

Die vollständigen Anforderungen für den FAS-Server finden Sie im Abschnitt Systemanforderungen der FAS-Produktdokumentation.

Wenn Sie in Ihrer on-premises Virtual Apps und Desktops-Umgebung noch keinen FAS-Server verwenden oder einen vorhandenen FAS-Server aktualisieren möchten, finden Sie weitere Informationen unter Installieren und Konfigurieren von FAS in diesem Artikel.

Wenn Sie einen FAS-Server der Version 10.0 oder später verwenden, fahren Sie mit Verbinden eines FAS-Servers mit Citrix Cloud fort.

Citrix Workspace

Sie müssen den Virtual Apps and Desktops Service in Workspace bereitgestellt und aktiviert haben. Der Virtual Apps and Desktops Service ist nach dem Abonnieren standardmäßig in der Workspacekonfiguration aktiviert. Sie müssen jedoch Citrix Cloud Connectors bereitstellen, damit Citrix Cloud mit Ihrer On-Premises-Umgebung kommunizieren kann.

Cloud Connectors

Citrix Cloud Connector: Ermöglicht die Kommunikation zwischen Ressourcenstandort (wo der FAS-Server residiert) und Citrix Cloud. Sie benötigen mindestens zwei Server zum Installieren der Cloud Connector-Software, um hohe Verfügbarkeit zu gewährleisten. Die Server müssen die folgenden Anforderungen erfüllen:

  • Systemanforderungen, siehe Technische Daten zu Citrix Cloud Connector.
  • Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
  • Sie müssen mit der Domäne verbunden sein, in der sich der FAS-Server befindet.

Weitere Informationen zum Bereitstellen von Cloud Connectors finden Sie in den folgenden Artikeln:

Installieren und Konfigurieren von FAS

Installieren und konfigurieren Sie einen oder mehrere FAS-Server, wenn Folgendes vorliegt:

  • Es gibt noch keinen FAS-Server in Ihrer On-Premises-Umgebung.
  • Ihr bestehender FAS-Server ist älter als Version 10.0 und Sie möchten ihn vor Ort aktualisieren, um eine Verbindung mit Citrix Cloud herzustellen.

Wenn Sie einen FAS-Server der Version 10.0 oder später verwenden, fahren Sie mit Verbinden eines FAS-Servers mit Citrix Cloud fort.

Wichtig:

Wenn Sie Single Sign-On über FAS aktivieren, ist die Funktion nur an Ressourcenstandorten mit verbundenen FAS-Servern aktiv. An einem Ressourcenstandort ohne FAS-Server können Workspace-Abonnenten sich nicht per Single Sign-On verbinden.

Anleitung zum Installieren und Konfigurieren von FAS

Die Installation und Konfiguration eines FAS-Servers nutzt dasselbe Verfahren wie in der FAS-Dokumentation beschrieben, mit folgenden Ausnahmen:

  • Konfigurationsschritte für StoreFront oder Delivery Controller sind nicht erforderlich.
  • Die FAS-Verwaltungskonsole sieht möglicherweise anders aus als in der FAS-Produktdokumentation beschrieben. Die Funktionsweise ist jedoch dieselbe.
  • Sie müssen in der FAS-Verwaltungskonsole nicht angeben, mit welchem FAS-Server Sie sich verbinden möchten. Die Verbindung wird standardmäßig zum On-Premises-Verbundauthentifizierungsdienst hergestellt. Bei Bedarf können Sie über Connect to another Server rechts oben in der Konsole eine Verbindung zu einem Remotedienst herstellen.

Führen Sie folgende Schritte aus, um einen FAS-Server zu installieren und zu konfigurieren:

  1. Laden Sie die aktuelle Softwareversion des FAS-Servers von Citrix herunter und installieren Sie sie.
  2. Konfigurieren Sie FAS-Regeln. Dialogfeld mit den FAS-Serverregeln

    Beim Konfigurieren einer FAS-Regel können Sie angeben, welche StoreFront-Server die Regel verwenden dürfen. Wenn eine Regel mit Citrix Cloud verwendet wird, werden die StoreFront-Zugriffsberechtigungen jedoch ignoriert. Sie können dieselbe Regel mit Citrix Cloud und mit einer On-Premises-StoreFront-Bereitstellung verwenden. StoreFront-Zugriffsberechtigungen werden auch dann angewendet, wenn die Regel von einem On-Premises-StoreFront genutzt wird. Wenn Sie den FAS-Server nur mit Citrix Cloud verwenden, müssen Sie diese Aufgabe nicht ausführen.

  3. Konfigurieren Sie die Gruppenrichtlinie selbst dann, wenn Sie Ihre FAS-Bereitstellung nur mit Citrix Cloud verwenden. Dialogfeld mit FAS-Server-Gruppenrichtlinie und DNS-Adresse

    Die Reihenfolge der DNS-Adressen Ihrer FAS-Server in der Liste muss übereinstimmen mit der Anzeige in:

    • VDAs
    • StoreFront-Server (falls vorhanden)
    • FAS-Server

    Der VDA erfasst über einen Index (Ganzzahl) in der Liste, welcher FAS-Server zum Start einer virtuellen App oder eines Desktops verwendet werden soll.

Download der FAS-Software

Die neueste Version der FAS-Software ist auf der Citrix Downloadseite unter https://www.citrix.com/downloads/citrix-cloud/betas-and-tech-previews/federated-authentication-service–fas-.html verfügbar.

Aufrufen der FAS-Downloadseite über die Citrix Cloud-Konsole:

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Wählen Sie die Kachel FAS-Server und klicken Sie auf Download. Seite "Ressourcenstandorte" mit markierter Kachel für FAS-Server Bildschirm für FAS-Download

Nach dem Herunterladen können Sie das Installationsprogramm starten und im Assistenten FAS-Regeln und Gruppenrichtlinien konfigurieren und eine Verbindung mit Citrix Cloud herstellen.

Verbinden eines FAS-Servers mit Citrix Cloud

In diesem Abschnitt wird davon ausgegangen, dass Ihr FAS-Server wie in der FAS-Dokumentation beschrieben installiert und konfiguriert wurde.

  1. Stellen Sie im FAS-Installationsprogramm sicher, dass die Registerkarte Initial Setup ausgewählt ist. FAS-Installationsprogramm mit markierter Schaltfläche "Connect"
  2. Klicken Sie unter Connect to Citrix Cloud auf Connect.
  3. Melden Sie sich nach Aufforderung bei Citrix Cloud an, wählen Sie ggf. das Kundenkonto und dann den Ressourcenstandort, an dem Sie den FAS-Server verbinden möchten.

Nach Abschluss der Installation registriert Citrix Cloud den FAS-Server und zeigt ihn in Ihrem Citrix Cloud-Konto auf der Seite “Ressourcenstandorte” an.

Seite "Ressourcenstandorte" mit hinzugefügtem FAS-Server

Wenn Sie die Seite “Ressourcenstandorte” bereits im Browser geladen haben, müssen Sie die Seite aktualisieren, um den registrierten FAS-Server anzuzeigen.

Aktivieren der Verbundauthentifizierung für Workspaces

  1. Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann Authentifizierung.
  2. Klicken Sie auf FAS aktivieren. Es kann bis zu fünf Minuten dauern, bis die Änderung auf Teilnehmersitzungen angewendet wird.

Seite zur Workspacekonfiguration mit markierter Schaltfläche "FAS aktivieren"

Anschließend ist der Verbundauthentifizierungsdienst für alle Starts virtueller Apps und Desktops in Citrix Workspace aktiv.

Seite zur Workspacekonfiguration mit aktiviertem FAS

Wenn sich Abonnenten bei ihrem Workspace anmelden und eine virtuelle App oder einen virtuellen Desktop am Ressourcenstandort des FAS-Servers starten, erfolgt der Start ohne Aufforderung zur Eingabe von Anmeldeinformationen.

Hinweis:

Wenn ein FAS-Server ausgefallen oder im Wartungsmodus ist, wird die Anwendung erfolgreich gestartet, aber Single Sign-On ist nicht aktiv. Abonnenten müssen dann bei jedem Zugriff auf eine App oder einen Desktop ihre AD-Anmeldeinformationen eingeben.

Entfernen eines FAS-Servers

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Suchen Sie den Ressourcenstandort, den Sie verwalten möchten, und wählen Sie die Kachel FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie entfernen möchten, klicken Sie auf die Auslassungspunkte und wählen Sie FAS-Server entfernen. Menübefehl "FAS-Server entfernen"
  4. Wählen Sie in der FAS-Verwaltungskonsole (auf Ihrem On-Premises-FAS-Server) unter Mit Citrix Cloud verbinden die Option Deaktivieren. Alternativ können Sie FAS deinstallieren. FAS-Verwaltungskonsole mit hervorgehobenem Befehl "Deaktivieren"

Problembehandlung

Wenn der FAS-Server nicht verfügbar ist, wird auf der Seite “FAS-Server” eine Warnmeldung angezeigt.

Konsolenseite "FAS-Server"

Um das Problem zu untersuchen, öffnen Sie die FAS-Verwaltungskonsole auf Ihrem On-Premises-FAS-Server und überprüfen Sie den Status. Beispiel, wenn der FAS-Server nicht im FAS-Server-Gruppenrichtlinienobjekt vorhanden ist:

FAS-Server in FAS-Server-Verwaltungskonsole nicht verfügbar

Wenn der Server auf der FAS-Verwaltungskonsole als ordnungsgemäß funktionieren angezeigt wird, es aber dennoch VDA-Anmeldeprobleme gibt, konsultieren Sie die Anleitung zur FAS-Problembehandlung.

Zusätzliche Hilfe und Unterstützung

Besuchen Sie das Supportforum Federated Authentication Service for Workspace Preview, um von Citrix-Experten und anderen Mitgliedern der Citrix Cloud-Community Hilfe bei Problemen zu erhalten, Fragen zu klären oder Feedback zur Verbundauthentifizierung für Workspaces zu geben.