Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS)

Der Citrix Verbundauthentifizierungsdienst (FAS) unterstützt Single Sign-On für virtuelle Apps und Desktops in Citrix Workspace. Sie können an jedem Ressourcenstandort mehrere FAS-Server mit Citrix Cloud verbinden, um Lastausgleich und Failover zu ermöglichen.

Citrix Cloud unterstützt die Verwendung von FAS-Servern in den folgenden Szenarien:

  • FAS-Server mit Verbindung mit einem Ressourcenstandort: Wenn Ihre Ressourcenstandorte eine hybride Infrastruktur enthalten (z. B. unterschiedliche Active Directory-Gesamtstrukturen), stellen Sie FAS-Server an dem Ressourcenstandort mit den VDAs bereit. Single Sign-On ist nur an Ressourcenstandorten mit mindestens einem verbundenen FAS-Server aktiv.
  • FAS-Server mit Verbindung zu mehreren Ressourcenstandorten: Wenn zwischen den Ressourcenstandorten eine Netzwerkverbindung besteht und die Standorte eine einheitliche Infrastruktur aufweisen (wenn sie z. B. in einer einzelnen AD-Gesamtstruktur residieren), können Sie die FAS-Server mit mehreren Ressourcenstandorten verbinden. Single Sign-On ist für Workspace-Abonnenten aktiv, die sich mit virtuellen Apps und Desktops an diesen Ressourcenstandorten verbinden. Es müssen dann keine separaten FAS-Server mit jedem Ressourcenstandort verbunden werden.

    Hinweis:

    Die Verwendung von FAS mit mehreren Ressourcenstandorten ist derzeit Preview-Feature verfügbar. Citrix empfiehlt, Features des Preview nur in Testumgebungen und eingeschränkten Produktionsumgebungen zu verwenden.

In beiden Szenarien geben Abonnenten, die sich über einen Verbundidentitätsanbieter (Azure AD, Okta, SAML usw.) bei ihrem Workspace anmelden, ihre Anmeldeinformationen nur einmal ein, um auf Apps und Desktops zuzugreifen.

Wenn Abonnenten eine virtuelle App oder einen Desktop starten, wählt Citrix Cloud einen FAS-Server aus, der sich am gleichen Ressourcenstandort wie die/der gestartete App oder Deskop befindet. Citrix Cloud kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein auf dem FAS-Server gespeichertes Benutzerzertifikat gewährt. Der VDA stellt eine Verbindung mit dem FAS-Server her und präsentiert das Ticket, um den Abonnenten zu authentifizieren.

Bei korrekter Regelkonfiguration können Sie denselben FAS-Server verwenden, um sich on-premises oder über Citrix Cloud anzumelden.

Fluss der FAS-Server-Anforderungen bei Citrix Cloud

Einen Überblick über den Verbundauthentifizierungsdienst für Citrix Workspace bietet folgendes Tech Insight-Video:

Citrix Verbundauthentifizierungsdienst für Citrix Workspace

Anforderungen

Konnektivitätsanforderungen

Verwenden Sie die FAS-Verwaltungskonsole, um einen FAS-Server mit Citrix Cloud zu verbinden. Sie können diese Konsole zum Konfigurieren eines lokalen oder remote vorhandenen FAS-Servers verwenden. Zum Aktivieren von Single Sign-On für Workspaces mit FAS greifen die FAS-Verwaltungskonsole und der FAS-Dienst über das Konto des Konsolenbenutzers bzw. das Netzwerkdienstkonto auf die folgenden Adressen zu.

  • FAS-Verwaltungskonsole, über das Konto des Konsolenbenutzers
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Adressen, die von einem externen Identitätsanbieter benötigt werden (sofern dieser in Ihrer Umgebung verwendet wird)
  • FAS-Dienst, über das Netzwerkdienstkonto: *.citrixworkspacesapi.net

Wenn Ihre Umgebung Proxyserver enthält, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Netzwerkdienstkonto entsprechend Ihrer Umgebung konfiguriert ist.

FAS-Systemvoraussetzungen

Die in diesem Abschnitt aufgeführten Anforderungen gelten für alle FAS-Server, die Sie mit Citrix Cloud verbinden.

Die vollständigen Systemvoraussetzungen für den FAS-Server werden im Abschnitt Systemanforderungen der FAS-Produktdokumentation beschrieben.

Auf FAS-Servern in Ihrer On-Premises-Umgebung für Citrix Virtual Apps and Desktops muss der Verbundauthentifizierungsdienst 2003 (Version 10.1) oder höher installiert sein. Weitere Informationen zum Upgrade eines bestehenden FAS-Servers finden Sie unter Installation und Konfiguration in der FAS-Produktdokumentation. Für Workspace- und On-Premises-Bereitstellungen kann derselbe FAS-Server verwendet werden.

Citrix Workspace

Sie müssen den Citrix Virtual Apps and Desktops Service in Workspace bereitgestellt und aktiviert haben. Der Virtual Apps and Desktops Service ist nach dem Abonnieren standardmäßig in der Workspacekonfiguration aktiviert. Sie müssen jedoch Citrix Cloud Connectors bereitstellen, damit Citrix Cloud mit Ihrer On-Premises-Umgebung kommunizieren kann.

Cloud Connectors

Citrix Cloud Connectors ermöglichen die Kommunikation zwischen Ressourcenstandort (wo sich die VDAs befinden) und Citrix Cloud. Stellen Sie mindestens zwei Cloud Connectors bereit, um eine hohe Verfügbarkeit sicherzustellen. Die Server, auf denen Sie die Cloud Connector-Software installieren, müssen die folgenden Anforderungen erfüllen:

  • Unter Technische Daten zu Citrix Cloud Connector beschriebene Systemvoraussetzungen
  • Es dürfen keine anderen Komponenten von Citrix installiert sein. Die Server dürfen keine Active Directory-Domänencontroller oder Maschinen sein, die für Ihre Ressourcenstandortinfrastruktur kritisch sind.
  • Sie müssen mit der Domäne verbunden sein, in der sich die VDAs befinden.

Weitere Informationen zum Bereitstellen von Cloud Connectors finden Sie in den folgenden Artikeln:

Überblick über die Einrichtung

  1. Wenn Sie neue FAS-Server bereitstellen, lesen Sie die Anweisungen unter Anforderungen und folgen Sie den unter Installieren und Konfigurieren von FAS in diesem Artikel.
  2. Verbinden Sie Ihren FAS-Server mit Citrix Cloud (siehe Verbinden eines FAS-Servers mit Citrix Cloud). Bei diesem Verfahren wird der FAS-Server mit einem einzelnen Ressourcenstandort verbunden.
  3. Wenn Sie Ihren FAS-Server mit mehreren Ressourcenstandorten verbinden möchten, fügen Sie ihn gemäß den Anweisungen unter Hinzufügen eines FAS-Servers zu mehreren Ressourcenstandorten hinzu.

Installieren und Konfigurieren von FAS

Folgen Sie dem FAS-Installations- und Konfigurationsprozess unter FAS-Produktdokumentation. Konfigurationsschritte für StoreFront und den Delivery Controller sind nicht erforderlich.

Tipp:

Sie können auch das Installationsprogramm für den Verbundauthentifizierungsdienst von der Citrix Cloud-Konsole herunterladen:

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Wählen Sie die Kachel FAS-Server und klicken Sie auf Download.

Verbinden von FAS-Servern mit Citrix Cloud

Verwenden Sie die FAS-Verwaltungskonsole zum Verbinden des FAS-Servers mit Citrix Cloud (siehe Installation und Konfiguration in der FAS-Produktdokumentation).

Nach Abschluss des Konfigurationsschritts Mit Citrix Cloud verbinden registriert Citrix Cloud den FAS-Server und zeigt ihn auf der Seite Ressourcenstandorte in Ihrem Citrix Cloud-Konto an.

Seite "Ressourcenstandorte" mit hinzugefügtem FAS-Server

Wenn Sie die Seite “Ressourcenstandorte” bereits im Browser geladen haben, müssen Sie die Seite aktualisieren, um den registrierten FAS-Server anzuzeigen.

Hinzufügen eines FAS-Servers zu mehreren Ressourcenstandorten

Dieses Feature ist als Preview verfügbar. Citrix empfiehlt, Features des Preview nur in Testumgebungen und eingeschränkten Produktionsumgebungen zu verwenden.

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte und dann die Registerkarte FAS-Server.
  2. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten. Registerkarte "FAS-Server" mit hervorgehobener Menüoption "Server verwalten"
  3. Wählen Sie Zu Ressourcenstandort hinzufügen und dann die gewünschten Ressourcenstandorte. Dialogfeld "Server verwalten" mit hervorgehobener Option "Zu Ressourcenstandort hinzufügen"
  4. Wählen Sie Primär oder Sekundär für die Failoverpriorität des FAS-Servers an jedem ausgewählten Ressourcenstandort.
  5. Wählen Sie Änderungen speichern.

Um den hinzugefügten FAS-Server anzuzeigen, wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte und dann die Registerkarte FAS-Server. Eine Liste aller FAS-Server für alle verbundenen Ressourcenstandorte wird angezeigt. Um die FAS-Server eines bestimmten Ressourcenstandorts anzuzeigen, wählen Sie diesen aus der Dropdownliste aus.

Ändern der Failoverpriorität eines FAS-Servers

Wenn Abonnenten eine virtuelle App oder einen Desktop starten, wählt Citrix Cloud gemäß der nachfolgenden Reihenfolge einen FAS-Server aus, der sich am gleichen Ressourcenstandort wie der gestartete VDA befindet.

  • FAS-Server, die an einem Ressourcenstandort als primär festgelegt sind, werden zuerst berücksichtigt.
  • Wenn keine Primärserver verfügbar sind, fällt die Wahl auf sekundäre FAS-Server.
  • Wenn keine sekundären Server verfügbar sind, wird der Start fortgesetzt, es erfolgt jedoch kein Single Sign-On.
  1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort, den Sie verwalten möchten.
  2. Wählen Sie die Registerkarte FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten.
  4. Suchen Sie den Ressourcenstandort, für den Sie die Priorität ändern möchten, und wählen Sie die neue Priorität aus der Dropdownliste aus. FAS-Serververwaltung mit hervorgehobener Dropdownliste "Priorität"
  5. Wählen Sie Änderungen speichern.

Aktivieren der Verbundauthentifizierung für Workspaces

  1. Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann Authentifizierung.
  2. Klicken Sie auf FAS aktivieren. Es kann bis zu fünf Minuten dauern, bis die Änderung auf Teilnehmersitzungen angewendet wird.

Seite zur Workspacekonfiguration mit markierter Schaltfläche "FAS aktivieren"

Anschließend ist der Verbundauthentifizierungsdienst für alle Starts virtueller Apps und Desktops in Citrix Workspace aktiv.

Seite zur Workspacekonfiguration mit aktiviertem FAS

Wenn sich Abonnenten bei ihrem Workspace anmelden und eine virtuelle App oder einen virtuellen Desktop am Ressourcenstandort des FAS-Servers starten, erfolgt der Start ohne Aufforderung zur Eingabe von Anmeldeinformationen.

Hinweis:

Wenn alle FAS-Server an einem Ressourcenstandort ausgefallen sind oder sich im Wartungsmodus befinden, wird die Anwendung erfolgreich gestartet, aber Single Sign-On ist nicht aktiv. Abonnenten müssen dann bei jedem Zugriff auf eine App oder einen Desktop ihre AD-Anmeldeinformationen eingeben.

Entfernen eines FAS-Servers

Entfernen eines FAS-Servers aus einem Ressourcenstandort:

  1. Wählen Sie auf der Seite Ressourcenstandorte die Kachel FAS-Server für den Ressourcenstandort, den Sie verwalten möchten.
  2. Wählen Sie die Registerkarte FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie verwalten möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie Server verwalten.
  4. Suchen Sie den Ressourcenstandort, den Sie entfernen möchten, und klicken Sie auf das X. FAS-Serververwaltung mit hervorgehobenen Entfernungssymbolen

Entfernen eines FAS-Servers aus allen verbundenen Ressourcenstandorten:

  1. Wählen Sie im Citrix Cloud-Menü die Option Ressourcenstandorte.
  2. Suchen Sie den Ressourcenstandort, den Sie verwalten möchten, und wählen Sie die Kachel FAS-Server.
  3. Suchen Sie den FAS-Server, den Sie entfernen möchten, klicken Sie rechts neben dem Eintrag auf die Auslassungspunkte und wählen Sie FAS-Server entfernen. Menübefehl "FAS-Server entfernen"
  4. Wählen Sie in der FAS-Verwaltungskonsole (auf Ihrem On-Premises-FAS-Server) unter Mit Citrix Cloud verbinden die Option Trennen. Alternativ können Sie FAS deinstallieren. FAS-Verwaltungskonsole mit hervorgehobenem Befehl "Deaktivieren"

Problembehandlung

Wenn der FAS-Server nicht verfügbar ist, wird auf der Seite “FAS-Server” eine Warnmeldung angezeigt.

Konsolenseite "FAS-Server"

Um das Problem zu untersuchen, öffnen Sie die FAS-Verwaltungskonsole auf Ihrem On-Premises-FAS-Server und überprüfen Sie den Status. Beispiel, wenn der FAS-Server nicht im FAS-Server-Gruppenrichtlinienobjekt vorhanden ist:

FAS-Server in FAS-Server-Verwaltungskonsole nicht verfügbar

Wenn in der FAS-Verwaltungskonsole angezeigt wird, dass der Server ordnungsgemäß funktioniert, es aber dennoch VDA-Anmeldeprobleme gibt, konsultieren Sie die Anleitung zur FAS-Problembehandlung.

Aktivieren von Single Sign-On für Workspaces mit dem Citrix Verbundauthentifizierungsdienst (FAS)