Produktdokumentation
StoreFront™ 2507 LTSR
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

Smartcard-Authentifizierung

March 9, 2026
Beitrag von: 
C

Bei der Smartcard-Authentifizierung melden sich Benutzer mit Smartcards und PINs an, wenn sie auf ihre Stores zugreifen. Die Smartcard-Authentifizierung kann für Benutzer aktiviert werden, die über die Citrix Workspace-App, Webbrowser und XenApp Services-URLs eine Verbindung zu Stores herstellen.

Hinweis:

Wenn sich Benutzer mit ihrer Smartcard bei Windows anmelden, wird empfohlen, die Domänen-Pass-Through-Authentifizierung zusätzlich oder anstelle der Smartcard-Authentifizierung zu aktivieren. Dies ermöglicht Single Sign-On zum Store, ohne dass eine erneute Authentifizierung mit der Smartcard erforderlich ist.

Verwenden Sie die Smartcard-Authentifizierung, um den Anmeldevorgang für Ihre Benutzer zu optimieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu erhöhen. Der Zugriff auf das interne Unternehmensnetzwerk wird durch zertifikatbasierte Zwei-Faktor-Authentifizierung unter Verwendung der Public Key Infrastructure geschützt. Private Schlüssel werden durch Hardwarekontrollen geschützt und verlassen niemals die Smartcard. Ihre Benutzer profitieren von der Bequemlichkeit, mit ihren Smartcards und PINs von einer Reihe von Unternehmensgeräten auf ihre Desktops und Anwendungen zuzugreifen.

Um die Smartcard-Authentifizierung zu aktivieren, müssen die Benutzerkonten entweder innerhalb der Microsoft Active Directory-Domäne, die die StoreFront-Server enthält, oder innerhalb einer Domäne konfiguriert werden, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat. Multi-Forest-Bereitstellungen mit bidirektionalen Vertrauensstellungen werden unterstützt.

Das Dokument Smartcard-Konfiguration für Citrix-Umgebungen beschreibt, wie eine Citrix-Bereitstellung für Smartcards eines bestimmten Typs konfiguriert wird. Ähnliche Schritte gelten für Smartcards anderer Anbieter.

Voraussetzungen

  1. Stellen Sie sicher, dass die Konten aller Benutzer entweder innerhalb der Microsoft Active Directory-Domäne, in der Sie Ihre StoreFront-Server bereitstellen möchten, oder innerhalb einer Domäne konfiguriert sind, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat.
  2. Wenn Sie Pass-Through mit Smartcard-Authentifizierung aktivieren möchten, stellen Sie sicher, dass Ihre Smartcard-Lesertypen, der Middleware-Typ und die Konfiguration sowie die PIN-Caching-Richtlinie der Middleware dies zulassen.
  3. Installieren Sie die Smartcard-Middleware Ihres Anbieters auf den virtuellen oder physischen Maschinen, auf denen der Virtual Delivery Agent ausgeführt wird, der die Desktops und Anwendungen der Benutzer bereitstellt. Weitere Informationen zur Verwendung von Smartcards mit Citrix Virtual Desktops finden Sie unter Smartcards.
  4. Stellen Sie sicher, dass Ihre Public-Key-Infrastruktur entsprechend konfiguriert ist. Überprüfen Sie, ob die Zertifikat-zu-Konto-Zuordnung für Ihre Active Directory-Umgebung korrekt konfiguriert ist und die Benutzerzertifikatsvalidierung erfolgreich durchgeführt werden kann.

StoreFront konfigurieren

  • Sie müssen HTTPS für die Kommunikation zwischen StoreFront und den Geräten der Benutzer verwenden, um die Smartcard-Authentifizierung zu aktivieren. Siehe StoreFront mit HTTPS sichern.

  • Um die Smartcard-Authentifizierung beim Herstellen einer Verbindung zu einem Store über Citrix Workspace-Apps zu aktivieren, aktivieren oder deaktivieren Sie unter Authentifizierungsmethoden die Option Smartcard.

  • Die Aktivierung der Smartcard-Authentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores. Sie können die Smartcard-Authentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden für Websites verwalten unabhängig aktivieren oder deaktivieren.

  • Wenn Sie sowohl die Smartcard- als auch die Benutzername- und Kennwortauthentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit ihren Smartcards und PINs anzumelden, haben aber die Möglichkeit, eine explizite Authentifizierung auszuwählen, falls sie Probleme mit ihren Smartcards haben.

Delivery Controller™ für die Vertrauensstellung mit StoreFront konfigurieren

Bei Verwendung der Smartcard-Authentifizierung hat StoreFront keinen Zugriff auf die Anmeldeinformationen des Benutzers und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen daher den Delivery Controller so konfigurieren, dass er Anfragen von StoreFront vertraut, siehe Sicherheitsüberlegungen und Best Practices für Citrix Virtual Apps and Desktops.

Remotezugriff über Citrix Gateway

Für den Remotezugriff können Sie Smartcard auf dem Citrix Gateway aktivieren und dann die Pass-Through-Authentifizierung zu StoreFront mit delegierter Authentifizierung aktivieren. Weitere Details finden Sie unter Gateway-Pass-Through.

Um sicherzustellen, dass Benutzer am virtuellen Server keine zusätzliche Aufforderung zur Eingabe ihrer Anmeldeinformationen erhalten, wenn Verbindungen zu ihren Ressourcen hergestellt werden, erstellen Sie ein zweites Gateway und deaktivieren Sie die Client-Authentifizierung in den SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unter Konfigurieren der Smartcard-Authentifizierung. Beim Zugriff auf StoreFront über ein Gateway mit Smartcard-Authentifizierung. Konfigurieren Sie das optimale Citrix Gateway-Routing über diesen virtuellen Server für Verbindungen zu den Bereitstellungen, die die Desktops und Anwendungen für den Store bereitstellen. Weitere Informationen finden Sie unter Optimales HDX-Routing für einen Store konfigurieren.

Single Sign-On zu VDAs

Sie können Single Sign-On zu den VDAs aktivieren, indem Sie die Smartcard-Anmeldeinformationen der Benutzer durchleiten. Der Store kann über einen Webbrowser oder die Citrix Workspace™-App für Windows aufgerufen werden, die Ressource muss jedoch in der Citrix Workspace-App für Windows geöffnet werden. Auf anderen Betriebssystemen oder beim Zugriff auf die Ressourcen über einen Browser müssen Benutzer ihre Anmeldeinformationen erneut eingeben, wenn sie eine Verbindung zu einem VDA herstellen.

  1. Fügen Sie die Single Sign-On-Komponente bei der Installation von Citrix Workspace für Windows hinzu und konfigurieren Sie sie für Single Sign-On. Siehe Domänen-Pass-Through-Authentifizierung konfigurieren.

  2. Öffnen Sie die Datei default.ica für den Store mit einem Texteditor. Siehe Default ica.

  3. Um das Pass-Through von Smartcard-Anmeldeinformationen für Benutzer zu aktivieren, die ohne Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Abschnitt [Application] hinzu.

    DisableCtrlAltDel=Off

    Diese Einstellung gilt für alle Benutzer des Stores. Um sowohl die Domänen-Pass-Through- als auch die Pass-Through-Authentifizierung mit Smartcard für Desktops und Anwendungen zu aktivieren, müssen Sie separate Stores für jede Authentifizierungsmethode erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  4. Um das Pass-Through von Smartcard-Anmeldeinformationen für Benutzer zu aktivieren, die über Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Abschnitt [Application] hinzu.

    UseLocalUserAndPassword=On

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Pass-Through-Authentifizierung für einige Benutzer zu aktivieren und andere Benutzer zur Anmeldung für den Zugriff auf ihre Desktops und Anwendungen aufzufordern, müssen Sie separate Stores für jede Benutzergruppe erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

Alternativ können Sie den Federated Authentication Service für Single Sign-On zu VDAs konfigurieren.

Wichtige Überlegungen

Die Verwendung von Smartcards zur Benutzerauthentifizierung mit StoreFront unterliegt den folgenden Anforderungen und Einschränkungen.

  • Um virtuelle private Netzwerktunnel (VPN) mit Smartcard-Authentifizierung zu verwenden, müssen Benutzer das Citrix Gateway Plug-in installieren und sich über eine Webseite anmelden, wobei sie ihre Smartcards und PINs zur Authentifizierung bei jedem Schritt verwenden. Die Pass-Through-Authentifizierung zu StoreFront mit dem Citrix Gateway Plug-in ist für Smartcard-Benutzer nicht verfügbar.

  • Mehrere Smartcards und mehrere Lesegeräte können auf demselben Benutzergerät verwendet werden, aber wenn Sie Pass-Through mit Smartcard-Authentifizierung aktivieren, müssen Benutzer sicherstellen, dass nur eine Smartcard eingelegt ist, wenn sie auf einen Desktop oder eine Anwendung zugreifen.

  • Wenn eine Smartcard innerhalb einer Anwendung verwendet wird, z. B. für digitale Signaturen oder Verschlüsselung, werden Benutzer möglicherweise zusätzlich aufgefordert, eine Smartcard einzulegen oder eine PIN einzugeben. Dies kann auftreten, wenn mehr als eine Smartcard gleichzeitig eingelegt wurde. Es kann auch aufgrund von Konfigurationseinstellungen auftreten – wie z. B. Middleware-Einstellungen wie PIN-Caching, die typischerweise über Gruppenrichtlinien konfiguriert werden. Benutzer, die aufgefordert werden, eine Smartcard einzulegen, obwohl die Smartcard bereits im Lesegerät steckt, müssen auf Abbrechen klicken. Wenn Benutzer zur Eingabe einer PIN aufgefordert werden, müssen sie ihre PIN erneut eingeben.

  • Wenn Sie Pass-Through mit Smartcard-Authentifizierung zu Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows mit domänenverbundenen Geräten aktivieren, die nicht über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um sowohl die Domänen-Pass-Through- als auch die Pass-Through-Authentifizierung mit Smartcard für Desktops und Anwendungen zu aktivieren, müssen Sie separate Stores für jede Authentifizierungsmethode erstellen. Ihre Benutzer müssen sich dann mit dem entsprechenden Store für ihre Authentifizierungsmethode verbinden.

  • Wenn Sie Pass-Through mit Smartcard-Authentifizierung zu Citrix Virtual Apps and Desktops für Benutzer der Citrix Workspace-App für Windows mit domänenverbundenen Geräten aktivieren, die über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Pass-Through-Authentifizierung für einige Benutzer zu aktivieren und andere Benutzer zur Anmeldung für den Zugriff auf ihre Desktops und Anwendungen aufzufordern, müssen Sie separate Stores für jede Benutzergruppe erstellen. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  • Pro XenApp® Services URL kann nur eine Authentifizierungsmethode konfiguriert werden, und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zur Smartcard-Authentifizierung andere Authentifizierungstypen aktivieren müssen, müssen Sie separate Stores erstellen, jeder mit einer XenApp Services URL, für jede Authentifizierungsmethode. Leiten Sie Ihre Benutzer dann zum entsprechenden Store für ihre Authentifizierungsmethode weiter.

  • Bei der Installation von StoreFront erfordert die Standardkonfiguration in Microsoft Internet Information Services (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen zur Zertifikatsauthentifizierungs-URL des StoreFront-Authentifizierungsdienstes vorgelegt werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an. Diese Konfiguration ermöglicht es Ihnen, Smartcard-Benutzern die Möglichkeit zu geben, auf eine explizite Authentifizierung zurückzugreifen, falls sie Probleme mit ihren Smartcards haben. Vorbehaltlich der entsprechenden Windows-Richtlinieneinstellungen können Benutzer ihre Smartcards auch entfernen, ohne sich erneut authentifizieren zu müssen.

    Wenn Sie IIS so konfigurieren, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind, müssen der Authentifizierungsdienst und die Stores auf demselben Server untergebracht sein. Sie müssen ein Clientzertifikat verwenden, das für alle Stores gültig ist. Mit dieser IIS-Site-Konfiguration können Smartcard-Benutzer keine Verbindung über Citrix Gateway herstellen und nicht auf eine explizite Authentifizierung zurückgreifen. Benutzer müssen sich erneut anmelden, wenn sie ihre Smartcards aus ihren Geräten entfernen.

Smartcard-Authentifizierung
March 9, 2026
Beitrag von: 
C
March 9, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.