Gateway

Konfigurieren von Single Sign-On am Webinterface mithilfe einer Smartcard

Wenn Sie Smartcards für die Benutzeranmeldung verwenden, können Sie Single Sign-On am Webinterface konfigurieren. Sie konfigurieren Einstellungen auf Citrix Gateway und konfigurieren dann das Webinterface so, dass einmaliges Anmelden mit einer Smartcard akzeptiert wird. Einmaliges Anmelden wird auch als Passthrough-Authentifizierung bezeichnet.

Die Webinterface-Versionen 5.3 und 5.4 unterstützen einmaliges Anmelden am Webinterface mit einer Smartcard. Wenn Sie die in NetScaler Version 10 verfügbare Webinterface on Citrix ADC-Funktion aktivieren, können Sie Single Sign-On auch mit einer Smartcard verwenden. Weitere Informationen zum Konfigurieren dieser Funktion finden Sie unter Verwenden der Smartcard-Authentifizierung für das Webinterface über Citrix Gateway.

Benutzer können in Active Directory mehreren CN-Gruppen angehören, damit Single Sign-On funktioniert, sofern die Extraktion des Benutzernamens in der Zertifikatsaktion SubjectAltName:PrincipalName lautet. Wenn Sie den Parameter Subject:CN verwenden, können Benutzer nicht Teil mehrerer CN-Gruppen sein.

Um Citrix Gateway für die einmalige Anmeldung am Webinterface mithilfe einer Smartcard zu konfigurieren, müssen Sie Folgendes tun:

  • Installieren Sie ein signiertes Serverzertifikat von einer Zertifizierungsstelle (CA). Weitere Informationen finden Sie unter Installieren des signierten Zertifikats auf Citrix Gateway.
  • Installieren Sie ein Stammzertifikat auf Citrix Gateway und dem Benutzergerät.
  • Erstellen Sie einen virtuellen Server als Anmeldepunkt für das Webinterface. Wenn Sie den virtuellen Server konfigurieren, müssen Sie den SSL-Parameter des Clientzertifikats auf Optional festlegen. Weitere Informationen zum Konfigurieren eines virtuellen Servers finden Sie unter Erstellen virtueller Server.
  • Erstellen Sie einen sekundären virtuellen Server, auf dem die Clientauthentifizierung in den SSL-Parametern deaktiviert ist. Diese Konfiguration verhindert, dass Benutzer eine sekundäre Anfrage nach ihrer persönlichen Identifikationsnummer (PIN) erhalten.
  • Erstellen Sie eine Richtlinie zur Clientzertifikatauthentifizierung Verwenden Sie im Feld Benutzername den Parameter subjectAltName:PrincipalName, um Benutzer aus mehreren Gruppen zu extrahieren. Lassen Sie das Feld für den Gruppennamen leer.
  • Erstellen Sie eine Sitzungsrichtlinie und ein Profil auf Citrix Gateway. Im Sitzungsprofil aktivieren Sie den ICA-Proxy und geben das Webinterface und die Domäne an, die Sie für Single Sign-On verwenden.

Sie können das folgende Verfahren verwenden, um ein Sitzungsprofil für die einmalige Anmeldung mit einer Smartcard zu erstellen.

So erstellen Sie ein Sitzungsprofil für einmaliges Anmelden mithilfe einer Smartcard

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway-Richtlinien und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf die Registerkarte Profile und dann auf Hinzufügen.

3.Klicken Sie auf der Registerkarte Kundenerlebnis neben Startseite auf Override Global und deaktivieren Sie dann die Option Startseite anzeigen.

  1. Klicken Sie neben Single Sign-On bei Webanwendungen auf Override Global und dann auf Single Sign-On bei Webanwendungen.
  2. Klicken Sie auf die Registerkarte Published Applications.
  3. Klicken Sie neben ICA-Proxyauf Override Global und wählen Sie dann ONaus.
  4. Klicken Sie unter Webinterface-Adresseauf Override Global und geben Sie dann den vollqualifizierten Domänennamen (FQDN) oder das Webinterface ein.
  5. Klicken Sie unter Single Sign-On-Domain auf Override Global und geben Sie dann den Domainnamen ein.

    Hinweis: Sie müssen das Format domain und nicht das Format domain.com verwenden.

  6. Klicken Sie auf Create und dann auf Close.

Nachdem Sie das Sitzungsprofil fertiggestellt haben, konfigurieren Sie die Sitzungsrichtlinie und verwenden Sie das Profil als Teil der Richtlinie. Sie können dann die Sitzungsrichtlinie an den virtuellen Server binden.

Konfigurieren von Single Sign-On am Webinterface mithilfe einer Smartcard