StoreFront

Pass-Through von Citrix Gateway

Wenn Sie ein Citrix Gateway für den Remotezugriff auf einen Store verwenden, ist es typischerweise so konfiguriert, dass Benutzer sich zuerst am Gateway authentifizieren müssen. Um zu vermeiden, dass StoreFront den Benutzer erneut authentifizieren muss, können Sie die Authentifizierung Pass-Through von Citrix Gateway aktivieren. Diese hat drei Varianten:

  • Das Gateway leitet den Active Directory-Benutzernamen und das Kennwort an StoreFront weiter, StoreFront verwendet diese zur Authentifizierung des Benutzers.
  • Das Gateway leitet den Active Directory-Benutzernamen, aber kein Kennwort an StoreFront weiter. StoreFront ist so konfiguriert, dass es dem Gateway vertraut und den Benutzer nicht authentifiziert.
  • Das Gateway leitet ein Entra ID-Zugriffstoken an StoreFront weiter. StoreFront ist so konfiguriert, dass es dem Gateway vertraut und den Benutzer nicht authentifiziert. StoreFront sucht Benutzerinformationen mithilfe der Microsoft Graph API.

Die Authentifizierungsmethode Pass-through von Citrix Gateway wird automatisch aktiviert, wenn Sie den Remotezugriff auf einen Store zum ersten Mal konfigurieren. Weitere Informationen zum Konfigurieren von StoreFront für den Zugriff über ein Citrix Gateway finden Sie unter Ein Citrix Gateway konfigurieren.

Unterstützte Citrix Gateway-Authentifizierungsmethoden

StoreFront unterstützt Pass-through mit den folgenden Citrix Gateway-Authentifizierungsmethoden:

  • Domäne Benutzer melden sich mit ihrem Active Directory-Benutzernamen und -Kennwort an.
  • RSA Benutzer melden sich mit Passcodes an, die von Tokencodes abgeleitet werden, die von Sicherheitstokens generiert und manchmal mit persönlichen Identifikationsnummern kombiniert werden. Wenn Sie die Pass-Through-Authentifizierung nur über Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie z. B. die Domänenanmeldeinformationen der Benutzer für Microsoft Active Directory.
  • Smartcard Benutzer melden sich mit einer Smartcard an, die mit ihrem Active Directory-Konto verknüpft ist.
  • RSA + Domäne Benutzer melden sich sowohl mit ihren Domänenanmeldeinformationen als auch mit Sicherheitstoken-Passcodes an.
  • SAML Benutzer werden zur Anmeldung über SAML an einen Drittanbieter-IdP weitergeleitet. Die SAML-Assertion muss den UPN des Active Directory-Kontos des Benutzers enthalten. Weitere Informationen finden Sie unter NetScaler als SAML SP.
  • OIDC mit Entra ID Benutzer werden zur Authentifizierung an Microsoft Entra ID weitergeleitet. Der Benutzer kann entweder eine reine Entra ID oder eine Hybrididentität besitzen. Weitere Informationen finden Sie unter Entra ID-Authentifizierung mit OIDC.

Um Pass-Through zu erreichen, müssen Sie im Sitzungsprofil Single Sign-on to Web Application auswählen. Wenn Sie diese Einstellung deaktiviert haben oder das Gateway nicht zur Authentifizierung verwenden, wird die Authentifizierung Pass-through from Citrix Gateway nicht verwendet, und Sie müssen eine der anderen StoreFront-Authentifizierungsmethoden konfigurieren.

Authentifizierung mit doppelter Quelle

Wenn Sie die Authentifizierung mit doppelter Quelle für Citrix Gateway für Remote-Benutzer konfigurieren, die über die Citrix Workspace-App auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien auf Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex, um die sekundäre Authentifizierungsmethode im Sitzungsprofil zu verwenden, damit LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie die Citrix Gateway Appliance zu Ihrer StoreFront-Konfiguration hinzufügen, stellen Sie den Anmeldetyp auf „Domäne und Sicherheitstoken“ ein. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364

Authentifizierung mit mehreren Domänen

Um die Authentifizierung mit mehreren Domänen über Citrix Gateway für StoreFront zu aktivieren, setzen Sie das SSO-Namensattribut in der Citrix Gateway LDAP-Authentifizierungsrichtlinie für jede Domäne auf userPrincipalName. Sie können Benutzer auffordern, eine Domäne auf der Citrix Gateway-Anmeldeseite anzugeben, damit die entsprechende zu verwendende LDAP-Richtlinie bestimmt werden kann. Wenn Sie die Citrix Gateway-Sitzungsprofile für Verbindungen zu StoreFront konfigurieren, geben Sie keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen den einzelnen Domänen konfigurieren. Stellen Sie sicher, dass Benutzer sich von jeder Domäne bei StoreFront anmelden können, indem Sie den Zugriff nicht nur auf explizit vertrauenswürdige Domänen beschränken.

Gateway-Pass-Through aktivieren

Um die Gateway-Pass-Through-Authentifizierung für einen Store bei der Verbindung über Workspace-Apps zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden die Option Pass-through from Citrix Gateway.

Das Aktivieren der Citrix Gateway-Pass-Through-Authentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores. Sie können die Benutzername- und Kennwortauthentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden deaktivieren.

Vertrauenswürdige Benutzerdomänen konfigurieren

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung konfiguriert ist, können Sie den Zugriff auf bestimmte Domänen beschränken.

  1. Wählen Sie im Fenster „Authentifizierungsmethoden verwalten“ aus dem Dropdown-Menü Pass-through from Citrix Gateway > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren.

  2. Wählen Sie Nur vertrauenswürdige Domänen und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in dieser Domäne können sich bei allen Stores anmelden, die den Authentifizierungsdienst verwenden. Um einen Domänennamen zu ändern, wählen Sie den Eintrag in der Liste der vertrauenswürdigen Domänen aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in einer Domäne zu beenden, wählen Sie die Domäne in der Liste aus und klicken Sie auf Entfernen.

    Die Art und Weise, wie Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format Domänenbenutzername eingeben sollen, fügen Sie den NetBIOS-Namen zur Liste hinzu. Um zu verlangen, dass Benutzer ihre Anmeldeinformationen im Format des Benutzerprinzipalnamens eingeben, fügen Sie den vollqualifizierten Domänennamen zur Liste hinzu. Wenn Sie Benutzern ermöglichen möchten, ihre Anmeldeinformationen sowohl im Format Domänenbenutzername als auch im Format Benutzerprinzipalname einzugeben, müssen Sie sowohl den NetBIOS-Namen als auch den vollqualifizierten Domänennamen zur Liste hinzufügen.

  3. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie aus der Liste der Standarddomänen die Domäne aus, die standardmäßig ausgewählt ist, wenn sich Benutzer anmelden.

  4. Wenn Sie die vertrauenswürdigen Domänen auf der Anmeldeseite auflisten möchten, aktivieren Sie das Kontrollkästchen „Domänenliste auf der Anmeldeseite anzeigen“.

Screenshot des Bildschirms für vertrauenswürdige Domänen

Delegierte Authentifizierung

Standardmäßig validiert StoreFront den Benutzernamen und das Kennwort, die es vom Citrix Gateway erhält. Wenn Ihr Citrix Gateway keine Active Directory-Anmeldeinformationen über LDAP als Faktor verwendet, z. B. bei der Verwendung von SAML oder Smartcards, müssen Sie StoreFront so konfigurieren, dass es der vom Gateway durchgeführten Validierung vertraut. In diesem Fall ist es wichtig, dass Sie beim Konfigurieren des Gateways eine Callback-URL eingeben, damit StoreFront überprüfen kann, ob die Anforderung vom Citrix Gateway stammt. Weitere Informationen finden Sie unter Citrix Gateways verwalten.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdown-Menü Pass-through von Citrix Gateway > Einstellungen die Option Delegierte Authentifizierung konfigurieren aus.

  2. Wählen Sie Anmeldeinformationsvalidierung vollständig an Citrix Gateway delegieren.

Screenshot des Fensters „Delegierte Authentifizierung konfigurieren“.

PowerShell

Um den Store so zu konfigurieren, dass die Authentifizierung mithilfe von PowerShell an das Citrix Gateway delegiert wird, führen Sie das Cmdlet Set-STFCitrixAGBasicOptions aus.

  • Um die Authentifizierung an das Gateway zu delegieren, setzen Sie CredentialValidationMode auf Auto.
  • Damit StoreFront die Anmeldeinformationen validiert, setzen Sie CredentialValidationMode auf Password.

Kennwortvalidierung

Sie können wählen, ob StoreFront die Anmeldeinformationen selbst validiert oder den Delivery Controller zur Validierung der Anmeldeinformationen auffordert. Weitere Informationen finden Sie unter Authentifizierung mit Benutzername und Kennwort – Kennwortvalidierung.

Wenn Anmeldeinformationsvalidierung vollständig an Citrix Gateway delegieren ausgewählt ist, hat die Einstellung zur Kennwortvalidierung über den Delivery Controller keine Auswirkung. In diesem Fall muss StoreFront in der Lage sein, den Benutzer in Active Directory nachzuschlagen, sodass die Domäne des StoreFront-Servers immer eine Vertrauensstellung zur Domäne des Benutzers haben muss.

Benutzern erlauben, abgelaufene Kennwörter bei der Anmeldung zu ändern

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung (Benutzername und Kennwort) konfiguriert ist, können Sie NetScaler so konfigurieren, dass das Ändern abgelaufener Kennwörter bei der Anmeldung zugelassen wird.

  1. Melden Sie sich bei der NetScaler®-Administrationswebsite an.
  2. Gehen Sie im Seitenmenü zu Authentifizierung > Dashboard.
  3. Klicken Sie auf den Authentifizierungsserver.
  4. Aktivieren Sie unter Weitere Einstellungen die Option Kennwortänderung zulassen.

Benutzern erlauben, Kennwörter nach der Anmeldung zu ändern

Sie können StoreFront so konfigurieren, dass Benutzer ihre Kennwörter nach der Anmeldung ändern können. Diese Funktionalität ist nur verfügbar, wenn das Gateway die LDAP-Authentifizierung verwendet und wenn der Benutzer den Store über einen Browser und nicht über die lokal installierte Citrix Workspace-App aufruft.

Die Standardkonfiguration von StoreFront verhindert, dass Benutzer ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren möchten, stellen Sie sicher, dass die Richtlinien für die Domänen, die Ihre Server enthalten, Benutzer nicht daran hindern, ihre Kennwörter zu ändern. Wenn Benutzer ihre Kennwörter ändern können, werden sensible Sicherheitsfunktionen für jeden zugänglich, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für die interne Verwendung vorsieht, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdown-Menü Pass-Through von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten.

  2. Um Benutzern das Ändern von Kennwörtern zu ermöglichen, aktivieren Sie das Kontrollkästchen Benutzern das Ändern von Kennwörtern erlauben.

Screenshot der Kennwortoptionen verwalten

Hinweis:

Wenn Sie Benutzern das Ändern von Kennwörtern erlauben auswählen oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Benutzername und Kennwort-Authentifizierung aus.

PowerShell

Um die Kennwortänderungsoptionen mit PowerShell zu ändern, führen Sie das Cmdlet Set-STFExplicitCommonOptions aus.

Delivery Controller™ so konfigurieren, dass er StoreFront vertraut

Wenn das Citrix Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen daher den Delivery Controller so konfigurieren, dass er Anfragen von StoreFront vertraut, siehe Citrix Virtual Apps and Desktops – Sicherheitsüberlegungen und Best Practices.

Entra ID mit OIDC

Wenn Sie das Gateway für die Entra ID-Authentifizierung mit OIDC konfiguriert haben, müssen Sie StoreFront so konfigurieren, dass es das vom NetScaler Gateway bereitgestellte Zugriffstoken liest und die Benutzerinformationen in der Microsoft Graph API nachschlägt.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Pass-through von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten.
  2. Wählen Sie Aktiviert.
  3. Geben Sie die Entra Tenant ID ein.
  4. Geben Sie optional die Graph API URL ein. Wenn nicht angegeben, wird https://graph.microsoft.com/v1.0 verwendet.

Screenshot der Entra ID-Konfiguration

PowerShell

Führen Sie das folgende PowerShell-Skript aus und ersetzen Sie die Tenant ID durch die ID Ihres Entra ID-Mandanten und /Citrix/EntraStore durch den Store-Pfad.

  $store = Get-STFStoreService /Citrix/EntraStore
  $authenticationService = Get-STFAuthenticationService -Store $store
  Set-STFEntraIdSettings -AuthenticationService $authenticationService -TenantId "<Your tenant id>" -Enabled $true
  <!--NeedCopy-->

Single Sign-On bei VDAs

Verwenden von Active Directory-Anmeldeinformationen

Wenn sich ein Benutzer am Gateway mittels LDAP-Authentifizierung authentifiziert, leitet das Gateway die Anmeldeinformationen zur Authentifizierung beim VDA an StoreFront weiter, wodurch Single Sign-On bereitgestellt wird. Dies erfordert keine zusätzliche Konfiguration.

Verwenden des Federated Authentication Service

Wenn sich ein Benutzer am Gateway mit anderen Authentifizierungsmethoden als LDAP authentifiziert, hat StoreFront keinen Zugriff auf die Anmeldeinformationen des Benutzers, sodass Single Sign-On standardmäßig nicht verfügbar ist. Sie können den Federated Authentication Service konfigurieren, um Single Sign-On bereitzustellen.

Verwenden von Entra ID

Wenn Sie das Citrix Gateway für die Verwendung der Entra ID-Authentifizierung konfiguriert haben, können Sie das Entra ID Single Sign-On aktivieren. Diese Funktion erfordert StoreFront 2603 oder höher. Weitere Informationen finden Sie unter VDA Entra ID Single Sign-On konfigurieren.