Produktdokumentation
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

Smartcard-Authentifizierung

March 9, 2026
Beitrag von: 
C C

Bei der Smartcard-Authentifizierung authentifizieren sich Benutzer mithilfe von Smartcards und PINs, wenn sie auf ihre Stores zugreifen. Die Smartcard-Authentifizierung kann für Benutzer aktiviert werden, die über die Citrix Workspace-App, Webbrowser und XenApp Services-URLs eine Verbindung zu Stores herstellen.

Hinweis:

Wenn sich Benutzer mit ihrer Smartcard bei Windows anmelden, wird empfohlen, die Domänen-Pass-Through-Authentifizierung zusätzlich zur oder anstelle der Smartcard-Authentifizierung zu aktivieren. Dies ermöglicht Single Sign-On beim Store, ohne dass eine erneute Authentifizierung mit der Smartcard erforderlich ist.

Verwenden Sie die Smartcard-Authentifizierung, um den Anmeldevorgang für Ihre Benutzer zu optimieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu erhöhen. Der Zugriff auf das interne Unternehmensnetzwerk wird durch eine zertifikatbasierte Zwei-Faktor-Authentifizierung mithilfe der Public-Key-Infrastruktur geschützt. Private Schlüssel werden durch Hardwarekontrollen geschützt und verlassen niemals die Smartcard. Ihre Benutzer profitieren von der bequemen Möglichkeit, mit ihren Smartcards und PINs von einer Reihe von Unternehmensgeräten auf ihre Desktops und Anwendungen zuzugreifen.

Um die Smartcard-Authentifizierung zu aktivieren, müssen die Benutzerkonten entweder in der Microsoft Active Directory-Domäne, die die StoreFront-Server enthält, oder in einer Domäne konfiguriert sein, die eine direkte bidirektionale Vertrauensstellung zur StoreFront-Serverdomäne aufweist. Multi-Forest-Bereitstellungen mit bidirektionalen Vertrauensstellungen werden unterstützt.

Das Dokument Smartcard-Konfiguration für Citrix-Umgebungen beschreibt, wie eine Citrix-Bereitstellung für Smartcards mit einem bestimmten Smartcard-Typ konfiguriert wird. Ähnliche Schritte gelten für Smartcards anderer Anbieter.

Voraussetzungen

  • Stellen Sie sicher, dass die Konten aller Benutzer entweder in der Microsoft Active Directory-Domäne, in der Sie Ihre StoreFront-Server bereitstellen möchten, oder in einer Domäne konfiguriert sind, die eine direkte bidirektionale Vertrauensstellung zur StoreFront-Serverdomäne aufweist.
  • Wenn Sie Pass-Through mit Smartcard-Authentifizierung aktivieren möchten, stellen Sie sicher, dass Ihre Smartcard-Lesertypen, der Middleware-Typ und die Konfiguration sowie die PIN-Caching-Richtlinie der Middleware dies zulassen.
  • Installieren Sie die Smartcard-Middleware Ihres Anbieters auf den virtuellen oder physischen Maschinen, auf denen der Virtual Delivery Agent ausgeführt wird, der die Desktops und Anwendungen der Benutzer bereitstellt. Weitere Informationen zur Verwendung von Smartcards mit Citrix Virtual Desktops finden Sie unter Smartcards.
  • Stellen Sie sicher, dass Ihre Public-Key-Infrastruktur ordnungsgemäß konfiguriert ist. Überprüfen Sie, ob die Zertifikat-zu-Konto-Zuordnung für Ihre Active Directory-Umgebung korrekt konfiguriert ist und ob die Benutzerzertifikatsvalidierung erfolgreich durchgeführt werden kann.

StoreFront konfigurieren

  • Sie müssen HTTPS für die Kommunikation zwischen StoreFront und den Geräten der Benutzer verwenden, um die Smartcard-Authentifizierung zu aktivieren. Siehe StoreFront mit HTTPS sichern.

  • Um die Smartcard-Authentifizierung beim Herstellen einer Verbindung zu einem Store über Citrix Workspace-Apps zu aktivieren, aktivieren oder deaktivieren Sie unter Authentifizierungsmethoden die Option Smartcard.

  • Das Aktivieren der Smartcard-Authentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores. Sie können die Smartcard-Authentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden für Receiver für Web-Sites verwalten unabhängig aktivieren oder deaktivieren.

  • Wenn Sie sowohl die Smartcard- als auch die Benutzername- und Kennwortauthentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit ihren Smartcards und PINs anzumelden, haben aber die Möglichkeit, die explizite Authentifizierung auszuwählen, falls sie Probleme mit ihren Smartcards haben.

Delivery Controller™ so konfigurieren, dass er StoreFront vertraut

Bei Verwendung der Smartcard-Authentifizierung hat StoreFront keinen Zugriff auf die Anmeldeinformationen des Benutzers und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen daher den Delivery Controller so konfigurieren, dass er Anforderungen von StoreFront vertraut. Siehe Sicherheitsüberlegungen und Best Practices für Citrix Virtual Apps and Desktops.

Remotezugriff über Citrix Gateway

Für den Remotezugriff können Sie Smartcard auf dem Citrix Gateway aktivieren und dann die Pass-Through-Authentifizierung zu StoreFront mit delegierter Authentifizierung aktivieren. Weitere Informationen finden Sie unter Gateway-Pass-Through.

Um sicherzustellen, dass Benutzer beim Herstellen von Verbindungen zu ihren Ressourcen keine zusätzliche Aufforderung zur Eingabe ihrer Anmeldeinformationen am virtuellen Server erhalten, erstellen Sie ein zweites Gateway und deaktivieren Sie die Clientauthentifizierung in den SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren. Beim Zugriff auf StoreFront über ein Citrix Gateway mit Smartcard-Authentifizierung konfigurieren Sie das optimale Gateway-Routing über diesen virtuellen Server für Verbindungen zu den Bereitstellungen, die die Desktops und Anwendungen für den Store bereitstellen. Weitere Informationen finden Sie unter Optimales HDX-Routing für einen Store konfigurieren.

Single Sign-On bei VDAs

Sie können Single Sign-On bei den VDAs aktivieren, indem Sie die Smartcard-Anmeldeinformationen der Benutzer weiterleiten. Der Store kann über einen Webbrowser oder die Citrix Workspace™-App für Windows aufgerufen werden, die Ressource muss jedoch in der Citrix Workspace-App für Windows geöffnet werden. Auf anderen Betriebssystemen oder beim Zugriff auf die Ressourcen über einen Browser müssen Benutzer ihre Anmeldeinformationen erneut eingeben, wenn sie eine Verbindung zu einem VDA herstellen.

  1. Fügen Sie die Single Sign-On-Komponente bei der Installation von Citrix Workspace für Windows hinzu und konfigurieren Sie sie für Single Sign-On. Siehe Domänen-Pass-Through-Authentifizierung konfigurieren.

  2. Verwenden Sie einen Texteditor, um die Datei default.ica für den Store zu öffnen. Siehe Default ica

  3. Um die Weiterleitung von Smartcard-Anmeldeinformationen für Benutzer zu aktivieren, die ohne Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Abschnitt [Application] hinzu.

    DisableCtrlAltDel=Off

    Diese Einstellung gilt für alle Benutzer des Stores. Um sowohl die Domänen-Pass-Through- als auch die Pass-Through-Authentifizierung mit Smartcard für Desktops und Anwendungen zu aktivieren, müssen Sie separate Stores für jede Authentifizierungsmethode erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  4. Um die Weiterleitung von Smartcard-Anmeldeinformationen für Benutzer zu aktivieren, die über Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Abschnitt [Application] hinzu.

    UseLocalUserAndPassword=On

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Pass-Through-Authentifizierung für einige Benutzer zu aktivieren und andere Benutzer zur Anmeldung für den Zugriff auf ihre Desktops und Anwendungen aufzufordern, müssen Sie separate Stores für jede Benutzergruppe erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

Alternativ können Sie den Federated Authentication Service für Single Sign-On bei VDAs konfigurieren.

Wichtige Überlegungen

Die Verwendung von Smartcards zur Benutzerauthentifizierung mit StoreFront unterliegt den folgenden Anforderungen und Einschränkungen.

  • Um VPN-Tunnel (Virtual Private Network) mit Smartcard-Authentifizierung zu verwenden, müssen Benutzer das Citrix Gateway-Plug-In installieren und sich über eine Webseite anmelden, wobei sie ihre Smartcards und PINs verwenden, um sich bei jedem Schritt zu authentifizieren. Die Pass-Through-Authentifizierung zu StoreFront mit dem Citrix Gateway-Plug-In ist für Smartcard-Benutzer nicht verfügbar.

  • Es können mehrere Smartcards und mehrere Lesegeräte auf demselben Benutzergerät verwendet werden, aber wenn Sie die Pass-Through-Authentifizierung mit Smartcard aktivieren, müssen Benutzer sicherstellen, dass nur eine Smartcard eingelegt ist, wenn sie auf einen Desktop oder eine Anwendung zugreifen.

  • Wenn eine Smartcard innerhalb einer Anwendung verwendet wird, z. B. für digitale Signaturen oder Verschlüsselung, werden Benutzer möglicherweise zusätzlich aufgefordert, eine Smartcard einzulegen oder eine PIN einzugeben. Dies kann vorkommen, wenn mehr als eine Smartcard gleichzeitig eingelegt wurde. Dies kann auch aufgrund von Konfigurationseinstellungen auftreten – wie z. B. Middleware-Einstellungen wie PIN-Caching, die typischerweise über Gruppenrichtlinien konfiguriert werden. Benutzer, die aufgefordert werden, eine Smartcard einzulegen, obwohl die Smartcard bereits im Lesegerät steckt, müssen auf Abbrechen klicken. Wenn Benutzer zur Eingabe einer PIN aufgefordert werden, müssen sie ihre PINs erneut eingeben.

  • Wenn Sie die Pass-Through-Authentifizierung mit Smartcard für Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows mit in die Domäne eingebundenen Geräten aktivieren, die nicht über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um sowohl die Domänen-Pass-Through- als auch die Pass-Through-Authentifizierung mit Smartcard für Desktops und Anwendungen zu aktivieren, müssen Sie separate Stores für jede Authentifizierungsmethode erstellen. Ihre Benutzer müssen sich dann mit dem entsprechenden Store für ihre Authentifizierungsmethode verbinden.

  • Wenn Sie die Pass-Through-Authentifizierung mit Smartcard für Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows mit in die Domäne eingebundenen Geräten aktivieren, die über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Pass-Through-Authentifizierung für einige Benutzer zu aktivieren und andere Benutzer zur Anmeldung für den Zugriff auf ihre Desktops und Anwendungen aufzufordern, müssen Sie separate Stores für jede Benutzergruppe erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  • Für jede XenApp® Services-URL kann nur eine Authentifizierungsmethode konfiguriert werden, und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zur Smartcard-Authentifizierung andere Authentifizierungstypen aktivieren müssen, müssen Sie separate Stores erstellen, jeder mit einer XenApp Services-URL, für jede Authentifizierungsmethode. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  • Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in Microsoft Internet Information Services (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen zur Zertifikatsauthentifizierungs-URL des StoreFront-Authentifizierungsdienstes vorgelegt werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an. Diese Konfiguration ermöglicht es Ihnen, Smartcard-Benutzern die Möglichkeit zu geben, auf die explizite Authentifizierung zurückzugreifen, falls sie Probleme mit ihren Smartcards haben. Vorbehaltlich der entsprechenden Windows-Richtlinieneinstellungen können Benutzer ihre Smartcards auch entfernen, ohne sich erneut authentifizieren zu müssen.

    Wenn Sie IIS so konfigurieren, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind, müssen der Authentifizierungsdienst und die Stores auf demselben Server untergebracht sein. Sie müssen ein Clientzertifikat verwenden, das für alle Stores gültig ist. Mit dieser IIS-Site-Konfiguration können Smartcard-Benutzer keine Verbindung über Citrix Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Benutzer müssen sich erneut anmelden, wenn sie ihre Smartcards aus ihren Geräten entfernen.

Smartcard-Authentifizierung
March 9, 2026
Beitrag von: 
C C
March 9, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.