Produktdokumentation
XenApp and XenDesktop
7.15 LTSR
PDF anzeigen

ADFS-Bereitstellung des Federated Authentication Service

June 10, 2026
Beitrag von: 
C

Einführung

Dieses Dokument beschreibt, wie eine Citrix®-Umgebung in Microsoft ADFS integriert wird.

Viele Organisationen verwenden ADFS, um den sicheren Benutzerzugriff auf Websites zu verwalten, die einen einzigen Authentifizierungspunkt erfordern. Beispielsweise kann ein Unternehmen zusätzliche Inhalte und Downloads haben, die Mitarbeitern zur Verfügung stehen; diese Speicherorte müssen mit Standard-Windows-Anmeldeinformationen geschützt werden.

Der Federated Authentication Service (FAS) ermöglicht auch die Integration von Citrix NetScaler und Citrix StoreFront™ in das ADFS-Anmeldesystem, wodurch potenzielle Verwirrung für die Mitarbeiter des Unternehmens reduziert wird.

Diese Bereitstellung integriert NetScaler® als vertrauende Seite in Microsoft ADFS.

lokalisiertes Bild

SAML-Übersicht

Security Assertion Markup Language (SAML) ist ein einfaches Webbrowser-Anmeldesystem, das auf einer „Weiterleitung zu einer Anmeldeseite“ basiert. Die Konfiguration umfasst die folgenden Elemente:

Umleitungs-URL [Single Sign-on Service Url]

Wenn NetScaler feststellt, dass ein Benutzer authentifiziert werden muss, weist es den Webbrowser des Benutzers an, einen HTTP-POST an eine SAML-Anmelde-Webseite auf dem ADFS-Server durchzuführen. Dies ist normalerweise eine https://-Adresse der Form: https://adfs.mycompany.com/adfs/ls.

Dieser Webseite-POST enthält weitere Informationen, einschließlich der „Rücksendeadresse“, an die ADFS den Benutzer nach Abschluss der Anmeldung zurücksendet.

Bezeichner [Issuer Name/EntityID]

Die EntityId ist ein eindeutiger Bezeichner, den NetScaler in seinen POST-Daten an ADFS übermittelt. Dies informiert ADFS darüber, bei welchem Dienst sich der Benutzer anmelden möchte, und wendet gegebenenfalls unterschiedliche Authentifizierungsrichtlinien an. Wenn ausgestellt, ist das SAML-Authentifizierungs-XML nur für die Anmeldung bei dem Dienst geeignet, der durch die EntityId identifiziert wird.

Normalerweise ist die EntityID die URL der Anmeldeseite des NetScaler-Servers, aber sie kann im Allgemeinen alles sein, solange NetScaler und ADFS sich darauf einigen: https://ns.mycompany.com/application/logonpage.

Rücksendeadresse [Antwort-URL]

Wenn die Authentifizierung erfolgreich ist, weist ADFS den Webbrowser des Benutzers an, eine SAML-Authentifizierungs-XML an eine der für die EntityId konfigurierten Antwort-URLs zu POSTen. Dies ist normalerweise eine https://-Adresse auf dem ursprünglichen NetScaler-Server in der Form: https://ns.mycompany.com/cgi/samlauth.

Wenn mehr als eine Antwort-URL-Adresse konfiguriert ist, kann NetScaler eine in seinem ursprünglichen POST an ADFS auswählen.

Signaturzertifikat [IDP-Zertifikat]

ADFS signiert SAML-Authentifizierungs-XML-Blobs kryptografisch mit seinem privaten Schlüssel. Um diese Signatur zu validieren, muss NetScaler so konfiguriert werden, dass diese Signaturen mit dem öffentlichen Schlüssel überprüft werden, der in einer Zertifikatsdatei enthalten ist. Die Zertifikatsdatei ist normalerweise eine Textdatei, die vom ADFS-Server abgerufen wird.

URL für einmaliges Abmelden [Single Logout URL]

ADFS und NetScaler unterstützen ein „zentrales Abmeldesystem“. Dies ist eine URL, die NetScaler gelegentlich abfragt, um zu überprüfen, ob der SAML-Authentifizierungs-XML-Blob immer noch eine aktuell angemeldete Sitzung darstellt.

Dies ist eine optionale Funktion, die nicht konfiguriert werden muss. Es ist normalerweise eine https://-Adresse in der Form https://adfs.mycompany.com/adfs/logout. (Beachten Sie, dass sie mit der URL für die einmalige Anmeldung identisch sein kann.)

Konfiguration

Der Abschnitt NetScaler Gateway-Bereitstellung im Artikel Architekturen der Federated Authentication Services beschreibt, wie NetScaler Gateway für die Verarbeitung standardmäßiger LDAP-Authentifizierungsoptionen mithilfe des XenApp- und XenDesktop-NetScaler-Einrichtungsassistenten eingerichtet wird. Nach erfolgreichem Abschluss können Sie eine neue Authentifizierungsrichtlinie auf NetScaler erstellen, die die SAML-Authentifizierung zulässt. Diese kann dann die vom NetScaler-Einrichtungsassistenten verwendete Standard-LDAP-Richtlinie ersetzen.

lokalisiertes Bild

SAML-Richtlinie ausfüllen

Konfigurieren Sie den neuen SAML-IdP-Server mithilfe der zuvor aus der ADFS-Verwaltungskonsole entnommenen Informationen. Wenn diese Richtlinie angewendet wird, leitet NetScaler den Benutzer zur Anmeldung an ADFS um und akzeptiert im Gegenzug ein von ADFS signiertes SAML-Authentifizierungstoken.

lokalisiertes Bild

Verwandte Informationen

  • Der Artikel (/de-de/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service.html) ist die primäre Referenz für die Installation und Konfiguration von FAS.
  • Die gängigen FAS-Bereitstellungen werden im Artikel (/de-de/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-architectures.html) zusammengefasst.
  • “How-to”-Artikel werden im Artikel Konfiguration und Verwaltung des Föderierten Authentifizierungsdienstes vorgestellt.
ADFS-Bereitstellung des Federated Authentication Service
June 10, 2026
Beitrag von: 
C
June 10, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.