Konfigurieren der Smartcardauthentifizierung

Dieser Artikel bietet einen Überblick über die Aufgaben zum Einrichten der Smartcardauthentifizierung für alle Komponenten in einer typischen StoreFront-Bereitstellung. Weitere Informationen und schrittweise Anweisungen zur Konfiguration finden Sie in der Dokumentation für die einzelnen Produkte.

Unter Smartcard-Konfiguration für Citrix Umgebungen wird beschrieben, wie eine Citrix-Bereitstellung für eine bestimmte Art von Smartcards konfiguriert wird. Bei Smartcards anderer Hersteller sind die Arbeitsschritte ähnlich.

Hinweis:

In diesem Artikel gelten die Erläuterungen zur Citrix Workspace-App, sofern nicht anders angegeben, auch für die unterstützten Versionen von Citrix Receiver.

Voraussetzungen

  • Stellen Sie sicher, dass die Konten für alle Benutzer entweder in der Microsoft Active Directory-Domäne konfiguriert werden, in der Sie die StoreFront-Server bereitstellen, oder in einer Domäne, die eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne hat.
  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards aktivieren möchten, müssen Sie sicherstellen, dass die Smartcardleser, die Art und Konfiguration der Middleware und die Richtlinie für das Zwischenspeichern von Middleware-PINs dies gestatten.
  • Installieren Sie die Smartcard-Middleware des Herstellers auf den virtuellen oder physischen Maschinen, auf denen Virtual Delivery Agent zur Bereitstellung von Desktops und Anwendungen ausgeführt wird. Weitere Informationen zur Verwendung von Smartcards mit Citrix Virtual Desktops finden Sie unter Smartcards.
  • Bevor Sie fortfahren, vergewissern Sie sich, dass die Public Key-Infrastruktur richtig konfiguriert ist. Prüfen Sie die ordnungsgemäße Konfiguration der Zertifikat-/Kontenzuordnung für die Active Directory-Umgebung und ob die Zertifikatüberprüfung erfolgreich ausgeführt werden kann.

Konfigurieren von Citrix Gateway

  • Installieren Sie auf dem Citrix Gateway-Gerät ein signiertes Serverzertifikat von einer Zertifizierungsstelle. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten.

  • Installieren Sie auf dem Citrix Gateway-Gerät das Stammzertifikat der Zertifizierungsstelle, die die Smartcardbenutzerzertifikate ausstellt. Weitere Informationen finden Sie unter To install a root certificate on Citrix Gateway.

  • Erstellen und konfigurieren Sie einen virtuellen Server für die Clientzertifikatauthentifizierung. Erstellen Sie eine Richtlinie für die Zertifikatauthentifizierung mit SubjectAltName:PrincipalName als Benutzernamenextrahierung aus dem Zertifikat. Binden Sie dann die Richtlinie an den virtuellen Server und konfigurieren Sie den virtuellen Server zum Anfordern von Clientzertifikaten. Weitere Informationen finden Sie unter Konfigurieren und Binden einer Richtlinie für die Clientzertifikatauthentifizierung.

  • Binden Sie das Zertifizierungsstellen-Stammzertifikat an den virtuellen Server. Weitere Informationen finden Sie unter To add a root certificate to a virtual server.

  • Sie können sicherstellen, dass Benutzer beim Herstellen einer Verbindung zu ihren Ressourcen nicht ein weiteres Mal vom virtuellen Server aufgefordert werden, ihre Anmeldeinformationen einzugeben, indem Sie einen zweiten virtuellen Server erstellen. Wenn Sie den virtuellen Server erstellen, deaktivieren Sie die Clientauthentifizierung in den SSL-Parametern (Secure Sockets Layer). Weitere Informationen finden Sie unter Configuring smart card authentication.

    Sie müssen auch StoreFront so konfigurieren, dass Benutzerverbindungen zu Ressourcen über diesen zusätzlichen virtuellen Server geleitet werden. Benutzer melden sich beim ersten virtuellen Server an und der zweite virtuelle Server wird für Verbindungen zu ihren Ressourcen verwendet. Wenn die Verbindung hergestellt ist, brauchen Benutzer sich nicht bei Citrix Gateway zu authentifizieren. Sie müssen bei der Anmeldung an ihren Desktops und Anwendungen jedoch ihre PIN eingeben. Das Konfigurieren eines zweiten virtuellen Servers für Verbindungen zu Ressourcen ist optional, sofern Sie nicht planen, allen Benutzern bei Problemen mit der Smartcard den Rückgriff auf die explizite Authentifizierung zu gestatten.

  • Erstellen Sie Sitzungsrichtlinien und Profile für Verbindungen von Citrix Gateway zu StoreFront und binden Sie diese an den geeigneten virtuellen Server. Weitere Informationen finden Sie unter Access to StoreFront Through Citrix Gateway.

  • Wenn Sie den virtuellen Server für Verbindungen mit StoreFront so konfiguriert haben, dass eine Clientzertifikat-Authentifizierung für die gesamte Kommunikation erforderlich ist, müssen Sie einen weiteren virtuellen Server zum Bereitstellen der Callback-URL für StoreFront erstellen. Dieser virtuelle Server wird nur von StoreFront verwendet, um Anforderungen vom Citrix Gateway-Gerät zu überprüfen. Daher muss er nicht öffentlich zugänglich sein. Ein eigener virtueller Server ist erforderlich, wenn die Clientzertifikat-Authentifizierung obligatorisch ist, da StoreFront kein Zertifikat für die Authentifizierung vorlegen kann. Weitere Informationen finden Sie unter Creating Virtual Servers.

Konfigurieren von StoreFront

  • Sie müssen HTTPS für die Kommunikation zwischen StoreFront und Benutzergeräten verwenden, um die Smartcardauthentifizierung zu aktivieren. Konfigurieren Sie Microsoft-Internetinformationsdienste (IIS) für HTTPS, indem Sie ein SSL-Zertifikat in IIS beziehen und dann die HTTPS-Bindung zu der Standardwebsite hinzufügen. Weitere Informationen zum Erstellen eines Serverzertifikats in IIS finden Sie unter https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831637(v=ws.11)#create-certificate-wizard. Weitere Informationen zum Hinzufügen von HTTPS-Bindungen zu einer IIS-Site finden Sie unter https://docs.microsoft.com/en-us/previous-versions/orphan-topics/ws.11/hh831632(v=ws.11).

  • Wenn Sie möchten, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs präsentiert werden, konfigurieren Sie IIS auf dem StoreFront-Server.

    Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in IIS nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. Diese Konfiguration ist erforderlich, damit Smartcardbenutzer auf die explizite Authentifizierung zurückgreifen können und, mit den entsprechenden Windows-Richtlinieneinstellungen, damit Benutzer ihre Smartcard entfernen können, ohne sich neu authentifizieren zu müssen.

    Wenn IIS so konfiguriert ist, dass Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs erforderlich sind, können Benutzer von Smartcards keine Verbindung über Citrix Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen. Zum Aktivieren dieser IIS-Sitekonfiguration müssen Authentifizierungsdienst und Stores auf demselben Server sein und es muss ein Clientzertifikat verwendet werden, das für alle Stores gilt. Die Konfiguration, bei der IIS Clientzertifikate für HTTPS-Verbindungen zu allen StoreFront-URLs benötigt, verursacht einen Konflikt mit der Authentifizierung für Citrix Receiver für Web-Clients. Aus diesem Grund sollte diese Konfiguration nur verwendet werden, wenn Citrix Receiver für Web-Clientzugriff nicht erforderlich ist.

  • Installieren und konfigurieren Sie StoreFront. Erstellen Sie den Authentifizierungsdienst und fügen Sie Ihre Stores wie erforderlich hinzu. Wenn Sie Remotezugriff über Citrix Gateway konfigurieren, aktivieren Sie nicht die VPN-Integration (virtuelles privates Netzwerk). Weitere Informationen finden Sie unter Installieren und Einrichten von StoreFront.

  • Aktivieren Sie die Smartcardauthentifizierung bei StoreFront für lokale Benutzer im internen Netzwerk. Für Smartcardbenutzer, die auf Stores über Citrix Gateway zugreifen, aktivieren Sie die Passthrough-Authentifizierung mit Citrix Gateway und stellen Sie sicher, dass StoreFront so konfiguriert ist, dass die Überprüfung der Anmeldeinformationen an Citrix Gateway delegiert wird. Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Citrix Receiver für Windows bzw. die Citrix Workspace-App für Windows auf in Domänen eingebundenen Benutzergeräten installieren, aktivieren Sie die Domänen-Passthrough-Authentifizierung. Weitere Informationen finden Sie unter Konfigurieren des Authentifizierungsdiensts.

    Für die Citrix Receiver für Web-Clientauthentifizierung mit Smartcards müssen Sie die Authentifizierungsmethode über Citrix Receiver für Web-Site aktivieren. Weitere Informationen finden Sie unter Konfigurieren von Citrix Receiver für Web-Sites.

    Wenn Sie Smartcardbenutzern gestatten möchten, bei Problemen mit der Smartcard auf die explizite Authentifizierung zurückzugreifen, deaktivieren Sie die Authentifizierung über Benutzernamen und Kennwort nicht.

  • Wenn Sie beabsichtigen, die Passthrough-Authentifizierung zu aktivieren, wenn Sie Citrix Receiver für Windows bzw. die Citrix Workspace-App für Windows auf domänengebundenen Benutzergeräten installieren, bearbeiten Sie die Datei default.ica für den Store, um Passthrough der Smartcardanmeldeinformationen bei Zugriff auf Desktops und Anwendungen zu ermöglichen. Weitere Informationen finden Sie unter Aktivieren von Passthrough mit Smartcardauthentifizierung für Citrix Receiver für Windows bzw. die Citrix Workspace-App für Windows.

  • Wenn Sie einen zusätzlichen virtuellen Server für Citrix Gateway erstellt haben, der ausschließlich für Verbindungen zu Ressourcen verwendet werden soll, konfigurieren Sie das optimale Citrix Gateway-Routing über diesen virtuellen Server für Verbindungen mit den Bereitstellungen von Desktops und Anwendungen für den Store. Weitere Informationen finden Sie unter Konfigurieren des optimalen HDX-Routings für einen Store.

  • Damit Benutzer nicht domänengebundener Windows-Desktopgeräte sich bei ihren Desktops mit Smartcards anmelden können, aktivieren Sie die Smartcardauthentifizierung bei den Desktopgerätesites. Weitere Informationen finden Sie unter Konfigurieren von Desktopgerätesites.

Konfigurieren Sie die Desktopgerätesite für Smartcard- und explizite Authentifizierung, damit sich Benutzer bei einem Problem mit der Smartcard mit expliziten Anmeldeinformationen anmelden können.

  • Damit Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, auf denen Citrix Desktop Lock ausgeführt wird, sich mit Smartcards authentifizieren können, aktivieren Sie die Passthrough-Authentifizierung mit Smartcards für die XenApp Services-URLs. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für XenApp Services-URLs.

Konfigurieren von Benutzergeräten

  • Stellen Sie sicher, dass die Smartcard-Middleware des Herstellers auf allen Benutzergeräten installiert ist.

  • Installieren Sie für Benutzer nicht domänengebundener Windows-Desktopgeräte Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Internet Explorer so, dass die Anwendung im Vollbildmodus gestartet und die Desktopgerätesite angezeigt wird, wenn das Gerät eingeschaltet ist. Beachten Sie, dass bei Desktopgerätesite-URLs zwischen Groß- und Kleinschreibung unterschieden wird. Fügen Sie die Desktopgerätesite der Zone “Lokales Intranet” oder “Vertrauenswürdige Sites” in Internet Explorer hinzu. Nachdem Sie geprüft haben, dass Sie sich bei der Desktopgerätesite mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.

  • Installieren Sie für Benutzer domänengebundener Desktopgeräte und für Benutzer umfunktionierter PCs Citrix Receiver für Windows Enterprise mit einem Konto mit Administratorrechten. Konfigurieren Sie Receiver für Windows mit der XenApp Services-URL für den entsprechenden Store. Nachdem Sie geprüft haben, dass Sie sich am Gerät mit einer Smartcard anmelden und auf Ressourcen aus dem Store zugreifen können, installieren Sie Citrix Desktop Lock. Weitere Informationen finden Sie unter Installieren von Desktop Lock.

  • Für alle anderen Benutzer installieren Sie die entsprechende Version der Citrix Workspace-App auf dem Benutzergerät. Zum Aktivieren von Passthrough der Smartcardanmeldeinformationen zu Citrix Virtual Apps and Desktops für Benutzer domänengebundener Geräte verwenden Sie ein Konto mit Administratorrechten für die Installation der Citrix Workspace-App für Windows an einer Eingabeaufforderung mit der Option /includeSSON. Weitere Informationen finden Sie unter Verwenden von Befehlszeilenparametern.

    Stellen Sie sicher, dass die Citrix Workspace-App für Windows für die Smartcardauthentifizierung über eine Domänenrichtlinie oder eine lokale Computerrichtlinie konfiguriert wurde. Für eine Domänenrichtlinie importieren Sie mit der Gruppenrichtlinien-Verwaltungskonsole die Gruppenrichtlinienobjektvorlage für Citrix Workspace-App für Windows, icaclient.adm, auf dem Domänencontroller für die Domäne, in der die Benutzerkonten sind. Zum Konfigurieren eines einzelnen Geräts konfigurieren Sie mit dem Gruppenrichtlinienobjekt-Editor auf dem Gerät die Vorlage. Weitere Informationen finden Sie unter Smartcard.

    Aktivieren Sie die Richtlinie Smartcardauthentifizierung. Zum Gestatten von Passthrough der Smartcardanmeldeinformationen wählen Sie Use pass-through authentication for PIN. Damit die Smartcardanmeldeinformationen an Citrix Virtual Apps and Desktops weitergeleitet werden, aktivieren Sie dann die Richtlinie “Lokaler Benutzername und Kennwort” und wählen Sie die Option “Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen”. Weitere Informationen finden Sie unter Referenz für ICA-Einstellungen.

    Wenn Sie Passthrough von Smartcardanmeldeinformationen an Citrix Virtual Apps and Desktops für Benutzer domänengebundener Geräte aktiviert haben, fügen Sie die Store-URL der Zone “Lokales Intranet” oder “Vertrauenswürdige Sites” in Internet Explorer hinzu. Stellen Sie sicher, dass Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort in den Sicherheitseinstellungen der Zone ausgewählt ist.

  • Wo nötig, stellen Sie Benutzern die Verbindungsinformationen für den Store (Benutzer im internen Netzwerk) oder das Citrix Gateway-Gerät (Remotebenutzer) mit einer entsprechenden Methode zur Verfügung. Weitere Informationen über die Bereitstellung von Konfigurationsinformationen für die Benutzer finden Sie unter Referenz für ICA-Einstellungen.

Aktivieren von Passthrough mit Smartcardauthentifizierung für Citrix Receiver für Windows bzw. die Citrix Workspace-App für Windows

Sie können die Passthrough-Authentifizierung aktivieren, wenn Sie Receiver für Windows auf Benutzergeräten installieren, die in der Domäne sind. Bearbeiten Sie die Datei default.ica für den Store, um Passthrough der Smartcardanmeldeinformationen des Benutzers beim Zugriff auf Desktops und Anwendungen zu aktivieren, die von Citrix Virtual Apps and Desktops gehostet werden.

Wichtig:

Verwenden Sie in einer Multiserverbereitstellung jeweils nur einen Server, um Änderungen an der Konfiguration der Servergruppe vorzunehmen. Stellen Sie sicher, dass die Citrix StoreFront-Verwaltungskonsole nicht auf den anderen Servern der Bereitstellung ausgeführt wird. Wenn Sie die Änderungen vorgenommen haben, übertragen Sie die Konfigurationsänderungen auf die Servergruppe, sodass die anderen Server der Bereitstellung aktualisiert werden.

  1. Öffnen Sie die Datei default.ica für den Store mit einem Texteditor. Die Datei ist normalerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\storename\App_Data\, wobei “storename” für den Namen steht, der beim Erstellen des Stores angegeben wurde.

  2. Für Passthrough von Smartcardanmeldeinformationen für Benutzer, die ohne Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Anwendung] hinzu.

    DisableCtrlAltDel=Off

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

  3. Für Passthrough von Smartcardanmeldeinformationen für Benutzer, die mit Citrix Gateway auf Stores zugreifen, fügen Sie die folgende Einstellung im Bereich [Anwendung] hinzu.

    UseLocalUserAndPassword=On

    Diese Einstellung gilt für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für bestimmte Benutzer zu aktivieren, während andere sich anmelden müssen, um auf ihre Desktops und Anwendungen zuzugreifen, müssen Sie für jede Gruppe von Benutzern verschiedenen Stores erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.