Konfigurieren von Citrix ADC und StoreFront für die delegierte Formularauthentifizierung (DFA)

Die erweiterbare Authentifizierung (extensible authentication) bietet einen einzelnen Anpassungspunkt zur Erweiterung der formularbasierten Authentifizierung des Citrix ADC-Geräts und von StoreFront. Zum Erstellen einer Authentifizierungslösung mit dem Extensible Authentication-SDK müssen Sie die delegierte Formularauthentifizierung (DFA) zwischen dem Citrix ADC-Gerät und StoreFront konfigurieren. Das Protokoll der delegierten Formularauthentifizierung ermöglicht die Erstellung und Verarbeitung von Authentifizierungsformularen, einschließlich Validierung der Anmeldeinformationen, zur Delegierung an eine andere Komponente. Beispiel: Citrix Gateway delegiert seine Authentifizierung an StoreFront und StoreFront interagiert dann mit einem Drittanbieter-Authentifizierungsserver oder -dienst.

Installationsempfehlungen

  • Zum Schützen der Kommunikation zwischen dem Citrix ADC-Gerät und StoreFront verwenden Sie HTTPS anstelle von HTTP.
  • Bei Clusterbereitstellungen stellen Sie sicher, dass auf allen Knoten das gleiche Serverzertifikat installiert und in der IIS HTTPS-Bindung konfiguriert ist, bevor Sie mit der Konfiguration beginnen.
  • Stellen Sie sicher, dass auf dem Citrix ADC-Gerät der Aussteller des StoreFront-Serverzertifikats als vertrauenswürdige Zertifizierungsstelle eingerichtet ist, wenn in StoreFront HTTPS konfiguriert ist.

Überlegungen zur StoreFront-Clusterinstallation

  • Installieren Sie das Authentifizierungs-Plug-In eines Drittanbieters auf allen Knoten bevor Sie diese gruppieren.
  • Konfigurieren Sie alle Einstellungen für die delegierte Formularauthentifizierung auf einem Knoten und verteilen Sie die Änderungen auf die anderen. Weitere Informationen finden Sie unter “Aktivieren der delegierten Formularauthentifizierung”.

Aktivieren der delegierten Formularauthentifizierung

Da es in StoreFront keine GUI-Option zur Einrichtung des vorinstallierten Schlüssels für Citrix gibt, installieren die delegierte Formularauthentifizierung mit der PowerShell-Konsole.

  1. Installieren Sie die delegierte Formularauthentifizierung. Sie wird nicht standardmäßig installiert und muss mit der PowerShell-Konsole installiert werden.

    PS C:\Users\administrator.PTD.000> cd 'C:\Program Files\Citrix\Receiver StoreFront\Scripts'
    PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> & .\ImportModules.ps1
    Adding snapins
    Importing modules
    Loading 'C:\Program Files\Citrix\Receiver StoreFront\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll'
    Loading 'C:\Program Files\Citrix\Receiver StoreFront\Admin\Citrix.DeliveryServices.ConfigurationProvider.dll'
    
    PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Install-DSDFAServer
    Id                             : bf694fbc-ae0a-4d56-8749-c945559e897a
    ClassType                      : e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc
    FrameworkController            : Citrix.DeliveryServices.Framework.FileBased.FrameworkController
    ParentInstance                 : 8dd182c7-f970-466c-ad4c-27a5980f716c
    RootInstance                   : 5d0cdc75-1dee-4df7-8069-7375d79634b3
    TenantId                       : 860e9401-39c8-4f2c-928d-34251102b840
    Data                           : {}
    ReadOnlyData                   : {[Name, DelegatedFormsServer], [Cmdlet, Add-DSWebFeature], [Snapin, Citrix.DeliverySer
                                     vices.Web.Commands], [Tenant, 860e9401-39c8-4f2c-928d-34251102b840]}
    ParameterData                  : {[FeatureClassId, e1eb3668-9c1c-4ad8-bbae-c08b2682c1bc], [ParentInstanceId, 8dd182c7-f
                                     970-466c-ad4c-27a5980f716c], [TenantId, 860e9401-39c8-4f2c-928d-34251102b840]}
    AdditionalInstanceDependencies : {b1e48ef0-b9e5-4697-af9b-0910062aa2a3}
    IsDeployed                     : True
    FeatureClass                   : Citrix.DeliveryServices.Framework.Feature.FeatureClass
    
  2. Fügen Sie Citrix Trusted Client hinzu. Konfigurieren Sie den gemeinsamen geheimen Schlüssel (Passphrase) zwischen StoreFront und dem Citrix ADC-Gerät. Passphrase und Client-ID müssen mit denen auf dem Citrix ADC-Gerät identisch sein.

    PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Add-DSCitrixPSKTrustedClient -clientId netscaler.fqdn.com -passphrase secret
    
  3. Richten Sie die Formularkonversationsfactory für die delegierte Formularauthentifizierung für die Leitung des gesamten Datenverkehrs an das benutzerdefinierte Formular ein. Sie finden ConversationFactory unter C:\inetpub\wwwroot\Citrix\Authentication\web.config. Dies ist ein Beispiel für das, was Sie sehen.

    <example connectorURL="http://Example.connector.url:8080/adapters-sf-aaconnector-webapp">
          <routeTable order="1000">
            <routes>
              <route name="StartExampleAuthentication" url="Example-Bridge-Forms/Start">
                <defaults>
                  <add param="controller" value="ExplicitFormsAuthentication" />
                  <add param="action" value="AuthenticateStart" />
                  <add param="postbackAction" value="Authenticate" />
                  <add param="cancelAction" value="CancelAuthenticate" />
                  <add param="conversationFactory" value="ExampleBridgeAuthentication" />
                  <add param="changePasswordAction" value="StartChangePassword" />
                  <add param="changePasswordController" value="ChangePassword" />
                  <add param="protocol" value="CustomForms" />
                </defaults>
              </route>
    
  4. Legen Sie die Formularkonversationsfactory für die delegierte Formularauthentifizierung in PowerShell fest. In diesem Beispiel auf ExampleBridgeAuthentication.

    PS C:\Program Files\Citrix\Receiver StoreFront\Scripts> Set-DSDFAProperty -ConversationFactory ExampleBridgeAuthentication
    

Bei den Argumenten in PowerShell wird nicht zwischen Groß- und Kleinschreibung unterschieden: -ConversationFactory ist identisch mit -conversationfactory.

Deinstallieren von StoreFront

Bevor Sie StoreFront deinstallieren, deinstallieren Sie jegliche Authentifizierungs-Plug-Ins von Drittanbietern, da diese sich auf die Funktionalität von StoreFront auswirken.