Föderierter Authentifizierungsdienst

Der Citrix Federated Authentication Service (FAS) ist eine privilegierte Komponente, die für die Integration mit Active Directory-Zertifikatdiensten entwickelt wurde. Er stellt Benutzern dynamisch Zertifikate aus, sodass sie sich bei einer Active Directory-Umgebung anmelden können, als hätten sie eine Smartcard. FAS ermöglicht StoreFront™, eine breitere Palette von Authentifizierungsoptionen zu verwenden, wie z. B. SAML-Assertions (Security Assertion Markup Language). SAML wird häufig als Alternative zu herkömmlichen Windows-Benutzerkonten im Internet verwendet.

Das folgende Diagramm zeigt die Integration von FAS mit einer Zertifizierungsstelle, um Dienste für StoreFront und XenApp- und XenDesktop® Virtual Delivery Agents (VDAs) bereitzustellen.

Vertrauenswürdige StoreFront-Server kontaktieren den Federated Authentication Service (FAS), wenn Benutzer Zugriff auf die Citrix-Umgebung anfordern. Der FAS gewährt ein Ticket, das einer einzelnen XenApp®- oder XenDesktop-Sitzung die Authentifizierung mit einem Zertifikat für diese Sitzung ermöglicht. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung zu FAS her und löst das Ticket ein. Nur FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA sendet jeden Signier- und Entschlüsselungsvorgang, den er mit dem Zertifikat benötigt, an FAS.

Anforderungen

Der Federated Authentication Service wird auf Windows-Servern (Windows Server 2008 R2 oder höher) unterstützt.

• Citrix empfiehlt die Installation von FAS auf einem Server, der keine anderen Citrix-Komponenten enthält.
• Der Windows-Server muss gesichert sein. Er hat Zugriff auf ein Registrierungsstellenzertifikat und den entsprechenden privaten Schlüssel. Der Server verwendet diese Zugriffe, um das Zertifikat an Domänenbenutzer auszustellen. Nach der Ausstellung hat der Server auch Zugriff auf die Benutzerzertifikate und privaten Schlüssel.
• Das FAS PowerShell SDK erfordert Windows PowerShell 64-Bit, installiert auf dem FAS-Server.
• Eine Zertifizierungsstelle wie Microsoft Enterprise oder jede andere im Citrix Ready-Programm validierte Zertifizierungsstelle ist erforderlich, um Benutzerzertifikate auszustellen.

• Für andere Zertifizierungsstellen als Microsoft stellen Sie Folgendes sicher:

  • Die Zertifizierungsstelle (CA) ist im Active Directory als Registrierungsdienst registriert.
  • Das CA-Zertifikat befindet sich im NTAuth-Speicher auf dem Domänencontroller. Weitere Informationen finden Sie unter How to import third-party certificate authority (CA) certificates into the Enterprise NTAuth store.

Im XenApp- oder XenDesktop-Site:

• Die Delivery Controller müssen mindestens Version 7.15 haben.
• Die VDAs müssen mindestens Version 7.15 haben. Stellen Sie sicher, dass Sie die FAS-Gruppenrichtlinienkonfiguration auf die VDAs anwenden, bevor Sie den Maschinenkatalog erstellen. Weitere Informationen finden Sie unter Gruppenrichtlinie konfigurieren.
• Der StoreFront-Server muss mindestens Version 3.12 haben (XenApp und XenDesktop 7.15 ISO unterstützt die StoreFront-Version 3.12).

Beachten Sie bei der Planung der Bereitstellung dieses Dienstes den Abschnitt Sicherheitsüberlegungen.

Referenzen:

• Active Directory-Zertifikatdienste

https://docs.microsoft.com/de-de/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831740(v=ws.11)?redirectedfrom=MSDN

• Konfigurieren von Windows für die Zertifikatanmeldung

https://support.citrix.com/article/CTX206156

Installations- und Einrichtungssequenz

1. Installieren des Federated Authentication Service
2. Aktivieren des Federated Authentication Service-Plug-Ins auf StoreFront-Servern
3. Gruppenrichtlinie konfigurieren
4. Verwenden Sie die Verwaltungskonsole des Federated Authentication Service, um: (a) Die bereitgestellten Vorlagen bereitzustellen, (b) Zertifizierungsstellen einzurichten und (c) Den Federated Authentication Service zur Verwendung Ihrer Zertifizierungsstelle zu autorisieren
5. Benutzerregeln konfigurieren

Installieren des Federated Authentication Service

Aus Sicherheitsgründen empfiehlt Citrix, FAS auf einem dedizierten Server zu installieren, ähnlich einem Domänencontroller oder einer Zertifizierungsstelle. FAS kann über die Schaltfläche Federated Authentication Service auf dem Autorun-Begrüßungsbildschirm installiert werden, wenn die ISO eingelegt wird.

Dieser Prozess installiert die folgenden Komponenten:

• Federated Authentication Service
• PowerShell-Snap-In-Cmdlets zur Remote-Konfiguration des Federated Authentication Service
• Federated Authentication Service-Verwaltungskonsole
• Federated Authentication Service-Gruppenrichtlinienvorlagen (CitrixFederatedAuthenticationService.admx/adml)
• Zertifikatvorlagendateien für die einfache Zertifizierungsstellenkonfiguration
• Leistungsindikatoren und Ereignisprotokolle

Aktivieren des Federated Authentication Service-Plug-Ins in einem StoreFront Store

Um die Federated Authentication Service-Integration in einem StoreFront Store zu aktivieren, führen Sie die folgenden PowerShell-Cmdlets als Administratorkonto aus. Wenn Sie mehr als einen Store haben oder der Store einen anderen Namen hat, kann der folgende Pfadtext abweichen.

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```

Um die Verwendung von FAS zu beenden, verwenden Sie das folgende PowerShell-Skript:

```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module

$StoreVirtualPath = "/Citrix/Store"

$store = Get-STFStoreService -VirtualPath $StoreVirtualPath

$auth = Get-STFAuthenticationService -StoreService $store

Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"

Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```

Konfigurieren des Delivery Controller™

Um FAS zu verwenden, konfigurieren Sie den XenApp- oder XenDesktop Delivery Controller so, dass er den StoreFront-Servern vertraut, die sich mit ihm verbinden können: Führen Sie das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.

Konfigurieren der Gruppenrichtlinie

Nach der Installation von FAS geben Sie die vollständigen DNS-Adressen der FAS-Server in der Gruppenrichtlinie an, indem Sie die während der Installation bereitgestellten Gruppenrichtlinienvorlagen verwenden.

Wichtig: Stellen Sie sicher, dass die StoreFront-Server, die Tickets anfordern, und die VDAs, die Tickets einlösen, eine identische Konfiguration der DNS-Adressen aufweisen, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Die folgenden Beispiele konfigurieren eine einzelne Richtlinie auf Domänenebene, die für alle Maschinen gilt. FAS funktioniert jedoch, solange die StoreFront-Server, VDAs und die Maschine, auf der die FAS-Verwaltungskonsole ausgeführt wird, dieselbe Liste von DNS-Adressen sehen. Das Gruppenrichtlinienobjekt fügt jedem Eintrag eine Indexnummer hinzu, die ebenfalls übereinstimmen muss, wenn mehr als ein Objekt verwendet wird.

Schritt 1. Suchen Sie auf dem Server, auf dem Sie FAS installiert haben, die Datei C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und den Ordner en-US.

Schritt 2. Kopieren Sie die Dateien und den Ordner auf Ihren Domänencontroller und legen Sie sie in den Unterordner C:\Windows\PolicyDefinitions und en-US.

Schritt 3. Führen Sie die Microsoft Management Console (mmc.exe über die Befehlszeile) aus. Wählen Sie in der Menüleiste Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie zur Eingabe eines Gruppenrichtlinienobjekts aufgefordert werden, wählen Sie Durchsuchen und dann Standarddomänenrichtlinie. Sie können auch ein geeignetes Richtlinienobjekt für Ihre Umgebung mit den Tools Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen betroffene Citrix-Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

Schritt 4. Navigieren Sie zur Richtlinie für den Federated Authentication Service unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Citrix Komponenten/Authentifizierung.

Schritt 5. Öffnen Sie die Richtlinie für den Federated Authentication Service und wählen Sie Aktiviert. Diese Option ermöglicht es Ihnen, die Schaltfläche Anzeigen auszuwählen, wo Sie die DNS-Adressen Ihrer FAS-Server konfigurieren.

Schritt 6. Geben Sie die DNS-Adressen der Server ein, die Ihren Federated Authentication Service hosten.

Hinweis: Wenn Sie mehr als 1 Adresse eingeben, muss die Reihenfolge der Liste, einschließlich der leeren oder ungenutzten Einträge, zwischen StoreFront-Servern und VDAs konsistent sein.

Schritt 7. Klicken Sie auf OK, um den Gruppenrichtlinien-Assistenten zu beenden und die Gruppenrichtlinienänderungen anzuwenden. Möglicherweise müssen Sie Ihre Maschinen neu starten (oder gpupdate /force über die Befehlszeile ausführen), damit die Änderung wirksam wird.

Unterstützung für In-Session-Zertifikate aktivieren und bei Sperrung trennen

Unterstützung für In-Session-Zertifikate

Die Gruppenrichtlinienvorlage umfasst die Unterstützung für die Konfiguration des Systems für In-Session-Zertifikate. Dadurch werden Zertifikate nach der Anmeldung im persönlichen Zertifikatspeicher des Benutzers für die Anwendungsnutzung abgelegt. Wenn Sie beispielsweise eine TLS-Authentifizierung für Webserver innerhalb der VDA-Sitzung benötigen, kann Internet Explorer das Zertifikat verwenden. VDAs erlauben standardmäßig keinen Zugriff auf Zertifikate nach der Anmeldung.

Bei Sperrung trennen

Wenn diese Richtlinie aktiviert ist, wird die Benutzersitzung automatisch getrennt, wenn der Bildschirm gesperrt wird. Dieses Verhalten ähnelt der Richtlinie „Bei Entfernen der Smartcard trennen“ und ist nützlich, wenn Benutzer keine Active Directory-Anmeldeinformationen haben.

Hinweis:

Die Richtlinie „Bei Sperrung trennen“ gilt für alle Sitzungen auf dem VDA.

Verwenden der Verwaltungskonsole des Federated Authentication Service

Die Verwaltungskonsole des Federated Authentication Service wird als Teil des Federated Authentication Service installiert. Ein Symbol (Citrix Federated Authentication Service) wird im Startmenü platziert.

Die Konsole versucht, die FAS-Server in Ihrer Umgebung mithilfe der Gruppenrichtlinienkonfiguration automatisch zu finden. Wenn dieser Vorgang fehlschlägt, lesen Sie den Abschnitt Gruppenrichtlinie konfigurieren.

Wenn Ihr Benutzerkonto kein Mitglied der Administratorengruppe auf dem Computer ist, auf dem der Federated Authentication Service ausgeführt wird, werden Sie zur Eingabe von Anmeldeinformationen aufgefordert.

Wenn Sie die Verwaltungskonsole zum ersten Mal verwenden, führt sie Sie durch einen dreistufigen Prozess, der Folgendes umfasst:

• Bereitstellung von Zertifikatvorlagen.
• Einrichtung der Zertifizierungsstelle.
• Autorisierung des Federated Authentication Service zur Verwendung der Zertifizierungsstelle.

Sie können die OS-Konfigurationstools verwenden, um einige der Schritte manuell auszuführen.

Zertifikatvorlagen bereitstellen

Um Interoperabilitätsprobleme mit anderer Software zu vermeiden, stellt der Federated Authentication Service drei Citrix-Zertifikatvorlagen für den eigenen Gebrauch bereit.

• Citrix_RegistrationAuthority_ManualAuthorization
• Citrix_RegistrationAuthority
• Citrix_SmartcardLogon

Diese Vorlagen müssen in einem Active Directory registriert sein. Wenn die Konsole sie nicht finden kann, kann das Tool Zertifikatvorlagen bereitstellen sie installieren. Dieses Tool muss unter einem Konto ausgeführt werden, das über Berechtigungen zur Verwaltung Ihrer Unternehmensgesamtstruktur verfügt.

Die Konfiguration der Vorlagen finden Sie in den XML-Dateien mit der Erweiterung .certificatetemplate, die mit dem Federated Authentication Service installiert werden unter:

C:\Program Files\Citrix\Federated Authentication Service\CertificateTemplates

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie diese an Ihren Active Directory-Administrator weiter.

Um die Vorlagen manuell zu installieren, können Sie die folgenden PowerShell-Befehle verwenden:

```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")

 $CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService

 $CertEnrol.InitializeImport($template)

 $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable

 $writabletemplate.Initialize($comtemplate)

 $writabletemplate.Commit(1, $NULL)
 <!--NeedCopy--> ```

Active Directory-Zertifikatdienste einrichten

Nachdem Sie die Citrix-Zertifikatvorlagen installiert haben, müssen Sie diese auf einem oder mehreren Zertifizierungsstellenservern veröffentlichen. Informationen zur Bereitstellung von Active Directory-Zertifikatdiensten finden Sie in der Microsoft-Dokumentation.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht sind, bietet das Tool Zertifizierungsstelle einrichten an, sie zu veröffentlichen. Sie müssen dieses Tool als Benutzer ausführen, der über Berechtigungen zur Verwaltung der Zertifizierungsstelle verfügt.

(Zertifikatvorlagen können auch über die Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

Federated Authentication Service autorisieren

Der letzte Einrichtungsschritt in der Konsole startet die Autorisierung des Federated Authentication Service. Die Verwaltungskonsole verwendet die Vorlage Citrix_RegistrationAuthority_ManualAuthorization, um eine Zertifikatanforderung zu generieren. Anschließend sendet sie die Anforderung an eine der Zertifizierungsstellen, die diese Vorlage veröffentlicht.

Nachdem die Anforderung gesendet wurde, können Sie sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole sehen. Der Administrator der Zertifizierungsstelle muss die Anforderung Ausstellen oder Verweigern, bevor die Konfiguration des Federated Authentication Service fortgesetzt werden kann. Die Autorisierungsanforderung wird als Ausstehende Anforderung vom FAS-Maschinenkonto angezeigt.

Klicken Sie mit der rechten Maustaste auf Alle Aufgaben und wählen Sie dann Ausstellen oder Verweigern für die Zertifikatanforderung. Die Verwaltungskonsole des Federated Authentication Service erkennt automatisch, wann dieser Vorgang abgeschlossen ist. Dieser Schritt kann einige Minuten dauern.

Benutzerregeln konfigurieren

Eine Benutzerregel autorisiert die Ausstellung von Zertifikaten für die VDA-Anmeldung und die Verwendung innerhalb der Sitzung, wie von StoreFront angewiesen. Jede Regel legt Folgendes fest:

• StoreFront-Server, denen vertraut wird, Zertifikate anzufordern.
• Gruppe von Benutzern, für die Sie die Zertifikate anfordern können.
• Gruppe von VDA-Maschinen, die die Zertifikate verwenden dürfen.

Der Administrator muss die Standardregel definieren, um die Einrichtung des Federated Authentication Service abzuschließen. Um die Standardregel zu definieren, gehen Sie zur Registerkarte Benutzerregeln der FAS-Verwaltungskonsole, wählen Sie eine Zertifizierungsstelle aus, bei der die Vorlage Citrix_SmartcardLogon veröffentlicht ist, und bearbeiten Sie die Liste der StoreFront-Server. Die Liste der VDAs ist standardmäßig auf Domänencomputer und die Liste der Benutzer auf Domänenbenutzer eingestellt; diese können geändert werden, wenn die Standardwerte ungeeignet sind.

Felder:

Zertifizierungsstelle und Zertifikatvorlage: Die Zertifikatvorlage und Zertifizierungsstelle, die zum Ausstellen von Benutzerzertifikaten verwendet wird. Die Vorlage muss die Citrix_SmartcardLogon-Vorlage oder eine geänderte Kopie davon auf einer der Zertifizierungsstellen sein, bei der die Vorlage veröffentlicht ist.

Der FAS unterstützt das Hinzufügen mehrerer Zertifizierungsstellen für Failover und Lastenausgleich mithilfe von PowerShell-Befehlen. Ähnlich können erweiterte Optionen zur Zertifikatgenerierung über die Befehlszeile und Konfigurationsdateien konfiguriert werden. Siehe die Abschnitte PowerShell und Hardware-Sicherheitsmodule.

Zertifikate innerhalb der Sitzung: Das Kontrollkästchen Nach Anmeldung verfügbar steuert, ob ein Zertifikat auch als Zertifikat innerhalb der Sitzung verwendet werden kann. Wenn das Kontrollkästchen nicht aktiviert ist, wird das Zertifikat nur für die Anmeldung oder Wiederverbindung verwendet, und der Benutzer hat nach der Authentifizierung keinen Zugriff auf das Zertifikat.

Liste der StoreFront-Server, die diese Regel verwenden können: Die Liste der vertrauenswürdigen StoreFront-Servermaschinen, die berechtigt sind, Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anzufordern. Diese Einstellung ist sicherheitskritisch und muss sorgfältig verwaltet werden.

Liste der VDA-Desktops und -Server, bei denen sich mit dieser Regel angemeldet werden kann: Die Liste der VDA-Maschinen, die Benutzer über das Federated Authentication Service-System anmelden können.

Liste der Benutzer, die StoreFront mit dieser Regel anmelden kann: Die Liste der Benutzer, denen Zertifikate über den Federated Authentication Service ausgestellt werden können.

Erweiterte Nutzung

Sie können weitere Regeln erstellen, um auf verschiedene Zertifikatvorlagen und -autoritäten zu verweisen, und diese mit unterschiedlichen Eigenschaften und Berechtigungen konfigurieren. Sie können diese Regeln für die Verwendung durch verschiedene StoreFront-Server konfigurieren. Konfigurieren Sie die StoreFront-Server so, dass sie die benutzerdefinierte Regel namentlich über die Gruppenrichtlinien-Konfigurationsoptionen anfordern.

Standardmäßig fordert StoreFront default an, wenn es den Federated Authentication Service kontaktiert. Dies kann über die Gruppenrichtlinien-Konfigurationsoptionen geändert werden.

Um eine Zertifikatvorlage zu erstellen, duplizieren Sie die Vorlage Citrix_SmartcardLogon in der Microsoft-Zertifizierungsstellenkonsole, benennen Sie sie um (z. B. Citrix_SmartcardLogon2) und ändern Sie sie nach Bedarf. Erstellen Sie eine Benutzerregel, indem Sie auf Hinzufügen klicken, um auf die neue Zertifikatvorlage zu verweisen.

Überlegungen zum Upgrade

• Alle Servereinstellungen des Federated Authentication Service bleiben bei einem direkten Upgrade erhalten.
• Führen Sie für das Upgrade des Federated Authentication Service das vollständige XenApp- und XenDesktop-Installationsprogramm aus.
• Bevor Sie den Federated Authentication Service von 7.15 LTSR auf 7.15 LTSR CU2 (oder ein späteres unterstütztes CU) aktualisieren, aktualisieren Sie den Controller und die VDAs (und andere Kernkomponenten) auf die erforderliche Version.
• Stellen Sie sicher, dass die Konsole des Federated Authentication Service geschlossen ist, bevor Sie den Federated Authentication Service aktualisieren.
• Stellen Sie sicher, dass immer mindestens ein Federated Authentication Service-Server verfügbar ist. Wenn kein Server von einem für den Federation Authentication Service aktivierten StoreFront-Server erreichbar ist, können sich Benutzer nicht anmelden oder Anwendungen starten.

Sicherheitsüberlegungen

Der Federated Authentication Service verfügt über ein Registrierungsstellenzertifikat, das es ihm ermöglicht, autonom Zertifikate für Ihre Domänenbenutzer auszustellen. Es ist wichtig, eine Sicherheitsrichtlinie zu entwickeln und zu implementieren, um die FAS-Server zu schützen und ihre Berechtigungen einzuschränken.

Delegierte Registrierungsagenten

FAS stellt Benutzerzertifikate aus, indem es als Registrierungsagent fungiert. Die Microsoft-Zertifizierungsstelle steuert die Vorlagen, die der FAS-Server verwenden kann. Sie bestimmt auch die Benutzer, für die der FAS-Server Zertifikate ausstellen kann.

Citrix empfiehlt dringend, diese Optionen so zu konfigurieren, dass der Federated Authentication Service Zertifikate nur für die vorgesehenen Benutzer ausstellen kann. Es ist beispielsweise eine bewährte Methode, zu verhindern, dass der Federated Authentication Service Zertifikate für Benutzer in einer Administrator- oder geschützten Benutzergruppe ausstellt.

Konfiguration der Zugriffssteuerungsliste

Wie im Abschnitt Benutzerregeln konfigurieren beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren, denen vertraut wird, Benutzeridentitäten gegenüber dem Federated Authentication Service zu bestätigen, wenn Zertifikate ausgestellt werden. Ebenso können Sie einschränken, welchen Benutzern Zertifikate ausgestellt werden und an welchen VDA-Maschinen sie sich authentifizieren können. Dieser Schritt erfolgt zusätzlich zu allen standardmäßigen Sicherheitsfunktionen von Active Directory oder Zertifizierungsstellen, die Sie konfigurieren.

Firewall-Einstellungen

Die gesamte Kommunikation mit FAS-Servern verwendet gegenseitig authentifizierte Windows Communication Foundation (WCF) Kerberos-Netzwerkverbindungen über Port 80.

Überwachung des Ereignisprotokolls

Der Federated Authentication Service und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Dieses Protokoll kann zur Überwachung und Prüfung von Informationen verwendet werden. Der Abschnitt Ereignisprotokolle listet Ereignisprotokolleinträge auf, die generiert werden können.

Hardwaresicherheitsmodule

Alle privaten Schlüssel, einschließlich der vom Federated Authentication Service ausgestellten Benutzerschlüssel, werden vom Network Service-Konto als nicht exportierbare private Schlüssel gespeichert. Der Federated Authentication Service unterstützt die Verwendung eines kryptografischen Hardwaresicherheitsmoduls, falls Ihre Sicherheitsrichtlinie dies erfordert.

Eine kryptografische Konfiguration auf niedriger Ebene ist in der Datei FederatedAuthenticationService.exe.config verfügbar. Diese Einstellungen werden angewendet, wenn private Schlüssel zum ersten Mal erstellt werden. Daher können unterschiedliche Einstellungen für private Schlüssel der Registrierungsstelle (z. B. 4096 Bit, TPM-geschützt) und Laufzeit-Benutzerzertifikate verwendet werden.

PowerShell SDK

Obwohl die Verwaltungskonsole des Federated Authentication Service für einfache Bereitstellungen geeignet ist, bietet die PowerShell-Schnittstelle erweiterte Optionen. Wenn Sie Optionen verwenden, die in der Konsole nicht verfügbar sind, empfiehlt Citrix, für die Konfiguration ausschließlich PowerShell zu verwenden.

Der folgende Befehl fügt die PowerShell-Cmdlets hinzu:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Verwenden Sie Get-Help <cmdlet name>, um die Cmdlet-Hilfe anzuzeigen. Die folgende Tabelle listet mehrere Befehle auf, wobei * ein Standard-PowerShell-Verb (wie New, Get, Set, Remove) darstellt.

PowerShell-Cmdlets können remote verwendet werden, indem die Adresse eines FAS-Servers angegeben wird.

Sie können auch eine Zip-Datei mit allen FAS PowerShell-Cmdlet-Hilfedateien herunterladen; siehe den Artikel PowerShell SDK.

Leistungsindikatoren

Der Federated Authentication Service enthält eine Reihe von Leistungsindikatoren zur Lastverfolgung.

Die folgende Tabelle listet die verfügbaren Zähler auf. Die meisten Zähler sind gleitende Durchschnitte über fünf Minuten.

Ereignisprotokolle

Die folgenden Tabellen listen die vom Federated Authentication Service generierten Ereignisprotokolleinträge auf.

Verwaltungsereignisse

[Event Source: Citrix.Authentication.FederatedAuthenticationService]

FAS protokolliert diese Ereignisse als Reaktion auf Konfigurationsänderungen auf dem FAS-Server.

Erstellen von Identitätsansprüchen [Federated Authentication Service]

Diese Ereignisse werden zur Laufzeit auf dem Federated Authentication Service-Server protokolliert, wenn ein vertrauenswürdiger Server eine Benutzeranmeldung bestätigt.

Als vertrauende Partei agieren [Federated Authentication Service]

Diese Ereignisse werden zur Laufzeit auf dem Federated Authentication Service-Server protokolliert, wenn ein VDA einen Benutzer anmeldet.

In-Session-Zertifikatserver [Federated Authentication Service]

Diese Ereignisse werden auf dem Federated Authentication Service-Server protokolliert, wenn ein Benutzer ein In-Session-Zertifikat verwendet.

Anmeldung [VDA]

[Event Source: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden auf dem VDA während der Anmeldephase protokolliert.

In-Session-Zertifikate [VDA]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein In-Session-Zertifikat zu verwenden.

Zertifikatsanforderungs- und -generierungscodes [Federated Authentication Service]

[Ereignisquelle: Citrix.TrustFabric]

Diese Low-Level-Ereignisse werden protokolliert, wenn der Federated Authentication Service-Server kryptografische Operationen auf Protokollebene durchführt.

Verwandte Informationen

• Die gängigen FAS-Bereitstellungen sind in dem Artikel Übersicht über die Architekturen des Federated Authentication Service zusammengefasst.
• “How-to”-Artikel werden im Artikel (/de-de/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-config-manage.html) “Konfiguration und Verwaltung des Federated Authentication Service” vorgestellt.