Konfigurieren des Authentifizierungsdiensts

Authentifizierungsmethoden verwalten

Sie können Benutzerauthentifizierungsmethoden, die beim Erstellen des Authentifizierungsdiensts eingestellt wurden, aktivieren oder deaktivieren, indem Sie im Ergebnisbereich der Citrix StoreFront-Verwaltungskonsole eine Authentifizierungsmethode auswählen und im Bereich Aktionen auf Authentifizierungsmethoden verwalten klicken.

  1. Klicken Sie auf der Windows-Startseite oder auf der Seite “Apps” auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus und klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
  3. Geben Sie an, welche Zugriffsmethoden für die Benutzer aktiviert werden sollen.

lokalisiertes Bild

  • Aktivieren Sie das Kontrollkästchen Benutzername und Kennwort, um die explizite Authentifizierung zu aktivieren. Benutzer geben beim Zugriff auf ihre Stores ihre Anmeldeinformationen ein.
  • Wählen Sie das Kontrollkästchen SAML-Authentifizierung, um die Integration eines SAML-Identitätsanbieters zu ermöglichen. Benutzer authentifizieren sich bei einem Idenditätsanbieter und werden beim Zugriff auf ihre Stores automatisch angemeldet. Dropdownmenü “Einstellungen”:
    • Wählen Sie Identitätsanbieter, um die Vertrauensstellung mit dem Identitätsanbieter zu konfigurieren.
    • Wählen Sie Dienstanbieter, um die Vertrauensstellung mit dem Dienstanbieter zu konfigurieren. Diese Informationen sind für den Identitätsanbieter erforderlich.
  • Aktivieren Sie Domänen-Passthrough, um Passthrough für Active Directory-Domänenanmeldeinformationen von Benutzergeräten zu aktivieren. Benutzer authentifizieren sich bei den Windows-Computern, die der Domäne angehören, und werden beim Zugriff auf ihre Stores automatisch angemeldet. Um diese Option verwenden zu können, muss Passthrough-Authentifizierung aktiviert sein, wenn Citrix Receiver für Windows bzw. die Citrix Workspace-App auf den Benutzergeräten installiert ist.
  • Aktivieren Sie Smartcard, um die Smartcardauthentifizierung zu aktivieren. Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores.
  • Aktivieren Sie HTTP Basic, um die HTTP Basic-Authentifizierung zu aktivieren. Benutzer authentifizieren sich über den IIS-Webserver des StoreFront-Servers.
  • Aktivieren Sie Passthrough-Authentifizierung von Citrix Gateway zum Aktivieren der Passthrough-Authentifizierung von Citrix Gateway. Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet.

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über Citrix Gateway zugreifen, verwenden Sie die Aufgabe “Delegierte Authentifizierung konfigurieren”.

Konfigurieren vertrauenswürdiger Benutzerdomänen

Mit der Aufgabe “Vertrauenswürdige Domänen” schränken Sie den Zugriff auf Stores für Benutzer ein, die sich mit expliziten Domänenanmeldeinformationen entweder direkt oder über die Passthrough-Authentifizierung von Citrix Gateway anmelden.

  1. Klicken Sie auf der Windows-Startseite oder auf der Seite “Apps” auf die Kachel Citrix StoreFront.

  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten “Stores” und im Ergebnisbereich die gewünschte Authentifizierungsmethode aus. Klicken Sie im Bereich “Aktionen” auf Authentifizierungsmethoden verwalten.

  3. Wählen Sie im Dropdownmenü Benutzername und Kennwort > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.

  4. Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in der Domäne können sich an allen Stores anmelden, die diesen Authentifizierungsdienst verwenden. Zum Ändern eines Domänennamens wählen Sie den Eintrag in der Liste “Vertrauenswürdige Domänen” aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in der Domäne zu entfernen, wählen Sie eine Domäne in der Liste aus und klicken Sie auf Entfernen.

    Die Art, in der Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format des Domänenbenutzernamens eingeben sollen, fügen Sie der Liste den NetBIOS-Namen hinzu. Sollen Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie der Liste den vollqualifizierten Domänennamen hinzu. Wenn Benutzern ermöglicht werden soll, ihre Anmeldeinformationen sowohl im Format des Domänenbenutzernamens als auch im Format des Benutzerprinzipalnamens einzugeben, müssen Sie der Liste den NetBIOS-Namen und den vollqualifizierten Domänennamen hinzufügen.

  5. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie in der Liste Standarddomäne die Domäne aus, die standardmäßig ausgewählt wird, wenn Benutzer sich anmelden.

  6. Sollen die vertrauenswürdigen Domänen auf der Anmeldeseite aufgelistet werden, klicken Sie auf das Kontrollkästchen Domänenliste auf Anmeldeseite anzeigen.

Zulassen der Kennwortänderung durch Benutzer

Mit der Aufgabe Kennwortoptionen verwalten können Sie zulassen, dass Benutzer der Citrix Workspace-App und von Receiver für Web, die sich mit Domänenanmeldeinformationen anmelden, ihre Kennwörter ändern. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer der Citrix Workspace-App und von Citrix Receiver für Web ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren, vergewissern Sie sich, dass die Richtlinien für die Domänen mit Ihren Servern nicht die Benutzer davon abhalten, ihre Kennwörter zu ändern. Wenn Benutzer Kennwörter ändern können, werden vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann.

  1. Citrix Receiver für Web unterstützt die Kennwortänderung bei Ablauf sowie die wahlweise Kennwortänderung. Alle Desktopversionen der Citrix Workspace-App unterstützen die Kennwortänderung über Citrix Gateway nur bei Kennwortablauf. Klicken Sie auf der Windows-Startseite oder auf der Seite “Apps” auf die Kachel Citrix StoreFront.

  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.

  3. Wählen Sie im Dropdownmenü Benutzername und Kennwörter > Einstellungen die Option Kennwortoptionen verwalten und legen Sie die Bedingungen fest, unter denen Benutzer von Citrix Receiver für Web, die sich mit Domänenanmeldeinformationen anmelden, ihr Kennwort ändern können.

    • Damit Benutzer ihre Kennwörter jederzeit auf Wunsch ändern können, wählen Sie Jederzeit. Lokalen Benutzern, deren Kennwort bald abläuft, wird bei der Anmeldung eine Warnung angezeigt. Warnungen über den Ablauf von Kennwörtern werden nur für Benutzer angezeigt, die eine Verbindung über das interne Netzwerk herstellen. Standardmäßig hängt der Benachrichtigungszeitraum von der entsprechenden Windows-Richtlinieneinstellung ab. Weitere Informationen zum Einrichten benutzerdefinierter Benachrichtigungszeiträume finden Sie unter Konfigurieren des Zeitraums für den Kennwortablauf. Wird nur für Citrix Receiver für Web unterstützt.
    • Damit Benutzern ihre Kennwörter nur ändern können, wenn die Kennwörter bereits abgelaufen sind, wählen Sie Nach Ablauf. Benutzer, die sich nicht anmelden können, weil das Kennwort abgelaufen ist, werden an das Dialogfeld Kennwort ändern weitergeleitet. Dies wird für die Citrix Workspace-App und für Citrix Receiver für Web unterstützt.

      Hinweis:

      Stellen Sie sicher, dass auf den StoreFront-Servern ausreichend Speicherplatz zum Speichern aller Benutzerprofile vorhanden ist. Um zu prüfen, ob das Kennwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für den Benutzer auf dem Server. StoreFront muss eine Verbindung mit dem Domänencontroller herstellen können, um die Kennwörter der Benutzer zu ändern.

    • Um zu verhindern, dass Benutzer ihre Kennwörter ändern, wählen Sie die Option Benutzern erlauben, Passwörter zu ändern nicht aus. Wenn Sie diese Option nicht auswählen, müssen Sie Benutzern unterstützen, die keinen Zugriff auf ihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.

    • Um zu verhindern, dass Benutzer ihre Kennwörter ändern, wählen Sie die Option Benutzern erlauben, Passwörter zu ändern nicht aus. Wenn Sie diese Option nicht auswählen, müssen Sie Benutzern unterstützen, die keinen Zugriff auf ihre Desktops und Anwendungen haben, weil das Kennwort abgelaufen ist.
    Citrix Workspace-App Benutzer kann ein abgelaufenes Kennwort ändern, sofern in StoreFront aktiviert Benutzer wird benachrichtigt, dass das Kennwort abläuft Benutzer kann das Kennwort vor Ablaufen ändern, sofern in StoreFront aktiviert
    Windows Ja    
    Mac Ja    
    Android      
    iOS      
    Linux Ja    
    Web-Site Ja Ja Ja

Sicherheitsfragen bei Self-Service-Kennwortzurücksetzung

Mit Self-Service-Kennwortzurücksetzung haben die Benutzer mehr Kontrolle über ihre Benutzerkonten. Wenn Self-Service-Kennwortzurücksetzung konfiguriert ist, können Benutzer, die Probleme mit der Anmeldung haben, ihr Konto entsperren oder ihr Kennwort ändern, nachdem sie einige Sicherheitsfragen korrekt beantwortet haben.

Wenn Sie Self-Service-Kennwortzurücksetzung einrichten, geben Sie an, welche Benutzer Kennwortzurücksetzungen durchführen und ihre Konten über die Verwaltungskonsole entsperren dürfen. Wenn Sie diese Funktionen für StoreFront aktivieren, wird Benutzern unter Umständen aufgrund der in der Konfigurationskonsole für die Self-Service-Kennwortzurücksetzung konfigurierten Einstellungen dennoch die Ausführung dieser Aufgaben verweigert.

Self-Service-Kennwortzurücksetzung steht nur den Benutzern zur Verfügung, die über HTTPS-Verbindungen auf StoreFront zugreifen. Bei verfügbarer Self-Service-Kennwortzurücksetzung können diese Benutzer nicht über eine HTTP-Verbindung auf StoreFront zugreifen und Self-Service-Kennwortzurücksetzung steht nur bei direkter Authentifizierung bei StoreFront mit Benutzernamen und Kennwort zur Verfügung.

Self-Service-Kennwortzurücksetzung unterstützt keine UPN-Anmeldungen, wie username@domain.com.

Bevor Sie Self-Service-Kennwortzurücksetzung für einen Store konfigurieren, müssen Sie Folgendes sicherstellen:

  • Der Store ist für die Authentifizierung mit Benutzernamen und Kennwort konfiguriert.
  • Der Store ist für die Verwendung von nur einer Self-Service-Kennwortzurücksetzung konfiguriert. Wenn StoreFront zur Verwendung mehrerer Farmen in derselben Domäne oder in vertrauenswürdigen Domänen konfiguriert ist, muss Self-Service-Kennwortzurücksetzung so konfiguriert sein, dass Anmeldeinformationen aus all diesen Domänen akzeptiert werden.
  • Der Store ist so konfiguriert, dass Benutzer jederzeit Kennwörter ändern können. Dies ist Voraussetzung dafür, dass Sie die Kennwortzurücksetzung aktivieren können.
  • Sie müssen einen StoreFront-Store einer Receiver für Web-Site zuordnen.

Zur Verwendung der Self-Service-Kennwortzurücksetzung müssen Sie diese installieren und konfigurieren. Sie befindet sich auf dem Medium mit Citrix Virtual Apps and Desktops. Informationen hierzu finden Sie unter Self-Service-Kennwortzurücksetzung.

  1. Wählen Sie zum Aktivieren der Unterstützung der Self-Service-Kennwortzurücksetzung im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores aus, klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten > Benutzername und Kennwort und wählen Sie im Dropdownmenü Kennwortoptionen verwalten.
  2. Wählen Sie, wann Benutzer ihre Kennwörter ändern können, und klicken Sie auf OK.
  3. Wählen Sie im Dropdownmenü Benutzername und Kennwörter die Option Konto-Self-Service konfigurieren, wählen Sie dann Citrix SSPR aus dem Dropdownmenü und klicken Sie auf OK.
  4. Geben Sie an, ob Benutzer mit Self-Service-Kennwortzurücksetzung ihre Kennwörter zurücksetzen und ihre Konten entsperren können, fügen Sie die Konto-URL für den Self-Service-Kennwortzurücksetzungsdienst hinzu, klicken Sie auf OK und dann noch einmal auf OK.

lokalisiertes Bild

Diese Option ist nur verfügbar, wenn die StoreFront-Basis-URL HTTPS ist (nicht HTTP) und die Option Zurücksetzen des Kennworts aktivieren ist nur verfügbar, wenn Sie mit Kennwortoptionen verwalten festgelegt haben, dass die Benutzer ihr Kennwort jederzeit ändern können.

lokalisiertes Bild

Das nächste Mal, wenn ein Benutzer sich an der Citrix Workspace-App oder Citrix Receiver für Web anmeldet, ist die Registrierung für Sicherheitszwecke verfügbar. Nachdem der Benutzer auf Start geklickt hat, werden Fragen angezeigt, die er beantworten muss.

lokalisiertes Bild

Nach der Konfiguration in StoreFront sehen Benutzer den Link Konto-Self-Service im Citrix Receiver für Web-Anmeldebildschirm (wird in der Citrix Workspace-App als Schaltfläche angezeigt).

Durch Klicken auf diesen Link werden Benutzer durch eine Reihe von Formularen geführt. Zunächst wählen sie zwischen Konto entsperren und Kennwort zurücksetzen (wenn beide verfügbar sind).

Nachdem der Benutzer seine Wahl getroffen und auf Weiter geklickt hat, wird er zur Eingabe von Domäne und Benutzername (domäne\benutzer) aufgefordert, sofern diese Daten nicht im Anmeldeformular eingegeben wurden. Der Konto-Self-Service unterstützt keine UPN-Anmeldungen, wie username@domain.com.

lokalisiertes Bild

Sie sind für die Beantwortung der Sicherheitsfrage erforderlich. Stimmen alle Antworten mit den angegebenen Antworten überein, erfolgt der angeforderte Vorgang (Entsperren oder Zurücksetzen) und der Benutzer wird über dessen Erfolg informiert.

Einstellungen für gemeinsam genutzte Authentifizierung

Verwenden Sie die Aufgabe zur Einstellung des gemeinsam genutzten Authentifizierungsdiensts zum Angeben von Stores, die den Authentifizierungsdienst gemeinsam verwenden, sodass Single Sign-On möglich ist.

  1. Klicken Sie auf der Windows-Startseite oder auf der Seite Apps auf die Kachel Citrix StoreFront.
  2. Wählen Sie im linken Bereich der Citrix StoreFront-Verwaltungskonsole den Knoten Stores und im Ergebnisbereich einen Store aus. Klicken Sie im Bereich Aktionen auf Authentifizierungsmethoden verwalten.
  3. Wählen Sie im Dropdownmenü Erweitert die Option Freigegebener Authentifizierungsdienst - Einstellungen aus.
  4. Klicken Sie auf das Kontrollkästchen Freigegebenen Authentifizierungsdienst verwenden und wählen Sie einen Store aus dem Dropdownmenü Store aus.

Hinweis:

Es gibt keinen funktionalen Unterschied zwischen einem gemeinsam genutzten und einem dedizierten Authentifizierungsdienst. Ein von mehreren Stores genutzter Authentifizierungsdienst wird als gemeinsam verwendeter Authentifizierungsdienst behandelt und alle Konfigurationsänderungen gelten für alle Stores, die den Authentifizierungsdienst gemeinsam nutzen.

Delegieren der Anmeldeinformationsvalidierung an Citrix Gateway

Zum Aktivieren der Passthrough-Authentifizierung für Smartcardbenutzer, die auf Stores über Citrix Gateway zugreifen, verwenden Sie die Aufgabe “Delegierte Authentifizierung konfigurieren”. Diese Aufgabe ist nur verfügbar, wenn Passthrough-Authentifizierung von Citrix Gateway aktiviert und im Ergebnisbereich ausgewählt ist.

Wenn die Validierung der Anmeldeinformationen an Citrix Gateway delegiert wird, authentifizieren sich Benutzer bei Citrix Gateway mit Smartcards und werden beim Zugriff auf ihre Stores automatisch angemeldet. Diese Einstellung ist standardmäßig deaktiviert, wenn Sie die Passthrough-Authentifizierung von Citrix Gateway aktivieren, sodass die Passthrough-Authentifizierung nur erfolgt, wenn Benutzer sich bei Citrix Gateway mit einem Kennwort anmelden.