Product Documentation

Benutzerauthentifizierung

Jul 07, 2016

StoreFront unterstützt verschiedene Authentifizierungsmethoden für den Zugriff auf Stores durch Benutzer, die jedoch, abhängig von der Zugriffsmethode und dem Netzwerkstandort des Benutzers, nicht alle verfügbar sind. Aus Sicherheitsgründen werden Authentifizierungsmethoden standardmäßig deaktiviert, wenn Sie den ersten Store erstellen. Weitere Informationen zum Aktivieren und Deaktivieren von Benutzerauthentifizierungsmethoden finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

Benutzername und Kennwort

Benutzer geben ihre Anmeldeinformationen ein und werden authentifiziert, wenn sie auf ihre Stores zugreifen. Die explizite Authentifizierung ist standardmäßig aktiviert, wenn Sie den ersten Store erstellen. Alle Benutzerzugriffsmethoden unterstützen die explizite Authentifizierung.

Wenn ein Benutzer NetScaler Gateway verwendet, um auf Receiver für Web zuzugreifen, verwaltet NetScaler Gateway die Anmelde- und Kennwortänderung beim Ablauf. Benutzer können wahlweise das Kennwort mit der Receiver für Web-Benutzeroberfläche ändern. Nachdem das Kennwort geändert wurde, wird die NetScaler Gateway-Sitzung beendet und der Benutzer muss sich neu anmelden. Benutzer von Receiver für Linux können nur abgelaufene Kennwörter ändern.

Domänen-Passthrough

Benutzer authentifizieren sich bei ihrem domänengebundenen Computer und ihre Anmeldeinformationen werden für eine automatische Anmeldung beim Zugriff auf ihre Stores verwendet. Wenn Sie StoreFront installieren und den ersten Store erstellen, wird die Domänen-Passthrough-Authentifizierung standardmäßig deaktiviert. Die Domänen-Passthrough-Authentifizierung kann für Benutzer aktiviert werden, die über Citrix Receiver und XenApp Services-URLs eine Verbindung mit Stores herstellen. Receiver für Web-Sites unterstützen die Domänen-Passthrough-Authentifizierung nur für Internet Explorer. Aktivieren Sie die Domänen-Passthrough-Authentifizierung in dem Receiver für Web-Site Knoten in der Verwaltungskonsole. Sie müssen auch die einmalige Anmeldung in Receiver für Windows konfigurieren. Receiver für HTML5 unterstützt keine Passthrough-Authentifizierung für Domänen. Zur Verwendung der Domänen-Passthrough-Authentifizierung benötigen Benutzer Receiver für Windows oder das Online Plug-In für Windows. Die Passthrough-Authentifizierung muss aktiviert werden, wenn Receiver für Windows oder das Online Plug-In für Windows auf den Benutzergeräten installiert ist.

Passthrough-Authentifizierung von NetScaler Gateway

Benutzer authentifizieren sich bei NetScaler Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet. Die Passthrough-Authentifizierung von NetScaler Gateway ist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf den Store durchführen. Benutzer können mit Citrix Receiver oder Receiver für Web-Sites über NetScaler Gateway eine Verbindung mit Stores herstellen. Desktopgerätesites unterstützen keine Verbindungen über NetScaler Gateway. Weitere Informationen zum Konfigurieren von StoreFront für NetScaler Gateway finden Sie unter Hinzufügen einer NetScaler Gateway-Verbindung. Weitere Informationen zum Einrichten von NetScaler Gateway für die Verbindung mit StoreFront finden Sie unter Integrating NetScaler Gateway with XenMobile App Edition.

StoreFront unterstützt Passthrough mit den folgenden NetScaler Gateway-Authentifizierungsmethoden.

  • Sicherheitstoken: Benutzer melden sich bei NetScaler Gateway mit Passcodes an, die von durch Sicherheitstoken generierten Tokencodes abgeleitet sind und in manchen Fällen mit einer PIN kombiniert werden. Wenn Sie zur Passthrough-Authentifizierung ausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie Microsoft Active Directory-Domänenanmeldeinformationen.
  • Domäne und Sicherheitstoken: Benutzer, die sich an NetScaler Gateway anmelden, müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodes eingeben.
  • Clientzertifikat: Benutzer melden sich bei NetScaler Gateway an und werden auf Grundlage der Attributen im Clientzertifikat, das NetScaler Gateway übergeben wird, authentifiziert. Konfigurieren Sie die Clientzertifikat-Authentifizierung, damit Benutzer sich an NetScaler Gateway mit Smartcards anmelden können. Die Clientzertifikat-Authentifizierung kann zusammen mit anderen Authentifizierungstypen verwendet werden, um Zweiquellenauthentifizierung bereitzustellen.

StoreFront bietet Passthrough-Authentifizierung für Remotebenutzer über den NetScaler Gateway-Authentifizierungsdienst, damit diese Benutzer ihre Anmeldeinformationen nur einmal eingeben müssen. Standardmäßig ist die Passthrough-Authentifizierung jedoch nur für Benutzer aktiviert, die sich an NetScaler Gateway mit einem Kennwort anmelden. Zum Konfigurieren der Passthrough-Authentifizierung von NetScaler Gateway bei StoreFront für Smartcardbenutzer delegieren Sie die Validierung der Anmeldeinformationen an NetScaler Gateway. Weitere Informationen finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

Benutzer können eine Verbindung mit Stores in Citrix Receiver mit Passthrough-Authentifizierung über einen SSL-VPN-Tunnel (Secure Sockets Layer, virtuelles privates Netzwerk) mit dem NetScaler Gateway Plug-In herstellen. Remotebenutzer, die das NetScaler Gateway Plug-In nicht installieren können, können über den clientlosen Zugriff eine Verbindung mit Stores in Citrix Receiver mit Passthrough-Authentifizierung herstellen. Zur Verwendung des clientlosen Zugriffs für eine Verbindung mit Stores benötigen Benutzer eine Version von Citrix Receiver, die den clientlosen Zugriff unterstützt.

Darüber hinaus können Sie clientlosen Zugriff mit Passthrough-Authentifizierung zu Receiver für Web-Sites aktivieren. Konfigurieren Sie dazu NetScaler Gateway als sicheren Remoteproxy. Benutzer melden sich direkt bei NetScaler Gateway an und verwenden die Receiver für Web-Site, um auf ihre Anwendungen zuzugreifen, ohne sich neu authentifizieren zu müssen. Weitere Informationen zum Konfigurieren von NetScaler Gateway als Remoteproxy finden Sie unter Creating and Applying Web and File Share Links.

Benutzer, die über den clientlosen Zugriff eine Verbindung zu App Controller-Ressourcen herstellen, können nur auf externe SaaS-Anwendungen (Software-as-a-Service) zugreifen. Für den Zugriff auf interne Webanwendungen müssen Remotebenutzer das NetScaler Gateway Plug-In verwenden.

Wenn Sie die Zweiquellenauthentifizierung bei NetScaler Gateway für Remotebenutzer konfigurieren, die von Citrix Receiver aus auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien für NetScaler Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode im Sitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. Beim Hinzufügen des NetScaler Gateway-Geräts in der StoreFront-Konfiguration legen Sie für Logon type die Einstellung Domain and security token fest. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364.

Zum Aktivieren der Multidomänenauthentifizierung über NetScaler Gateway bei StoreFront setzen Sie in der NetScaler Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne SSO Name Attribute auf userPrincipalName. Sie können festlegen, dass die Benutzer auf der NetScaler Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zu verwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren der NetScaler Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFront anmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänen beschränken.

Wenn die NetScaler Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zur Steuerung des Benutzerzugriffs auf XenDesktop- und XenApp-Ressourcen auf der Basis von NetScaler Gateway-Sitzungsrichtlinien verwenden. Weitere Informationen zu SmartAccess finden Sie unter Configuring SmartAccess on NetScaler Gateway.

Smartcards

Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores. Wenn Sie StoreFront installieren und den ersten Store erstellen, wird die Smartcardauthentifizierung standardmäßig deaktiviert. Die Smartcardauthentifizierung kann für Benutzer aktiviert werden, die über Citrix Receiver, Receiver für Web, Desktopgerätesites und XenApp Services-URLs eine Verbindung mit Stores herstellen.

Verwenden Sie die Smartcardauthentifizierung zur Vereinfachung der Anmeldung für Ihre Benutzer und zur gleichzeitigen Erhöhung der Sicherheit von deren Zugriff auf Ihre Infrastruktur. Der Zugriff auf das interne Unternehmensnetzwerk ist durch die zertifikatbasierte Zweifaktorauthentifizierung mit der Public Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.

Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei von XenDesktop und XenApp bereitgestellten Desktops und Anwendungen verwenden. Benutzer von Smartcard, die sich bei StoreFront anmelden, können auch auf von App Controller bereitgestellte Anwendungen zugreifen. Für den Zugriff auf App Controller-Webanwendungen, für die Clientzertifikatauthentifizierung verwendet wird, müssen sich Benutzer jedoch neu authentifizieren.

Zum Aktivieren der Smartcardauthentifizierung müssen Benutzerkonten entweder in der Microsoft Active Directory-Domäne der StoreFront-Server konfiguriert werden oder in einer Domäne, die über eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne verfügt. Bereitstellungen mit mehreren Gesamtstrukturen mit unidirektionalen Vertrauensstellungen oder Vertrauensstellungen anderen Typs werden nicht unterstützt.

Die Konfiguration der Smartcardauthentifizierung bei StoreFront hängt von den Benutzergeräten, den installierten Clients und davon ab, ob die Geräte in die Domäne eingebunden sind. In diesem Zusammenhang bedeutet in die Domäne eingebunden, das die Geräte in eine Domäne in der Active Directory-Gesamtstruktur eingebunden sind, die die StoreFront-Server enthält.

Verwenden von Smartcards mit Receiver für Windows

Benutzer mit Geräten, die Receiver für Windows ausführen, können sich mit Smartcards direkt oder über NetScaler Gateway authentifizieren. Es können domänengebundene und nicht domänengebundene Geräte verwendet werden, allerdings bei einer geringfügig anderen Benutzererfahrung.

Die Abbildung zeigt die Optionen für die Smartcardauthentifizierung über Receiver für Windows.


Sie können Smartcardauthentifizierung für lokale Benutzer mit in Domänen eingebundenen Geräten konfigurieren, sodass Benutzer nur einmal zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Benutzer melden sich bei ihren Geräten mit ihrer Smartcard und PIN an und werden bei entsprechender Konfiguration nicht noch einmal zur Eingabe ihrer PIN aufgefordert. Benutzer werden automatisch bei StoreFront authentifiziert und auch, wenn sie auf ihre Desktops und Anwendungen zugreifen. Hierzu konfigurieren Sie Receiver für Windows für Passthrough-Authentifizierung und aktivieren Domänen-Passthrough-Authentifizierung für StoreFront.

Bei nicht in Domänen eingebundenen Geräten im lokalen Netzwerk werden Benutzer mindestens zwei Mal zum Eingeben ihrer Anmeldeinformationen aufgefordert. Benutzer melden sich beim Gerät an und authentifizieren sich dann bei Citrix Receiver für Windows mit ihrer Smartcard und PIN. Bei entsprechender Konfiguration werden Benutzer nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Aktivieren Sie hierzu die Smartcardauthentifizierung bei StoreFront.

Da Benutzer nicht domänengebundener Geräte sich direkt an Receiver für Windows anmelden, können Sie für diese Benutzer ein Fallback auf die explizite Authentifizierung aktivieren. Wenn Sie Smartcard- und explizite Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aber bei Problemen mit der Smartcard die explizite Authentifizierung auswählen.

Benutzer, die eine Verbindung über NetScaler Gateway herstellen, müssen sich mindestens zwei Mal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Dies gilt sowohl für in Domänen eingebundene Geräte als auch für Geräte, die nicht in Domänen eingebunden sind. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an NetScaler Gateway. Erstellen Sie dann einen weiteren virtuellen NetScaler Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen. Für in Domänen eingebundene Geräte müssen Sie zudem Receiver für Windows für Passthrough-Authentifizierung konfigurieren.

Benutzer können sich bei NetScaler Gateway mit Smartcard und PIN oder mit expliziten Anmeldeinformationen anmelden. Sie erhalten so die Möglichkeit, für die Anmeldung bei NetScaler Gateway auf die explizite Authentifizierung zurückzugreifen. Konfigurieren Sie die Passthrough-Authentifizierung von NetScaler Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an NetScaler Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden.

Verwenden von Smartcards mit Desktopgerätesites

Nicht domänengebundene Windows-Desktopgeräte können so konfiguriert werden, dass Benutzer sich mit einer Smartcard an ihren Desktops anmelden können. Citrix Desktop Lock ist auf dem Gerät erforderlich und Internet Explorer muss für den Zugriff auf die Desktopgerätesite verwendet werden.

Die Abbildung zeigt die Smartcardauthentifizierung von einem nicht domänengebundenen Desktopgerät aus.


Wenn Benutzer auf Desktopgeräte zugreifen, startet Internet Explorer im Vollbildmodus und zeigt den Anmeldebildschirm für eine Desktopgerätesite an. Die Benutzer authentifizieren sich bei der Site mit ihrer Smartcard und PIN. Wenn die Desktopgerätesite für die Passthrough-Authentifizierung konfiguriert ist, werden die Benutzer automatisch authentifiziert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Benutzer werden nicht aufgefordert, die PIN neu einzugeben. Ohne Passthrough-Authentifizierung müssen Benutzer ihre PIN ein zweites Mal eingeben, wenn sie einen Desktop oder eine Anwendung starten.

Sie können Benutzern Fallback auf die explizite Authentifizierung ermöglichen, wenn diese Probleme mit ihren Smartcards haben. Hierfür konfigurieren Sie die Desktopgerätesite für die Smartcard- und die explizite Authentifizierung. In dieser Konfiguration gilt die Smartcardauthentifizierung als primäre Zugriffsmethode, Benutzer werden daher zunächst zur Eingabe ihrer PIN aufgefordert. Die Site enthält aber auch einen Link zur Anmeldung mit expliziten Anmeldeinformationen.

Verwenden von Smartcards mit XenApp Services-URLs

Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, die Citrix Desktop Lock ausführen, können sich mit Smartcards authentifizieren. Im Gegensatz zu anderen Zugriffsmethoden wird Passthrough von Smartcardanmeldeinformationen automatisch aktiviert, wenn die Smartcardauthentifizierung für eine XenApp Services-URL konfiguriert wird.

Die Abbildung zeigt die Smartcardauthentifizierung von einem domänengebundenen Gerät aus auf dem Citrix Desktop Lock ausgeführt wird.


Die Benutzer melden sich bei ihren Geräten mit Smartcard und PIN an. Citrix Desktop Lock authentifiziert dann die Benutzer automatisch bei StoreFront über die XenApp Services-URL. Benutzer werden automatisch authentifiziert, wenn sie auf ihre Desktops und Anwendungen zugreifen, und müssen ihre PIN nicht neu eingeben.

Verwenden von Smartcards mit Receiver für Web

Sie können die Smartcardauthentifizierung für Receiver für Web in der StoreFront-Verwaltungskonsole aktivieren.

  1. Wählen Sie den Knoten Receiver für Web im linken Bereich aus.
  2. Wählen Sie die Site aus, für die Sie die Smartcardauthentifizierung verwenden möchten.
  3. Wählen Sie die Aufgabe Authentifizierungsmethoden auswählen im rechten Bereich.
  4. Aktivieren Sie das Smartcardkontrollkästchen im Popupdialogfeld und klicken Sie auf OK.

Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenApp für Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräte verwenden und nicht über NetScaler Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Store herstellen.

Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenApp für Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräte verwenden und über NetScaler Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmte Benutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungen erzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

Verwenden von Smartcards mit Receiver für iOS und Android

Benutzer mit Geräten, die Receiver für iOS oder Receiver für Android ausführen, können sich mit Smartcards direkt oder über NetScaler Gateway authentifizieren. Es können nicht in Domänen eingebundene Geräte verwendet werden.

Bei Geräten im lokalen Netzwerk werden Benutzer mindestens zwei Mal zum Eingeben ihrer Anmeldeinformationen aufgefordert. Wenn sich Benutzer bei StoreFront authentifizieren oder den Store erstellen, werden sie aufgefordert, die PIN der Smartcard einzugeben. Bei entsprechender Konfiguration werden Benutzer nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Hierfür aktivieren Sie die Smartcardauthentifizierung für StoreFront und installieren Smartcardtreiber auf dem VDA.

Bei diesen Receiver-Versionen können Sie Smartcards ODER Domänenanmeldeinformationen angeben. Wenn Sie einen Store für die Verwendung von Smartcards erstellt haben und mit demselben Store eine Verbindung unter Verwendung von Domänenanmeldeinformationen herstellen möchten, müssen Sie einen separaten Store ohne Aktivierung von Smartcards erstellen.

Benutzer, die eine Verbindung über NetScaler Gateway herstellen, müssen sich mindestens zwei Mal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an NetScaler Gateway. Erstellen Sie dann einen weiteren virtuellen NetScaler Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen.

Benutzer können sich bei NetScaler Gateway mit Smartcard und PIN oder mit expliziten Anmeldeinformationen anmelden, je nachdem wie Sie die Authentifizierung für die Verbindung konfiguriert haben. Konfigurieren Sie die Passthrough-Authentifizierung von NetScaler Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an NetScaler Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden. Wenn Sie die Authentifizierungsmethode wechseln möchten, müssen Sie die Verbindung löschen und neu erstellen.

Verwenden von Smartcards mit Receiver für Linux

Benutzer mit Geräten, auf denen Receiver für Linux ausgeführt wird, können sich mit Smartcards ähnlich wie Benutzer nicht domänengebundener Windows-Geräte authentifizieren. Selbst wenn sich ein Benutzer auf dem Linux- Gerät mit einer Smartcard authentifiziert, gibt es in Receiver für Linux keinen Mechanismus zum Abrufen oder Wiederverwenden der eingegebenen PIN.

Konfigurieren Sie die serverseitigen Komponenten für Smartcards so, wie Sie sie für die Verwendung mit Receiver für Windows konfigurieren. Weitere Informationen finden Sie unter How To Configure StoreFront 2.x and Smart Card Authentication for Internal Users using Stores. Anweisungen zur Verwendung von Smartcards finden Sie in den eDocs zu Receiver für Linux.

Die Mindestzahl der Anmeldeaufforderungen an Benutzer ist 1. Benutzer melden sich beim Gerät an und authentifizieren sich dann bei Citrix Receiver für Linux mit ihrer Smartcard und PIN. Die Benutzer werden nicht noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Aktivieren Sie hierzu die Smartcardauthentifizierung bei StoreFront.

Da die Benutzer sich direkt bei Receiver für Linux anmelden, können Sie ein Fallback auf die explizite Authentifizierung aktivieren. Wenn Sie Smartcard- und explizite Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aber bei Problemen mit der Smartcard die explizite Authentifizierung auswählen.

Benutzer, die eine Verbindung über NetScaler Gateway herstellen, müssen sich mindestens einmal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nicht noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit NetScaler Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an NetScaler Gateway. Erstellen Sie dann einen weiteren virtuellen NetScaler Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen.

Benutzer können sich bei NetScaler Gateway mit Smartcard und PIN oder mit expliziten Anmeldeinformationen anmelden. Sie erhalten so die Möglichkeit, für die Anmeldung bei NetScaler Gateway auf die explizite Authentifizierung zurückzugreifen. Konfigurieren Sie die Passthrough-Authentifizierung von NetScaler Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an NetScaler Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden.

Smartcards für Receiver für Linux werden auf den XenApp Services-Supportsites nicht unterstützt.

Wenn die Smartcard-Unterstützung sowohl auf dem Server als auch in Receiver aktiviert ist, können Smartcards zu folgenden Zwecken eingesetzt werden:

  • Smartcard-Anmeldeauthentifizierung: Verwendung von Smartcards zur Authentifizierung von Benutzern bei Citrix XenApp- und XenDesktop-Servern.
  • Smartcard-Anwendungsunterstützung: Zugriff auf lokale Smartcardgeräte über smartcardfähige veröffentlichte Anwendungen.

Verwenden von Smartcards für XenApp Services-Support

Benutzer, die sich bei XenApp Services-Supportsites zum Starten von Anwendungen und Desktops anmelden, können sich ohne spezielle Hardware, Betriebssysteme und Receiver mit Smartcards authentifizieren. Wenn ein Benutzer auf eine XenApp Services-Supportsite zugreift und erfolgreich eine Smartcard und PIN eingibt, ermittelt PNA die Identität des Benutzers, authentifiziert diesen bei StoreFront und gibt die verfügbaren Ressourcen zurück.

Damit Passthrough- und Smartcardauthentifizierung funktionieren, müssen Sie die Option An XML-Dienst gesendeten Anfragen vertrauen aktivieren.

Starten Sie mit einem Konto mit lokalen Administratorrechten auf dem Delivery Controller Windows PowerShell und geben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit der Delivery Controller von StoreFront gesendeten XML-Anfragen vertraut. Die folgenden Schritte gelten für XenApp 7.5 und höher sowie für XenDesktop 7.0 und höher. Informationen zu älteren Versionen finden Sie unter http://support.citrix.com/proddocs/topic/xenapp6-w2k8-admin/ps-sf-citrix-xml-service-port-set-v2.html und http://support.citrix.com/proddocs/topic/access-gateway-50/ag-50-integrate-wi-client-xd5-xml-trust-tsk.html.

  1. Laden Sie die Citrix Cmdlets durch Eingeben von asnp Citrix*. herunter.
  2. Geben Sie Add-PSSnapin citrix.broker.admin.v2 ein.
  3. Geben Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True ein.
  4. Schließen Sie PowerShell.

Weitere Informationen zur Konfiguration der Smartcardauthentifizierung für XenApp Services-Support finden Sie unter Konfigurieren der Authentifizierung für XenApp Services-URLs.

Wichtige Hinweise

Die Verwendung von Smartcards für die Benutzerauthentifizierung bei StoreFront unterliegt den folgenden Anforderungen und Einschränkungen.

  • Zur Verwendung eines VPN-Tunnels (virtuelles privates Netzwerk) mit Smartcardauthentifizierung müssen Benutzer das NetScaler Gateway Plug-In installieren und sich über eine Webseite anmelden, wobei sie sich für jeden Schritt mit Smartcard und PIN authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem NetScaler Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Auf einem Benutzergerät können mehrere Smartcards und mehrere Smartcardleser verwendet werden. Wenn Sie jedoch die Passthrough-Authentifizierung mit Smartcard aktivieren, müssen Benutzer darauf achten, dass beim Zugriff auf einen Desktop oder eine Anwendung nur eine Smartcard eingeführt ist.
  • Wird eine Smartcard innerhalb einer Anwendung verwendet (z. B. zur digitalen Signierung oder zur Verschlüsselung), werden möglicherweise zusätzliche Aufforderungen zum Einführen einer Smartcard oder zur Eingabe einer PIN angezeigt. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden. Benutzer, die zum Einführen einer Smartcard aufgefordert werden, obwohl bereits eine Smartcard einliegt, müssen auf Abbrechen klicken. Wenn Benutzer aufgefordert werden, ein PIN einzugeben, müssen sie die PIN neu eingeben.
  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenApp für Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräte verwenden und nicht über NetScaler Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Store herstellen.
  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei XenDesktop und XenApp für Receiver für Windows-Benutzer aktivieren, die domänengebundene Geräte verwenden und über NetScaler Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmte Benutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungen erzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
  • Nur eine Authentifizierungsmethode kann für jede XenApp Services-URL konfiguriert werden und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zur Smartcardauthentifizierung weitere Authentifizierungsmethoden aktivieren möchten, müssen Sie für jede Authentifizierungsmethode einen eigenen Store mit einer XenApp Services-URL erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.
  • Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in Microsoft Internetinformationsdienste (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an. Dank dieser Konfiguration können Sie Smartcardbenutzern die Option des Fallbacks auf die explizite Authentifizierung gewähren, wenn diese Probleme mit ihren Smartcards haben. Abhängig von den entsprechenden Windows-Richtlinieneinstellungen können Benutzer auch ihre Smartcard entfernen, ohne sich neu authentifizieren zu müssen.

    Wenn Sie IIS für die Anforderung von Clientzertifikaten für alle HTTPS-Verbindungen mit allen StoreFront-URLs konfigurieren, müssen Authentifizierungsdienst und Stores auf demselben Server sein. Sie müssen ein Clientzertifikat verwenden, das für alle Stores gültig ist. Innerhalb dieser IIS-Sitekonfiguration können Smartcardbenutzer keine Verbindung über NetScaler Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen.