StoreFront

Konfigurieren des Authentifizierungsdiensts

Authentifizierungsmethoden verwalten

Sie können Benutzerauthentifizierungsmethoden, die beim Erstellen des Authentifizierungsdiensts eingestellt wurden, aktivieren oder deaktivieren, indem Sie im Ergebnisbereich der Citrix StoreFront-Verwaltungskonsole eine Authentifizierungsmethode auswählen und im Bereich Aktionen auf Authentifizierungsmethoden verwalten klicken.

  1. Klicken Sie im Windows-Startbildschirm oder im Apps-Bildschirm auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
  3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen.

Lokalisiertes Bild

  • Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die explizite Authentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihre Anmeldeinformationen ein.
  • Wählen Sie das Kontrollkästchen SAML-Authentifizierung, um die Integration eines SAML-Identitätsanbieters zu ermöglichen. Benutzer authentifizieren sich bei einem Identitätsanbieter und werden beim Zugriff auf ihre Stores automatisch angemeldet. Dropdownmenü “Einstellungen”:
    • Wählen Sie Identitätsanbieter, um die Vertrauensstellung mit dem Identitätsanbieter zu konfigurieren.
    • Wählen Sie Dienstanbieter, um die Vertrauensstellung mit dem Dienstanbieter zu konfigurieren. Diese Informationen sind für den Identitätsanbieter erforderlich.
  • Aktivieren Sie Domänen-Passthrough, um Passthrough für Active Directory-Domänenanmeldeinformationen von Benutzergeräten zu aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die der Domäne angehören, und werden beim Zugriff auf ihre Stores automatisch angemeldet. Um diese Option verwenden zu können, muss Passthrough-Authentifizierung aktiviert sein, wenn Citrix Receiver für Windows bzw. die Citrix Workspace-App auf den Benutzergeräten installiert ist.

    Hinweis:

    Domänenpassthrough für Citrix Receiver für Web ist auf Windows-Betriebssysteme mit Internet Explorer, Microsoft Edge, Mozilla Firefox und Google Chrome beschränkt. Dabei stützen sich die Browser auf eine erfolgreiche Clienterkennung, um mit nativen Citrix Workspace-Apps zu kommunizieren. Dies ist eine Voraussetzung für das Funktionieren der Domänenpassthrough-Authentifizierung

  • Aktivieren Sie Smartcard, um die Smartcardauthentifizierung zu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores.
  • Aktivieren Sie HTTP Basic, um die HTTP Basic-Authentifizierung zu aktivieren. Benutzer authentifizieren sich über den IIS-Webserver des StoreFront-Servers.
  • Aktivieren Sie Passthrough-Authentifizierung von Citrix Gateway zum Aktivieren der Passthrough-Authentifizierung von Citrix Gateway. Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet.

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über Citrix Gateway zugreifen, verwenden Sie die Aufgabe “Delegierte Authentifizierung konfigurieren”.

Konfigurieren vertrauenswürdiger Benutzerdomänen

Mit der Aufgabe “Vertrauenswürdige Domänen” schränken Sie den Zugriff auf Stores für Benutzer ein, die sich mit expliziten Domänenanmeldeinformationen entweder direkt oder über die Passthrough-Authentifizierung von Citrix Gateway anmelden.

  1. Klicken Sie im Windows-Startbildschirm oder im Apps-Bildschirm auf die Kachel Citrix StoreFront.

  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten “Stores” und im Ergebnisbereich die gewünschte Authentifizierungsmethode aus. Klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.

  3. Wählen Sie im Dropdownmenü Benutzername und Kennwort > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.

  4. Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste “Vertrauenswürdige Domänen” aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen, wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen.

    Wie Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.

  5. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.

  6. Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen “Domänenliste auf Anmeldeseite anzeigen”.

Zulassen der Kennwortänderung durch Benutzer

Mit der Aufgabe Kennwortoptionen verwalten können Sie zulassen, dass Benutzer der Citrix Workspace-App und von Receiver für Web, die sich mit Domänenanmeldeinformationen anmelden, ihre Kennwörter ändern. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer der Citrix Workspace-App und von Citrix Receiver für Web ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.

  1. Citrix Receiver für Web unterstützt die Kennwortänderung bei Ablauf und die Kennwortänderung auf Wunsch. Alle Desktopversionen der Citrix Workspace-App unterstützen die Kennwortänderung über Citrix Gateway nur bei Kennwortablauf. Klicken Sie im Windows-Startbildschirm oder im Apps-Bildschirm auf die Kachel Citrix StoreFront.

  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.

  3. Wählen Sie im Dropdownmenü Benutzername und Kennwörter > Einstellungen die Option Kennwortoptionen verwalten aus. Legen Sie die Bedingungen fest, unter denen Benutzer von Citrix Receiver für Web-Sites, die sich mit Domänenanmeldeinformationen anmelden, ihr Kennwort ändern können.

    • Damit Benutzer ihre Kennwörter jederzeit auf Wunsch ändern können, wählen Sie Jederzeit. Lokalen Benutzern, deren Kennwort bald abläuft, wird bei der Anmeldung eine Warnung angezeigt. Warnungen über den Ablauf von Kennwörtern werden nur für Benutzer angezeigt, die eine Verbindung über das interne Netzwerk herstellen. Standardmäßig hängt der Benachrichtigungszeitraum von der entsprechenden Windows-Richtlinieneinstellung ab. Weitere Informationen zum Einrichten benutzerdefinierter Benachrichtigungszeiträume finden Sie unter Konfigurieren des Zeitraums für den Kennwortablauf. Wird nur für Citrix Receiver für Web unterstützt.
    • Sollen Benutzer ihre Kennwörter nur ändern können, wenn sie abgelaufen sind, wählen Sie Nach Ablauf. Benutzer, die sich nicht anmelden können, weil das Kennwort abgelaufen ist, werden an das Dialogfeld Kennwort ändern weitergeleitet. Dies wird für die Citrix Workspace-App und für Citrix Receiver für Web unterstützt.

      Hinweis:

      Stellen Sie sicher, dass auf den StoreFront-Servern ausreichend Speicherplatz zum Speichern aller Benutzerprofile vorhanden ist. Um zu prüfen, ob das Kennwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf dem Server. StoreFront muss eine Verbindung mit dem Domänencontroller herstellen können, um die Kennwörter der Benutzer zu ändern.

    • Um zu verhindern, dass Benutzer ihre Kennwörter ändern, wählen Sie die Option Benutzern erlauben, Passwörter zu ändern nicht aus. Wenn Sie diese Option nicht auswählen, müssen Sie Benutzern unterstützen, die keinen Zugriff auf ihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.
    Citrix Workspace-App Benutzer kann ein abgelaufenes Kennwort ändern, sofern in StoreFront aktiviert Benutzer wird benachrichtigt, dass das Kennwort abläuft Benutzer kann das Kennwort vor Ablaufen ändern, sofern in StoreFront aktiviert
    Windows Ja    
    Mac Ja    
    Android      
    iOS      
    Linux Ja    
    Web-Site Ja Ja Ja

Einstellungen für gemeinsam genutzte Authentifizierung

Verwenden Sie die Aufgabe zur Einstellung des gemeinsam genutzten Authentifizierungsdiensts zum Angeben von Stores, die den Authentifizierungsdienst gemeinsam verwenden, sodass Single Sign-On möglich ist.

  1. Klicken Sie im Windows-Startbildschirm oder im Apps-Bildschirm auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.
  3. Wählen Sie im Dropdownmenü Erweitert die Option Freigegebener Authentifizierungsdienst - Einstellungen aus.
  4. Klicken Sie auf das Kontrollkästchen Freigegebenen Authentifizierungsdienst verwenden und wählen Sie einen Store aus dem Dropdownmenü Store aus.

Hinweis:

Es gibt keinen funktionalen Unterschied zwischen einem gemeinsam genutzten und einem dedizierten Authentifizierungsdienst. Ein von mehreren Stores genutzter Authentifizierungsdienst wird als gemeinsam verwendeter Authentifizierungsdienst behandelt und alle Konfigurationsänderungen gelten für alle Stores, die den Authentifizierungsdienst gemeinsam nutzen.

Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über Citrix Gateway zugreifen, verwenden Sie die Aufgabe “Delegierte Authentifizierung konfigurieren”. Diese Aufgabe ist nur verfügbar, wenn Passthrough-Authentifizierung von Citrix Gateway aktiviert und im Ergebnisbereich ausgewählt ist.

Wenn die Validierung der Anmeldeinformationen an Citrix Gateway delegiert wird, authentifizieren sich Benutzer bei Citrix Gateway mit Smartcards und werden beim Zugriff auf ihre Stores automatisch angemeldet. Diese Einstellung ist standardmäßig deaktiviert, wenn Sie die Passthrough-Authentifizierung von Citrix Gateway aktivieren, sodass die Passthrough-Authentifizierung nur erfolgt, wenn Benutzer sich bei Citrix Gateway mit einem Kennwort anmelden.

Konfigurieren des Authentifizierungsdiensts