Übersicht über Architekturen des Federated Authentication Service

Einführung

Der Federated Authentication Service (FAS) ist eine Citrix®-Komponente, die in Ihre Active Directory-Zertifizierungsstelle (CA) integriert ist und Benutzern eine nahtlose Authentifizierung in einer Citrix-Umgebung ermöglicht. Dieses Dokument beschreibt die verschiedenen Authentifizierungsarchitekturen, die für Ihre Bereitstellung geeignet sind.

Wenn aktiviert, delegiert der FAS Benutzerauthentifizierungsentscheidungen an vertrauenswürdige StoreFront™-Server. StoreFront verfügt über eine umfassende Reihe integrierter Authentifizierungsoptionen, die auf modernen Webtechnologien basieren, und ist mithilfe des StoreFront SDK oder von IIS-Plug-ins von Drittanbietern leicht erweiterbar. Das grundlegende Designziel ist, dass jede Authentifizierungstechnologie, die einen Benutzer an einer Website authentifizieren kann, nun zum Anmelden bei einer Citrix XenApp- oder XenDesktop-Bereitstellung verwendet werden kann.

Dieses Dokument behandelt einige beispielhafte übergeordnete Bereitstellungsarchitekturen, nach zunehmender Komplexität geordnet.

• Interne Bereitstellung
• NetScaler Gateway-Bereitstellung
• ADFS SAML
• B2B-Kontenzuordnung
• Windows 10 Azure AD-Beitritt

Es werden Links zu verwandten FAS-Artikeln bereitgestellt. Für alle Architekturen ist der Artikel Federated Authentication Service die primäre Referenz für die Einrichtung des FAS.

Funktionsweise

Der FAS ist autorisiert, Smartcard-Klassenzertifikate automatisch im Namen von Active Directory-Benutzern auszustellen, die von StoreFront authentifiziert wurden. Dabei werden ähnliche APIs wie bei Tools verwendet, die Administratoren das Bereitstellen physischer Smartcards ermöglichen.

Wenn ein Benutzer an einen Citrix XenApp- oder XenDesktop® Virtual Delivery Agent (VDA) vermittelt wird, wird das Zertifikat an den Computer angehängt, und die Windows-Domäne betrachtet die Anmeldung als eine standardmäßige Smartcard-Authentifizierung.

Interne Bereitstellung

Der FAS ermöglicht Benutzern die sichere Authentifizierung bei StoreFront unter Verwendung verschiedener Authentifizierungsoptionen, einschließlich Kerberos Single Sign-On (SSO), und die Verbindung zu einer vollständig authentifizierten Citrix HDX™-Sitzung.

Dies ermöglicht die Windows-Authentifizierung ohne Aufforderung zur Eingabe von Benutzeranmeldeinformationen oder Smartcard-PINs und ohne die Verwendung von „gespeicherten Kennwortverwaltungsfunktionen“ wie dem SSO-Dienst. Dies kann verwendet werden, um die Anmeldefunktionen der Kerberos Constrained Delegation zu ersetzen, die in früheren Versionen von XenApp verfügbar waren.

Alle Benutzer haben innerhalb ihrer Sitzung Zugriff auf PKI-Zertifikate (Public Key Infrastructure), unabhängig davon, ob sie sich mit einer Smartcard an den Endgeräten anmelden. Dies ermöglicht eine reibungslose Migration zu Zwei-Faktor-Authentifizierungsmodellen, selbst von Geräten wie Smartphones und Tablets, die keinen Smartcard-Leser besitzen.

Diese Bereitstellung fügt einen Server hinzu, auf dem der FAS ausgeführt wird, der berechtigt ist, Smartcard-Klassenzertifikate im Namen von Benutzern auszustellen. Diese Zertifikate werden dann verwendet, um sich bei Benutzersitzungen in einer Citrix HDX-Umgebung anzumelden, als ob eine Smartcard-Anmeldung verwendet worden wäre.

Die XenApp- oder XenDesktop-Umgebung muss ähnlich wie die Smartcard-Anmeldung konfiguriert werden, was in CTX206156 dokumentiert ist.

In einer bestehenden Bereitstellung bedeutet dies in der Regel nur, dass eine in die Domäne eingebundene Microsoft-Zertifizierungsstelle (CA) verfügbar ist und dass Domänencontrollern Domänencontroller-Zertifikate zugewiesen wurden. (Siehe den Abschnitt „Ausstellen von Domänencontroller-Zertifikaten“ in CTX206156.)

Verwandte Informationen:

• Schlüssel können in einem Hardware Security Module (HSM) oder einem integrierten Trusted Platform Module (TPM) gespeichert werden. Einzelheiten finden Sie im Artikel Schutz des privaten Schlüssels des Federated Authentication Service.
• Der Artikel Federated Authentication Service beschreibt, wie der FAS installiert und konfiguriert wird.

NetScaler® Gateway-Bereitstellung

Die NetScaler-Bereitstellung ähnelt der internen Bereitstellung, fügt jedoch Citrix NetScaler Gateway hinzu, das mit StoreFront gekoppelt ist, wodurch der primäre Authentifizierungspunkt auf NetScaler selbst verlagert wird. Citrix NetScaler umfasst ausgeklügelte Authentifizierungs- und Autorisierungsoptionen, die zur Sicherung des Fernzugriffs auf die Websites eines Unternehmens verwendet werden können.

Diese Bereitstellung kann verwendet werden, um mehrere PIN-Eingabeaufforderungen zu vermeiden, die bei der Authentifizierung zuerst bei NetScaler und dann bei der Anmeldung an einer Benutzersitzung auftreten. Sie ermöglicht auch die Verwendung fortschrittlicher NetScaler-Authentifizierungstechnologien, ohne AD-Kennwörter oder Smartcards zu erfordern.

Hinweis:

Es gibt keine Unterschiede, wenn die Back-End-Ressource entweder Windows VDA oder Linux VDA ist.

Die XenApp- oder XenDesktop-Umgebung muss ähnlich wie die Smartcard-Anmeldung konfiguriert werden, die in CTX206156 dokumentiert ist.

In einer bestehenden Bereitstellung bedeutet dies normalerweise nur, dass eine in die Domäne eingebundene Microsoft-Zertifizierungsstelle (CA) verfügbar ist und dass Domänencontrollern Domänencontroller-Zertifikate zugewiesen wurden. (Siehe den Abschnitt „Ausstellen von Domänencontroller-Zertifikaten“ in CTX206156).

Wenn Sie NetScaler als primäres Authentifizierungssystem konfigurieren, stellen Sie sicher, dass alle Verbindungen zwischen NetScaler und StoreFront mit TLS gesichert sind. Stellen Sie insbesondere sicher, dass die Callback-URL korrekt konfiguriert ist, um auf den NetScaler-Server zu verweisen, da dies zur Authentifizierung des NetScaler-Servers in dieser Bereitstellung verwendet werden kann.

Verwandte Informationen:

• Informationen zum Konfigurieren von NetScaler Gateway finden Sie unter Konfigurieren von NetScaler Gateway 10.5 zur Verwendung mit StoreFront 3.6 und XenDesktop 7.6.
• Der Artikel Federated Authentication Service beschreibt, wie der FAS installiert und konfiguriert wird.

ADFS-SAML-Bereitstellung

Eine wichtige NetScaler-Authentifizierungstechnologie ermöglicht die Integration mit Microsoft ADFS, das als SAML Identity Provider (IdP) fungieren kann. Eine SAML-Assertion ist ein kryptografisch signierter XML-Block, der von einem vertrauenswürdigen IdP ausgestellt wird und einen Benutzer zur Anmeldung an einem Computersystem autorisiert. Dies bedeutet, dass der FAS-Server nun die Authentifizierung eines Benutzers an den Microsoft ADFS-Server (oder einen anderen SAML-fähigen IdP) delegieren kann.

ADFS wird häufig verwendet, um Benutzer sicher über das Internet remote an Unternehmensressourcen zu authentifizieren. Es wird beispielsweise oft für die Office 365-Integration verwendet.

Verwandte Informationen:

• Der Artikel Federated Authentication Service ADFS-Bereitstellung enthält Details.
• Der Artikel Federated Authentication Service beschreibt, wie FAS installiert und konfiguriert wird.
• Der Abschnitt NetScaler Gateway-Bereitstellung in diesem Artikel enthält Konfigurationsüberlegungen.

B2B-Kontenzuordnung

Wenn zwei Unternehmen die Computersysteme des jeweils anderen nutzen möchten, ist eine gängige Option, einen Active Directory Federation Service (ADFS)-Server mit einer Vertrauensstellung einzurichten. Dies ermöglicht Benutzern eines Unternehmens, sich nahtlos in die Active Directory (AD)-Umgebung eines anderen Unternehmens zu authentifizieren. Beim Anmelden verwendet jeder Benutzer seine eigenen Anmeldeinformationen des Unternehmens. ADFS ordnet dies automatisch einem „Schattenkonto“ in der AD-Umgebung des Partnerunternehmens zu.

Verwandte Informationen:

• Der Artikel Verbundauthentifizierungsdienst beschreibt, wie FAS installiert und konfiguriert wird.

Windows 10 Azure AD Join

Windows 10 führte das Konzept von „Azure AD Join“ ein, das konzeptionell dem traditionellen Windows-Domänenbeitritt ähnelt, aber auf „Internet-Szenarien“ abzielt. Dies funktioniert gut mit Laptops und Tablets. Wie beim traditionellen Windows-Domänenbeitritt verfügt Azure AD über Funktionen, die SSO-Modelle für Unternehmenswebsites und -ressourcen ermöglichen. Diese sind alle „Internet-fähig“ und funktionieren daher von jedem mit dem Internet verbundenen Standort aus, nicht nur im Büro-LAN.

Diese Bereitstellung ist ein Beispiel, bei dem es praktisch kein Konzept von „Endbenutzern im Büro“ gibt. Laptops werden registriert und authentifizieren sich vollständig über das Internet mithilfe moderner Azure AD-Funktionen.

Die Infrastruktur in dieser Bereitstellung kann überall dort ausgeführt werden, wo eine IP-Adresse verfügbar ist: lokal, bei einem gehosteten Anbieter, in Azure oder bei einem anderen Cloud-Anbieter. Der Azure AD Connect-Synchronizer stellt automatisch eine Verbindung zu Azure AD her. Die Beispielgrafik verwendet Azure-VMs der Einfachheit halber.

Verwandte Informationen:

• Der Artikel Verbundauthentifizierungsdienst beschreibt, wie FAS installiert und konfiguriert wird.
• Der Artikel Integration des Verbundauthentifizierungsdienstes mit Azure AD enthält Details.