Product Documentation

Erstellen und Konfigurieren des Authentifizierungsdiensts

Jul 07, 2016

Erstellen des Authentifizierungsdiensts

Sie können den StoreFront-Authentifizierungsdienst mit der Aufgabe Authentifizierungsdienst erstellen konfigurieren. Der Authentifizierungsdienst authentifiziert Benutzer mit Microsoft Active Directory und stellt auf diese Weise sicher, dass Benutzer sich nicht erneut anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen.

Sie können für jede StoreFront-Bereitstellung nur einen Authentifizierungsdienst konfigurieren. Diese Aufgabe ist nur verfügbar, wenn der Authentifizierungsdienst noch nicht konfiguriert wurde.

Wenn Sie die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPS sichern möchten, müssen Sie Microsoft Internetinformationsdienste (IIS) für HTTPS konfigurieren. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für die Kommunikation.

Standardmäßig erfordert Citrix Receiver HTTPS-Verbindungen zu Stores. Wenn StoreFront nicht für HTTPS konfiguriert ist, müssen Benutzer zusätzliche Konfigurationsschritte ausführen, um HTTP-Verbindungen zu verwenden. HTTPS ist für die Smartcardauthentifizierung erforderlich. Sie können jederzeit von HTTP zu HTTPS wechseln, vorausgesetzt, die entsprechende IIS-Konfiguration ist vorhanden. Weitere Informationen finden Sie unter Konfigurieren von Servergruppen.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.
  1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Authentifizierung aus und klicken Sie im Bereich Aktionen auf Authentifizierungsdienst erstellen.
  3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen, und klicken Sie auf Erstellen.
    • Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die explizite Authentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihre Anmeldeinformationen ein.
    • Aktivieren Sie das Kontrollkästchen Domänen-Passthrough, um Passthrough für Active Directory-Domänenanmeldeinformationen von Benutzergeräten zu aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die der Domäne angehören, und werden beim Zugriff auf ihre Stores automatisch angemeldet. Um diese Option verwenden zu können, muss Passthrough-Authentifizierung aktiviert sein, wenn Receiver für Windows auf den Benutzergeräten installiert ist.
    • Aktivieren Sie das Kontrollkästchen Smartcard, um die Smartcardauthentifizierung zu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores.
    • Aktivieren Sie das Kontrollkästchen HTTP Basic, um die HTTP Basic-Authentifizierung zu aktivieren. Benutzer authentifizieren sich über den IIS-Webserver des StoreFront-Servers.
    • Aktivieren Sie das Kontrollkästchen Passthrough-Authentifizierung von NetScaler Gateway zum Aktivieren der Passthrough-Authentifizierung von NetScaler Gateway. Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet.

    Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über NetScaler Gateway zugreifen, verwenden Sie die Aufgabe Delegierte Authentifizierung konfigurieren.

  4. Klicken Sie nach dem Erstellen des Authentifizierungsdienstes auf Fertig stellen.

Konfigurieren des Authentifizierungsdiensts

Der Authentifizierungsdienst authentifiziert Benutzer mit Microsoft Active Directory und stellt auf diese Weise sicher, dass Benutzer sich nicht erneut anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen. Sie können für jede StoreFront-Bereitstellung nur einen Authentifizierungsdienst konfigurieren.

Die nachfolgenden Aufgaben ermöglichen es Ihnen, die Einstellungen für den StoreFront-Authentifizierungsdienst zu ändern. Einige erweiterte Einstellungen können nur durch Bearbeitung der Authentifizierungsdienst-Konfigurationsdateien geändert werden. Weitere Informationen finden Sie unter Konfigurieren von StoreFront mit den Konfigurationsdateien.

Wichtig: Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

Verwalten von Authentifizierungsmethoden

Sie können Benutzerauthentifizierungsmethoden, die beim Erstellen des Authentifizierungsdiensts eingestellt wurden, aktivieren oder deaktivieren, indem Sie im Ergebnisbereich der Citrix StoreFront-Verwaltungskonsole eine Authentifizierungsmethode auswählen und im Bereich Aktionen auf Methode aktivieren bzw. Methode deaktivieren klicken. Verwenden Sie die Aufgabe Methoden hinzufügen/entfernen, um eine Authentifizierungsmethode aus dem Authentifizierungsdienst zu entfernen oder um einen neuen Authentifizierungsdienst hinzuzufügen.

  1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Authentifizierung aus und klicken Sie im Bereich Aktionen auf Methoden hinzufügen/entfernen.
  3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen.
    • Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die explizite Authentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihre Anmeldeinformationen ein.
    • Aktivieren Sie das Kontrollkästchen Domänen-Passthrough, um Passthrough für Active Directory-Domänenanmeldeinformationen von Benutzergeräten zu aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die der Domäne angehören, und werden beim Zugriff auf ihre Stores automatisch angemeldet. Um diese Option verwenden zu können, muss Passthrough-Authentifizierung aktiviert sein, wenn Receiver für Windows auf den Benutzergeräten installiert ist.
    • Aktivieren Sie das Kontrollkästchen Smartcard, um die Smartcardauthentifizierung zu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores.
    • Aktivieren Sie das Kontrollkästchen HTTP Basic, um die HTTP Basic-Authentifizierung zu aktivieren. Benutzer authentifizieren sich über den IIS-Webserver des StoreFront-Servers.
    • Aktivieren Sie das Kontrollkästchen Passthrough-Authentifizierung von NetScaler Gateway zum Aktivieren der Passthrough-Authentifizierung von NetScaler Gateway. Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet.

    Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über NetScaler Gateway zugreifen, verwenden Sie die Aufgabe Delegierte Authentifizierung konfigurieren.

Konfigurieren vertrauenswürdiger Benutzerdomänen

Mit der Aufgabe Vertrauenswürdige Domänen konfigurieren schränken Sie den Zugriff auf Stores für Benutzer ein, die sich mit expliziten Domänenanmeldeinformationen entweder direkt oder über die Passthrough-Authentifizierung von NetScaler Gateway anmelden.

  1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Authentifizierung aus und wählen Sie im Ergebnisbereich die gewünschte Authentifizierungsmethode aus. Klicken Sie im Bereich Aktionen auf Vertrauenswürdige Domänen konfigurieren.
  3. Wählen Sie Nur vertrauenswürdige Domänen aus. Klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne hinzuzufügen. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste Vertrauenswürdige Domänen aus und klicken Sie auf Bearbeiten. Wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen, um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen.

    Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.

  4. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.
  5. Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen Domänenliste auf Anmeldeseite anzeigen.

Zulassen der Kennwortänderung durch Benutzer

Mit der Aufgabe Kennwortoptionen verwalten können Sie zulassen, dass Benutzer von Desktop Receiver und Receiver für Web-Sites, die sich mit Domänenanmeldeinformationen anmelden, ihre Kennwörter ändern. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer von Receiver und Receiver für Web-Site ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.

Receiver für Web unterstützt die Kennwortänderung bei Ablauf sowie die wahlweise Kennwortänderung. Alle Desktop Receiver-Versionen unterstützen die Kennwortänderung über NetScaler Gateway nur bei Kennwortablauf.

  1. Klicken Sie auf der Windows-Startseite oder auf der Apps-Seite auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Authentifizierung und im Ergebnisbereich Benutzername und Kennwort aus. Klicken Sie im Bereich Aktionen auf Kennwortoptionen verwalten.
  3. Legen Sie die Bedingungen fest, unter denen Benutzer von Receiver für Web-Sites, die sich mit Domänenanmeldeinformationen anmelden, ihr Kennwort ändern können.
    • Damit Benutzer ihre Kennwörter jederzeit auf Wunsch ändern können, wählen Sie Jederzeit. Lokalen Benutzern, deren Kennwort bald abläuft, wird bei der Anmeldung eine Warnung angezeigt. Warnungen über den Ablauf von Kennwörtern werden nur für Benutzer angezeigt, die eine Verbindung über das interne Netzwerk herstellen. Standardmäßig hängt der Benachrichtigungszeitraum von der entsprechenden Windows-Richtlinieneinstellung ab. Weitere Informationen zum Einrichten benutzerdefinierter Benachrichtigungszeiträume finden Sie unter Konfigurieren des Zeitraums für den Kennwortablauf. Wird nur für Receiver für Web unterstützt.
    • Sollen Benutzer ihr Kennwort nur ändern können, wenn es abgelaufen ist, wählen Sie Wenn abgelaufen. Benutzer, die sich nicht anmelden können, weil das Kennwort abgelaufen ist, werden an das Dialogfeld Kennwort ändern weitergeleitet. Wird nur für Desktop Receiver und Receiver für Web unterstützt.
    • Wenn Sie verhindern möchten, dass Benutzer ihr Kennwort ändern, wählen Sie Nie. Bei dieser Option müssen Sie selbst Benutzern unterstützen, die keinen Zugriff auf ihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.

    Wenn Sie zulassen, dass Benutzer von Receiver für Web-Sites jederzeit ihre Kennwörter ändern können, muss auf den StoreFront-Servern ausreichend Speicherplatz zum Speichern aller Benutzerprofile vorhanden sein. Um zu prüfen, ob das Kennwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf dem Server. StoreFront muss eine Verbindung mit dem Domänencontroller herstellen können, um die Kennwörter der Benutzer zu ändern.

    ReceiverBenutzer kann ein abgelaufenes Kennwort ändern, sofern in StoreFront aktiviertBenutzer wird benachrichtigt, dass das Kennwort abläuftBenutzer kann das Kennwort vor Ablaufen ändern, sofern in StoreFront aktiviert
    WindowsJa  
    MacJa  
    Android   
    iOS   
    LinuxJa  
    Web-SiteJaJaJa

Delegieren der Anmeldeinformationenvalidierung an NetScaler Gateway

Verwenden Sie die Aufgabe Delegierte Authentifizierung konfigurieren, um die Passthrough-Authentifizierung für Smartcardbenutzer zu aktivieren, die auf Stores über NetScaler Gateway zugreifen. Diese Aufgabe ist nur verfügbar, wenn Passthrough-Authentifizierung von NetScaler Gateway aktiviert und im Ergebnisbereich ausgewählt ist.

Wenn die Validierung der Anmeldeinformationen an NetScaler Gateway delegiert wird, authentifizieren sich Benutzer bei NetScaler Gateway mit Smartcards und werden beim Zugriff auf ihre Stores automatisch angemeldet. Diese Einstellung ist standardmäßig deaktiviert, wenn Sie die Passthrough-Authentifizierung von NetScaler Gateway aktivieren, sodass die Passthrough-Authentifizierung nur erfolgt, wenn Benutzer sich bei NetScaler Gateway mit einem Kennwort anmelden.