Federated Authentication Service für Citrix Cloud und On-Premises-Umgebungen

Übersicht

Die IT-Branche hat bereits begonnen, über die Legacy-Einzelfaktorauthentifizierung hinauszugehen, um die Sicherheit durch bessere Anmeldeinformationsmethoden für den Remote-Zugriff auf interne Ressourcen zu erhöhen. Die Organisationen verfolgen moderne Authentifizierungsansätze, die hauptsächlich auf SAML (Security Assertion Markup Language) basieren, um einen sicheren Zugriff auf die internen Dienste zu ermöglichen.

Die moderne Authentifizierung ist ein Rahmen des Identitätsmanagements, der eine sicherere Benutzerauthentifizierung und -autorisierung bietet. Die Verwaltung von Benutzeridentitäten mit moderner Authentifizierung bietet Administratoren viele verschiedene Tools, die sicherere Systeme der Identitätsverwaltung bieten. Diese Authentifizierungsmethoden umfassen Dienste wie ADFS, Azure Active Directory, Okta, Google, Ping-Federate und andere. Diese Methoden bieten eine breitere Palette von Multi-Faktor-Optionen (Text, Anruf, PIN) als das herkömmliche Kennwort- und Sicherheitstoken.

Zusätzlich zur Beseitigung der Kennwortschwäche bei der Verwendung von Legacy-Einzelfaktor-Authentifizierung ermöglicht die SAML-Authentifizierung Administratoren, einen einzelnen Berechtigungssatz pro Benutzer für alle Apps zu verwalten, auf die sie zugreifen müssen. Wenn ein Benutzer die Organisation verlässt, müssen IT-Administratoren nur einen Satz von Anmeldeinformationen widerrufen. Anmeldeinformationen können widerrufen werden, ohne sich bei jeder einzelnen Anwendung anzumelden.

Was ist SAML

SAML ist ein XML-basiertes Industriestandard-Framework für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter.

Federated-Authentication-Service-Image-1

So erkennen Sie die SAML-Anbieter an:

  • Ein Service Provider (SP) ist eine Einheit, die den Dienst anbietet, in der Regel in Form einer Anwendung
  • Ein Identity Provider (IdP) ist eine Entität, die die Benutzeridentitäten bereitstellt, einschließlich der Fähigkeit, einen Benutzer zu authentifizieren und zu autorisieren.

Bei derAuthentifizierung werden die Identität und die Anmeldeinformationen des Benutzers überprüft (Kennwort, Zwei-Faktor-Authentifizierung und Multi-Faktor).

DieAutorisierung ist der Prozess, der dem Dienstanbieter mitteilt, welchen Zugriff dem authentifizierten Benutzer gewährt werden soll.

SAML Behauptung

Eine SAML-Zusicherung ist ein kryptografisch signiertes XML-Dokument, das vom Identity Provider an den Service Provider gesendet wird und die Benutzerberechtigung enthält. Es gibt drei verschiedene Arten von SAML-Behauptungen:

  • Authentifizierung - Behauptungen der Authentifizierung belegen die Identifizierung des Benutzers und geben die Zeit an, zu der sich der Benutzer angemeldet hat und welche Authentifizierungsmethode er verwendet hat (Kerberos, Multifaktor und mehr).

  • Attribut - Die Attributionsbehauptung übergibt die SAML-Benutzerattribute (spezifische Daten, die Informationen über den Benutzer wie UPN liefern).

  • Autorisierungsentscheidung - Eine Behauptung der Autorisierungsentscheidung besagt, ob der Benutzer zur Nutzung des Dienstes berechtigt ist oder wenn der Identitätsanbieter seine Anfrage aufgrund eines Kennwortfehlers oder fehlender Rechte an dem Dienst abgelehnt hat.

SAML ändert vollständig die Authentifizierungsmethode, mit der sich ein Benutzer für den Zugriff auf einen Dienst anmeldet. Sobald eine Anwendung oder ein Dienst für die Authentifizierung über SAML konfiguriert ist, erfolgt der Authentifizierungsaustausch zwischen dem Dienstanbieter und dem konfigurierten Identity Provider. Der Authentifizierungsprozess überprüft die Identität und die Berechtigungen des Benutzers und gewährt oder verweigert diesem Benutzer dann den Zugriff auf die Dienste. Jeder Identitätsanbieter und Dienstanbieter muss sich auf eine ähnliche und genaue Konfiguration einigen, damit die SAML-Authentifizierung ordnungsgemäß funktioniert.

Es muss unbedingt hervorgehoben werden, dass SAML das Senden des Kennworts des Benutzers zwischen dem Identitätsanbieter und dem Dienstanbieter nicht unterstützt. SAML arbeitet, indem es Informationen über Benutzer, Anmeldebehauptungen und Attribute zwischen dem Identitätsanbieter und den Dienstanbietern weitergibt. Ein Benutzer meldet sich einmal beim Identitätsanbieter an. Der Identitätsanbieter gibt die SAML-Assertion dann an den Dienstanbieter weiter, wenn der Benutzer versucht, auf diese internen Anwendungsdienste zuzugreifen.

Verbundauthentifizierungsdienst

Das moderne Authentifizierungs-Framework ist eine technische Herausforderung für die Citrix-Umgebung. Citrix Workspace, der verschiedene Identity Provider zur Auswahl hat, und gleichzeitig unterstützen Windows VDAs SAML nicht nativ. Die Virtual Delivery Agents (VDAs) akzeptiert Benutzername/Kennwort, Kerberos und Zertifikate als Authentifizierungsmethoden für die Anmeldung.

Bei der SAML-Authentifizierung haben Citrix Gateway und StoreFront keinen Zugriff auf das Kennwort des Benutzers. Es hat nur eine SAML-Zusstellung, daher kann während des Sitzungsstarts keine Single Sign-On am VDA durchgeführt werden. Mit dem SAML-Token unterbricht es das Single Sign-On (SSO) an den VDA und fordert die Benutzer erneut zur Eingabe ihrer Anmeldeinformationen auf.

Citrix führte den Federated Authentication Service (FAS) ein, um das Single Sign-On während des Sitzungsstarts zu erreichen, wenn die SAML-Authentifizierung verwendet wird, indem virtuelle Smartcard-Benutzerzertifikate für die Anmeldung am VDA ausgestellt wurden. Citrix FAS ist in das Microsoft Active Directory und die Zertifikatdienste integriert, um Smartcard-Klassenzertifikate automatisch im Namen von Active Directory-Benutzern auszustellen. Citrix FAS verwendet ähnliche APIs, mit denen Administratoren physische Smartcards bereitstellen können, um die Benutzerzertifikate der virtuellen Smartcard-Klasse auszustellen.

Federated-Authentication-Service-Image-2

Citrix FAS muss in Workspace/StoreFront und den VDA integriert werden, um die SAML-Assertion effektiv gegen ein Benutzerzertifikat auszutauschen. Das hat das Zertifikat ausgestellt, das als Teil des Sitzungsstartprozesses eingefügt wurde, wodurch Single Sign-On für den VDA erreicht wurde und zusätzliche Authentifizierungsaufforderungen für den Benutzer vermieden werden. Die Bereitstellung von Citrix FAS wird sowohl für die Workloads von Windows- als auch für Linux VDA unterstützt.

FAS Installation und Überlegungen

Citrix Cloud Connectors

Für Citrix Cloud-Bereitstellungen ermöglicht Cloud Connector die Kommunikation zwischen dem Ressourcenstandort (wo sich der FAS-Server befindet) und Citrix Cloud. Es wird empfohlen, zwei oder mehr Cloud Connectors für jeden Ressourcenstandort zu verwenden. Stellen Sie sicher, dass die Cloud-Connectors am jeweiligen Ressourcenstandort mit Active Directory-Domänencontrollern und Virtual Delivery Agents kommunizieren

FAS-Server

Citrix FAS wird für die Installation auf den neuesten Windows Server-Versionen unterstützt. Die Bereitstellung von Citrix FAS wird jedoch sowohl für die Workloads von Windows als auch für Linux VDA unterstützt. Es wird empfohlen, die FAS-Dienste auf einem dedizierten Server zu installieren, der keine anderen Citrix Komponenten enthält. Installieren Sie zwei oder mehr FAS-Server für jedes Rechenzentrum oder jeden Ressourcenstandort. Beziehen Sie sich auf Installation und Konfiguration von Citrix FAS das Dokument

Informationen zur Skalierbarkeit und Hochverfügbarkeit finden Sie Citrix FAS Skalierbarkeit und HA-Dokument im Citrix KB-Artikel CTX225721. Bei der Migration von On-Premises zu Citrix Cloud können die vorhandenen FAS-Server, die in der On-Premises-Umgebung bereitgestellt werden, genutzt und für die Kommunikation mit Citrix Cloud über Cloud Connectors konfiguriert werden.

Die FAS-Server sollten innerhalb des gesicherten internen Netzwerksegments installiert werden, da sie auf Active Directory-Domänencontroller, Zertifikatsdienste und Registrierungsautoritätszertifikate sowie auf den privaten Schlüssel zugreifen müssen. Lesen Sie die Erweiterte Konfiguration Dokumentation, um das Zertifikat, das Netzwerk und andere Sicherheitsaspekte zu überprüfen.

Zertifikats-Dienstleistungen

Wenn es noch nicht bereitgestellt wurde, müssen Sie die Microsoft Certification Authority (CA) -Dienste gemäß den Sicherheitsnormen Ihres Unternehmens im Unternehmensmodus entwerfen und bereitstellen. Um Interoperabilitätsprobleme mit anderer Software zu vermeiden, bietet FAS drei Citrix FAS-Zertifikatvorlagen für den eigenen Gebrauch. Eine der Zertifikatvorlagen ist für die Smartcard-Anmeldung bei Citrix VDA vorgesehen. Die anderen beiden Zertifikatvorlagen sollen FAS als Zertifizierungsstelle autorisieren. Diese Vorlagen müssen mit Hilfe eines Administratorkontos bereitgestellt und bei Active Directory registriert werden, das über Berechtigungen zur Verwaltung Ihrer Unternehmensgesamtstruktur verfügt.

Active Directory

Es wird empfohlen, die Funktionsebene für Server 2012 für das Active Directory zu verwenden. Domänencontroller müssen mit Domänencontroller-Authentifizierungszertifikaten und -Vorlagen installiert werden (CTX218941). Die Zertifikate auf den Domänencontrollern müssen die Smartcard-Authentifizierung unterstützen.

Jede Active Directory-Bereitstellung unterscheidet sich von einer anderen Bereitstellung, daher sind möglicherweise zusätzliche Schritte erforderlich, damit die FAS-Lösung in Ihrer Umgebung funktioniert. Weitere Informationen finden Sie im Citrix Blog für selektive Authentifizierung mit mehreren Gesamtstrukturen, um die geeignete Architektur für die Bereitstellung auszuwählen. Es wird empfohlen, Ihre Lösung in einer Laborumgebung sorgfältig zu testen, bevor Sie sie in einer Produktionsumgebung implementieren.

Laden Sie alle drei FAS-Zertifikatvorlagen in das Active Directory hoch und konfigurieren Sie einen CA-Server für die Ausstellung von Zertifikaten mit den neuen Vorlagen. Eine der Zertifikatvorlagen ist für die Smartcard-Anmeldung bei Citrix VDA vorgesehen. Die anderen beiden Zertifikatvorlagen sollen FAS als Zertifizierungsstelle autorisieren.

Installieren Sie die ADMX-Gruppenrichtlinien von Citrix FAS im Ordner Richtliniendefinitionen auf dem Domänencontroller. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie das Gruppenrichtlinienobjekt mit den DNS-Adressen der FAS-Server. Dieses Gruppenrichtlinienobjekt muss für FAS-Server, StoreFront-Server und jeden VDA mit der jeweiligen Domäne gelten. Stellen Sie sicher, dass die FAS-Gruppenrichtlinienkonfiguration korrekt auf StoreFront und VDAs angewendet wurde, bevor Sie den Maschinenkatalog und die Bereitstellungsgruppen erstellen.

Die Reihenfolge der DNS-Adressen Ihrer FAS-Server in der GPO-Liste muss für alle VDAs, StoreFront-Server (falls vorhanden) und FAS-Server konsistent sein. Die GPO-Liste wird vom VDA verwendet, um den FAS-Server zu finden, der für einen Start einer virtuellen App oder eines Desktops ausgewählt wurde.

Unterstützung für sitzungsinterne Zertifikate

Standardmäßig gestatten VDAs keinen Zugriff auf Zertifikate nach der Anmeldung. Verwenden Sie bei Bedarf die Gruppenrichtlinienvorlage, um das System für In-Session-Zertifikate zu konfigurieren. Die Option für Sitzungszertifikate im GPO steuert, ob ein Zertifikat nach der Anmeldung beim VDA verwendet werden kann. Wählen Sie diese Option nur aus, wenn Benutzer nach der Authentifizierung Zugriff auf das Zertifikat haben müssen.

Wenn Sie die Option während der Sitzung auswählen, wird das Zertifikat nach der Anmeldung zur Anwendungsnutzung im persönlichen Zertifikatsspeicher des Benutzers abgelegt. Bei der TLS-Authentifizierung bei Webservern innerhalb der VDA-Sitzung wird das Zertifikat beispielsweise vom Browser verwendet. Wenn diese Option nicht ausgewählt ist, wird das Zertifikat nur für die Anmeldung oder Wiederverbindung verwendet, und Benutzer haben nach der Authentifizierung keinen Zugriff auf das Zertifikat.

Citrix Delivery Controller

Die Citrix Delivery Controller müssen mindestens Version 7.15 sein, und die VDAs müssen mindestens Version 7.15 sein. Es ist wichtig, dass das Vertrauen zwischen dem Delivery Controller und den StoreFront-Servern durch Ausführen des Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell-Cmdlets auf den Delivery Controllern ermöglicht wird.

Citrix StoreFront

Citrix empfiehlt dringend, die neueste Version des StoreFront-Servers für on-premises Bereitstellungen zu installieren. Der StoreFront-Server muss mindestens Version 3.12 sein. Stellen Sie sicher, dass die StoreFront-Server, die Tickets anfordern, und die virtuellen Lieferagenten (VDAs), die Tickets einlösen, die identische Konfiguration der FAS-DNS-Adressen haben.

Konzeptionelle Architektur von Citrix FAS

Der Federated Authentication Service (FAS) ist eine Citrix Komponente, die in Microsoft Active Directory und Certificate Authority (CA) integriert ist und es Benutzern ermöglicht, sich nahtlos in einer Citrix Umgebung zu authentifizieren. Es bietet komfortablere alternative Anmeldemethoden. Daher müssen Benutzer während des Starts der VDA-Sitzung keine Anmeldeinformationen mehr angeben, wodurch Single Sign-On erreicht wird.

Für die On-Premises-Umgebung ist es ab StoreFront 3.6 möglich, die SAML-Authentifizierung zusammen mit mehreren externen Identitätsanbietern zu verwenden, und die in Citrix FAS integriert ist, sodass sich Benutzer von Citrix Gateway oder direkt über StoreFront authentifizieren können.

Citrix hat im Juni 2020 die öffentliche GA-Version von Federated Authentication Service mit Citrix Cloud erreicht. Citrix FAS wird jetzt vollständig von Citrix Workspace unterstützt, um Single Sign-On für VDAs zu erreichen, wenn ein Anbieter für verbundene Identitäten wie Azure AD und Okta Identity Providers verwendet wird.

Citrix FAS für On-Premises-Bereitstellung

Die konzeptionelle Architektur für die Citrix FAS-Bereitstellung mit der On-Premises-Umgebung ist die folgende. Lassen Sie uns das Design-Framework jeder Layer für diese Bereitstellung überprüfen, um zu verstehen, wie es eine vollständige Lösung für Ihr Unternehmen bietet.

Federated-Authentication-Service-Image-3

User Layer: Benutzer greifen mit der Citrix Workspace App oder dem Browser über Citrix Gateway auf die Citrix Umgebung zu. Die Citrix Workspace-App ist für Windows, Mac, Android und iOS verfügbar. Externe Benutzer können die HTML5-Version der Workspace-App auch über Webbrowser verwenden, in denen sie die Workspace-App nicht auf den Geräten installieren können.

Access Layer: Diese Schicht erklärt die Bereitstellung von Citrix Gateway und StoreFront. Citrix Gateway wird im DMZ-Netzwerk bereitgestellt, um Remotebenutzern den Zugriff zu ermöglichen, und die StoreFront-Server werden im Unternehmensnetzwerk für interne Benutzer bereitgestellt. Der Citrix Administrator hat die SAML-Authentifizierungsrichtlinien auf Citrix Gateway konfiguriert.

Um die Integration des Federated Authentication Service in einem StoreFront-Store zu aktivieren, führen Sie die PowerShell-Cmdlets als Administratorkonto in einem neu erstellten Store aus. Dieser Schritt ist erforderlich, wenn Benutzer über StoreFront zugreifen und kein Gateway involviert ist. Citrix Dokumente Weitere Informationen zu PowerShell-Cmdlets finden Sie unter. Wenn Sie die Einstellung für den VDA-Anmeldeanbieter konfigurieren, wird StoreFront angewiesen, ein Zertifikat von FAS und dem VDA anzufordern, um es während des Sitzungsstarts für die Authentifizierung beim VDA abzurufen. Nach der Konfiguration gilt diese Konfiguration für alle Sitzungsstarts in diesem Store.

Wenn Sie Citrix Gateway verwenden, konfigurieren Sie StoreFront mit den Details von Citrix Gateway und Callback-URL, da Anmeldebeweise über den Callback übertragen werden. Die Konfiguration des Anmeldetyps als “Smartcard” hilft nativen Clients, die SAML-Authentifizierung durchzuführen. Die Einstellung “Vollständige Validierung von Anmeldeinformationen an Gateway delegieren” ermöglicht es den StoreFront-Servern, die Benutzerauthentifizierung an das Gateway zu delegieren, was Passthrough-SAML-Authentifizierung vom Citrix Gateway aus ermöglicht. IT-Administrator hat das FAS-Gruppenrichtlinienobjekt erstellt, das die Liste der vertrauenswürdigen FAS-Server enthält, und auf die Organisationseinheit angewendet, in der sich die FAS-Server, VDAs und StoreFront-Server in der AD-Domäne befinden.

Bei Verwendung der SAML-Authentifizierung erfolgt die eigentliche Authentifizierung beim Identity Provider. SAML Identity Provider kann alles sein wie ADFS, Azure AD, Okta, Google oder Ping Identity. Betrachten wir Active Directory Federation Services (ADFS) als Identity Provider, damit diese konzeptuelle Architektur weitergeht.

ADFS bietet vereinfachte, gesicherte Identitätsverbund- und Single Sign-On (SSO) -Funktionen für Endbenutzer, die auf Anwendungen innerhalb der gesicherten Unternehmens- und Verbandspartnerorganisationen zugreifen möchten. Der ADFS ist eng in die Active Directory-Domäne und die Zertifikatsdienste des Unternehmens integriert.

Ab sofort wird angegeben, dass der SAML Service Provider das Citrix Gateway oder StoreFront ist. Der SAML Identity Provider ist das Microsoft ADFS, das in der Domäne vorhanden und für den Zugriff von internen und externen Netzwerken zur Authentifizierung konfiguriert ist.

Lassen Sie uns über Ressourcenenumerations- und Sitzungsstartprozesse sowie den FAS-Authentifizierungsworkflow am Ende aller Layer diskutieren.

Steuerungsebene: Delivery Controller, SQL-Datenbank, Studio und Licensing sind die Kernkomponenten, die in der Steuerungsebene bereitgestellt und verwaltet werden. Der Administrator hat Hosting-Verbindungen für die Kommunikation mit Hypervisoren konfiguriert, um die virtuellen Maschinen bereitzustellen und zu verwalten. Maschinenkatalog- und Bereitstellungsgruppen werden erstellt und ermöglichen den Zugriff auf die erforderlichen Benutzergruppen mit Citrix Studio. Citrix Director hilft den Administratoren bei der Überwachung der gesamten Citrix Umgebung.

Legen Sie für die Citrix FAS-Bereitstellung auf Delivery Controller den TrustRequestSsentTothexmlServicePort auf “true” fest, die den von StoreFront-Servern gesendeten XML-Anforderungen vertrauen. Es ermöglicht die Unterstützung der “Pass-Through” -Authentifizierung und Verbindungen, die über Citrix Gateway geleitet werden. StoreFront Server kommuniziert mit dem Delivery Controller unter Verwendung von XML und zählt die Ressourcen für den authentifizierten Benutzer auf. Dem Benutzer wird die StoreFront-Seite angezeigt, auf der die Apps und Desktops aufgeführt sind, auf die er Anspruch hat.

Ressourcenebene: Die Ressourcenebene ist der Ort, an dem sich alle Benutzer-Workloads (VDAs) in der Citrix-Umgebung befinden. Mit Hilfe von Citrix Studio und der Verwendung der Masterimage-Vorlagen hat der Administrator Server für virtuelle Apps unter Verwendung des Windows Server-Betriebssystems bereitgestellt. Mithilfe von Citrix Provisioning (PVS) hat der Administrator Server-VDAs für Task-Worker erstellt. Unter Verwendung von Machine Create Services (MCS) hat der Administrator virtuelle Desktops mit Windows 10 for Power Workern und virtuelle Linux-Desktops bereitgestellt, die Red Hat Enterprise-Distribution für Linux-Benutzer auf den Hypervisoren verwenden.

Virtual Delivery Agents, die mit diesen VMs installiert werden, sind bei Delivery Controllern registriert. Der Administrator erstellte Maschinenkataloge und Bereitstellungsgruppen mit den Desktops und Apps, um den Benutzern, die eine AD-Sicherheitsgruppe verwenden, Zugriff zu ermöglichen. Citrix HDX-Richtlinien werden mit Citrix Studio erstellt und zugewiesen, damit die Bereitstellungsgruppen die HDX-Verbindungen optimieren und sichern können.

Für die Citrix FAS-Bereitstellung hat der Netzwerkadministrator Firewall-Regeln für VDAs für die Kommunikation mit Citrix FAS-Servern konfiguriert, um die Benutzerzertifikate während des Sitzungsstarts zu erhalten. Citrix Admin validierte die Gruppenrichtlinie, die die vertrauenswürdigen FAS-Server enthält, sind mit den Active Directory-OUs verbunden und aktiviert, in denen sich die VDA- und StoreFront-Server in AD befinden.

Plattformebene: Dieser Ebene beschreibt die Hardwareplattform, die zum Hosten von Steuerungsebenenkomponenten und Benutzer-Workloads für die lokale Bereitstellung erforderlich ist. Der Citrix Administrator hat die Hypervisor-Software auf der Serverhardware installiert und die erforderlichen virtuellen Maschinen für die Control-Infrastruktur und die Benutzerarbeitslasten bereitgestellt. Der Netzwerkadministrator hat Firewallregeln aktiviert, damit alle Citrix Komponenten miteinander in der Umgebung kommunizieren können. Der Speicheradministrator half bei der Konfiguration und Zuweisung von angemessenem Speicher an die Citrix Umgebung.

Operations Layer: Konzentrieren wir uns bei dieser konzeptionellen Bereitstellung auf die FAS Server-Bereitstellung unter der Operations Layer.

Für die Bereitstellung von Citrix FAS Server hat der Citrix Administrator zwei neue virtuelle Windows-Maschinen auf dem Hypervisor bereitgestellt und die FAS-Komponenten installiert. Die FAS-Verwaltungskonsole wird als Teil der FAS-Installation installiert. Bei der ersten Verwendung der Verwaltungskonsole werden Sie durch ein Verfahren zum Bereitstellen von Zertifikatvorlagen, Einrichten der Zertifizierungsstelle und Autorisieren des FAS für die Verwendung der Zertifizierungsstelle geführt.

Neben der Zertifizierungsstelle verwendet FAS DCOM-Aufrufe, die für Windows-Zertifizierungsstellen spezifisch sind. Drittmittel- oder öffentliche Zertifizierungsstellen können nicht verwendet werden. In der FAS-Konsole können mehrere CA-Details für hohe Verfügbarkeit angegeben werden. Eine zentrale Zertifizierungsstelle kann mehrere Domains über eine gesamtstrukturübergreifende Registrierung unterstützen. In der gleichen Richtung authentifizieren sich StoreFront, FAS und die VDAs alle gegenseitig über Kerberos und müssen sich daher entweder in derselben Domäne befinden oder in Domänen, die ein wechselseitiges Vertrauen zwischen ihnen haben.

Außerdem ist es notwendig, die Benutzerregel zu konfigurieren, die die Ausstellung von Zertifikaten für die VDA-Anmeldung und die Verwendung während der Sitzung autorisiert, wie von StoreFront angegeben, konfiguriert werden. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen. Beziehen Sie sich auf Citrix Dokumente, die den Prozess ausführlicher erläutern.

Der FAS hat ein RA-Zertifikat, mit dem er selbständig Zertifikate für Ihre Domänenbenutzer ausstellen kann. Daher ist es wichtig, eine Sicherheitsrichtlinie zu entwickeln und zu implementieren, um FAS-Server zu schützen und ihre Berechtigungen einzuschränken.

Während des Sitzungsstarts ist die Generierung von Benutzerzertifikaten der teuerste Teil des Prozesses. Die FAS muss dynamisch ein neues Zertifikat für einen Benutzer generieren. Es kann den Anmeldevorgang geringfügig erweitern und die CPU-Auslastung des FAS-Servers erhöhen. FAS-Server können jedoch Zertifikate zwischenspeichern, die es einem Benutzer ermöglichen, sich fast so schnell anzumelden wie die explizite Kennwortauthentifizierung. Die Anmeldezeit für Benutzer verbessert sich erheblich, wenn Benutzerzertifikate innerhalb des FAS-Servers vorgeneriert werden. Siehe Citrix Dokumentation für detaillierte Schritte, die befolgt werden müssen.

Prozess für den Sitzungsstart mit Citrix FAS

Lassen Sie uns den Authentifizierungsablauf bei der Verwendung von FAS mit Citrix Gateway und StoreFront für VDAs besprechen:

Federated-Authentication-Service-Image-4

Wenn sich ein Benutzer bei Citrix Gateway (Service Provider) anmeldet, antwortet er, indem er eine SAML-Anmeldeanfrage generiert und auf die ADFS (Identity Provider) Anmeldeseite umleitet. Benutzer geben die Anmeldeinformationen auf der Seite ADFS Single Sign-On ein. ADFS authentifiziert den Benutzer beim Active Directory und analysiert die SAML-Anfrage als SAML-Antwort. Die codierte SAML-Antwort mit dem signierten Token wurde an den Service Provider (Citrix Gateway) zurückgegeben.

Citrix Gateway validiert die SAML-Antwort mit dem IdP-Zertifikat. Es extrahiert die SAML-Behauptung, nach der Identität des Benutzers (Benutzerprinzipalname) und die Berechtigung, ihm Zugriff zu gewähren, nachschlagen soll. Dann geht es zur Validierung und Ressourcenaufzählung an StoreFront über. StoreFront-Server validieren und überprüfen die Assertion erneut mit einem vertrauenswürdigen Gateway, das die Callback-URL-Konfiguration verwendet. Die FAS-Anmeldebeweisfunktion bietet Anmeldebeweise, die von Citrix Gateway und StoreFront an FAS übergeben werden. FAS kann die Beweise validieren, um sicherzustellen, dass das Token von einem vertrauenswürdigen Identity Provider (IdP) ausgestellt wurde. Weitere Informationen zu Anmeldebeweisen finden Sie unter Citrix-Dokumentation.

Jetzt kontaktiert der Logon Data Provider-Dienst des StoreFront den Federated Authentication Service und fordert Sie auf, ein Zertifikat für den authentifizierten Benutzer zu generieren. Der FAS stellt eine Verbindung mit Active Directory her, um den Benutzer zu überprüfen, spricht dann mit Active Directory-Zertifikatsdiensten (ADCS) und reicht eine Zertifikatsanforderung für den Benutzer ein.

Die Zertifizierungsstelle stellt ein gültiges Zertifikat für den authentifizierten Benutzer aus. Der FAS enthält das Benutzerzertifikat und seine Attribute. Dieses Zertifikat wird nicht mit StoreFront geteilt. StoreFront wird jedoch darauf hingewiesen, dass der Benutzer gültig ist, und FAS hat ein Zertifikat für diesen authentifizierenden Benutzer registriert.

Jetzt kommuniziert der StoreFront-Server mithilfe von XML mit dem Delivery Controller und zählt die Ressourcen für den authentifizierten Benutzer auf. Dem Benutzer wird die StoreFront-Seite angezeigt, auf der alle Apps und Desktops aufgeführt sind, auf die er Anspruch hat.

Wenn ein Benutzer eine virtuelle App oder einen Desktop in seiner Workspace-App startet, wird die Anfrage an StoreFront gesendet, um die ICA-Datei zu erhalten. StoreFront kontaktiert den Delivery Controller und fragt nach den VDA-Details für diese Sitzung. Der Delivery Controller validiert die Anforderung und wählt den VDA aus, der diese Benutzersitzung übernehmen und die Details der VDA und Secure Ticket Authority (STA) mit StoreFront teilen kann, um die ICA-Datei zu generieren. Darüber hinaus wählt der StoreFront-Server einen FAS-Server aus der GPO-Liste aus und kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein Benutzerzertifikat gewährt, das jetzt auf dem FAS-Server gespeichert ist. StoreFront hängt dieses FAS-Token an die ICA-Datei an und wird an die Workspace-App zurückgesendet.

Federated-Authentication-Service-Image-5

Die Workspace-App richtet die Startsitzung mit Citrix Gateway ein, indem sie das STA-Ticket zur Validierung und Gewährung der Kommunikation mit dem VDA bereitstellt. Das STA-Ticket wird mit Delivery Controllern validiert und geht dann zum Starten der Sitzung an den VDA weiter. Das FAS-Ticket wird während dieser Zeit mit dem VDA vorgelegt, um mit den FAS Servern zu validieren. Das VDA Credential Plugin kontaktiert den FAS Server, der aus der GPO-Liste ausgewählt wurde. Der FAS-Server validiert das Token und gibt das gültige Benutzerzertifikat aus. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht, und die VDA-Sitzung wird gestartet und dem Benutzer präsentiert.

Citrix FAS für Citrix Cloud-Bereitstellung

Die konzeptionelle Architektur für die FAS-Bereitstellung mit der Citrix Cloud-Umgebung ist unten dargestellt. Lassen Sie uns das Design-Framework jeder Layer und den FAS-Workflow dieser Bereitstellung überprüfen, um zu verstehen, wie eine vollständige Lösung für ein Unternehmen bereitgestellt wird.

Federated-Authentication-Service-Image-6

User Layer: Die Benutzer, die in Citrix Cloud auch Abonnenten genannt werden, können mithilfe der Cloud Workspace-URL auf die Citrix Umgebung zugreifen. Benutzern wird die Workspace-URL aus der Citrix Cloud bereitgestellt, um eine Verbindung von dem auf ihren Endpunkten installierten Browser oder Workspace-App herzustellen.

Zugriffsschicht: Citrix Workspace oder Gateway Service ist das Frontend oder Einstiegspunkt für Benutzer, die auf die Citrix Umgebung zugreifen können. Der Administrator kann die Workspace-URL und die Authentifizierungsoptionen über das Cloud-Portal ändern. Die Installation der Cloud Connectors ermöglicht die Erweiterung der Active Directory-Domäne des Kunden auf Citrix Cloud. Die Authentifizierungskonfiguration im Workspace ermöglicht es dem Administrator, die Authentifizierungsquelle auszuwählen, die Benutzer anmelden und auf die Citrix Ressourcen zugreifen können.

Betrachten wir Microsoft Azure Active Directory (AAD) als eine Authentifizierungsquelle, die diese konzeptionelle Architektur forcieren kann. Citrix Cloud enthält eine Azure AD-App, die es Kunden ermöglicht, ihr Citrix Cloud-Abonnement mit Azure AD zu verbinden. Weitere Informationen zur Verbindung von Azure Active Directory mit Citrix Cloud finden Sie im Citrix-Dokumentation. Nach der Aktivierung der Azure AD-Authentifizierung sollte die Bereitstellung des Zugriffs für Benutzer und Gruppen mithilfe von Bibliotheken in der Citrix Cloud verwaltet werden.

Die Konfigurationsseite für die Workspace-Authentifizierung wurde mit der neuen Option “Authentifizierung mit dem Federated Authentication Service konfigurieren” aktiviert. Der FAS ist standardmäßig deaktiviert. Der Administrator aktiviert die FAS-Authentifizierung mit der Schaltfläche “FAS aktivieren”.

Federated-Authentication-Service-Image-7

Wenn Benutzer mit der Workspace-URL auf die Umgebung zugreifen, werden Benutzer basierend auf der Konfiguration zu den entsprechenden Identitätsanbietern weitergeleitet. In diesem Fall wird der Benutzer auf die von Azure bereitgestellte Anmeldeseite weitergeleitet. Der Benutzer gibt gültige Azure AD-Anmeldeinformationen ein, und dann wird der Browser zurück zu Citrix Workspace umgeleitet und mit der Ressourcenseite angezeigt, auf der die Apps und Desktops angezeigt werden, die dem Benutzer zugewiesen sind.

Die Sitzungsstartprozesse werden zusammen mit dem FAS-Authentifizierungs-Workflow am Ende aller Layer diskutiert.

Steuerungsebene: Für die Citrix Cloud-Umgebung sind die Delivery Controller, die SQL-Datenbank, Studio, Director und Licensing die Kernkomponenten der Steuerungsebene, die von Citrix während der Aktivierung des Dienstes für Virtual Apps and Desktops bereitgestellt werden. Der Administrator hat die Ressourcenstandorte und Hosting-Verbindungen für die Kommunikation mit den on-premises Hypervisoren konfiguriert. Maschinenkataloge werden mit dem Cloud Studio Portal erstellt, und Citrix Director hilft bei der Überwachung der Umgebung.

Wenn der Administrator die FAS-Authentifizierung in Citrix Workspace aktiviert, ermöglicht er zusätzlichen FAS-µ-Services in Citrix Cloud die Kommunikation mit den on-premises FAS Servern. Die FAS-Server wurden am Ressourcenstandort bereitgestellt, der den Cloud FAS µ-Service über die ausgehende SSL-Verbindung verbindet.

Ressourcenebene: Diese Ebene bezieht sich auf einen Ressourcenstandort, an dem sich alle Benutzerarbeitslasten in dieser Bereitstellung befinden. Als Ausgangspunkt für die Integration der on-premises Benutzerarbeitslasten mit Citrix Cloud hat der Administrator Citrix Cloud Connectors installiert, der die Kommunikation zwischen on-premises Komponenten und Citrix Clouddiensten ermöglicht.

Die an den Ressourcenstandorten installierten VDAs sind bei Cloud Delivery Controllern registriert. Der Administrator erstellt Maschinenkataloge und Bereitstellungsgruppen. Citrix HDX-Richtlinien werden mit Citrix Studio erstellt und zugewiesen, damit die Bereitstellungsgruppen die HDX-Verbindungen optimieren und sichern können.

Plattformlayer: Diese Layer beschreibt die Hardwareplattform, die erforderlich ist, um die Benutzerarbeitslasten und andere Komponenten zu hosten, die für den Ressourcenstandort Der Citrix Administrator hat die Hypervisor-Software auf der Serverhardware installiert und die erforderlichen virtuellen Maschinen für Benutzerworkloads und andere Komponenten wie FAS Server bereitgestellt. Der Netzwerkadministrator hat Firewallregeln aktiviert, damit alle Citrix Komponenten miteinander in der Umgebung kommunizieren können. Der Speicheradministrator half bei der Konfiguration und Zuweisung von angemessenem Speicher an die Citrix Umgebung.

Operations Layer: Die Tools und Komponenten wie Dateiserver, Citrix WEM Server, RDS License Server, Citrix App Layering Server und FAS Server, die zur Verwaltung der Benutzer-Workloads erforderlich sind, sind unter der Operations Layer abgedeckt.

Der Administrator hat einen Dateiserver-Cluster und Workspace Environment Manager Service bereitgestellt, um die Benutzerprofile für die VDAs zu konfigurieren. Der IT-Administrator hat dedizierte Dateifreigaben und NFS-Freigaben für die Benutzerprofile und die Ordnerumleitung erstellt. Der Citrix Administrator hat auch Ressourcenverwaltungsrichtlinien angewendet, um die CPU- und Speicherauslastung auf VDA-Agents zu optimieren. Der IT-Administrator hat den Client Access License Server für Remotedesktopdienste (RDS) so konfiguriert, dass er die RDS-Lizenzen für Virtual Apps-Workloads ausstellt.

Um die Active Directory-Benutzer und -Gruppen mit Azure AD zu synchronisieren, hat der Administrator die erforderliche Anzahl von Azure AD Connect-Servern installiert und mit seinem Azure-Abonnement konfiguriert. Für die Citrix FAS-Bereitstellung hat der Citrix Administrator zwei neue Windows-VMs bereitgestellt und den Installationsprozess verfolgt, um die Citrix FAS-Dienste zu installieren und zu konfigurieren.

Bei Verwendung der FAS-Verwaltungskonsole mit den erhöhten Berechtigungen hat der Administrator FAS-Server über einen Prozess konfiguriert, der Zertifikatvorlagen bereitstellt, die Zertifizierungsstelle einrichtet und FAS autorisiert, die Zertifizierungsstelle zu verwenden. Ausführliche Schritte finden Sie unter Citrix-Dokumentation.

Federated-Authentication-Service-Image-8

Außerdem muss die Benutzerregel konfiguriert werden, die die Ausstellung von Zertifikaten für die VDA-Anmeldung autorisiert. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen. Wenn eine Regel mit Citrix Cloud verwendet wird, werden die StoreFront-Zugriffsberechtigungen jedoch ignoriert. Wenn wir die vorhandenen FAS-Server verwenden, erkennt das FAS-Installationsprogramm das vorhandene Setup und markiert neben diesen Optionen grün.

Die gleiche Regel kann für Citrix Cloud und die on-premises StoreFront-Bereitstellung verwendet werden. StoreFront-Zugriffsberechtigungen werden immer noch angewendet, wenn ein on-premises StoreFront die Regel verwendet. Beziehen Sie sich auf Citrix Dokumente, die den Prozess ausführlicher erläutern.

Installieren Sie die ADMX-Gruppenrichtlinien von Citrix FAS im Ordner Richtliniendefinitionen auf dem Domänencontroller. Erstellen und konfigurieren Sie das Gruppenrichtlinienobjekt mit den DNS-Adressen der FAS-Server. Dieses Gruppenrichtlinienobjekt muss für FAS-Server, StoreFront-Server und jeden VDA mit der jeweiligen Domäne gelten. Stellen Sie sicher, dass die FAS-Gruppenrichtlinienkonfiguration korrekt auf StoreFront und VDAs angewendet wurde, bevor Sie den Maschinenkatalog und die Bereitstellungsgruppen erstellen.

Als letzten Schritt der Konfiguration der FAS-Server in Citrix Cloud und der Verbindung der On-Premises FAS Server mit Citrix Cloud hat der Administrator die Option “Mit Citrix Cloud verbinden” gewählt. Nach der Anmeldung mit Citrix Cloud wählen die Administratoren das Kundenkonto und den Ressourcenstandort aus. Jetzt registriert Citrix Cloud den FAS-Server und zeigt ihn auf der Seite Ressourcenstandorte an.

Federated-Authentication-Service-Image-9

Prozess für den Sitzungsstart bei Verwendung von Citrix FAS mit Citrix Cloud

Wenn ein Benutzer mit der Workspace-URL auf die Umgebung zugreift, wird der Benutzer auf die Azure-basierte Anmeldeseite umgeleitet. Der Benutzer gibt auf der Azure Single Sign-On-Seite gültige Azure-Anmeldeinformationen ein. Azure authentifiziert den Benutzer und leitet den Benutzer zurück zur Citrix Workspace-Seite. Citrix Workspace hat die Ressourcen aufgezählt und dem Benutzer der Ressourcenseite präsentiert.

Wenn ein Benutzer eine virtuelle Anwendung oder einen Desktop in seinem Workspace startet, wird die Anfrage zum Abrufen der ICA-Datei gesendet. Controller wählen den verfügbaren VDA vom Ressourcenstandort aus. Citrix Cloud wählt einen FAS-Server am selben Ressourcenstandort wie der VDA aus, um ein Ticket zu erhalten, das den Zugriff auf den VDA mit einem von der Zertifizierungsstelle bereitgestellten Benutzerzertifikat gewährt, das jetzt auf dem FAS-Server gespeichert ist. Citrix Workspace hängt dieses FAS-Token an die ICA-Datei an und wird an das Benutzersystem zurückgesendet.

Federated-Authentication-Service-Image-10

Die Workspace-App stellt die Verbindung mithilfe der ICA-Datei zum VDA her, und um den Abonnenten zu authentifizieren, stellt der VDA eine Verbindung mit FAS her und präsentiert das Ticket. Das VDA Credential Plugin kontaktiert den FAS-Server und validiert das Token. Jetzt stellt der FAS Server dem VDA ein gültiges Benutzerzertifikat zur Verfügung. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht und die VDA-Sitzung für den Benutzer gestartet.

Anwendungsfall #1

Ein Citrix Service Provider (CSP), der eine hybride Citrix Virtual Apps and Desktops-Umgebung entwickelt, die mehreren Kunden den Zugriff ermöglicht. In Anbetracht des zukünftigen Wachstums muss CSP auch das Onboarding weiterer neuer Kunden in Betracht ziehen. Die Designspezifikation schlägt vor, für jeden Kunden einen anderen Identitätsanbieter bereitzustellen und die Erstellung von Domänenvertrauenswürdigen zu vermeiden.

Citrix Service Provider bringt Kunden häufig in ihre Citrix Virtual Apps and Desktops Umgebung ein, und die Lösung erforderte Citrix Gateway, um selektiv einen anderen SAML-Identitätsanbieter basierend auf dem UPN-Suffix bereitzustellen. Beispielsweise ist Kunden-A für die Verwendung von Azure AD konfiguriert, und der Kunden-B ist so konfiguriert, dass er Active Directory Federation Services (ADFS) usw. verwendet. Bei der Konfiguration verschiedener Identitätsanbieter für jeden Kunden musste die Umgebung Single Sign-On für die Citrix VDAs mit Citrix FAS bereitstellen.

Federated-Authentication-Service-Image-11

Weitere Informationen finden Sie im Citrix Blog, das detaillierte Schritte zur Konfiguration der Umgebung enthält. Lassen Sie uns den Workflow und den Sitzungsstartprozess für jeden Kunden besprechen. Die signifikante Konfiguration erfolgt am Citrix Gateway unter Verwendung der Citrix ADC AAA-, nFactor und Citrix Gateway-Sitzungsrichtlinien, um mehrere Kundenanfragen zu erfüllen.

  1. Wenn sich ein Benutzer bei Citrix Gateway (Service Provider) anmeldet, wird der Benutzer anhand des UPN-Suffixes identifiziert und auf die entsprechende Identity Provider-Anmeldeseite umgeleitet. Benutzer geben die Anmeldeinformationen ein, und jetzt authentifiziert der Identitätsanbieter den Benutzer und antwortet mit dem SAML-Token als Antwort. Die codierte SAML-Antwort mit dem signierten Token wurde an den Service Provider Citrix Gateway zurückgegeben, wo die Root-CA-Zertifikate von Identity-Anbietern installiert wurden, um die Token zu validieren.

  2. Citrix Gateway validiert die SAML-Antwort mit dem IdP-Zertifikat. Es extrahiert die SAML-Behauptung, nach der Identität des Benutzers (Benutzerprinzipalname) und die Berechtigung, ihm Zugriff zu gewähren, nachschlagen soll. Dann geht es zur Validierung und Ressourcenaufzählung an StoreFront über.

  3. Jetzt kontaktiert der Logon Data Provider-Dienst des StoreFront den Federated Authentication Service und fordert Sie auf, ein Zertifikat für den authentifizierten Benutzer zu generieren. Der FAS stellt eine Verbindung mit dem Active Directory her, um den Benutzer und seine Shadow-Konten zu überprüfen. Dann spricht es mit Active Directory Certificate Services (AD CS) und reicht eine Zertifikatsanforderung für den Benutzer ein. Die Zertifizierungsstelle stellt ein gültiges Zertifikat für den authentifizierten Benutzer aus.

  4. Wenn ein Benutzer eine virtuelle App oder einen Desktop in seiner Workspace-App startet, wird die Anfrage an StoreFront gesendet, um die ICA-Datei zu erhalten. StoreFront validiert die Anfrage und kontaktiert den Delivery Controller und fragt nach VDA-Details für diese Sitzung. Der Delivery Controller validiert die Anfrage und teilt die Details der VDA und Secure Ticket Authority (STA) mit StoreFront, um die ICA-Datei zu generieren. Darüber hinaus wählt der StoreFront-Server einen FAS-Server aus der GPO-Liste aus und kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein Benutzerzertifikat gewährt, das jetzt auf dem FAS-Server gespeichert ist. StoreFront hängt dieses FAS-Token an die ICA-Datei an und wird an die Workspace-App zurückgesendet.

  5. Die Workspace-App initiiert eine Verbindung zum Starten der Sitzung mit Citrix Gateway, indem sie das STA-Ticket zur Validierung und Gewährung der Kommunikation bereitstellt. Bei der Validierung wird die Verbindung zum Start der Sitzung an den VDA weitergeleitet. Das FAS-Ticket wird während der Zeit der Authentifizierung zur Validierung gegen die FAS-Server mit dem VDA präsentiert. Das VDA Credential Plugin kontaktiert den FAS Server, der aus der GPO-Liste ausgewählt wurde. Der FAS-Server validiert das Token und gibt das gültige Benutzerzertifikat aus. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht und die VDA-Sitzung gestartet.

Anwendungsfall #2

Company-A hat kürzlich Company-B erworben. Daher wollte Company-A Mitarbeitern Company-B Zugriff auf ihre vorhandene Citrix Virtual Apps and Desktops Umgebung gewähren. Um die Authentifizierung zwischen beiden Unternehmensdomänen zu vereinfachen, haben Administratoren eine föderierte Verbindung zwischen den Domänen hergestellt, indem sie eine externe SAML-Identitätsanbieter-Lösung wie Azure Active Directory implementierten. Die SAML-Authentifizierung ermöglicht es den Benutzern, sich nahtlos in der AD-Umgebung des anderen Unternehmens anzumelden, um auf die Ressourcen zuzugreifen. In beiden Unternehmen können Benutzer ihre unternehmensspezifischen Anmeldeinformationen verwenden, bei denen ein Shadow-Konto verwendet und auf dem Company-A für den Zugriff auf die Ressourcen zugeordnet wird.

Federated-Authentication-Service-Image-12

Um sich bei Citrix VDA anzumelden, muss jeder Benutzer über ein Active Directory-Konto in einer vom VDA vertrauenswürdigen Domäne verfügen. Für verbundene Benutzer müssen wir Shadow-Konten für (Company-B) jeden Verbundbenutzer in der Company-A-Domäne erstellen. Diese Shadow-Konten benötigen einen UPN, der mit dem vom SAML-IdP bereitgestellten SAML-Attribut (normalerweise E-Mail-Adresse) übereinstimmt. Wenn die vom SAML-IdP angegebene E-Mail-Adresse nicht mit dem UPN-Suffix für die Unternehmensdomäne übereinstimmt, müssen wir das UPN-Suffix hinzufügen, das mit dem vom SAML-IdP im Snap-In Active Directory Domains and Trusts bereitgestellten E-Mail-Suffix übereinstimmt.

  1. Der Company-B Benutzer greift auf die Gateway-URL zu und der Benutzer wird an den SAML Identity Provider weitergeleitet. In diesem Fall handelt es sich um ein Azure Active Directory. Sowohl die Company-A als auch Company-B Domains wurden mit einem einzelnen Azure AD-Mandanten synchronisiert.

  2. Der Benutzer gibt die Company-B-Anmeldeinformationen ein, um sich gegen den AAD zu authentifizieren, und wird mit dem SAML-Token zum Gateway zurückgeleitet.

  3. Gateway analysiert das SAML-Token und verwendet dann dieses SAML-Token, um die Identität des Benutzers mithilfe des Shadow-Kontos zu überprüfen. Dann geht es zur Ressourcenaufzählung an StoreFront über.

  4. Jetzt kontaktiert der Logon Data Provider-Dienst des StoreFront den Federated Authentication Service und fordert Sie auf, ein Zertifikat für den authentifizierten Shadow-Kontobenutzer zu generieren. Der FAS stellt eine Verbindung mit dem Active Directory her, um den Benutzer zu überprüfen (Shadow-Konto). Dann spricht es mit Active Directory Certificate Services (AD CS) und reicht eine Zertifikatsanforderung für den Benutzer ein. Die Zertifizierungsstelle stellt ein gültiges Zertifikat für den authentifizierten Benutzer aus.

  5. StoreFront hat die Ressourcenseite erstellt, die an den Benutzer zurückgesendet wurde.

  6. Wenn ein Benutzer eine virtuelle App oder einen Desktop in seiner Workspace-App startet, wird die Anfrage an StoreFront gesendet, um die ICA-Datei zu erhalten. StoreFront validiert die Anfrage und kontaktiert den Delivery Controller und fragt nach VDA-Details für diese Sitzung. Der Delivery Controller validiert die Anfrage und teilt die Details der VDA und Secure Ticket Authority (STA) mit StoreFront, um die ICA-Datei zu generieren. Darüber hinaus wählt der StoreFront-Server einen FAS-Server aus der GPO-Liste aus und kontaktiert den ausgewählten FAS-Server, um ein Ticket zu erhalten, das Zugriff auf ein Benutzerzertifikat gewährt, das jetzt auf dem FAS-Server gespeichert ist. StoreFront hängt dieses FAS-Token an die ICA-Datei an und wird an die Workspace-App zurückgesendet.

  7. Die Workspace-App initiiert eine Verbindung zum Starten der Sitzung mit Citrix Gateway, indem sie das STA-Ticket zur Validierung und Gewährung der Kommunikation bereitstellt. Bei der Validierung wird die Verbindung zum Start der Sitzung an den VDA weitergeleitet. Das FAS-Ticket wird während der Zeit der Authentifizierung zur Validierung gegen die FAS-Server mit dem VDA präsentiert. Das VDA Credential Plugin kontaktiert den FAS Server, der aus der GPO-Liste ausgewählt wurde. Der FAS-Server validiert das Token und gibt das gültige Benutzerzertifikat aus. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht und die VDA-Sitzung gestartet.

Anwendungsfall #3

Ein bestehender Citrix-Kunde möchte seine vorhandene alte Citrix-Umgebung als Teil eines Tech-Refresh- und Upgrade-Plans migrieren. Der Migrationsplan schreibt vor, dass die Steuerungsinfrastruktur einer Citrix Umgebung nach Citrix Cloud verschoben werden muss. Um Benutzer-Workloads bereitzustellen, planten sie, die vorhandene Hardware zu nutzen, die im regionalen Rechenzentrum und in Azure Cloud verfügbar war, was ihnen eine bessere Benutzerverwaltung und Ressourcenzuweisung ermöglicht. Der Kunde hat sich auch dafür entschieden, das vorhandene Citrix Gateway zu nutzen, das in jedem regionalen Rechenzentrum für eine optimale HDX-Verbindung bereitgestellt wird. Schließlich entschied sich der Kunde für die Authentifizierung für Azure Active Directory zu verwenden, da er plante, die Domänencontroller zu Azure Active Directory Domain Services Directory-Domänendiensten zu migrieren.

Gemäß dem Migrationsplan hat der Domänenadministrator die AD Connect installiert und konfiguriert, um die Benutzer und Gruppen mit Azure Active Directory und dann mit Azure AD Domain Services zu synchronisieren. Der Kunde hat ein Citrix Cloud-Abonnement erworben. Daher werden die Komponenten der Steuerungsinfrastruktur von der Citrix bereitgestellt und verwaltet. Der Citrix Admin hat Azure AD als Authentifizierungsmethode für die Benutzer konfiguriert und Ressourcenstandorte erstellt, indem er die Cloud Connectors in jedem Rechenzentrum installiert hat.

Um die vorhandenen Citrix Gateways zu nutzen, die in jeder Region installiert sind, hat der Administrator die Option “Gateway” in der Citrix Cloud konfiguriert und auf ein on-premises festes Gateway verweist, das beim Starten der HDX-Verbindung des Benutzers über das on-premises Gateway hilft. Die Administratoren haben die erforderlichen Benutzer-Workloads auf der vorhandenen Hardware im jeweiligen Rechenzentrum bereitgestellt, und die VDAs sind jetzt bei Citrix Cloud-Controllern registriert. Der Domänenadministrator hat regionsweise AD-Sicherheitsgruppen für die Benutzerbereitstellung an die Citrix Ressourcen erstellt. Der Citrix Administrator aktivierte den Zugriff auf Ressourcen auf der Bibliotheksseite des Citrix Cloud-Portals unter Verwendung regionsspezifischer AD-Sicherheitsgruppen, die es den Benutzern ermöglichen, von derselben Region aus auf ihre veröffentlichten Desktops und Anwendungen zuzugreifen.

Um Single Sign-On am VDA zu erreichen, wenn Azure AD für die Authentifizierung mit Citrix Workspace verwendet wird, hat sich der Kunde für die Citrix FAS Lösung entschieden. Citrix Admin hat die erforderliche Anzahl von FAS-Servern installiert und sie für die Kommunikation mit Citrix Cloud FAS-Diensten an jedem Ressourcenstandort in Citrix Cloud konfiguriert. Die Gruppenrichtlinie, die die Liste der FAS-Server mit der jeweiligen Region enthält, ist auf Organisationsorganisationseinheit verknüpft. Daher ruft der VDA die Liste der FAS-Server vom selben Rechenzentrum ab.

Federated-Authentication-Service-Image-13

Lassen Sie uns nun den Workflow für den Sitzungsstart für die Benutzer überprüfen:

  1. Wenn ein Benutzer mit der Workspace-URL auf die Umgebung zugreift, wird der Benutzer auf die Azure-basierte Anmeldeseite umgeleitet. Der Benutzer gibt auf der Azure Single Sign-On-Seite gültige Azure-Anmeldeinformationen ein. Azure authentifiziert den Benutzer und leitet den Benutzer zurück zum Citrix Workspace.

  2. Citrix Workspace stellt eine Verbindung mit Cloud-Controllern her und zählt die dem Benutzer zugewiesenen Ressourcen auf und präsentiert sie dem Benutzer.

  3. Der Benutzer startet eine virtuelle Anwendung oder einen Desktop in seinem Workspace, und die Anfrage wird gesendet, um die ICA-Datei zu erhalten. Cloud Controller wählen den verfügbaren VDA aus dem Ressourcenstandort aus, an dem die Ressourcen für diesen Benutzer abgebildet werden. Citrix Cloud wählt einen FAS-Server am selben Ressourcenstandort aus, um ein Ticket zu erhalten, das Zugriff auf den VDA gewährt. Der FAS Server fordert ein Benutzerzertifikat von der Zertifizierungsstelle an, das jetzt auf dem FAS-Server gespeichert ist. Citrix Workspace hängt dieses FAS-Token und Cloud Connector als STA an die ICA-Datei an und wird an das Benutzersystem zurückgesendet.

  4. Die Workspace-App analysiert die ICA-Datei und stellt die Verbindung zum on-premises Gateway für die HDX-Verbindung zum VDA her.

  5. Citrix Gateway validiert die Verbindung mit dem STA-Ticket mit Cloud Connector und leitet die Verbindung an den VDA weiter.

  6. Um den Benutzer zu authentifizieren, stellt der VDA über die GPO-Liste eine Verbindung zum FAS-Server her. Das VDA Credential Plugin kontaktiert den FAS-Server und validiert das Token. Jetzt stellt der FAS Server dem VDA ein gültiges Benutzerzertifikat zur Verfügung.

  7. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht und die VDA-Sitzung für den Benutzer gestartet.

Anwendungsfall #4

Ein neuer Citrix Kunde möchte die Citrix Virtual Apps-Umgebung bereitstellen, um den Zugriff auf interne Ressourcen zu ermöglichen, die nicht über das Internet wie das Intranet-Portal und Exchange-Postfächer verfügbar sind. Um sicherzustellen, dass die Umgebung hochverfügbar ist, hat sich der Kunde dafür entschieden, die Umgebung an zwei Standorten im aktiven/aktiven Design bereitzustellen. Die kritischen Server sind an jedem Standort als redundant verfügbar, um Ausfälle auf Komponentenebene zu vermeiden. Der Kunde möchte Microsoft 365 für Multifaktor-Authentifizierung und Conditional Access mit der Citrix Umgebung für die Authentifizierung verwenden. Das Hauptziel des Kunden besteht darin, einem Benutzer Zugriff zu gewähren, der von jedem Rechenzentrum aus auf die virtuellen Apps zugreifen kann.

Gemäß dem Entwurf hat der Kunde an jedem Standort eine dedizierte XenDesktop-Site (Virtual Apps and Desktops) bereitgestellt, die aus 3 x StoreFront-Servern, 3 x Delivery Controllern, Always-On SQL Servern, 3 x PVS-Servern, Lizenz und Director-Servern besteht. Jeder Standort verfügt über ein Paar Citrix ADC für GSLB, Gateway und Load Balancer-Konfiguration. Da der Kunde Azure AD-Authentifizierung verwenden möchte, muss an jedem Standort ein Paar Citrix FAS-Server bereitgestellt werden.

Die Umgebung wurde gemäß dem Design und der Kundenanforderung konfiguriert.

  1. Global Server Load Balancing (GSLB) wurde zwischen den Standorten konfiguriert, um den Lastausgleich und die Benutzer an die verfügbare Site weiterzuleiten.

  2. StoreFront-Server haben einen Lastenausgleich mit dem Citrix ADC Gateway.

  3. StoreFront-Server sind so konfiguriert, dass sie mit den Delivery Controllern beider Standorte kommunizieren. Daher können Benutzer auf Ressourcen in Data Center 1 oder 2 zugreifen.

  4. Es wird empfohlen, das Gruppenrichtlinienobjekt so zu konfigurieren, dass die StoreFront-Server nur auf FAS-Server im lokalen Rechenzentrum verweisen, um den Zertifikatsanforderungsprozess zu optimieren.

In dieser Kundenumgebung, in der StoreFront Ressourcen sowohl vom Rechenzentrum abzählt, ist es erforderlich, die VDAs so zu konfigurieren, dass sie alle FAS-Server von beiden Rechenzentren kennen. Der VDA kann das Zertifikat von dem FAS-Server abrufen, der die Anforderung von StoreFront erhalten hat (der sich möglicherweise in einem anderen Rechenzentrum befindet). StoreFront-Server würden nur mit den beiden FAS-Servern im selben Rechenzentrum kommunizieren. GPO-Richtlinien, die die FAS-Server auflisten, würden Leerzeichen verwenden, um sicherzustellen, dass der StoreFront-Server die Liste der FAS-Server im rechten Index abruft, wie in der folgenden Abbildung gezeigt.

Federated-Authentication-Service-Image-14

Bei der Konfiguration muss diese “Index” -Ausrichtung des Gruppenrichtlinienobjekts berücksichtigt werden. Die Listen der FAS-Server auf StoreFront und den VDAs müssen übereinstimmen, wie die Liste der Delivery Controller, ein VDA akzeptiert keine Startanforderung von einem Delivery Controller, die er nicht kennt.

Mit Citrix FAS kann der VDA ein Zertifikat vom aufgelisteten FAS-Server abrufen. Die zusätzliche Überlegung ist die Tatsache, dass die Reihenfolge der FAS-Server in den StoreFront- und VDA-Registern übereinstimmen muss, da den FAS-Servern eine Indexnummer zugewiesen wird, die auf der Reihenfolge basiert, in der sie in der Registrierung aufgeführt sind. Manchmal ist es erforderlich, leere Einträge in der Registrierung/Richtlinie zu hinterlassen, die auf StoreFront-Servergruppen angewendet wird, um sicherzustellen, dass der Index zwischen StoreFront und VDA übereinstimmt.

Federated-Authentication-Service-Image-15

Lassen Sie uns nun den Workflow für den Sitzungsstart für die Benutzer überprüfen:

  1. Wenn ein Benutzer mit dem Zugriff auf die Umgebung beginnt, landet die Benutzeranforderung entweder auf Datacenter-1 oder Datacenter-2 basierend auf dem GSLB-ADNS.

  2. Das Gateway leitet den Benutzer auf die Azure-basierte Anmeldeseite um. Der Benutzer gibt auf der Azure Single Sign-On-Seite gültige Azure-Anmeldeinformationen ein. Azure authentifiziert den Benutzer und leitet den Benutzer zurück zum Gateway.

  3. Citrix Gateway stellt eine Verbindung zu StoreFront-Servern her und zählt die dem Benutzer zugewiesenen Ressourcen auf und präsentiert sie dem Benutzer.

  4. Der Benutzer startet eine virtuelle Anwendung und die Anfrage wird gesendet, um die ICA-Datei zu erhalten. StoreFront stellt eine Verbindung mit dem Delivery Controller her und wählt den verfügbaren VDA aus der Bereitstellungsgruppe aus, die der Benutzer für den Zugriff auf die Ressourcen zugewiesen hat. StoreFront wählt über das GPO einen FAS-Server am selben Standort aus, um ein Ticket zu erhalten, das Zugriff auf den VDA gewährt. Der FAS Server fordert ein Benutzerzertifikat von der Zertifizierungsstelle an, das jetzt auf dem FAS-Server gespeichert ist. StoreFront hängt dieses FAS-Token und Delivery Controller als STA an die ICA-Datei an und wird an das Benutzersystem zurückgesendet.

  5. Die Workspace-App analysiert die ICA-Datei und stellt die Verbindung zum On-Premises Gateway für die HDX-Verbindung zum VDA her.

  6. Citrix Gateway validiert die Verbindung mit dem STA-Ticket mit dem Delivery Controller und leitet die Verbindung an den VDA weiter.

  7. Um den Benutzer zu authentifizieren, stellt der VDA über die GPO-Liste eine Verbindung zum FAS-Server her. Das VDA Credential Plugin kontaktiert den FAS-Server und validiert das Token. Jetzt stellt der FAS Server dem VDA ein gültiges Benutzerzertifikat zur Verfügung. Nach erfolgreicher Validierung des Benutzerzertifikats wird das Single Sign-On erreicht und die VDA-Sitzung für den Benutzer gestartet.

Zusammenfassung

Citrix Federated Authentication Service hilft bei allen Bereitstellungen, bei denen die Kunden die Methode für ältere Kennwortberechtigungen eliminieren und auf moderne Authentifizierungsmethoden wie SAML und andere hinarbeiten möchten. Abschließend ist Citrix FAS ein wichtiger Dienst. Daher ist es etwas, das vom Sicherheitsteam eines Unternehmens vor der Bereitstellung genehmigt wurde. Überprüfen und implementieren Sie die erforderlichen Sicherheitskontrollen für die FAS-Dienste.

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um diese Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Entwürfen und Implementierungshandbüchern anpassen können: Quelldiagramme.

Referenzen

Installation und Konfiguration von Citrix FAS

Citrix FAS Skalierbarkeit und HA-Dokument

Federated Authentication Service Hohe Verfügbarkeit und Skalierbarkeit - CTX225721

Erweiterte FAS-Konfiguration

Zertifikate und Vorlagen für Domänencontroller-Authentifizierung

Selektive Authentifizierung mit mehreren Gesamtstrukturen

PowerShell-Cmdlets für Citrix FAS

Firewall-Regeln für Citrix FAS

Konfiguration der Benutzerregel

Benutzerzertifikate vorab generieren

Anmeldebeweise

Verbinden von Azure Active Directory mit Citrix Cloud

Stellt FAS-Zertifikatvorlagen bereit