Benutzerauthentifizierung

StoreFront unterstützt verschiedene Authentifizierungsmethoden für den Zugriff auf Stores durch Benutzer, die jedoch, abhängig von der Zugriffsmethode und dem Netzwerkstandort des Benutzers, nicht alle verfügbar sind. Aus Sicherheitsgründen werden Authentifizierungsmethoden standardmäßig deaktiviert, wenn Sie den ersten Store erstellen. Weitere Informationen zum Aktivieren und Deaktivieren von Benutzerauthentifizierungsmethoden finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

Benutzername und Kennwort

Benutzer geben ihre Anmeldeinformationen ein und werden authentifiziert, wenn sie auf ihre Stores zugreifen. Die explizite Authentifizierung ist standardmäßig aktiviert. Alle Benutzerzugriffsmethoden unterstützen die explizite Authentifizierung.

Wenn ein Benutzer Citrix Gateway verwendet, um auf Citrix Receiver für Web zuzugreifen, verwaltet Citrix Gateway die Anmelde- und Kennwortänderung beim Ablauf. Benutzer können wahlweise das Kennwort mit der Citrix Receiver für Web-Benutzeroberfläche ändern. Nachdem das Kennwort geändert wurde, wird die Citrix Gateway-Sitzung beendet und der Benutzer muss sich neu anmelden. Benutzer von Citrix Receiver bzw. der Citrix Workspace-App für Linux können nur abgelaufene Kennwörter ändern.

SAML-Authentifizierung

Benutzer authentifizieren sich beim SAML-Idenditätsanbieter und werden beim Zugriff auf ihre Stores automatisch angemeldet. StoreFront unterstützt eine direkte SAML-Authentifizierung über ein Unternehmensnetzwerk ohne Citrix Gateway.

SAML (Security Assertion Markup Language) ist ein offener Standard, der in Identitäts- und Authentifizierungsprodukten wie etwa Microsoft AD FS (Active Directory-Verbunddienste) verwendet wird. Durch die Integration der SAML-Authentifizierung über StoreFront können Administratoren u. a. Benutzern gestatten, sich ein Mal beim Unternehmensnetzwerk anzumelden und dann Single Sign-On für ihre veröffentlichten Anwendungen zu nutzen.

Anforderungen:

Die Verwendung der SAML-Authentifizierung mit Citrix Gateway wird zurzeit für Receiver für Web-Sites unterstützt.

Domänen-Passthrough

Benutzer authentifizieren sich bei ihrem domänengebundenen Computer und ihre Anmeldeinformationen werden für eine automatische Anmeldung beim Zugriff auf ihre Stores verwendet.

Wenn Sie StoreFront installieren, wird die Domänen-Passthrough-Authentifizierung standardmäßig deaktiviert. Sie können die Domänen-Passthrough-Authentifizierung für Benutzer aktivieren, die über die Citrix Workspace-App und XenApp Services-URLs eine Verbindung mit Stores herstellen. Citrix Receiver für Web-Sites unterstützen die Domänen-Passthrough-Authentifizierung für Internet Explorer, Microsoft Edge, Mozilla Firefox und Google Chrome auf domänengebundenen Windows-Clientmaschinen.

Aktivieren der Domänen-Passthrough-Authentifizierung

  1. Installieren Sie Citrix Receiver bzw. die Citrix Workspace-App für Windows oder das Citrix Online-Plug-In für Windows auf den Benutzergeräten. Stellen Sie sicher, dass die Passthrough-Authentifizierung aktiviert ist.
  2. Aktivieren Sie die Domänen-Passthrough-Authentifizierung in dem Citrix Receiver für Web-Site Knoten in der Verwaltungskonsole.
  3. Konfigurieren Sie SSON in Citrix Receiver bzw. der Citrix Workspace-App für Windows (siehe Konfigurieren von Domänen-Passthrough-Authentifizierung). Die Citrix Workspace-App für HTML5 unterstützt keine Passthrough-Authentifizierung für Domänen.
  4. Das Standardverhalten von Windows ist automatische Anmeldung nur in der Intranetzone. Konfigurieren Sie für Internet Explorer, Mozilla Firefox und Google Chrome entweder Citrix Receiver für Web-Sites als Intranetsites in den Internetoptionen oder aktivieren Sie die automatische Anmeldung für die vertrauenswürdige Zonen. Für Microsoft Edge müssen Sie Citrix Receiver für Web-Sites als Intranetsites konfigurieren.
  5. Ändern Sie für Mozilla Firefox die erweiterten Browsereinstellungen so, dass sie dem URI von Citrix Receiver bzw. der Citrix Workspace-App für Windows vertrauen.

    Warnung:

    Fehlerhafte Änderungen an den erweiterten Einstellungen können zu schwerwiegenden Problemen führen. Änderungen machen Sie auf eigene Gefahr.

    1. Starten Sie Firefox und geben Sie about:config im Adressfeld ein und wählen Sie “Ich akzeptiere das Risiko!”
    2. Geben Sie ntlm in das Suchfeld ein.
    3. Doppelklicken Sie auf “network.automatic-ntlm-auth.trusted-uris” und geben Sie die Site-URL für Citrix Receiver bzw. die Citrix Workspace-App für Windows in das Popupdialogfeld ein.
    4. Klicken Sie auf OK.

Passthrough-Authentifizierung von Citrix Gateway

Die Benutzer authentifizieren sich bei Citrix Gateway und werden beim Zugriff auf ihre Stores automatisch angemeldet. Die Passthrough-Authentifizierung von Citrix Gateway ist standardmäßig aktiviert, wenn Sie eine erste Konfiguration des Remotezugriffs auf den Store durchführen. Die Benutzer können mit Citrix Receiver bzw. der Citrix Workspace-App oder Citrix Receiver für Web-Sites über Citrix Gateway eine Verbindung mit Stores herstellen. Desktopgerätesites unterstützen keine Verbindungen über Citrix Gateway. Weitere Informationen zum Konfigurieren von StoreFront für Citrix Gateway finden Sie unter Hinzufügen einer Citrix Gateway-Verbindung.

StoreFront unterstützt Passthrough mit den folgenden Citrix Gateway-Authentifizierungsmethoden.

  • Sicherheitstoken. Die Benutzer melden sich bei Citrix Gateway mit Passcodes an, die von mit Sicherheitstoken generierten Tokencodes abgeleitet werden, in einigen Fällen in Kombination mit persönlichen Identifikationsnummern. Wenn Sie zur Passthrough-Authentifizierung ausschließlich Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie Microsoft Active Directory-Domänenanmeldeinformationen.
  • Domäne und Sicherheitstoken. Benutzer, die sich an Citrix Gateway anmelden, müssen ihre Domänenanmeldeinformationen und ihre Sicherheitstoken-Passcodes eingeben.
  • Clientzertifikat. Die Benutzer melden sich bei Citrix Gateway an und werden auf Grundlage der Attributen im Clientzertifikat, das Citrix Gateway übergeben wird, authentifiziert. Konfigurieren Sie die Clientzertifikat-Authentifizierung, damit die Benutzer sich bei Citrix Gateway mit Smartcards anmelden können. Die Clientzertifikat-Authentifizierung kann zusammen mit anderen Authentifizierungstypen verwendet werden, um Zweiquellenauthentifizierung bereitzustellen.

StoreFront bietet Passthrough-Authentifizierung für Remotebenutzer über den Citrix Gateway-Authentifizierungsdienst, damit diese Benutzer ihre Anmeldeinformationen nur einmal eingeben müssen. Standardmäßig ist die Passthrough-Authentifizierung jedoch nur für Benutzer aktiviert, die sich bei Citrix Gateway mit einem Kennwort anmelden. Zum Konfigurieren der Passthrough-Authentifizierung von Citrix Gateway bei StoreFront für Smartcardbenutzer delegieren Sie die Validierung der Anmeldeinformationen an Citrix Gateway. Weitere Informationen finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.

Die Benutzer können eine Verbindung mit Stores in der Citrix Workspace-App mit Passthrough-Authentifizierung über einen SSL-VPN-Tunnel mit dem Citrix Gateway-Plug-In herstellen. Remotebenutzer, die das Citrix Gateway-Plug-In nicht installieren können, können über den clientlosen Zugriff eine Verbindung mit Stores in der Citrix Workspace-App mit Passthrough-Authentifizierung herstellen. Zur Verwendung des clientlosen Zugriffs für eine Verbindung mit Stores benötigen die Benutzer eine Version der Citrix Workspace-App, die den clientlosen Zugriff unterstützt.

Darüber hinaus können Sie clientlosen Zugriff mit Passthrough-Authentifizierung zu Citrix Receiver für Web-Sites aktivieren. Konfigurieren Sie dazu Citrix Gateway als sicheren Remoteproxy. Die Benutzer melden sich direkt bei Citrix Gateway an und verwenden die Citrix Receiver für Web-Site, um auf ihre Anwendungen zuzugreifen, ohne sich neu authentifizieren zu müssen.

Benutzer, die über den clientlosen Zugriff eine Verbindung zu App Controller-Ressourcen herstellen, können nur auf externe SaaS-Anwendungen (Software-as-a-Service) zugreifen. Für den Zugriff auf interne Webanwendungen müssen Remotebenutzer das Citrix Gateway-Plug-In verwenden.

Wenn Sie die Zweiquellenauthentifizierung bei Citrix Gateway für Remotebenutzer konfigurieren, die von der Citrix Workspace-App aus auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien für Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex zur Verwendung der sekundären Authentifizierungsmethode im Sitzungsprofil, sodass LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie das Citrix Gateway-Gerät zu Ihrer StoreFront-Konfiguration hinzufügen, legen Sie den Anmeldetyp auf “Domäne und Sicherheitstoken” fest. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364

Um die Multidomänenauthentifizierung über Citrix Gateway zu StoreFront zu aktivieren, setzen Sie in der Citrix Gateway-LDAP-Authentifizierungsrichtlinie für jede Domäne das SSO-Namensattribut auf “userPrincipalName”. Sie können festlegen, dass die Benutzer auf der Citrix Gateway-Anmeldeseite eine Domäne angeben müssen, sodass die richtige zu verwendende LDAP Richtlinie ermittelt werden kann. Geben Sie beim Konfigurieren der Citrix Gateway-Sitzungsprofile für Verbindungen mit StoreFront keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen allen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von allen Domänen aus an StoreFront anmelden können, indem Sie den Zugriff nicht auf explizit vertrauenswürdige Domänen beschränken.

Wenn die Citrix Gateway-Bereitstellung dies unterstützt, können Sie SmartAccess zur Steuerung des Benutzerzugriffs auf Citrix Virtual Apps and Desktops-Ressourcen auf der Basis von Citrix Gateway-Sitzungsrichtlinien verwenden. Weitere Informationen zu SmartAccess finden Sie unter Funktionsweise von SmartAccess für Citrix Virtual Apps and Desktops.

Smartcards

Benutzer authentifizieren sich mit Smartcards und PINs beim Zugriff auf ihre Stores. Wenn Sie StoreFront installieren, wird die Smartcardauthentifizierung standardmäßig deaktiviert. Die Smartcardauthentifizierung kann für Benutzer aktiviert werden, die über die Citrix Workspace-App, Citrix Receiver für Web, Desktopgerätesites und XenApp Services-URLs eine Verbindung mit Stores herstellen.

Verwenden Sie die Smartcardauthentifizierung, um den Anmeldeprozess für Ihre Benutzer zu optimieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu erhöhen. Der Zugriff auf das interne Unternehmensnetzwerk ist durch die zertifikatbasierte Zweifaktorauthentifizierung mit der Public Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.

Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei von Citrix Virtual Apps and Desktops bereitgestellten Desktops und Anwendungen verwenden. Benutzer von Smartcard, die sich bei StoreFront anmelden, können auch auf von App Controller bereitgestellte Anwendungen zugreifen. Für den Zugriff auf App Controller-Webanwendungen, für die Clientzertifikatauthentifizierung verwendet wird, müssen sich Benutzer jedoch neu authentifizieren.

Zum Aktivieren der Smartcardauthentifizierung müssen Benutzerkonten entweder in der Microsoft Active Directory-Domäne der StoreFront-Server konfiguriert werden oder in einer Domäne, die über eine direkte bidirektionale Vertrauensstellung mit der StoreFront-Serverdomäne verfügt. Bereitstellungen mit mehreren Gesamtstrukturen und bidirektionalen Vertrauensstellungen werden unterstützt.

Die Konfiguration der Smartcardauthentifizierung bei StoreFront hängt von den Benutzergeräten, den installierten Clients und davon ab, ob die Geräte in die Domäne eingebunden sind. In diesem Zusammenhang bedeutet in die Domäne eingebunden, das die Geräte in eine Domäne in der Active Directory-Gesamtstruktur eingebunden sind, die die StoreFront-Server enthält.

Verwenden von Smartcards mit Citrix Receiver bzw. der Citrix Workspace-App für Windows

Benutzer mit Geräten, die Citrix Receiver bzw. die Citrix Workspace-App für Windows ausführen, können sich mit Smartcards direkt oder über Citrix Gateway authentifizieren. Es können domänengebundene und nicht domänengebundene Geräte verwendet werden, allerdings bei einer geringfügig anderen Benutzererfahrung.

Die Abbildung zeigt die Optionen für die Smartcardauthentifizierung über Citrix Receiver bzw. die Citrix Workspace-App für Windows.

Optionen für Smartcardauthentifizierung für Citrix Receiver bzw. der Citrix Workspace-App

Sie können Smartcardauthentifizierung für lokale Benutzer mit in Domänen eingebundenen Geräten konfigurieren, sodass Benutzer nur einmal zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Benutzer melden sich bei ihren Geräten mit ihrer Smartcard und PIN an und werden bei entsprechender Konfiguration nicht noch einmal zur Eingabe ihrer PIN aufgefordert. Benutzer werden automatisch bei StoreFront authentifiziert und auch, wenn sie auf ihre Desktops und Anwendungen zugreifen. Hierzu konfigurieren Sie Citrix Receiver/die Citrix Workspace-App für Windows für Passthrough-Authentifizierung und aktivieren Domänen-Passthrough-Authentifizierung für StoreFront.

Die Benutzer melden sich beim Gerät an und authentifizieren sich dann bei Citrix Receiver bzw. der Citrix Workspace-App für Windows mit ihrer PIN. Beim Starten von Apps und Desktops werden keine weiteren Aufforderungen zur PIN-Eingabe angezeigt.

Da Benutzer nicht domänengebundener Geräte sich direkt bei Citrix Receiver bzw. der Citrix Workspace-App für Windows anmelden, können Sie für diese Benutzer ein Fallback auf die explizite Authentifizierung aktivieren. Wenn Sie Smartcard- und explizite Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aber bei Problemen mit der Smartcard die explizite Authentifizierung auswählen.

Benutzer, die eine Verbindung über Citrix Gateway herstellen, müssen sich mindestens zwei Mal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Dies gilt sowohl für in Domänen eingebundene Geräte als auch für Geräte, die nicht in Domänen eingebunden sind. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit Citrix Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an Citrix Gateway. Erstellen Sie dann einen weiteren virtuellen Citrix Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen. Für in Domänen eingebundene Geräte müssen Sie zudem Citrix Receiver bzw. die Citrix Workspace-App für Windows für Passthrough-Authentifizierung konfigurieren.

Hinweis:

Wenn Sie Citrix Receiver bzw. die Citrix Workspace-App für Windows verwenden, können Sie einen zweiten virtuellen Server einrichten und durch Verwendung des optimalen Gateway-Routings die PIN-Eingabeaufforderungen beim Starten von Apps und Desktops vermeiden.

Die Benutzer können sich bei Citrix Gateway mit Smartcard und PIN oder mit expliziten Anmeldeinformationen anmelden. Sie erhalten so die Möglichkeit, für die Anmeldung bei Citrix Gateway auf die explizite Authentifizierung zurückzugreifen. Konfigurieren Sie die Passthrough-Authentifizierung von Citrix Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an Citrix Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden.

Verwenden von Smartcards mit Desktopgerätesites

Nicht domänengebundene Windows-Desktopgeräte können so konfiguriert werden, dass Benutzer sich mit einer Smartcard an ihren Desktops anmelden können. Citrix Desktop Lock ist auf dem Gerät erforderlich und Internet Explorer muss für den Zugriff auf die Desktopgerätesite verwendet werden.

Die Abbildung zeigt die Smartcardauthentifizierung von einem Desktopgerät, das nicht mit der Domäne verbundenen ist.

Smartcardauthentifizierung von einem nicht mit der Domäne verbundenen Desktopgerät

Wenn Benutzer auf ihr Desktopgerät zugreifen, wird Internet Explorer im Vollbildmodus gestartet und zeigt den Anmeldebildschirm für eine Desktopgerätesite an. Die Benutzer authentifizieren sich bei der Site mit ihrer Smartcard und PIN. Wenn die Desktopgerätesite für die Passthrough-Authentifizierung konfiguriert ist, werden die Benutzer automatisch authentifiziert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Benutzer werden nicht aufgefordert, die PIN neu einzugeben. Ohne Passthrough-Authentifizierung müssen Benutzer ihre PIN ein zweites Mal eingeben, wenn sie einen Desktop oder eine Anwendung starten.

Sie können Benutzern Fallback auf die explizite Authentifizierung ermöglichen, wenn diese Probleme mit ihren Smartcards haben. Hierfür konfigurieren Sie die Desktopgerätesite für die Smartcard- und die explizite Authentifizierung. In dieser Konfiguration gilt die Smartcardauthentifizierung als primäre Zugriffsmethode, Benutzer werden daher zunächst zur Eingabe ihrer PIN aufgefordert. Die Site enthält aber auch einen Link zur Anmeldung mit expliziten Anmeldeinformationen.

Verwenden von Smartcards mit XenApp Services-URLs

Benutzer domänengebundener Desktopgeräte und umfunktionierter PCs, die Citrix Desktop Lock ausführen, können sich mit Smartcards authentifizieren. Im Gegensatz zu anderen Zugriffsmethoden wird Passthrough von Smartcardanmeldeinformationen automatisch aktiviert, wenn die Smartcardauthentifizierung für eine XenApp Services-URL konfiguriert wird.

Die Abbildung zeigt die Smartcardauthentifizierung von einem Desktopgerät in der Domäne, auf dem Citrix Desktop Lock ausgeführt wird.

Smartcardauthentifizierung von einem mit der Domäne verbundenen Gerät, auf dem Citrix Desktop Lock ausgeführt wird

Die Benutzer melden sich bei ihren Geräten mit Smartcard und PIN an. Citrix Desktop Lock authentifiziert dann die Benutzer automatisch bei StoreFront über die XenApp Services-URL. Benutzer werden automatisch authentifiziert, wenn sie auf ihre Desktops und Anwendungen zugreifen und werden nicht noch einmal aufgefordert, ihre PIN einzugeben.

Verwenden von Smartcards mit Citrix Receiver für Web

Sie können die Smartcardauthentifizierung für Citrix Receiver für Web in der StoreFront-Verwaltungskonsole aktivieren.

  1. Wählen Sie den Knoten “Citrix Receiver für Web” im linken Bereich aus.
  2. Wählen Sie die Site aus, für die Sie die Smartcardauthentifizierung verwenden möchten.
  3. Wählen Sie die Aufgabe Authentifizierungsmethoden auswählen im rechten Bereich.
  4. Aktivieren Sie das Smartcardkontrollkästchen im Popupdialogfeld und klicken Sie auf OK.

Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer von Citrix Receiver bzw. der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und nicht über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Store herstellen.

Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer von Citrix Receiver bzw. der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmte Benutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungen erzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

Verwenden von Smartcards mit der Citrix Workspace-App für iOS und Android

Benutzer, die die Citrix Workspace-App für iOS oder Android ausführen, können sich mit Smartcards direkt oder über Citrix Gateway authentifizieren. Es können nicht in Domänen eingebundene Geräte verwendet werden.

Verwenden von Smartcards mit der Citrix Workspace-App für iOS oder Android

Bei Geräten im lokalen Netzwerk werden Benutzer mindestens zwei Mal zum Eingeben ihrer Anmeldeinformationen aufgefordert. Wenn sich Benutzer bei StoreFront authentifizieren oder den Store erstellen, werden sie aufgefordert, die PIN der Smartcard einzugeben. Bei entsprechender Konfiguration werden Benutzer nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Hierfür aktivieren Sie die Smartcardauthentifizierung für StoreFront und installieren Smartcardtreiber auf dem VDA.

Bei diesen Citrix Workspace-App-Versionen können Sie Smartcards ODER Domänenanmeldeinformationen angeben. Wenn Sie einen Store für die Verwendung von Smartcards erstellt haben und mit demselben Store eine Verbindung unter Verwendung von Domänenanmeldeinformationen herstellen möchten, müssen Sie einen separaten Store ohne Aktivierung von Smartcards erstellen.

Benutzer, die eine Verbindung über Citrix Gateway herstellen, müssen sich mindestens zwei Mal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nur dann noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit Citrix Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an Citrix Gateway. Erstellen Sie dann einen weiteren virtuellen Citrix Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen.

Users can log on to Citrix Gateway using either their smart cards and PINs or with explicit credentials, depending on how you specified the authentication for the connection. Konfigurieren Sie die Passthrough-Authentifizierung von Citrix Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an Citrix Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden. Wenn Sie die Authentifizierungsmethode wechseln möchten, müssen Sie die Verbindung löschen und neu erstellen.

Verwenden von Smartcards mit Citrix Receiver bzw. der Citrix Workspace-App für Linux

Benutzer mit Citrix Receiver bzw. der Citrix Workspace-App für Linux können sich mit Smartcards ähnlich wie Benutzer nicht domänengebundener Windows-Geräte authentifizieren. Selbst wenn sich ein Benutzer auf dem Linux-Gerät mit einer Smartcard authentifiziert, gibt es in Citrix Receiver bzw. der Citrix Workspace-App für Linux keinen Mechanismus zum Abrufen oder Wiederverwenden der eingegebenen PIN.

Konfigurieren Sie die serverseitigen Komponenten für Smartcards so, wie Sie sie für die Verwendung mit Citrix Receiver bzw. der Citrix Workspace-App für Windows konfigurieren. Siehe Konfigurieren der Smartcardauthentifizierung. Informationen zur Verwendung von Smartcards finden Sie unter Citrix Receiver für Linux.

Die Mindestzahl der Anmeldeaufforderungen an Benutzer ist 1. Die Benutzer melden sich beim Gerät an und authentifizieren sich dann bei Citrix Receiver bzw. der Citrix Workspace-App für Linux mit ihrer Smartcard und PIN. Die Benutzer werden nicht noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Aktivieren Sie hierzu die Smartcardauthentifizierung bei StoreFront.

Da die Benutzer sich direkt bei Citrix Receiver oder der Citrix Workspace-App für Linux anmelden, können Sie ein Fallback auf die explizite Authentifizierung aktivieren. Wenn Sie Smartcard- und explizite Authentifizierung konfigurieren, werden Benutzer zunächst aufgefordert, sich mit der Smartcard und PIN anzumelden, können aber bei Problemen mit der Smartcard die explizite Authentifizierung auswählen.

Benutzer, die eine Verbindung über Citrix Gateway herstellen, müssen sich mindestens einmal mit Smartcard und PIN anmelden, um auf ihre Desktops und Anwendungen zugreifen zu können. Benutzer authentifizieren sich mit ihrer Smartcard und PIN und werden bei entsprechender Konfiguration nicht noch einmal zur Eingabe ihrer PIN aufgefordert, wenn sie auf ihre Desktops und Anwendungen zugreifen. Dazu aktivieren Sie die Passthrough-Authentifizierung mit Citrix Gateway bei StoreFront und delegieren die Anmeldeinformationenvalidierung an Citrix Gateway. Erstellen Sie dann einen weiteren virtuellen Citrix Gateway-Server und leiten Sie über ihn die Benutzerverbindungen zu Ressourcen.

Die Benutzer können sich bei Citrix Gateway mit Smartcard und PIN oder mit expliziten Anmeldeinformationen anmelden. Sie erhalten so die Möglichkeit, für die Anmeldung bei Citrix Gateway auf die explizite Authentifizierung zurückzugreifen. Konfigurieren Sie die Passthrough-Authentifizierung von Citrix Gateway an StoreFront und delegieren Sie die Validierung der Anmeldeinformationen für Smartcardbenutzer an Citrix Gateway, sodass Benutzer automatisch bei StoreFront authentifiziert werden.

Smartcards für Citrix Receiver bzw. die Citrix Workspace-App für Linux werden auf den XenApp Services-Supportsites nicht unterstützt.

Wenn die Smartcard-Unterstützung sowohl auf dem Server als auch in der Citrix Workspace-App aktiviert ist und die Anwendungsrichtlinie der Smartcardzertifikate dies zulässt, können Smartcards zu folgenden Zwecken eingesetzt werden:

  • Smartcard-Anmeldeauthentifizierung: Verwendung von Smartcards zur Authentifizierung von Benutzern bei Citrix Virtual Apps and Desktops-Servern.
  • Smartcard-Anwendungsunterstützung: Zugriff auf lokale Smartcardgeräte über smartcardfähige veröffentlichte Anwendungen.

Verwenden von Smartcards für XenApp Services-Support

Benutzer, die sich bei XenApp Services-Supportsites zum Starten von Anwendungen und Desktops anmelden, können sich ohne spezielle Hardware, Betriebssysteme und Citrix Workspace-App mit Smartcards authentifizieren. Wenn ein Benutzer auf eine XenApp Services-Supportsite zugreift und erfolgreich eine Smartcard und PIN eingibt, ermittelt PNA die Identität des Benutzers, authentifiziert diesen bei StoreFront und gibt die verfügbaren Ressourcen zurück.

Damit Passthrough- und Smartcardauthentifizierung funktionieren, müssen Sie die Option “An XML-Dienst gesendeten Anfragen vertrauen” aktivieren.

Starten Sie mit einem Konto mit lokalen Administratorrechten auf dem Delivery Controller Windows PowerShell und geben Sie an der Eingabeaufforderung die folgenden Befehle ein, damit der Delivery Controller von StoreFront gesendeten XML-Anfragen vertraut. Die folgenden Schritte gelten für XenApp 7.5 bis 7.8 sowie für XenDesktop 7.0 bis 7.8.

  1. Laden Sie die Citrix Cmdlets durch Eingeben von asnp Citrix*. (einschließlich dem Punkt).
  2. Geben Sie Add-PSSnapin citrix.broker.admin.v2 ein.
  3. Geben Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True ein.
  4. Schließen Sie die PowerShell.

Weitere Informationen zur Konfiguration der Smartcardauthentifizierung für XenApp Services-Support finden Sie unter Konfigurieren der Authentifizierung für XenApp Services-URLs.

Wichtige Überlegungen

Die Verwendung von Smartcards für die Benutzerauthentifizierung bei StoreFront unterliegt den folgenden Anforderungen und Einschränkungen.

  • Zur Verwendung eines VPN-Tunnels mit Smartcardauthentifizierung müssen die Benutzer das Citrix Gateway-Plug-In installieren und sich über eine Webseite anmelden, wobei sie sich für jeden Schritt mit Smartcard und PIN authentifizieren. Die Passthrough-Authentifizierung bei StoreFront mit dem Citrix Gateway-Plug-In ist für Smartcardbenutzer nicht verfügbar.

  • Auf einem Benutzergerät können mehrere Smartcards und mehrere Smartcardleser verwendet werden. Wenn Sie jedoch die Passthrough-Authentifizierung mit Smartcard aktivieren, müssen Benutzer darauf achten, dass beim Zugriff auf einen Desktop oder eine Anwendung nur eine Smartcard eingeführt ist.

  • Wird eine Smartcard innerhalb einer Anwendung verwendet (z. B. zur digitalen Signierung oder zur Verschlüsselung), werden möglicherweise zusätzliche Aufforderungen zum Einführen einer Smartcard oder zur Eingabe einer PIN angezeigt. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden. Er kann auch aufgrund von Konfigurationseinstellungen eintreten, z. B. bei Middleware-Einstellungen wie PIN-Zwischenspeicherung, die in der Regel mit der Gruppenrichtlinie konfiguriert werden. Benutzer, die zum Einführen einer Smartcard aufgefordert werden, obwohl bereits eine Smartcard einliegt, müssen auf Abbrechen klicken. Wenn Benutzer aufgefordert werden, ein PIN einzugeben, müssen sie die PIN neu eingeben.

  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer von Citrix Receiver bzw. der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und nicht über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Um die Passthrough-Authentifizierung für Domänen und mit Smartcards für Desktops und Anwendungen zu aktivieren, müssen Sie für jede Authentifizierungsmethode separate Stores erstellen. Die Benutzer müssen dann eine Verbindung mit dem für ihre Authentifizierungsmethode geeigneten Store herstellen.

  • Wenn Sie die Passthrough-Authentifizierung mit Smartcards bei Citrix Virtual Apps and Desktops für Benutzer von Citrix Receiver bzw. der Citrix Workspace-App für Windows aktivieren, die domänengebundene Geräte verwenden und über Citrix Gateway auf Stores zugreifen, gilt diese Einstellung für alle Benutzer des Stores. Wenn Sie die Passthrough-Authentifizierung für bestimmte Benutzer aktivieren und für andere die Anmeldung an Desktops und Anwendungen erzwingen möchten, müssen Sie separate Stores für jede Benutzergruppe erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

  • Nur eine Authentifizierungsmethode kann für jede XenApp Services-URL konfiguriert werden und pro Store ist nur eine URL verfügbar. Wenn Sie zusätzlich zur Smartcardauthentifizierung weitere Authentifizierungsmethoden aktivieren möchten, müssen Sie für jede Authentifizierungsmethode einen eigenen Store mit einer XenApp Services-URL erstellen. Dann verweisen Sie die Benutzer auf den entsprechenden Store für die Authentifizierungsmethode.

  • Wenn StoreFront installiert ist, erfordert die Standardkonfiguration in Microsoft Internetinformationsdienste (IIS) nur, dass Clientzertifikate für HTTPS-Verbindungen mit der URL für die Zertifikatauthentifizierung des StoreFront-Authentifizierungsdiensts präsentiert werden. IIS fordert keine Clientzertifikate für andere StoreFront-URLs an. Dank dieser Konfiguration können Sie Smartcardbenutzern die Option des Fallbacks auf die explizite Authentifizierung gewähren, wenn diese Probleme mit ihren Smartcards haben. Abhängig von den entsprechenden Windows-Richtlinieneinstellungen können Benutzer auch ihre Smartcard entfernen, ohne sich neu authentifizieren zu müssen.

    Wenn Sie IIS für die Anforderung von Clientzertifikaten für alle HTTPS-Verbindungen mit allen StoreFront-URLs konfigurieren, müssen Authentifizierungsdienst und Stores auf demselben Server sein. Sie müssen ein Clientzertifikat verwenden, das für alle Stores gültig ist. Innerhalb dieser IIS-Sitekonfiguration können Smartcardbenutzer keine Verbindung über Citrix Gateway herstellen und nicht auf die explizite Authentifizierung zurückgreifen. Sie müssen sich dann neu anmelden, wenn sie ihre Smartcards aus Geräten entfernen.