Produktdokumentation
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

Passthrough von Citrix Gateway

March 9, 2026
Beitrag von: 
C

Benutzer authentifizieren sich bei Citrix Gateway und werden automatisch angemeldet, wenn sie auf ihre Stores zugreifen. Die Passthrough-Authentifizierung von Citrix Gateway ist standardmäßig aktiviert, wenn Sie den Remotezugriff auf einen Store zum ersten Mal konfigurieren. Benutzer können über Citrix Gateway auf Stores zugreifen, indem sie die lokal installierte Citrix Workspace-App oder einen Webbrowser verwenden. Weitere Informationen zum Konfigurieren von StoreFront für Citrix Gateway finden Sie unter Konfigurieren eines Citrix Gateways.

StoreFront unterstützt Passthrough mit den folgenden Citrix Gateway-Authentifizierungsmethoden.

  • Domäne Benutzer melden sich mit ihrem Active Directory-Benutzernamen und -Kennwort an.
  • RSA Benutzer melden sich mit Passcodes an, die von Tokencodes abgeleitet werden, die von Sicherheitstoken generiert und manchmal mit persönlichen Identifikationsnummern kombiniert werden. Wenn Sie die Passthrough-Authentifizierung nur über Sicherheitstoken aktivieren, stellen Sie sicher, dass die von Ihnen bereitgestellten Ressourcen keine zusätzlichen oder alternativen Authentifizierungsformen erfordern, wie z. B. die Microsoft Active Directory-Domänenanmeldeinformationen der Benutzer.
  • Smartcard Benutzer melden sich mit einer Smartcard an, die mit ihrem Active Directory-Konto verknüpft ist.
  • RSA + Domäne Benutzer melden sich sowohl mit ihren Domänenanmeldeinformationen als auch mit Sicherheitstoken-Passcodes an.
  • SAML Benutzer werden zu einem Drittanbieter-IdP umgeleitet, um sich über SAML anzumelden. Die SAML-Assertion muss den UPN des Active Directory-Kontos des Benutzers enthalten.
  • Entra ID via OIDC Benutzer werden zur Authentifizierung zu Microsoft Entra ID umgeleitet. Der Benutzer kann entweder eine reine Entra ID oder eine Hybrididentität haben. Weitere Informationen finden Sie unter Entra ID-Authentifizierung mit OIDC.

Wenn Sie auf dem Citrix Gateway die Authentifizierung oder das Single Sign-On deaktiviert haben, wird Passthrough nicht verwendet, und Sie müssen eine der anderen Authentifizierungsmethoden konfigurieren.

Wenn Sie die Double-Source-Authentifizierung für Citrix Gateway für Remote-Benutzer konfigurieren, die über die Citrix Workspace-App auf Stores zugreifen, müssen Sie zwei Authentifizierungsrichtlinien auf Citrix Gateway erstellen. Konfigurieren Sie RADIUS (Remote Authentication Dial-In User Service) als primäre Authentifizierungsmethode und LDAP (Lightweight Directory Access Protocol) als sekundäre Methode. Ändern Sie den Anmeldeinformationsindex, um die sekundäre Authentifizierungsmethode im Sitzungsprofil zu verwenden, damit LDAP-Anmeldeinformationen an StoreFront übergeben werden. Wenn Sie die Citrix Gateway-Appliance zu Ihrer StoreFront-Konfiguration hinzufügen, setzen Sie den Anmeldetyp auf Domäne und Sicherheitstoken. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX125364

Um die Multi-Domänen-Authentifizierung über Citrix Gateway für StoreFront zu aktivieren, setzen Sie das SSO-Namensattribut in der Citrix Gateway LDAP-Authentifizierungsrichtlinie für jede Domäne auf userPrincipalName. Sie können von Benutzern verlangen, eine Domäne auf der Citrix Gateway-Anmeldeseite anzugeben, damit die entsprechende zu verwendende LDAP-Richtlinie bestimmt werden kann. Wenn Sie die Citrix Gateway-Sitzungsprofile für Verbindungen zu StoreFront konfigurieren, geben Sie keine Single Sign-On-Domäne an. Sie müssen Vertrauensstellungen zwischen den einzelnen Domänen konfigurieren. Stellen Sie sicher, dass Sie Benutzern die Anmeldung bei StoreFront von jeder Domäne aus ermöglichen, indem Sie den Zugriff nicht nur auf explizit vertrauenswürdige Domänen beschränken.

Sofern von Ihrer Citrix Gateway-Bereitstellung unterstützt, können Sie SmartAccess verwenden, um den Benutzerzugriff auf Citrix Virtual Apps and Desktops-Ressourcen basierend auf Citrix Gateway-Sitzungsrichtlinien zu steuern.

Gateway-Passthrough aktivieren

Um die Gateway-Passthrough-Authentifizierung für einen Store beim Verbinden über Workspace-Apps zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden die Option Passthrough von Citrix Gateway.

Das Aktivieren der Citrix Gateway-Passthrough-Authentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores. Sie können die Benutzername- und Kennwortauthentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden deaktivieren.

Vertrauenswürdige Benutzerdomänen konfigurieren

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung konfiguriert ist, können Sie den Zugriff auf bestimmte Domänen beschränken.

  1. Wählen Sie im Fenster „Authentifizierungsmethoden verwalten“ aus dem Dropdown-Menü Passthrough von Citrix Gateway > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren.

  2. Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in dieser Domäne können sich bei allen Stores anmelden, die den Authentifizierungsdienst verwenden. Um einen Domänennamen zu ändern, wählen Sie den Eintrag in der Liste der vertrauenswürdigen Domänen aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in einer Domäne zu beenden, wählen Sie die Domäne in der Liste aus und klicken Sie auf Entfernen.

    Die Art und Weise, wie Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format Domänenbenutzername eingeben sollen, fügen Sie den NetBIOS-Namen zur Liste hinzu. Um zu verlangen, dass Benutzer ihre Anmeldeinformationen im Format Benutzerprinzipalname eingeben, fügen Sie den vollqualifizierten Domänennamen zur Liste hinzu. Wenn Sie Benutzern ermöglichen möchten, ihre Anmeldeinformationen sowohl im Format Domänenbenutzername als auch im Format Benutzerprinzipalname einzugeben, müssen Sie sowohl den NetBIOS-Namen als auch den vollqualifizierten Domänennamen zur Liste hinzufügen.

  3. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie aus der Liste der Standarddomänen die Domäne aus, die standardmäßig ausgewählt ist, wenn sich Benutzer anmelden.

  4. Wenn Sie die vertrauenswürdigen Domänen auf der Anmeldeseite auflisten möchten, aktivieren Sie das Kontrollkästchen „Domänenliste auf der Anmeldeseite anzeigen“.

Screenshot des Bildschirms für vertrauenswürdige Domänen

Delegierte Authentifizierung

Standardmäßig validiert StoreFront den Benutzernamen und das Kennwort, die es von Citrix Gateway erhält. Wenn Ihr Citrix Gateway keine Active Directory-Anmeldeinformationen über LDAP als Faktor verwendet, z. B. bei der Verwendung von SAML oder Smartcards, müssen Sie StoreFront so konfigurieren, dass es der vom Gateway durchgeführten Validierung vertraut. In diesem Fall ist es wichtig, dass Sie beim Konfigurieren des Gateways eine Callback-URL eingeben, damit StoreFront überprüfen kann, ob die Anforderung von Citrix Gateway stammt, siehe Citrix Gateways verwalten.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Passthrough von Citrix Gateway > Einstellungen die Option Delegierte Authentifizierung konfigurieren.

  2. Wählen Sie Anmeldeinformationsvalidierung vollständig an Citrix Gateway delegieren.

Screenshot des Fensters „Delegierte Authentifizierung konfigurieren“.

PowerShell

Um den Store so zu konfigurieren, dass die Authentifizierung an Citrix Gateway delegiert wird, verwenden Sie PowerShell und führen Sie das Cmdlet Set-STFCitrixAGBasicOptions aus.

  • Um die Authentifizierung an das Gateway zu delegieren, setzen Sie CredentialValidationMode auf Auto.
  • Damit StoreFront die Anmeldeinformationen validiert, setzen Sie CredentialValidationMode auf Password.

Kennwortvalidierung

Sie können wählen, ob StoreFront die Anmeldeinformationen selbst validiert oder den Delivery Controller bittet, die Anmeldeinformationen zu validieren. Weitere Informationen finden Sie unter Benutzername- und Kennwortauthentifizierung – Kennwortvalidierung.

Wenn Anmeldeinformationsvalidierung vollständig an Citrix Gateway delegieren ausgewählt ist, hat die Einstellung zur Validierung von Kennwörtern mithilfe des Delivery Controllers keine Auswirkung. In diesem Fall muss StoreFront in der Lage sein, den Benutzer in Active Directory nachzuschlagen, sodass die Domäne des StoreFront-Servers immer eine Vertrauensstellung zur Domäne des Benutzers haben muss.

Benutzern das Ändern abgelaufener Kennwörter bei der Anmeldung erlauben

Wenn Ihr Citrix Gateway für die Verwendung der LDAP-Authentifizierung (Benutzername und Kennwort) konfiguriert ist, können Sie NetScaler so konfigurieren, dass das Ändern abgelaufener Kennwörter bei der Anmeldung zugelassen wird.

  1. Melden Sie sich bei der NetScaler®-Administrationswebsite an.
  2. Gehen Sie im Seitenmenü zu Authentifizierung > Dashboard.
  3. Klicken Sie auf den Authentifizierungsserver.
  4. Aktivieren Sie unter Weitere Einstellungen die Option Kennwortänderung zulassen.

Benutzern das Ändern von Kennwörtern nach der Anmeldung erlauben

Sie können StoreFront so konfigurieren, dass Benutzer ihre Kennwörter nach der Anmeldung ändern können. Diese Funktionalität ist nur verfügbar, wenn das Gateway die LDAP-Authentifizierung verwendet und der Benutzer über einen Browser auf den Store zugreift, nicht über die lokal installierte Citrix Workspace-App.

Die Standardkonfiguration von StoreFront verhindert, dass Benutzer ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren möchten, stellen Sie sicher, dass die Richtlinien für die Domänen, die Ihre Server enthalten, Benutzer nicht daran hindern, ihre Kennwörter zu ändern. Wenn Benutzer ihre Kennwörter ändern können, werden sensible Sicherheitsfunktionen für jeden zugänglich, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für die interne Verwendung vorsieht, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Passthrough von Citrix Gateway > Einstellungen die Option Kennwortoptionen verwalten.

  2. Um Benutzern das Ändern von Kennwörtern zu erlauben, aktivieren Sie das Kontrollkästchen Benutzern das Ändern von Kennwörtern erlauben.

Screenshot der Kennwortoptionen verwalten

Hinweis:

Wenn Sie Benutzern das Ändern von Kennwörtern erlauben auswählen oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Benutzername- und Kennwortauthentifizierung aus.

PowerShell

Um die Kennwortänderungsoptionen mithilfe von PowerShell zu ändern, führen Sie das Cmdlet Set-STFExplicitCommonOptions aus.

Delivery Controller™ so konfigurieren, dass er StoreFront vertraut

Wenn Citrix Gateway mit LDAP-Authentifizierung konfiguriert ist, leitet es die Anmeldeinformationen an StoreFront weiter. Bei anderen Authentifizierungsmethoden hat StoreFront keinen Zugriff auf die Anmeldeinformationen und kann sich daher nicht bei Citrix Virtual Apps and Desktops authentifizieren. Sie müssen daher den Delivery Controller so konfigurieren, dass er Anforderungen von StoreFront vertraut, siehe Sicherheitsüberlegungen und Best Practices für Citrix Virtual Apps and Desktops.

Single Sign-On bei VDAs

Verwenden von Active Directory-Anmeldeinformationen

Wenn sich ein Benutzer am Gateway mithilfe der LDAP-Authentifizierung authentifiziert, leitet das Gateway die Anmeldeinformationen zur Authentifizierung an den VDA an StoreFront weiter und ermöglicht so Single Sign-On. Dies erfordert keine zusätzliche Konfiguration.

Verwenden des Federated Authentication Service

Wenn sich ein Benutzer am Gateway mit anderen Authentifizierungsmethoden als LDAP authentifiziert, hat StoreFront keinen Zugriff auf die Anmeldeinformationen des Benutzers, sodass Single Sign-On standardmäßig nicht verfügbar ist. Sie können den Federated Authentication Service konfigurieren, um Single Sign-On bereitzustellen.

Verwenden von Entra ID

Wenn Sie das Gateway für die Verwendung der Entra ID-Authentifizierung über OIDC konfigurieren, können Sie Entra ID Single Sign-On aktivieren. Diese Funktion erfordert CU1 oder höher. Weitere Informationen finden Sie unter VDA Entra ID Single Sign-On konfigurieren.

Passthrough von Citrix Gateway
March 9, 2026
Beitrag von: 
C
March 9, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.