Authentifizieren mit verschiedenen Domänen
Einige Organisationen haben Richtlinien, die es ihnen nicht erlauben, Drittentwicklern oder Auftragnehmern Zugriff auf veröffentlichte Ressourcen in einer Produktionsumgebung zu gewähren. Dieser Artikel zeigt Ihnen, wie Sie Zugriff auf veröffentlichte Ressourcen in einer Testumgebung gewähren, indem Sie sich über Citrix Gateway mit einer Domäne authentifizieren. Sie können dann eine andere Domäne verwenden, um sich bei StoreFront und der Receiver für Web-Website zu authentifizieren. Die in diesem Artikel beschriebene Authentifizierung über Citrix Gateway wird für Benutzer unterstützt, die sich über die Receiver für Web-Website anmelden. Diese Authentifizierungsmethode wird für Benutzer nativer Desktop- oder mobiler Citrix Receiver- oder Citrix Workspace-Apps nicht unterstützt.
Eine Testumgebung einrichten
Dieses Beispiel verwendet eine Produktionsdomäne namens production.com und eine Testdomäne namens development.com.
production.com-Domäne
Die production.com-Domäne in diesem Beispiel ist wie folgt eingerichtet:
- Citrix Gateway mit konfigurierter LDAP-Authentifizierungsrichtlinie für
production.com. - Die Authentifizierung über das Gateway erfolgt mit einem production\testuser1-Konto und -Passwort.
development.com-Domäne
Die development.com-Domäne in diesem Beispiel ist wie folgt eingerichtet:
- StoreFront, Citrix Virtual Apps and Desktops und VDAs befinden sich alle in der
development.com-Domäne. - Die Authentifizierung bei der Citrix Receiver für Web-Website erfolgt mit einem development\testuser1-Konto und -Passwort.
- Es besteht keine Vertrauensstellung zwischen den beiden Domänen.
Ein Citrix Gateway für den Store konfigurieren
So konfigurieren Sie ein Citrix Gateway für den Store:
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus, und klicken Sie im Bereich Aktionen auf Citrix Gateways verwalten.
- Klicken Sie auf dem Bildschirm „Citrix Gateways verwalten“ auf Hinzufügen.
- Führen Sie die Schritte für die allgemeinen Einstellungen, die Secure Ticket Authority und die Authentifizierung aus.
Hinweis:
Möglicherweise müssen bedingte DNS-Weiterleitungen hinzugefügt werden, damit die auf beiden Domänen verwendeten DNS-Server FQDNs auf der jeweils anderen Domäne auflösen können. Das Citrix Gateway muss in der Lage sein, die STA-Server-FQDNs in der
development.com-Domäne über seinenproduction.com-DNS-Server aufzulösen. StoreFront sollte auch in der Lage sein, die Callback-URL in derproduction.com-Domäne über seinendevelopment.com-DNS-Server aufzulösen. Alternativ kann eindevelopment.com-FQDN verwendet werden, der auf die virtuelle IP (VIP) des virtuellen Servers des Citrix Gateways auflöst.
Pass-Through vom Citrix Gateway aktivieren
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus, und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
- Wählen Sie auf dem Bildschirm „Authentifizierungsmethoden verwalten“ die Option Pass-Through vom Citrix Gateway aus.
- Klicken Sie auf OK.
Den Store für den Remotezugriff über das Gateway konfigurieren
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Remotezugriffseinstellungen konfigurieren.
- Wählen Sie Remotezugriff aktivieren aus.
- Stellen Sie sicher, dass Sie das Citrix Gateway bei Ihrem Store registriert haben. Wenn Sie das Citrix Gateway nicht registrieren, funktioniert das STA-Ticketing nicht.
Token-Konsistenz deaktivieren
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus und wählen Sie im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Store-Einstellungen konfigurieren.
- Wählen Sie auf der Seite „Store-Einstellungen konfigurieren“ die Option Erweiterte Einstellungen aus.
- Deaktivieren Sie das Kontrollkästchen Token-Konsistenz erforderlich. Weitere Informationen finden Sie unter Erweiterte Store-Einstellungen.
- Klicken Sie auf OK.
Hinweis:
Die Einstellung „Token-Konsistenz erforderlich“ ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, funktionieren die SmartAccess-Funktionen, die für die Citrix Gateway End Point Analysis (EPA) verwendet werden, nicht mehr.
Pass-Through vom Citrix Gateway für die Website deaktivieren
Wichtig:
Das Deaktivieren des Pass-Throughs vom Citrix Gateway verhindert, dass die Website versucht, die falschen Anmeldeinformationen aus der
production.com-Domäne zu verwenden, die vom Citrix Gateway übergeben wurden. Das Deaktivieren des Pass-Throughs vom Citrix Gateway führt dazu, dass die Website den Benutzer zur Eingabe von Anmeldeinformationen auffordert. Diese Anmeldeinformationen unterscheiden sich von den Anmeldeinformationen, die für die Anmeldung über das Citrix Gateway verwendet werden.
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus.
- Wählen Sie den Store aus, den Sie ändern möchten.
- Klicken Sie im Bereich Aktionen auf Receiver für Web-Sites verwalten.
- Deaktivieren Sie unter „Authentifizierungsmethoden“ die Option Pass-Through vom Citrix Gateway.
- Klicken Sie auf OK.
Anmeldung am Gateway mit einem production.com-Benutzer und Anmeldeinformationen
Melden Sie sich zum Testen am Gateway mit einem production.com-Benutzer und den entsprechenden Anmeldeinformationen an.
Nach der Anmeldung wird der Benutzer aufgefordert, die development.com-Anmeldeinformationen einzugeben.
Hinzufügen einer Dropdown-Liste für vertrauenswürdige Domänen in StoreFront (optional)
Diese Einstellung ist optional, kann aber dazu beitragen, dass der Benutzer nicht versehentlich die falsche Domäne für die Authentifizierung über das Citrix Gateway eingibt.
Wenn der Benutzername für beide Domänen derselbe ist, ist die Wahrscheinlichkeit größer, dass die falsche Domäne eingegeben wird. Neue Benutzer sind möglicherweise auch daran gewöhnt, die Domäne wegzulassen, wenn sie sich über das Citrix Gateway anmelden. Benutzer vergessen dann möglicherweise, domain\username für die zweite Domäne einzugeben, wenn sie zur Anmeldung bei der Receiver für Web-Website aufgefordert werden.
- Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole Stores aus, und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
- Wählen Sie den Dropdown-Pfeil neben Benutzername und Kennwort aus.
- Klicken Sie auf Hinzufügen, um
development.comals vertrauenswürdige Domäne hinzuzufügen, und aktivieren Sie das Kontrollkästchen Domänenliste auf Anmeldeseite anzeigen. - Klicken Sie auf OK.
Hinweis:
Das Zwischenspeichern von Browser-Passwörtern wird in diesem Authentifizierungsszenario nicht empfohlen. Wenn Benutzer unterschiedliche Passwörter für die beiden verschiedenen Domänenkonten haben, kann das Zwischenspeichern von Passwörtern zu einer schlechten Benutzererfahrung führen.
NetScaler® Sitzungsaktionsrichtlinie
- Wenn Single Sign-on für Webanwendungen in Ihrer Citrix Gateway-Sitzungsrichtlinie aktiviert ist, werden vom Citrix Gateway an die Website gesendete falsche Anmeldeinformationen ignoriert, da Sie die Authentifizierungsmethode Pass-Through vom Citrix Gateway auf der Website deaktiviert haben. Die Website fordert unabhängig von dieser Einstellung Anmeldeinformationen an.
- Das Ausfüllen der Single Sign-on-Einträge in den Registerkarten „Client Experience“ und „Published App“ im Citrix Gateway ändert das in diesem Artikel beschriebene Verhalten nicht.
In diesem Artikel
- Eine Testumgebung einrichten
- Ein Citrix Gateway für den Store konfigurieren
- Pass-Through vom Citrix Gateway aktivieren
- Den Store für den Remotezugriff über das Gateway konfigurieren
- Token-Konsistenz deaktivieren
- Pass-Through vom Citrix Gateway für die Website deaktivieren
- Anmeldung am Gateway mit einem production.com-Benutzer und Anmeldeinformationen
- Hinzufügen einer Dropdown-Liste für vertrauenswürdige Domänen in StoreFront (optional)
- NetScaler® Sitzungsaktionsrichtlinie