Active Directory-Benutzername- und -Kennwortauthentifizierung
Benutzer werden aufgefordert, ihren Active Directory-Benutzernamen und ihr Kennwort einzugeben.
.
Wenn das Kennwort des Benutzers abgelaufen ist oder bald abläuft, kann dem Benutzer je nach Konfiguration die Option zum Ändern des Kennworts angeboten werden.
Um die Benutzername- und Kennwortauthentifizierung für einen Store bei Verwendung der Citrix Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden die Option Active Directory-Benutzername und -Kennwort.
Das Aktivieren der Benutzername- und Kennwortauthentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores für Benutzer, die einen Webbrowser verwenden. Sie können die Benutzername- und Kennwortauthentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden für Websites verwalten deaktivieren.
Vertrauenswürdige Benutzerdomänen konfigurieren
Sie können den Zugriff auf Stores für Benutzer einschränken, die sich mit expliziten Domänenanmeldeinformationen anmelden, entweder direkt oder über Pass-Through-Authentifizierung von Citrix Gateway.
-
Wählen Sie den Knoten „Stores“ im linken Bereich der Citrix StoreFront-Verwaltungskonsole und im Ergebnisbereich die entsprechende Authentifizierungsmethode aus. Klicken Sie im Aktionsbereich auf Authentifizierungsmethoden verwalten.
-
Wählen Sie in der Liste Benutzername und Kennwort > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren.
-
Wählen Sie Nur vertrauenswürdige Domänen und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in dieser Domäne können sich bei allen Stores anmelden, die den Authentifizierungsdienst verwenden. Um einen Domänennamen zu ändern, wählen Sie den Eintrag in der Liste „Vertrauenswürdige Domänen“ aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in einer Domäne zu beenden, wählen Sie die Domäne in der Liste aus und klicken Sie auf Entfernen.
Die Art und Weise, wie Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Format „Domänenbenutzername“ eingeben sollen, fügen Sie den NetBIOS-Namen zur Liste hinzu. Um zu verlangen, dass Benutzer ihre Anmeldeinformationen im Format „Benutzerprinzipalname“ eingeben, fügen Sie den vollqualifizierten Domänennamen zur Liste hinzu. Wenn Sie Benutzern ermöglichen möchten, ihre Anmeldeinformationen sowohl im Format „Domänenbenutzername“ als auch im Format „Benutzerprinzipalname“ einzugeben, müssen Sie sowohl den NetBIOS-Namen als auch den vollqualifizierten Domänennamen zur Liste hinzufügen.
-
Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie aus der Liste „Standarddomäne“ die Domäne aus, die standardmäßig ausgewählt wird, wenn sich Benutzer anmelden.
-
Wenn Sie die vertrauenswürdigen Domänen auf der Anmeldeseite auflisten möchten, aktivieren Sie das Kontrollkästchen „Domänenliste auf der Anmeldeseite anzeigen“.

PowerShell
Um die Liste der konfigurierten Domänen abzurufen, verwenden Sie das Cmdlet Get-STFExplicitCommonOptions.
Um die vertrauenswürdigen Domänen zu aktualisieren, verwenden Sie das Cmdlet Set-STFExplicitCommonOptions.
Benutzern das Ändern ihrer Kennwörter ermöglichen
Sie können Benutzern jederzeit erlauben, ihre Kennwörter zu ändern. Alternativ können Sie Kennwortänderungen auf Benutzer beschränken, deren Kennwörter abgelaufen sind. Dies bedeutet, dass Sie sicherstellen können, dass Benutzer niemals durch ein abgelaufenes Kennwort am Zugriff auf ihre Desktops und Anwendungen gehindert werden.
Die Funktion zum Ändern des Kennworts ist in den folgenden Clients verfügbar:
| Citrix Workspace-Apps | Benutzer kann ein abgelaufenes Kennwort ändern, wenn dies in StoreFront aktiviert ist | Benutzer wird benachrichtigt, dass das Kennwort abläuft | Benutzer kann das Kennwort ändern, bevor es abläuft, wenn dies in StoreFront aktiviert ist |
|---|---|---|---|
| Windows | Ja | ||
| Mac | Ja | ||
| Android | |||
| iOS | |||
| Linux | Ja | ||
| Web | Ja | Ja | Ja |
Die Standardkonfiguration hindert Benutzer der Citrix Workspace-App und des Webbrowsers daran, ihre Kennwörter zu ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren möchten, stellen Sie sicher, dass die Richtlinien für die Domänen, die Ihre Server enthalten, Benutzer nicht daran hindern, ihre Kennwörter zu ändern. Wenn Benutzer ihre Kennwörter ändern können, werden sensible Sicherheitsfunktionen für jeden offengelegt, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für die interne Nutzung vorsieht, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist.
Wenn Sie Benutzern erlauben, ihre Kennwörter jederzeit zu ändern, erhalten lokale Benutzer, deren Kennwörter bald ablaufen, beim Anmelden eine Warnung. Standardmäßig wird der Benachrichtigungszeitraum für einen Benutzer durch die entsprechende Windows-Richtlinieneinstellung bestimmt. Alternativ können Sie einen benutzerdefinierten Benachrichtigungszeitraum konfigurieren.
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Active Directory-Benutzername und -Kennwort > Einstellungen die Option Kennwortoptionen verwalten.
-
Um Benutzern das Ändern von Kennwörtern zu ermöglichen, aktivieren Sie das Kontrollkästchen Benutzern das Ändern von Kennwörtern erlauben.
Hinweis:
Wenn Sie diese Option nicht auswählen, müssen Sie selbst Vorkehrungen treffen, um Benutzer zu unterstützen, die aufgrund abgelaufener Kennwörter nicht auf ihre Desktops und Anwendungen zugreifen können.
-
Wählen Sie, ob Benutzer Kennwörter Nur wenn sie ablaufen oder Jederzeit ändern dürfen.
-
Wählen Sie, ob Benutzer vor Ablauf ihrer Kennwörter erinnert werden sollen. Sie können aus den folgenden Optionen wählen:
-
Nicht erinnern – Die Benutzeroberfläche zeigt keine Erinnerungen an den Passwortablauf an. Sie benachrichtigt Benutzer erst, wenn das Passwort abgelaufen ist.
-
Erinnerungseinstellungen aus der Active Directory-Gruppenrichtlinie verwenden – Nach der Anmeldung benachrichtigt die Benutzeroberfläche, wenn das Passwort innerhalb der in der Gruppenrichtlinie konfigurierten Anzahl von Tagen abläuft. Dem Benutzer wird die Möglichkeit gegeben, sein Passwort zu ändern.
Hinweis:
StoreFront berücksichtigt keine feingranularen Kennwortrichtlinien. Wenn Sie daher feingranulare Kennwortrichtlinien verwenden, sollten Sie diese Option nicht auswählen.
-
Benutzerdefinierte Erinnerungseinstellung verwenden – Nach der Anmeldung benachrichtigt die Benutzeroberfläche den Benutzer, wenn sein Passwort innerhalb der angegebenen Anzahl von Tagen abläuft. Dem Benutzer wird die Möglichkeit gegeben, sein Passwort zu ändern.
-

Hinweise
Hinweis 1:
Stellen Sie sicher, dass auf Ihren StoreFront-Servern ausreichend Speicherplatz vorhanden ist, um Profile für alle Ihre Benutzer zu speichern. Um zu überprüfen, ob das Passwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für diesen Benutzer auf dem Server. StoreFront muss den Domänencontroller kontaktieren können, um die Passwörter der Benutzer zu ändern.
Hinweis 2:
Wenn Sie die Sicherheitsrichtlinie Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM tätigen dürfen aktivieren, müssen Sie alle Benutzer einschließen, die ihre Passwörter ändern müssen.
Hinweis 3:
Wenn Sie das Ändern von Passwörtern jederzeit aktivieren oder deaktivieren, betrifft dies auch die Einstellungen unter Optionen zur Passwortverwaltung für die Pass-Through-Authentifizierung von Citrix Gateway.
PowerShell
Um die Liste der vertrauenswürdigen Domänen abzurufen, verwenden Sie das Cmdlet Get-STFExplicitCommonOptions.
Um die vertrauenswürdigen Domänen zu aktualisieren, verwenden Sie das Cmdlet Set-STFExplicitCommonOptions.
Kennwortvalidierung
Normalerweise fordert StoreFront Windows auf, die Anmeldeinformationen in Active Directory zu validieren. Dies erfordert, dass sich der Windows-Server in derselben Domäne wie der Benutzer befindet oder dass eine Vertrauensstellung zwischen den beiden Domänen besteht. Wenn es nicht möglich ist, Active Directory-Vertrauensstellungen einzurichten, können Sie StoreFront so konfigurieren, dass die Citrix Virtual Apps and Desktops Delivery Controller zur Authentifizierung der Anmeldeinformationen verwendet werden. Dies betrifft auch die HTTP Basic- und Gateway-Pass-Through-Authentifizierung.
So konfigurieren Sie, wie StoreFront Kennwörter validiert:
-
Wählen Sie im Fenster Authentifizierungsmethoden verwalten im Dropdown-Menü Benutzername und Kennwort > Einstellungen die Option Kennwortvalidierung konfigurieren.

-
Wählen Sie im Dropdown-Menü Kennwort validieren über Folgendes aus:
- Active Directory – Fordert Windows auf, Anmeldeinformationen in Active Directory zu validieren
- Delivery Controller – Fordert den konfigurierten Delivery Controller™ auf, Anmeldeinformationen zu validieren.

-
Wenn Sie Delivery Controller ausgewählt haben, wählen Sie Konfigurieren. Fügen Sie in den Bildschirmen Delivery Controller konfigurieren einen oder mehrere Delivery Controller zur Validierung der Benutzeranmeldeinformationen hinzu und klicken Sie auf OK.

-
Wählen Sie OK.
PowerShell
Um zu erfahren, wie Kennwörter validiert werden, verwenden Sie das Cmdlet Get-STFExplicitAuthenticator.
Um die Kennwortvalidierung über Delivery Controller durchzuführen, verwenden Sie das Cmdlet Set-STFExplicitAuthenticator, um den Validator auf xmlServiceAuthenticator festzulegen. Um festzulegen, welcher Delivery Controller zur Authentifizierung von Anmeldeinformationen verwendet werden soll, verwenden Sie das Cmdlet Enable-STFXmlServiceAuthentication
Single Sign-On bei VDAs
Wenn Benutzer eine Ressource starten, leitet StoreFront die Anmeldeinformationen, die der Benutzer zum Anmelden am Store verwendet hat, für das Single Sign-On an die VDAs weiter.
Wenn Federated Authentication Service (FAS) für den Store aktiviert ist, kontaktiert StoreFront einen FAS-Server, um ein Zertifikat für das Single Sign-On am Store bereitzustellen. Dieses Zertifikat wird anstelle der Anmeldeinformationen an den VDA weitergeleitet. Wenn StoreFront keinen FAS-Server kontaktieren kann, gibt es kein Single Sign-On am VDA.
Anmeldebildschirm anpassen
Der Anmeldebildschirm wird aus einer Vorlage generiert, die sich normalerweise unter C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm befindet. Die Vorlage wird mit Forms Template Language definiert.
Die folgenden Beispiele fügen einen Titel hinzu und verhindern, dass die Citrix Workspace-App für Windows Kennwörter zwischenspeichert:
Titeltext
Wenn Benutzer sich bei einem Store anmelden, wird standardmäßig kein Titeltext im Anmeldedialogfeld angezeigt. Sie können den Text „Bitte melden Sie sich an“ anzeigen oder eine eigene benutzerdefinierte Nachricht verfassen:
-
Verwenden Sie einen Texteditor, um die Datei
UsernamePassword.tfrmfür den Authentifizierungsdienst zu öffnen. -
Suchen Sie die folgenden Zeilen in der Datei.
@* @Heading("ExplicitAuth:AuthenticateHeadingText") *@ <!--NeedCopy--> -
Heben Sie die Auskommentierung der Anweisung auf, indem Sie das führende
@*und das nachgestellte*@entfernen.@Heading("ExplicitAuth:AuthenticateHeadingText") <!--NeedCopy-->Benutzer der Citrix Workspace-App sehen den Standardtiteltext „Bitte melden Sie sich an“ oder die entsprechende lokalisierte Version dieses Textes, wenn sie sich bei Stores anmelden, die diesen Authentifizierungsdienst verwenden.
-
Um den Titeltext zu ändern, öffnen Sie die Datei
ExplicitFormsCommon.xx.resxfür den Authentifizierungsdienst mit einem Texteditor, die sich normalerweise im VerzeichnisC:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\befindet. -
Suchen Sie die folgenden Elemente in der Datei. Bearbeiten Sie den Text, der im Element
<value>enthalten ist, um den Titeltext zu ändern, den Benutzer im Anmeldedialogfeld sehen, wenn sie auf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.<data name="AuthenticateHeadingText" xml:space="preserve"> <value>My Company Name</value> </data> <!--NeedCopy-->Um den Titeltext des Anmeldedialogfelds für Benutzer in anderen Gebietsschemas zu ändern, bearbeiten Sie die lokalisierten Dateien ExplicitAuth.languagecode.resx, wobei languagecode der Gebietsschemabezeichner ist.
Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert
Standardmäßig speichert die Citrix Workspace-App für Windows die Kennwörter der Benutzer, wenn diese sich bei StoreFront-Stores anmelden. Um zu verhindern, dass die Citrix Workspace-App für Windows die Kennwörter der Benutzer zwischenspeichert, bearbeiten Sie die Dateien für den Authentifizierungsdienst.
-
Öffnen Sie die Datei inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm mit einem Texteditor.
-
Suchen Sie die folgende Zeile in der Datei.
@SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) <!--NeedCopy--> -
Kommentieren Sie die Anweisung wie unten gezeigt aus.
<!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) --> <!--NeedCopy-->Benutzer müssen ihre Kennwörter jedes Mal eingeben, wenn sie sich bei Stores anmelden, die diesen Authentifizierungsdienst verwenden.
Standardmäßig füllt die Citrix Workspace-App für Windows den zuletzt eingegebenen Benutzernamen automatisch aus. Um das Ausfüllen des Benutzernamenfelds zu unterdrücken oder einen alternativen Mechanismus zum Unterdrücken des Zwischenspeicherns von Kennwörtern zu verwenden, siehe Prevent Citrix Workspace app for Windows from caching passwords and usernames.
Remotezugriff über Citrix Gateway
Sie können Ihr Citrix Gateway so konfigurieren, dass sich Benutzer mit ihrem Domänenbenutzernamen und -kennwort sowie optional einem zweiten Faktor am Gateway anmelden. Diese Anmeldeinformationen werden an StoreFront weitergeleitet, um sich am Store anzumelden. Informationen zum Konfigurieren Ihres Citrix Gateways für die LDAP-Benutzernamen- und Kennwortauthentifizierung finden Sie unter NetScaler documentation - LDAP authentication. Informationen zum Konfigurieren von StoreFront finden Sie unter Pass-through from Citrix Gateway.
In diesem Artikel
- Vertrauenswürdige Benutzerdomänen konfigurieren
- Benutzern das Ändern ihrer Kennwörter ermöglichen
- Kennwortvalidierung
- Single Sign-On bei VDAs
- Anmeldebildschirm anpassen
- Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert
- Remotezugriff über Citrix Gateway