Produktdokumentation
Federated Authentication Service
Current Release 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Single Sign-On mit Azure Active Directory

April 4, 2023
Beitrag von: 
C

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ermöglicht einen Single Sign-On für domänengebundene Virtual Delivery Agents (VDAs). Hierfür erhält der VDA von FAS ein Benutzerzertifikat und authentifiziert damit den Benutzer gegenüber Active Directory (AD). Sobald Sie sich bei der VDA-Sitzung angemeldet haben, können Sie dann ohne erneute Authentifizierung auf AD-Ressourcen zugreifen.

Es ist üblich, Azure Active Directory (AAD) mit Synchronisierung zwischen Ihrem AD und AAD zu implementieren, wodurch Hybrididentitäten für Benutzer und Maschinen entstehen. In diesem Artikel wird beschrieben, welche zusätzliche Konfiguration bei Verwendung von FAS erforderlich ist, um sich aus der VDA-Sitzung heraus per Single Sign-On bei AAD anzumelden und auf AAD-geschützte Anwendungen zuzugreifen, ohne sich erneut zu authentifizieren.

Hinweis:

  • Sie benötigen keine spezielle FAS-Konfiguration, um Single Sign-On für AAD zu verwenden.
  • Sie benötigen keine sitzungsinternen Zertifikate für FAS.
  • Sie können jede beliebige Version von FAS verwenden.
  • Sie können jede VDA-Version verwenden, die FAS unterstützt.

Die Verfahren für den Single Sign-On für AAD sind in der folgenden Tabelle zusammengefasst:

AAD-Authentifizierungstyp VDA ist domänengebunden VDA mit Hybrideinbindung
Verwaltet Seamless SSO AAD verwenden AAD-zertifikatbasierte Authentifizierung verwenden
Verbunden mit Active Directory-Verbunddienste (AD FS) Windows-Authentifizierung bei AD FS aktivieren Sicherstellen, dass der WS-Trust-Endpunkt certificatemixed aktiviert ist
Verbunden mit einem externen Identitätsanbieter Drittanbieter-Lösung verwenden Drittanbieter-Lösung verwenden

  • Eine verwaltete AAD-Domäne ist eine Domäne, in der die Benutzerauthentifizierung bei AAD erfolgt. Dies wird auch als “native AAD-Authentifizierung” bezeichnet.

  • Eine verbundene AAD-Domäne ist eine Domäne, in der AAD so konfiguriert ist, dass die Authentifizierung umgeleitet wird und an einem anderen Ort erfolgt. Zum Beispiel bei AD FS oder einem externen Identitätsanbieter.

  • Ein VDA mit Hybrideinbindung ist mit AD und mit AAD verbunden.

Domänengebundene VDAs

Bei domänengebundenen VDAs nutzen Sie Single Sign-On für AAD mittels Windows-Authentifizierung (traditionell als integrierte Windows-Authentifizierung oder Kerberos bezeichnet). Die Authentifizierung bei AAD erfolgt, wenn der Benutzer innerhalb der VDA-Sitzung auf eine AAD-geschützte Anwendung zugreift. Das folgende Diagramm zeigt den allgemeinen Authentifizierungsprozess:

Domänengebundene VDAs

Die genauen Details variieren je nachdem, ob die AAD-Domäne verwaltet oder verbunden ist.

Informationen zum Einrichten der verwalteten AAD-Domäne finden Sie unter Schnellstart: Nahtloses einmaliges Anmelden mit Azure Active Directory.

Bei einer mit AD FS verbundenen AAD-Domäne aktivieren Sie die Windows-Authentifizierung auf dem AD FS-Server.

Bei einer AAD-Domäne, die mit einem externen Identitätsanbieter verbunden ist, gibt es eine ähnliche Lösung. Wenden Sie sich an Ihren Identitätsanbieter, um weitere Hilfe zu erhalten.

Hinweis:

Sie können die aufgeführten Lösungen für domänengebundene VDAs auch für VDAs mit Hybrideinbindung verwenden. Bei Verwendung von FAS wird jedoch kein primärer Aktualisierungstoken (PRT) für AAD generiert.

VDAs mit Hybrideinbindung

VDAs mit Hybrideinbindung sind gleichzeitig mit AD und AAD verbunden. Wenn der Benutzer sich beim VDA anmeldet, werden folgende Artefakte erstellt:

  • Ein Kerberos Ticket Granting Ticket (TGT) zur Authentifizierung bei AD-Ressourcen
  • Ein primärer Aktualisierungstoken (PRT) zur Authentifizierung bei AAD-Ressourcen

Der PRT enthält Informationen zum Benutzer und zur Maschine. Diese Informationen werden bei Bedarf in einer AAD-Richtlinie für bedingten Zugriff verwendet.

Da FAS zur Benutzerauthentifizierung ein Zertifikat für den VDA bereitstellt, muss die zertifikatbasierte Authentifizierung für AAD implementiert sein, damit ein PRT erstellt wird. Das folgende Diagramm zeigt den allgemeinen Authentifizierungsprozess:

VDAs mit Hybrideinbindung

Die genauen Details variieren je nachdem, ob die AAD-Domäne verwaltet oder verbunden ist.

Bei einer verwalteten AAD-Domäne konfigurieren Sie die zertifikatbasierte AAD-Authentifizierung. Weitere Informationen finden Sie unter Übersicht über die zertifikatbasierte Authentifizierung mit Azure AD. Der VDA verwendet die zertifikatbasierte AAD-Authentifizierung, um den Benutzer mit seinem FAS-Zertifikat bei AAD zu authentifizieren.

Hinweis:

In der Microsoft-Dokumentation wird die Anmeldung mit einem Smartcard-Zertifikat beschrieben; die zugrundeliegende Technik gilt aber auch bei der Anmeldung mit einem FAS-Benutzerzertifikat.

Für eine mit AD FS verbundene AAD-Domäne verwendet der VDA den WS-Trust-Endpunkt certificatemixed des AD FS-Servers, um den Benutzer mit seinem FAS-Zertifikat bei AAD zu authentifizieren. Dieser Endpunkt ist standardmäßig aktiviert.

Für eine AAD-Domäne, die mit einem externen Identitätsanbieter verbunden ist, gibt es möglicherweise eine ähnliche Lösung. Der Identitätsanbieter muss einen WS-Trust-Endpunkt certificatemixed implementieren. Wenden Sie sich an Ihren Identitätsanbieter, um weitere Hilfe zu erhalten.

Single Sign-On mit Azure Active Directory
April 4, 2023
Beitrag von: 
C
April 4, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.