Entra ID Single Sign-On für VDAs (Vorschau)
Sie können Single Sign-On für Entra-verbundene VDAs aktivieren, sodass Benutzer, nachdem sie sich mit Entra ID am Store authentifiziert haben, ihre Anmeldeinformationen nicht erneut eingeben müssen, wenn sie eine virtuelle App oder einen virtuellen Desktop starten.
WICHTIG:
Die Entra ID-Authentifizierung über OIDC befindet sich derzeit in der Vorschauphase. Diese Funktion wird ohne Support bereitgestellt und wird noch nicht für den Einsatz in Produktionsumgebungen empfohlen.
Voraussetzungen
- Sie verfügen über Entra ID-verbundene Ressourcen, die von Citrix DaaS™ oder Citrix Virtual Apps and Desktops™ 2603 oder höher gehostet werden.
- Benutzer authentifizieren sich mit Entra ID an ihrem Store. Dies kann über (/de-de/storefront/current-release/integrate-with-citrix-gateway-and-citrix-adc/entra-id-oidc), Citrix Gateway mit SAML oder (/de-de/storefront/current-release/stores/authentication/saml) erfolgen.
- Die (/de-de/storefront/current-release/stores/websites/ui-experience) ist auf Modern eingestellt.
- Sie haben alle unter (/de-de/citrix-daas/install-configure/session-authentication/entra-sso.html) oder (/de-de/citrix-virtual-apps-desktops/install-configure/session-authentication/entra-sso) beschriebenen Konfigurationen abgeschlossen. Andernfalls schlägt die Einmalanmeldung fehl, und Benutzer können Startverzögerungen oder Fehler erfahren.
- Wenn der Store Citrix Gateway zur Authentifizierung verwendet und Ressourcen von Citrix DaaS-Sites veröffentlicht, dann (#configure-netscaler-adc-to-allow-unauthenticated-access-to-ticket-redemption-endpoint). Dies ist nicht erforderlich, wenn alle Sites Citrix Virtual Apps and Desktops sind oder wenn die Authentifizierung direkt bei StoreFront ohne Gateway erfolgt.
Bekannte Probleme
Wenn sich der Benutzer mit SAML authentifiziert und bei mehreren Entra ID-Konten angemeldet ist, kann der Webbrowser oder die Citrix Workspace-App den Benutzer beim Starten eines VDAs auffordern, auszuwählen, welches Konto verwendet werden soll, oder die Einmalanmeldung kann fehlschlagen. Dieses Problem tritt nicht auf, wenn sich der Benutzer mit OIDC-basierter Authentifizierung authentifiziert.
Konfigurieren über die Verwaltungskonsole
So konfigurieren Sie Entra ID SSO:
-
Öffnen Sie das Fenster (/de-de/storefront/current-release/stores/settings) für den Store, den Sie konfigurieren möchten.
-
Wählen Sie im Bereich „Aktion“ die Option Store-Einstellungen konfigurieren.
-
Wählen Sie auf der Seite Store-Einstellungen konfigurieren die Registerkarte Entra SSO.
-
Aktivieren oder deaktivieren Sie Entra SSO.

-
Wählen Sie OK, um Ihre Änderungen zu speichern.
Diese Einstellung betrifft nur Maschinen in Bereitstellungsgruppen, die für die Verwendung des Anmeldetyps Entra oder Hybrid konfiguriert sind. Für Bereitstellungsgruppen mit dem Anmeldetyp Active Directory möchten Sie möglicherweise auch Federated Authentication Service aktivieren.
Konfiguration mit PowerShell
Um Single Sign-On mit PowerShell zu konfigurieren, rufen Sie das Cmdlet Set-STFStoreLaunchOptions mit dem Parameter -EntraIdSsoEnabled auf.
NetScaler ADC für nicht authentifizierten Zugriff auf den Ticket-Einlöse-Endpunkt konfigurieren
Citrix DaaS verwendet einen von Citrix verwalteten Azure-Client, um das SSO über eine Citrix Entra ID-Webseite zu handhaben. Zur Verbesserung der Sicherheit erstellt StoreFront ein mit dem Client verknüpftes Ticket. Die Citrix Entra ID-Webseite ruft StoreFront zurück, um dieses Ticket zu validieren. Da die Citrix Entra ID-Webseite unter einer anderen Domäne als StoreFront gehostet wird, hat sie keinen Zugriff auf den Authentifizierungskontext. Wenn sich Benutzer daher über ein Citrix Gateway bei ihrem Store authentifizieren, müssen Sie Ihren NetScaler ADC so konfigurieren, dass das Citrix Gateway für Aufrufe an /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket umgangen wird.
Hinweis:
Citrix Virtual Apps and Desktops erfordert, dass Sie Ihren eigenen Client in Azure erstellen, anstatt den von Citrix verwalteten Client zu verwenden. Daher ist das Ticket nicht erforderlich und die folgende Konfiguration ist nicht notwendig.
Das folgende Diagramm zeigt, wie Sie einen Content Switcher verwenden können, um die Authentifizierung für die Ticket-Einlöse-URL zu umgehen.

Aufrufe an /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket werden an einen Load Balancer geleitet, der die Anfragen an StoreFront weiterleitet und dabei das Gateway umgeht. Beachten Sie, dass der Load Balancer erforderlich ist, da der Content Switcher nicht so konfiguriert werden kann, dass er den Datenverkehr direkt an eine URL leitet, und einen virtuellen Server als Ziel benötigt. Der Load Balancer führt kein Load Balancing durch, sondern leitet den Datenverkehr lediglich an StoreFront weiter. Wenn Sie bereits einen geeigneten StoreFront-Load Balancer auf derselben Maschine haben, können Sie diesen stattdessen verwenden.
Alle anderen Aufrufe werden an den VPN-Virtual-Server des Gateways weitergeleitet.
Load Balancer erstellen, um den Datenverkehr vom Content Switcher an StoreFront weiterzuleiten
Wenn Sie bereits einen Load Balancer Virtual Server haben, der Ihre StoreFront-Servergruppe vorhält und auf demselben Computer wie das Gateway läuft, können Sie diesen Schritt überspringen und den Content Switch so konfigurieren, dass er den Datenverkehr direkt an diesen Virtual Server sendet. Andernfalls müssen Sie einen Load Balancer erstellen, um den Datenverkehr an die StoreFront-Server weiterzuleiten. Dies liegt daran, dass Content Switcher-Aktionen auf einen Virtual Server verweisen müssen.
Die Schritte unterscheiden sich geringfügig, je nachdem, ob StoreFront für HTTPS (empfohlen) oder HTTP konfiguriert ist.
StoreFront ist für HTTPS konfiguriert
Erstellen Sie einen Dienst stf_srv, der StoreFront über seine IP-Adresse darstellt, und binden Sie ihn an einen SSL-Load-Balancer ohne Persistenz.
add service stf_srv <StoreFront Ip Address> SSL 443
add lb vserver lb_vs SSL <lb_vs Ip Address> 443 -persistenceType NONE -cltTimeout 180
bind lb vserver lb_vs stf_srv
<!--NeedCopy-->
StoreFront ist für HTTP konfiguriert
Erstellen Sie einen Dienst stf_srv, der StoreFront über seinen FQDN darstellt, und binden Sie ihn an einen HTTP-Load-Balancer ohne Persistenz.
add server storefront1 <storefront fqdn>
add service stf_srv storefront1 HTTP 80
add lb vserver lb_vs HTTP 0.0.0.0 0 -persistenceType NONE -cltTimeout 180
bind lb vserver lb_vs stf_srv
<!--NeedCopy-->
SSL-Content-Switching-Virtual-Server erstellen
Erstellen Sie einen SSL-Content-Switching-Virtual-Server zur Bearbeitung von Clientanfragen. Dieser Content-Switching-Virtual-Server überwacht den HTTPS-Datenverkehr auf Port 443 und leitet Anfragen entweder an den Gateway-VPN-Virtual-Server weiter oder leitet sie über den Load Balancer an StoreFront durch.
Standardmäßig ist Content Switching deaktiviert, daher müssen Sie es aktivieren, falls Sie dies noch nicht getan haben.
enable feature CS
add cs vserver cs_vs SSL <cs_vs Ip Address> 443 -cltTimeout 180 -persistenceType NONE
bind ssl vserver cs_vs -certkeyName <Certificate Name>
<!--NeedCopy-->
Content-Switching-Richtlinie für die Ticket-Einlösung erstellen
Erstellen Sie eine Content-Switching-Richtlinie für den Lastausgleich basierend auf einer URL, die einen StoreFront-Ticket-Einlösungspfad enthält.
Diese Richtlinie gleicht Anfragen ab, wenn die URL /Citrix/<StoreWeb>/Tickets/RedeemStoreTicket enthält, und leitet sie an den Load Balancer weiter, ohne den VPN-Virtual-Server zu durchlaufen.
Ersetzen Sie <StoreWeb> durch den Namen der StoreFront-Website aus der StoreFront-Virtual-Server-Webrichtlinie. Sie können entweder den in einem früheren Schritt erstellten Load Balancer lb_vs oder einen vorhandenen Load Balancer Virtual Server verwenden, der Ihre StoreFront-Server vorhält.
add cs action cs_lb_vs -targetLBVserver lb_vs
add cs policy cs_lb_vs_pol -rule "HTTP.REQ.URL.CONTAINS(\"/Citrix/<StoreWeb>/Tickets/RedeemStoreTicket\")" -action cs_lb_vs
bind cs vserver cs_vs -policyName cs_lb_vs_pol -priority 100
<!--NeedCopy-->
Content-Switching-Richtlinie für den gesamten anderen Datenverkehr erstellen
Erstellen Sie eine umfassende Content-Switching-Richtlinie, um den gesamten anderen StoreFront-Datenverkehr über den virtuellen VPN-Server zur Authentifizierung zu leiten.
add cs action cs_vpn_vs -targetVserver <VPN vServer>
add cs policy cs_vpn_pol -rule TRUE -action cs_vpn_vs
bind cs vserver cs_vs -policyName cs_vpn_pol -priority 110
<!--NeedCopy-->