Passthrough-Authentifizierung von Citrix Gateway
Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet. Die Passthrough-Authentifizierung von Citrix Gateway ist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf den Store durchführen. Die Benutzer können mithilfe der Citrix Workspace-App oder eines Webbrowsers über Citrix Gateway eine Verbindung mit Stores herstellen. Weitere Informationen zum Konfigurieren von StoreFront für Citrix Gateway finden Sie unter Citrix Gateway hinzufügen.
StoreFront unterstützt Passthrough mit den folgenden Citrix Gateway-Authentifizierungsmethoden.
- Domäne: Die Benutzer melden sich mit ihrem Active Directory-Benutzernamen und -Kennwort an.
- RSA: Die Benutzer melden sich bei Citrix Gateway mit Passcodes an, die von mit Sicherheitstoken generierten Tokencodes abgeleitet werden, in einigen Fällen in Kombination mit persönlichen Identifikationsnummern. Wenn Sie zur Passthrough-Authentifizierung ausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie Microsoft Active Directory-Domänenanmeldeinformationen.
- Smartcard: Die Benutzer melden sich mit Smartcards an
- RSA + Domäne: Benutzer, die sich an Citrix Gateway anmelden, müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodes eingeben.
Wenn Sie für das Citrix Gateway die Authentifizierung oder Single Sign-On deaktiviert haben, wird Passthrough nicht verwendet und Sie müssen eine der anderen Authentifizierungsmethoden konfigurieren.
Wenn Sie die Zweiquellenauthentifizierung bei Citrix Gateway für Remotebenutzer konfigurieren, die von der Citrix Workspace-App aus auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien für Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode im Sitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie das Citrix Gateway-Gerät zu Ihrer StoreFront-Konfiguration hinzufügen, legen Sie den Anmeldetyp auf “Domäne und Sicherheitstoken” fest. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364.
Um die Multidomänenauthentifizierung über Citrix Gateway zu StoreFront zu aktivieren, setzen Sie in der Citrix Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne das SSO-Namensattribut auf “userPrincipalName”. Sie können festlegen, dass die Benutzer auf der Citrix Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zu verwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren der Citrix Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFront anmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänen beschränken.
Wenn die Citrix Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zur Steuerung des Benutzerzugriffs auf Citrix Virtual Apps and Desktops-Ressourcen auf der Basis von Citrix Gateway-Sitzungsrichtlinien verwenden. Weitere Informationen finden Sie unter How SmartAccess works for Citrix Virtual Apps and Desktops.
Gateway-Passthrough-Authentifizierung aktivieren
Um die Gateway-Passthrough-Authentifizierung für den Storezugriff über die Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden das Kontrollkästchen Passthrough-Authentifizierung von Citrix Gateway.
Wenn Sie die Citrix Gateway-Passthrough-Authentifizierung für einen Store standardmäßig aktivieren, wird sie auch für alle Websites für diesen Store aktiviert. Sie können die Authentifizierung mit Benutzernamen und Kennwort für einzelne Websites auf der Registerkarte Authentifizierungsmethoden separat aktivieren oder deaktivieren.
Zulassen, dass Benutzer abgelaufene Kennwörter ändern
Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung (Benutzername und Kennwort) konfiguriert ist, können Sie NetScaler so konfigurieren, dass abgelaufene Kennwörter bei der Anmeldung geändert werden können.
- Melden Sie sich auf der Website für die NetScaler-Verwaltung an.
- Gehen Sie im Seitenmenü Authentication > Dashboard.
- Klicken Sie auf den Authentifizierungsserver.
- Aktivieren Sie unter Other Settings die Option Allow Password Change.
Zulassen, dass Benutzer abgelaufene Kennwörter ändern
Bei aktivierter Passthrough-Authentifizierung von Citrix Gateway ist das Citrix Gateway für die Authentifizierung verantwortlich. Sie können StoreFront so konfigurieren, dass die Benutzer ihr Kennwort nach der Anmeldung ändern können. Dies ist nur möglich, wenn der Zugriff auf StoreFront-Stores über einen Browser erfolgt, nicht aber über die Workspace-App.
Die StoreFront-Standardkonfiguration verhindert, dass die Benutzer ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Passthrough-Authentifizierung von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten.
-
Damit die Benutzer ihre Kennwörter ändern können, aktivieren Sie das Kontrollkästchen Benutzer dürfen Kennwort ändern.
Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway
Standardmäßig überprüft StoreFront den vom Gateway empfangenen Benutzernamen und das Kennwort. Wenn das Gateway für kennwortlose Authentifizierungsmethoden wie etwa Smartcard konfiguriert ist, müssen Sie StoreFront so konfigurieren, dass es die Anmeldeinformationen nicht prüft und von der Authentifizierung durch das Gateway abhängig ist. In diesem Fall wird empfohlen, bei der Konfiguration des Gateways eine Rückruf-URL einzugeben, damit StoreFront die Herkunft der Anforderung überprüfen kann (siehe Citrix Gateways verwalten).
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdownmenü Passthrough-Authentifizierung von Citrix Gateway > Einstellungen die Option Delegierte Authentifizierung konfigurieren.
-
Aktivieren Sie Anmeldeinformationenvalidierung vollständig an Citrix Gateway delegieren.