Konfiguration des Federated Authentication Service
Der Federated Authentication Service (FAS) bietet Single Sign-On für VDAs mithilfe der Zertifikatsauthentifizierung. Dieser Ansatz ist nützlich, wenn Sie Authentifizierungsmethoden wie SAML aktiviert haben, bei denen StoreFront nicht über die Active Directory-Anmeldeinformationen des Benutzers verfügt. Sobald Sie FAS aktivieren, übernimmt es immer das Single Sign-On, selbst wenn Authentifizierungsmethoden verwendet werden, bei denen StoreFront das Active Directory-Benutzername-Passwort besitzt.
FAS über die Verwaltungskonsole konfigurieren
Hinweis:
Sie können FAS über die StoreFront-Verwaltungskonsole konfigurieren. Für Versionen vor 2511 stellt die Verwaltungskonsole diese Einstellungen nicht bereit, daher müssen Sie FAS mithilfe von PowerShell konfigurieren.
So konfigurieren Sie FAS:
-
Konfigurieren Sie die Liste der FAS-Server mithilfe der Gruppenrichtlinie. Weitere Informationen finden Sie in der FAS-Dokumentation.
-
Wählen Sie den Knoten Stores im linken Bereich der Citrix StoreFront-Verwaltungskonsole und dann einen Store im mittleren Bereich aus.
-
Wählen Sie im Bereich Aktionen die Option Store-Einstellungen konfigurieren aus.
-
Wählen Sie auf der Seite Store-Einstellungen konfigurieren die Registerkarte Federated Authentication Service aus.
-
Um Single Sign-On mit FAS zu aktivieren, wählen Sie Federated Authentication Service für diesen Store aktivieren aus.
-
Wenn der FAS-Server nicht verfügbar ist, schlägt der Start standardmäßig fehl. Sie können StoreFront jedoch so konfigurieren, dass Benutzer sich beim VDA anmelden können, indem sie ihre Anmeldeinformationen eingeben, wenn der FAS-Server nicht verfügbar ist. Aktivieren Sie dazu Fallback auf Benutzername/Passwort, wenn keine FAS-Server verfügbar sind.
-
Standardmäßig wählt StoreFront den FAS-Server beim Start aus. Sie können die FAS-Serverauswahl auf Bei der Anmeldung auswählen ändern. Dies ist normalerweise nicht erforderlich, aber Sie können dies aktivieren, wenn die FAS-Auswahl langsam ist, um Verzögerungen beim Start zu vermeiden. Diese Einstellung betrifft alle Stores, die denselben Authentifizierungsdienst nutzen.
-
Klicken Sie auf OK, um Ihre Änderungen zu speichern.
FAS über PowerShell konfigurieren
Um FAS mithilfe von PowerShell zu aktivieren, führen Sie das Cmdlet Set-STFStoreLaunchOptions aus, um den VDA-Anmeldedaten-Anbieter auf FASLogonDataProvider festzulegen.
Beispiel zum Aktivieren von FAS für einen Store:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy-->
So deaktivieren Sie FAS für einen Store:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy-->
Ersetzen Sie [VirtualPath] durch den entsprechenden virtuellen Pfad, z. B. /Citrix/Store.
Standardmäßig wird der FAS-Server bei der Anmeldung ausgewählt. Um dies zu konfigurieren, führen Sie das Cmdlet Set-STFClaimsFactoryNames mit dem Parameter ClaimsFactoryName aus. Um den FAS-Server bei der Anmeldung auszuwählen, setzen Sie ihn auf FASClaimsFactory. Um das Standardverhalten wiederherzustellen und einen FAS-Server beim Start auszuwählen, setzen Sie ihn auf standardClaimsFactory.
Beispiel zum Auswählen eines FAS-Servers bei der Anmeldung:
$store = Get-STFStoreService -VirtualPath [VirtualPath]
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
<!--NeedCopy-->
Um das Fallback auf die Benutzername- und Passwortauthentifizierung zu aktivieren, führen Sie das Cmdlet Set-STFStoreLaunchOptions mit dem Parameter FederatedAuthenticationServiceFailover aus. Beispiel:
$storeService = Get-STFStoreService -VirtualPath [VirtualPath]
Set-STFStoreLaunchOptions $storeService -FederatedAuthenticationServiceFailover $True
<!--NeedCopy-->