Konfiguration des Federated Authentication Service
Der Federated Authentication Service (FAS) bietet Single Sign-On für VDAs mittels Zertifikatsauthentifizierung. Dies ist nützlich bei der Verwendung von Authentifizierungsmethoden wie SAML, bei denen StoreFront keinen Zugriff auf die Active Directory-Anmeldeinformationen hat.
FAS für einen Store aktivieren
Bevor Sie FAS für einen Store aktivieren, müssen Sie die Liste der FAS-Server mithilfe der Gruppenrichtlinie konfigurieren. Weitere Informationen finden Sie in der FAS-Dokumentation.
Um FAS für einen Store zu aktivieren, müssen Sie das PowerShell-Cmdlet Set-STFStoreLaunchOptions verwenden, um den VDA-Anmeldedaten-Anbieter auf FASLogonDataProvider festzulegen.
Standardmäßig wählt StoreFront den FAS-Server beim Start aus. Sie können dies ändern, sodass StoreFront den FAS-Server bei der Anmeldung auswählt. Dies hat den Vorteil, dass Verzögerungen vermieden werden, die beim Start auftreten können, insbesondere wenn ein FAS-Server nicht verfügbar ist und mehrere FAS-Server ausprobiert werden müssen. Es hat jedoch den Nachteil, dass, wenn der FAS-Server zwischen Anmeldung und Start nicht verfügbar wird, der Start entweder fehlschlägt oder auf die Authentifizierung mit Benutzername und Kennwort zurückfällt (siehe FAS-Server-Nichtverfügbarkeit). Um das Verhalten zu konfigurieren, führen Sie das PowerShell-Cmdlet Set-STFClaimsFactoryNames mit dem Parameter ClaimsFactoryName aus. Um den FAS-Server bei der Anmeldung auszuwählen, setzen Sie ihn auf FASClaimsFactory. Um das Standardverhalten wiederherzustellen und einen FAS-Server beim Start auszuwählen, setzen Sie ihn auf standardClaimsFactory.
Beispiel zum Aktivieren von FAS für einen Store und Auswählen des Servers bei der Anmeldung:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
So deaktivieren Sie FAS für einen Store:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
<!--NeedCopy-->
Ersetzen Sie [VirtualPath] durch den entsprechenden virtuellen Pfad, z. B. /Citrix/Store.
Bei Verwendung der Benutzername- und Kennwortauthentifizierung in einem Store mit aktiviertem FAS verwendet StoreFront immer FAS anstelle der bereitgestellten Anmeldeinformationen für Single Sign-On.
Nichtverfügbarkeit des FAS-Servers
Wenn der FAS-Server nicht verfügbar ist, schlägt der Start standardmäßig fehl. Sie können StoreFront jedoch so konfigurieren, dass Benutzer sich beim VDA anmelden können, indem sie ihre Anmeldeinformationen eingeben, falls der FAS-Server nicht verfügbar ist. Um die Konfiguration zu ändern, verwenden Sie das PowerShell-Cmdlet Set-STFStoreLaunchOptions mit dem Parameter FederatedAuthenticationServiceFailover. Beispiel zum Aktivieren des Failovers für einen Store:
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->