Product Documentation

Federated Authentication Service

Jul 13, 2016

Citrix Federated Authentication Service ist eine privilegierte Komponente für die Integration in Active Directory-Zertifikatdienste. Der Dienst stellt dynamisch Zertifikate für Benutzer aus, sodass diese sich bei einer Active Directory-Umgebung so anmelden können, als hätten sie eine Smartcard. Dadurch kann in StoreFront eine größere Bandbreite an Authentifizierungsoptionen, darunter z. B. SAML-Assertionen, verwendet werden. SAML (Security Assertion Markup Language) wird häufig als Alternative für herkömmliche Windows-Benutzerkonten im Internet verwendet.  

Die folgende Abbildung zeigt das Zusammenwirken von Federated Authentication Service mit einer Microsoft-Zertifizierungsstelle und die Bereitstellung entsprechender Dienste für StoreFront sowie XenApp- und XenDesktop-VDAs.

localized image

Vertrauenswürdige StoreFront-Server kontaktieren den Federated Authentication Service (FAS), wenn Benutzer Zugriff auf die Citrix Umgebung anfordern. Der FAS stellt ein Ticket aus, mit dem eine einzelne XenApp- oder XenDesktop-Sitzung eine Authentifizierung mit einem Zertifikat für die Sitzung durchführen kann. Wenn ein VDA einen Benutzer authentifizieren muss, stellt er eine Verbindung mit dem FAS her und löst das Ticket aus. Nur der FAS hat Zugriff auf den privaten Schlüssel des Benutzerzertifikats. Der VDA muss jeden erforderlichen Signier- und Entschlüsselungsvorgang mit dem Zertifikat an den FAS senden.

Anforderungen

Der Federated Authentication Service wird unter Windows Server-Betriebssystemen (Windows Server 2008 R2 oder höher) unterstützt.

  • Citrix empfiehlt die Installation des FAS auf einem Server, der keine anderen Citrix Komponenten enthält.
  • Der Windows-Server muss geschützt werden. Er erhält Zugriff auf ein Registrierungsstellenzertifikat und einen privaten Schlüssel zur automatischen Ausstellung von Zertifikaten für die Domänenbenutzer und Zugriff auf diese Benutzerzertifikate und privaten Schlüssel.

XenApp- bzw. XenDesktop-Site

  • Die Delivery Controller müssen mindestens in Version 7.9 vorliegen.
  • Die VDAs müssen mindestens in Version 7.9 vorliegen. Vergewissern Sie sich, dass die Federated Authentication Service-Gruppenrichtlinienkonfiguration richtig auf die VDAs angewendet wurde, bevor Sie den Maschinenkatalog gemäß dem Standardverfahren erstellen. Einzelheiten finden Sie in dem Abschnitt zum Konfigurieren der Gruppenrichtlinien.
  • Der StoreFront-Server muss mindestens in Version 3.6 vorliegen (dies ist die im ISO-Image für XenApp-/XenDesktop 7.9 enthaltene Version).

Konsultieren Sie bei der Planung der Bereitstellung dieses Diensts den Abschnitt "Sicherheitsüberlegungen".

Informationsquellen:

  • Active Directory-Zertifikatdienste

https://technet.microsoft.com/en-us/library/hh831740.aspx

  • Konfigurieren von Windows für die Zertifikatanmeldung

http://support.citrix.com/article/CTX206156

Reihenfolge der Schritte zur Installation und Einrichtung

Sicherheitsüberlegungen Federated Authentication Service

Aus Sicherheitsgründen empfiehlt Citrix die Installation des FAS auf einem dedizierten Server, der ähnlich geschützt wird wie ein Domänencontroller oder eine Zertifizierungsstelle. Der FAS kann über die Schaltfläche Federated Authentication Service auf dem Begrüßungsbildschirm der automatischen Ausführung beim Einfügen der ISO-Datei installiert werden.

Es werden folgende Komponenten installiert:

  • Federated Authentication Service
  • PowerShell-Snap-In-Cmdlets zur Remote-Konfiguration des Federated Authentication Service
  • Verwaltungskonsole des Federated Authentication Service
  • Gruppenrichtlinienvorlagen für den Federated Authentication Service (CitrixFederatedAuthenticationService.admx/adml)
  • Zertifikatvorlagendateien zur einfachen Konfiguration einer Zertifizierungsstelle
  • Leistungsindikatoren und Ereignisprotokolle

Aktivieren des Plug-Ins für den Federated Authentication Service für einen StoreFront-Store

Zum Aktivieren der FAS-Integration auf einem StoreFront-Store führen Sie die folgenden PowerShell-Cmdlets als Administrator aus. Wenn Sie mehrere Stores haben oder der Store einen anderen Namen hat, kann der Pfad von dem unten angegebenen abweichen.

command Kopieren

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"

Zum Beenden der Verwendung des FAS verwenden Sie folgendes PowerShell-Skript:

command Kopieren

Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""

Konfigurieren des Delivery Controllers

Zur Verwendung des Federated Authentication Service konfigurieren Sie den XenApp- bzw. XenDesktop-Delivery Controller für eine Vertrauensstellung mit den StoreFront-Servern, die mit ihm eine Verbindung herstellen können. Führen Sie hierfür das PowerShell-Cmdlet Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.

Konfigurieren der Gruppenrichtlinie

Nach der Installation des Federated Authentication Service müssen Sie die vollständigen DNS-Adressen der FAS-Server in der Gruppenrichtlinie unter Verwendung der im Installationsprogramm enthaltenen Gruppenrichtlinienvorlagen angeben.

Wichtig: Die Tickets anfordernden StoreFront-Server und die Tickets auslösenden VDAs müssen die gleiche DNS-Adresskonfiguration haben, einschließlich der automatischen Servernummerierung, die vom Gruppenrichtlinienobjekt angewendet wird.

Der Einfachheit halber zeigen die folgenden Beispiele die Konfiguration einer Richtlinie auf Domänenebene für alle Maschinen. Dies ist jedoch nicht erforderlich. Der FAS funktioniert, wenn die Liste der DNS-Adressen für die StoreFront-Server, die VDAs und die Maschine mit der FAS-Verwaltungskonsole identisch sind. Von dem Gruppenrichtlinienobjekt wird jedem Eintrag eine Indexnummer hinzugefügt. Diese Nummern müssen, wenn mehrere Objekte verwendet werden, ebenfalls übereinstimmen.

Schritt 1: Suchen Sie auf dem Server, auf dem Sie den FAS installiert haben, die Datei C:\Programme\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx und dann den Ordner "de-DE".

localized image

Schritt 2: Kopieren Sie beide auf den Domänencontroller in den Pfad C:\Windows\PolicyDefinitions.

Schritt 3: Führen Sie Microsoft Management Console (Befehlszeile: "mmc.exe") aus. Klicken Sie auf der Menüleiste auf Datei > Snap-In hinzufügen/entfernen. Fügen Sie den Gruppenrichtlinienverwaltungs-Editor hinzu.

Wenn Sie zur Angabe eines Gruppenrichtlinienobjekts aufgefordert werden, klicken Sie auf Durchsuchen und wählen Sie Standarddomänenrichtlinie. Alternativ können Sie ein für Ihre Umgebung geeignetes Richtlinienobjekt mit einem Tool Ihrer Wahl erstellen und auswählen. Die Richtlinie muss auf alle Maschinen angewendet werden, auf denen relevante Citrix Software (VDAs, StoreFront-Server, Verwaltungstools) ausgeführt wird.

localized image

Schritt 4: Navigieren Sie zu der Federated Authentication Service-Richtlinie unter Configuration/Policies/Administrative Templates/Citrix Components/Authentication.

localized image

Schritt 5: Öffnen Sie die Federated Authentication Service-Richtlinie und wählen Sie Aktiviert. Damit können Sie auf die Schaltfläche Anzeigen klicken und die DNS-Adressen der FAS-Server konfigurieren.

localized image

Schritt 6: Geben Sie die DNS-Adressen der Server ein, auf denen der Federated Authentication Service gehostet wird.  

Hinweis: Wenn Sie mehrere Adressen eingeben, muss deren Reihenfolge auf der Liste für StoreFront-Server und VDAs identisch sein. Dies gilt auch für leere bzw. nicht verwendete Listeneinträge.  

Schritt 7: Klicken Sie auf OK, um den Assistenten für die Gruppenrichtlinie zu schließen und die Änderungen anzuwenden. Sie müssen u. U. die Maschinen neu starten oder gpupdate /force an der Befehlszeile ausführen, damit die Änderungen wirksam werden.

Aktivieren der Unterstützung für sitzungsinterne Zertifikate

Die Gruppenrichtlinienvorlage umfasst Unterstützung zur Konfiguration des Systems für sitzungsinterne Zertifikate. Damit werden Zertifikate nach der Anmeldung eines Benutzers in dessen persönlichem Zertifikatspeicher abgelegt. Ein Zertifikat kann dann beispielsweise von Internet Explorer verwendet werden, wenn innerhalb der VDA-Sitzung eine TLS-Authentifizierung bei Webservern erforderlich ist. Standardmäßig gestatten VDAs keinen Zugriff auf Zertifikate nach der Anmeldung.  

localized image

Verwendung der FAS-Verwaltungskonsole

Die FAS-Verwaltungskonsole wird zusammen mit dem Federated Authentication Service installiert. Ein Symbol (Citrix Federated Authentication Service) wird in das Startmenü eingefügt.

Es wird automatisch versucht, die FAS-Server in der Umgebung mithilfe der Gruppenrichtlinie zu lokalisieren. Wenn dies fehlschlägt, konsultieren Sie den Abschnitt Konfigurieren der Gruppenrichtlinie.

localized image

Wenn Ihr Benutzerkonto nicht Mitglied der Administratorengruppe auf dem Computer mit dem Federated Authentication Service ist, werden Sie zur Eingabe von Anmeldeinformationen aufgefordert.

localized image

Bei der ersten Verwendung der Verwaltungskonsole werden Sie durch ein dreiteiliges Verfahren zum Bereitstellen von Zertifikatvorlagen, Einrichten der Zertifizierungsstelle und Autorisieren des FAS für die Verwendung der Zertifizierungsstelle geführt. Einige Schritte können auch manuell mit Tools zur Betriebssystemkonfiguration durchgeführt werden.

localized image

Bereitstellen von Zertifikatvorlagen

Zur Vermeidung von Interoperabilitätsproblemen mit anderer Software bietet Citrix Federated Authentication Service drei eigene Zertifikatvorlagen.

  • Citrix_RegistrationAuthority_ManualAuthorization
  • Citrix_RegistrationAuthority
  • Citrix_SmartcardLogon

Diese Vorlagen müssen bei Active Directory registriert sein. Wenn sie von der Konsole nicht gefunden werden, können Sie sie mit dem Tool Deploy certificate templates installieren. Dieses Tool muss mit einem Konto ausgeführt werden, das Administratorberechtigung für die Gesamtstruktur des Unternehmens hat.

localized image

Die Konfiguration der Vorlagen ist in den XML-Dateien mit der Erweiterung "certificatetemplate". Diese werden mit dem Federated Authentication Service in folgenden Pfad installiert:

C:\Programme\Citrix\Federated Authentication Service\CertificateTemplates

Wenn Sie keine Berechtigung zum Installieren dieser Vorlagendateien haben, geben Sie sie dem Active Directory-Administrator.  

Zur manuellen Installation der Vorlagen können Sie die folgenden PowerShell-Befehle verwenden:

command Kopieren

$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)

$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)

Einrichten von Active Directory-Zertifikatdienste

Nach Installation der Citrix Zertifikatvorlagen müssen sie auf mindestens einem Microsoft-Zertifizierungsstellenserver veröffentlicht werden. Informationen zur Bereitstellung von Active Directory-Zertifikatdienste finden Sie in der Dokumentation von Microsoft.

Wenn die Vorlagen nicht auf mindestens einem Server veröffentlicht werden, wird die Veröffentlichung von dem Tool Setup certificate authority angeboten. Sie müssen das Tool als Benutzer mit Berechtigung zum Verwalten der Zertifizierungsstelle ausführen.

(Zertifikatvorlagen können auch mit der Microsoft-Zertifizierungsstellenkonsole veröffentlicht werden.)

localized image

Autorisieren des Federated Authentication Service

Der letzte Schritt bei der Einrichtung über die Konsole ist die Autorisierung des Federated Authentication Service. Von der Verwaltungskonsole wird die Vorlage "Citrix_RegistrationAuthority_ManualAuthorization" zum Erstellen einer Zertifikatanforderung verwendet, die dann an eine der Zertifizierungsstellen gesendet wird, die das Zertifikat veröffentlichen.

localized image

Nachdem die Anforderung gesendet wurde, wird sie in der Liste Ausstehende Anforderungen der Microsoft-Zertifizierungsstellenkonsole angezeigt. Der Administrator der Zertifizierungsstelle muss die Option zum Ablehnen der Anforderung oder zum Ausstellen des Zertifikats auswählen, bevor die Konfiguration des Federated Authentication Service fortgesetzt werden kann. Die Autorisierungsanforderung wird als ausstehende Anforderung vom FAS-Maschinenkonto angezeigt.  

localized image

Klicken Sie mit der rechten Maustaste auf Alle Aufgaben und wählen Sie dann die Option Ausstellenoder Verweigern für die Zertifikatsanforderung. Die Federated Authentication Service-Verwaltungskonsole erkennt automatisch, wenn dieser Prozess abgeschlossen ist. Er kann einige Minuten dauern.

localized image

Konfigurieren von Benutzerregeln

Mit Benutzerregeln wird die Ausstellung von Zertifikaten für VDA-Anmeldungen und -Sitzungen nach Vorgabe von StoreFront autorisiert. Jede Regel legt die StoreFront-Server fest, die als vertrauenswürdig zum Anfordern von Zertifikaten gelten, die Benutzer, für die sie angefordert werden können, und die VDA-Maschinen, die sie verwenden dürfen.

Zum Abschließen der Einrichtung des Federated Authentication Service muss der Administrator die Standardregel definieren, indem er in der FAS-Verwaltungskonsole zur Registerkarte "User Rules" wechselt, die Zertifizierungsstelle auswählt, in der die Vorlage "Citrix_SmartcardLogon" veröffentlicht wird, und die Liste der StoreFront-Server bearbeitet. Die Liste der VDAs enthält standardmäßig die Domänencomputer und die Liste der Benutzer die Domänenbenutzer. Die Listen können geändert werden, wenn sie nicht geeignet sind.

localized image

Felder:

Certificate Authority and Certificate Template: Zertifizierungsstelle und Zertifikatvorlage, die zur Ausstellung von Benutzerzertifikaten verwendet werden sollen. Dabei muss es sich um die Vorlage "Citrix_SmartcardLogon" oder eine geänderte Kopie dieser Vorlage für eine der Zertifizierungsstellen handeln, in der die Vorlage veröffentlicht ist.

Für Failover und Lastausgleich können mehrere Zertifizierungsstellen mit PowerShell-Befehlen hinzugefügt werden. Erweiterte Optionen für die Zertifikaterstellung können über die Befehlszeile und die Konfigurationsdateien festgelegt werden. Weitere Informationen finden Sie in den Abschnitten PowerShell und Hardwaresicherheitsmodule.

In-Session Certificates: Über das Kontrollkästchen Available after logonwird festgelegt, ob ein Zertifikat auch als sitzungsinternes Zertifikat verwendet werden kann. Wenn das Kontrollkästchen nicht aktiviert ist, wird das Zertifikat nur für Anmeldungen oder Wiederverbindungen verwendet und der Benutzer hat nach der Authentifizierung keinen Zugriff auf das Zertifikat.

List of StoreFront servers that can use this rule: Liste der vertrauenswürdigen StoreFront-Servermaschinen, die Zertifikate für die Anmeldung oder Wiederverbindung von Benutzern anfordern dürfen. Diese Einstellung ist sicherheitsrelevant und muss mit großer Sorgfalt gewählt werden.

localized image

List of VDA desktops and servers that can be logged into by this rule: Liste der VDA-Maschinen, die Benutzer über das FAS-System anmelden dürfen.

localized image

List of users that StoreFront can log in using this rule: Liste der Benutzer, denen Zertifikate über den FAS ausgestellt werden dürfen.

localized image

Erweiterte Verwendung

Sie können weitere Regeln mit Verweisen auf andere Zertifikatvorlagen und Zertifizierungsstellen mit anderen Eigenschaften und Berechtigungen einrichten. Diese Regeln können zur Verwendung durch andere StoreFront-Server konfiguriert werden, die ihrerseits zur Anforderung der neuen Regel nach deren Namen konfiguriert werden müssen. Standardmäßig fordert StoreFront beim Kontaktieren des Federated Authentication Service default an. Dies kann über die Optionen zur Konfiguration der Gruppenrichtlinie geändert werden.

Zum Erstellen einer neuen Zertifikatvorlage kopieren Sie die Vorlage "Citrix_SmartcardLogon" in der Microsoft-Zertifizierungsstellenkonsole, benennen Sie sie um (z. B. in "Citrix_SmartcardLogon2") und bearbeiten Sie sie nach Bedarf. Erstellen Sie mit einem Klick auf Hinzufügen eine neue Benutzerregel, die auf die neue Zertifikatvorlage verweist.

Sicherheitsüberlegungen

Der Federated Authentication Service hat ein Registrierungsstellenzertifikat, mit dem er autonom Zertifikate für die Domänenbenutzer ausstellen kann. Es ist daher wichtig, eine Sicherheitsrichtlinie zum Schutz des FAS-Servers zu entwickeln und zu implementieren und die zugehörigen Berechtigungen einzuschränken.

Delegierte Registrierungs-Agents

Über die Microsoft-Zertifizierungsstelle können Sie festlegen, welche Vorlagen der FAS-Server verwenden kann, und die Zahl der Benutzer, denen der FAS-Server Zertifikate ausstellen kann, limitieren.

localized image

Citrix empfiehlt dringend, diese Optionen zu konfigurieren, damit der Federated Authentication Service nur den beabsichtigten Benutzern Zertifikate ausstellen kann. Es empfiehlt sich beispielsweise, eine Ausstellung von Zertifikaten für Benutzer in der Verwaltungsgruppe oder der Gruppe der geschützten Benutzer durch den Federated Authentication Service zu unterbinden.

Konfigurieren der Zugriffssteuerungsliste

Wie im Abschnitt Konfigurieren von Benutzerrollen beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren, die als vertrauenswürdig gelten und bei der Ausstellung von Zertifikaten dem Federated Authentication Service Benutzeridentitäts-Assertions erstellen dürfen. Sie können außerdem festlegen, welchen Benutzern Zertifikate ausgestellt werden dürfen und bei welchen VDA-Maschinen sie sich authentifizieren können. Dies versteht sich zusätzlich zu den von Ihnen konfigurierten Active Directory- bzw. Zertifizierungsstellen-Standardsicherheitsfeatures.

Firewalleinstellungen

Für die gesamte Kommunikation mit FAS-Servern werden gegenseitig authentifizierte Kerberos-Netzwerkverbindungen gemäß Windows Communication Foundation über Port 80 verwendet.  

Ereignisprotokollüberwachung

Der Federated Authentication Service und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Diese können zur Überwachung und Überprüfung verwendet werden. Der Abschnitt Ereignisprotokolle enthält eine Liste möglicher Ereignisprotokolleinträge.

Hardwaresicherheitsmodule

Alle privaten Schlüssel, einschließlich der Schlüssel der vom Federated Authentication Service ausgestellten Zertifikate, werden als nicht exportierbare private Schlüssel vom Netzwerkdienstkonto gespeichert. Der Federated Authentication Service unterstützt die Verwendung eines kryptographischen Hardwaresicherheitsmoduls, sollte eine Sicherheitsrichtlinie dies erfordern.

Eine detaillierte Kryptographiekonfiguration ist über die Datei FederatedAuthenticationService.exe.config verfügbar. Diese Einstellungen gelten für die Ersterstellung privater Schlüssel. Daher können verschiedene Einstellungen für private Registrierungsstellenschlüssel (z. B. 4096 Bit, TPM-geschützt) und Laufzeit-Benutzerzertifikate verwendet werden.

Parameter

Beschreibung

ProviderLegacyCsp

Bei Einstellung auf "true" verwendet der FAS die Microsoft CryptoAPI (CAPI). Andernfalls verwendet der FAS die Microsoft Cryptography Next Generation-API (CNG).

ProviderName

Name des CAPI- oder CNG-Anbieters, der verwendet werden soll.

ProviderType

Bezieht sich auf Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Muss immer 24 lauten, es sei denn, Sie verwenden ein HSM mit CAPI und der HSM-Hersteller hat eine andere Spezifikation.

KeyProtection

Steuert das Flag "Exportable" privater Schlüssel. Ermöglicht außerdem die Verwendung eines TPM-Schlüsselspeichers (Trusted Platform Module), wenn die Hardware dies unterstützt.

KeyLength

Schlüssellänge privater RSA-Schlüssel. Zulässige Werte sind 1024, 2048 und 4096 (Standard = 2048).

PowerShell SDK

Die Verwaltungskonsole des Verbundauthentifizierungsdiensts eignet sich für einfache Bereitstellungen, während die PowerShell erweiterte Optionen bietet. Wenn Sie mit Optionen arbeiten, die in der Konsole nicht verfügbar sind, empfiehlt Citrix, ausschließlich PowerShell für die Konfiguration zu verwenden.

Mit dem folgenden Befehl werden die PowerShell-Cmdlets hinzugefügt:

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

Verwenden Sie Get-Help <Cmdlet-Name>, um die Cmdlet-Hilfe anzuzeigen. Die folgende Tabelle enthält einige Befehle, wobei * für das standardmäßige PowerShell-Verb (New, Get, Set, Remove usw.) steht.

Befehle

Übersicht

*-FasServer

Zum Auflisten und Umkonfigurieren der FAS-Server in der aktuellen Umgebung

*-FasAuthorizationCertificate

Zum Verwalten des Registrierungsstellenzertifikats

*-FasCertificateDefinition

Zum Steuern der Parameter, die vom FAS beim Generieren von Zertifikaten verwendet werden

*-FasRule

Zum Verwalten der für den Verbundauthentifizierungsdienst konfigurierten Benutzerregeln

*-FasUserCertificate

Zum Auflisten und Verwalten der vom Verbundauthentifizierungsdienst zwischengespeicherten Zertifikate

PowerShell-Cmdlets können remote unter Angabe der Adresse eines FAS-Servers verwendet werden.

Sie können auch eine ZIP-Datei mit allen Cmdlet-Hilfedateien des PowerShell SDKs für FAS herunterladen. Weitere Informationen finden Sie im Artikel zum PowerShell SDK.

Leistungsindikatoren

Der Federated Authentication Service enthält eine Reihe von Leistungsindikatoren zur Lastnachverfolgung.

localized image

In der folgenden Tabelle werden die Leistungsindikatoren aufgelistet. Die meisten Leistungsindikatoren sind gleitende Mittelwerte über fünf Minuten.

Name

Beschreibung

Active Sessions

Anzahl der Verbindungen, die vom Federated Authentication Service nachverfolgt werden

Concurrent CSRs

Anzahl der gleichzeitig verarbeiteten Zertifikatanforderungen

Private Key ops

Anzahl der pro Minute für private Schlüssel durchgeführten Vorgänge

Request time

Länge der beim Generieren und Signieren eines Zertifikats verstrichenen Zeit

Certificate Count

Anzahl der im Federated Authentication Service zwischengespeicherten Zertifikate

CSR per minute

Anzahl der pro Minute verarbeiteten Zertifikatsignieranforderungen

Low/Medium/High

Schätzung der Last, die der Federated Authentication Service in Form von Zertifikatsignieranforderungen pro Minute übernehmen kann. Bei Überschreitung des Schwellenwerts für "High Load" können Sitzungsstarts fehlschlagen.

Ereignisprotokolle

Die folgenden Tabellen enthalten die vom Federated Authentication Service generierten Ereignisprotokolleinträge.

Verwaltungsereignisse

[Ereignisquelle: Citrix.Authentication.FederatedAuthenticationService]

Diese Ereignisse werden bei einer Konfigurationsänderung des Federated Authentication Service-Servers protokolliert.

Logcodes

[S001] ACCESS DENIED: User [{0}] is not a member of Administrators group

[S002] ACCESS DENIED: User [{0}] is not an Administrator of Role [{1}]

[S003] Administrator [{0}] setting Maintenance Mode to [{1}]

[S004] Administrator [{0}] enrolling with CA [{1}] templates [{2} and {3}]

[S005] Administrator [{0}] de-authorizing CA [{1}]

[S006] Administrator [{0}] creating new Certificate Definition [{1}]

[S007] Administrator [{0}] updating Certificate Definition [{1}]

[S008] Administrator [{0}] deleting Certificate Definition [{1}]

[S009] Administrator [{0}] creating new Role [{1}]

[S010] Administrator [{0}] updating Role [{1}]

[S011] Administrator [{0}] deleting Role [{1}]

[S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role: {2}][Certificate Definition: {3}]

[S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}]

 

Logcodes

[S401] Performing configuration upgrade -- [From version {0}][to version {1}]

[S402] ERROR: The Citrix Federated Authentication Service must be run as Network Service [currently running as: {0}]

 

Erstellen von Identitäts-Assertions [Federated Authentication Service]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem vertrauenswürdigen Server eine Assertion für eine Benutzeranmeldung erstellt wird.

Logcodes

[S101] Server [{0}] is not authorized to assert identities in role [{1}]

[S102] Server [{0}] failed to assert UPN [{1}] (Exception: {2}{3})

[S103] Server [{0}] requested UPN [{1}] SID {2}, but lookup returned SID {3}

[S104] Server [{0}] failed to assert UPN [{1}] (UPN not allowed by role [{2}])

[S105] Server [{0}] issued identity assertion [upn: {0}, role {1}, Security Context: [{2}]

 

[S120] Issuing certificate to [upn: {0} role: {1} Security Context: [{2}]]

[S121] Issuing certificate to [upn: {0} role: {1}] on behalf of account {2}

[S122]  Warning: Server is overloaded [upn: {0} role: {1}][Requests per minute {2}].

 

Bei Agieren als vertrauende Seite [Federated Authentication Service]

Diese Ereignisse werden zur Laufzeit auf dem FAS-Server protokolliert, wenn von einem VDA ein Benutzer angemeldet wird.

Logcodes

[S201] Relying party [{0}] does not have access to a password.

[S202] Relying party [{0}] does not have access to a certificate.

[S203] Relying party [{0}] does not have access to the Logon CSP

[S204] Relying party [{0}] accessing the Logon CSP [Operation: {1}]

[S205] Calling account [{0}] is not a relying party in role [{1}]

[S206] Calling account [{0}] is not a relying party

[S207] Relying party [{0}] asserting identity [upn: {1}] in role: [{2}]

[S208] Private Key operation failed [Operation: {0}][upn: {1} role: {2} certificateDefinition {3}][Error {4} {5}].

 

Server für sitzungsinterne Zertifikate [Federated Authentication Service]

Diese Ereignisse werden auf dem FAS-Server protokolliert, wenn ein Benutzer ein sitzungsinternes Zertifikat verwendet.

Logcodes

[S301] Access Denied: User [{0}] does not have access to a Virtual Smart Card

[S302] User [{0}] requested unknown Virtual Smart Card [thumbprint: {1}]

[S303] User [{0}] does not match Virtual Smart Card [upn: {1}]

[S304] User [{1}] running program [{2}] on computer [{3}] using Virtual Smart Card [upn: {4} role: {5}] for private key operation: [{6}]

[S305] Private Key operation failed [Operation: {0}][upn: {1} role: {2} containerName {3}][Error {4} {5}].

 

Anmeldung [VDA] 

[Ereignisquelle: Citrix.Authentication.IdentityAssertion]

Diese Ereignisse werden bei der Anmeldung auf dem VDA protokolliert.

Logcodes

[S101] Identity Assertion Logon failed.  Unrecognised Federated Authentication Service [id: {0}]

[S102] Identity Assertion Logon failed.  Could not lookup SID for {0} [Exception: {1}{2}]

[S103] Identity Assertion Logon failed.  User {0} has SID {1}, expected SID {2}

[S104] Identity Assertion Logon failed.  Failed to connect to Federated Authentication Service: {0} [Error: {1} {2}]

[S105] Identity Assertion Logon.  Logging in [Username: {0}][Domain: {1}]

[S106] Identity Assertion Logon.  Logging in [Certificate: {0}]

[S107] Identity Assertion Logon failed.  [Exception: {1}{2}]

[S108] Identity Assertion Subsystem.  ACCESS_DENIED [Caller: {0}]

 

Sitzungsinterne Zertifikate [VDA]

Diese Ereignisse werden auf dem VDA protokolliert, wenn ein Benutzer versucht, ein sitzungsinternes Zertifikat zu verwenden.

Logcodes

[S201] Virtual Smart Card Authorized [User: {0}][PID: {1} Name:{2}][Certificate {3}]

[S202] Virtual Smart Card Subsystem. No smart cards available in session {0}

[S203] Virtual Smart Card Subsystem.  Access Denied [caller: {0}, session {1}, expected: {2}]

[S204] Virtual Smart Card Subsystem.  Smart card support disabled.

 

Zertifikatanforderung und Generierungscodes [Federated Authentication Service]

Ereignisquelle: Citrix.TrustFabric]

Diese Detailereignisse werden protokolliert, wenn der FAS-Server kryptographische Vorgänge auf Protokollebene durchführt.

Logcodes

[S0001]TrustArea::TrustArea: Installed certificate chain

[S0002]TrustArea::Join: Callback has authorized an untrusted certificate

[S0003]TrustArea::Join: Joining to a trusted server

[S0004]TrustArea::Maintain: Renewed certificate

[S0005]TrustArea::Maintain: Retrieved new certificate chain

[S0006]TrustArea::Export: Exporting private key

[S0007]TrustArea::Import: Importing Trust Area

[S0008]TrustArea::Leave: Leaving Trust Area

[S0009]TrustArea::SecurityDescriptor: Setting Security Descriptor

[S0010]CertificateVerification: Installing new trusted certificate

[S0011]CertificateVerification: Uninstalling expired trusted certificate

[S0012]TrustFabricHttpClient: Attempting single sign-on to {0}

[S0013]TrustFabricHttpClient: Explicit credentials entered for {0}

[S0014]Pkcs10Request::Create: Created PKCS10 request

[S0015]Pkcs10Request::Renew: Created PKCS10 request

[S0016]PrivateKey::Create

[S0017]PrivateKey::Delete

[S0018]TrustArea::TrustArea: Waiting for Approval

[S0019]TrustArea::Join: Delayed Join

[S0020]TrustArea::Join: Delayed Join

[S0021]TrustArea::Maintain: Installed certificate chain

 

Logcodes

[S0101]TrustAreaServer::Create root certificate

[S0102]TrustAreaServer::Subordinate: Join succeeded

[S0103]TrustAreaServer::PeerJoin: Join succeeded

[S0104]MicrosoftCertificateAuthority::GetCredentials: Authorized to use {0}

[S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0}

[S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0}

[S0106]MicrosoftCertificateAuthority::PublishCRL: Published CRL

[S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0}

[S0108]MicrosoftCertificateAuthority::ReissueCertificate Issued Cert {0}

[S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Still waiting for approval

[S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest - Pending certificate refused

[S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest Issued certificate

[S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest - Waiting for approval

[S0120]NativeCertificateAuthority::SubmitCertificateRequest Issued cert {0}

[S0121]NativeCertificateAuthority::SubmitCertificateRequest Error

[S0122]NativeCertificateAuthority::RootCARollover New root certificate

[S0123]NativeCertificateAuthority::ReissueCertificate New certificate

[S0124]NativeCertificateAuthority::RevokeCertificate

[S0125]NativeCertificateAuthority::PublishCRL

 

Verwandte Informationen