März 2018
Autor:in des Beitrags
Michael
Team Lead Cloud Productivity
Veröffentlicht am
29.03.2018 von Michael
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Internal Use Case

Citrix FAS an Beispielen erklärt

In dieser Artikelreihe zeigen wir an vier FAS Use Cases, wie man eine Zwei-Faktor-Authentifizierung mit im Hintergrund erzeugter vSmartCard realisiert, ohne dass der User eine richtige SmartCard benötigt oder sich mehrfach authentifizieren muss. Mit Citrix FAS kann man eine sichere Authentifizierung am StoreFront realisieren, ohne die User nach ihren Credentials zu fragen, eine SmartCard zu verlangen oder das Passwort auf dem Client zu speichern. Dabei stehen verschiedene Authentifizierungsverfahren zur Verfügung, einschließlich Kerberos SSO. Dies versetzt uns in die Lage das Kerberos Constrained Delegation Log-On Feature in früheren Versionen von XenApp zu ersetzen.

Innerhalb ihrer Citrix FAS-Session haben alle User Zugriff auf die Public Key Infrastructure (PKI), egal ob sie sich mit ihrer SmartCard angemeldet haben oder nicht. Damit eröffnet sich die Möglichkeit zur Einführung einer Zwei-Faktor-Authentifizierung, auch für Geräte die nicht über einen SmartCard-Reader verfügen, wie Smartphones oder Tablets.

In den folgenden Teilen dieser Artikelreihe beleuchten wir vier verschiedene Use Cases, wie der FAS-Server in die Infrastruktur eingefügt und autorisiert wird um bei Bedarf SmartCard-Zertifikate auszustellen, mit denen die User an ihrer Citrix HDX-Session angemeldet werden, als würden sie über eine SmartCard verfügen.

Use Case:

Internal

Traffic Flow:

  • Der User ruft das NetScaler Gateway Portal auf und wird, falls noch nicht authentifiziert, zum SAML Identity Provider umgeleitet.
  • Am Identity Provider authentifiziert sich der User via möglicher Active Directory Integration und möglicher MFA (Multifaktorauthentifizierung), woraufhin ein SAML-Token signiert und dem User übergeben wird.
  • Damit authentifiziert sich der User gegenüber dem NetScaler Gateway Portal, welcher den SAML-Token validiert.
  • NetScaler nutzt den SAML-Token um die Identität des Users (Name ID Attribute) zu verifizieren.
  • StoreFront kontaktiert den Federated Authentication Service (FAS) und veranlasst die Generierung des Zertifikats für den authentifizierten User.
  • FAS kontaktiert den Active Directory Certificate Service (AD CS), welcher ein Client-Zertifikat (vSmartCard) für den authentifizierten User ausstellt. In diesem Moment hält der FAS das Client-Zertifikat und den privaten Schlüssel.
  • Kontaktiert der authentifizierte User ab sofort den VDA, authentifiziert der VDA den User gegenüber dem FAS und löst das Zertifikat ein.

Vorteile:

  • Anmeldung am StoreFront möglich, ohne dass der User Kennwort oder SmartCard benötigt.
  • Es muss kein Passwort auf dem Client gespeichert werden.
  • Kerberos Constrained Delegation (von XA 6.5) nicht mehr verfügbar bei XD 7.X
  • FAS erstellt vSmartCards für User, die zur Anmeldung an TS / VDI dienen.

Im zweiten Teil dieser Artikelreihe beleuchten wir einen external Use Case mit dem AD FS als IDP. Im dritten Teil sehen wir uns das B2B Account Mapping an, bis wir uns im vierten und letzten Teil einem Azure AD Joined Devices Use Case zuwenden. Bis dahin freuen wir uns über Anregungen, Hinweise, Erfahrung und auch Kritik ihrerseits.

Das könnte dich auch interessieren

Blogbeitrag

Supportende für Windows 10

Supportende für Windows 10 wir zeigen auf, welche Optionen zur Verfügung stehen um Sicherheits- und Compliance-Risiken zu vermeiden.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution 2025

Wir sind dabei und freuen uns auf den spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Whitepaper

Whitepaper – KI in der Praxis

Lesen Sie, wie innovative Unternehmen KI nutzen, um Routineaufgaben zu automatisieren um neue Maßstäbe in Effizienz und Produktivität zu setzen.
Weiterlesen
Blogbeitrag

KI Ready Nürtingen

Erfahren Sie im Fachvortrag, wie Unternehmen datenschutzkonforme KI-Chatbots – effizient, kostengünstig und EU-konform mit Microsoft Cloud entwickeln.
Weiterlesen
Blogbeitrag

Supportende für Microsoft Office 2016 und 2019

Unternehmen, die aktuell Office 2016 oder Office 2019 einsetzen, sollten sich auf das bevorstehende Supportende vorbereiten und rechtzeitig die nächsten Schritte einleiten.
Weiterlesen
Blogbeitrag

Supportende für Skype for Business 2015 und 2019

Durch das Supportende für Skype for Business 2015 und 2019 sind Unternehmen Sicherheits- und Compliancerisiken ausgesetzt – Handeln Sie Jetzt um Risiken zu vermeiden.
Weiterlesen
Blogbeitrag

NetScaler: Neues Verhalten bei Pooled-Lizenzablauf 

Seit Version 14.1 Build 38.x führt das Ablaufen einer Pooled Lizenz direkt zur Deaktivierung des NetScalers – ohne Grace Period und mit Risiko von Konfigurationsverlust.
Weiterlesen
Echt Ich

Echt Ich Luisa

In ECHT ICH erfahrt ihr mehr über Luisa, ihren Arbeitsalltag, ihre Hobbys und warum sie bei Provectus „ECHT SIE“ sein kann.
Weiterlesen
Whitepaper

Whitepaper – eDialogPRO

Regulatorische Anforderungen von FinVermV und MiFID II effizient umsetzen und gleichzeitig das Kundenerlebnis verbessern – praxisnahe Lösungen und innovative Ansätze
Weiterlesen
Blogbeitrag

Supportende für Microsoft Exchange 2016 & 2019

Durch das Supportende für Exchange Server 2016 und 2019 sind Unternehmen Sicherheits- und Compliancerisiken ausgesetzt. Unser Experte erklärt, was nun zu tun ist.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter