XenApp / XenDesktop Single Sign On Citrix Receiver (for Web) – Konfiguration per Gruppenrichtlinien

Zur Konfiguration für XenApp / XenDesktop Single Sign On wird ein aktueller Citrix Receiver (http://www.citrix.com/go/receiver.html?posit=glnav) sowie eine konfigurierte XenApp 7.x Farm benötigt.

CitrixReceiver /silent /includeSSON
CitrixReceiver /silent /includeSSON

Den Receiver nach dem Download mit den Parametern „CitrixReceiver.exe /silent /includeSSON“ (Als Administrator) installieren und den Client neu starten.

Citrix ssonsvr.exe*32
Citrix ssonsvr.exe*32

Nach erfolgten Reboot im Taskmanager prüfen, ob der Prozess „ssonsvr.exe*32“ gestartet wurde (http://support.citrix.com/article/CTX118628)

Ggfs. NetworkProviderOrder prüfen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

Im REG_SZ Wert „ProviderOrder“ PnSson an erster Stelle auflisten.

*UPDATE 16.07.2015*

Ab der Receiver Version 4.3 befinden sich unter „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ admx Templates sowie die dazu gehörigen Language Files adml. Diese einfach in den Policy Definitions Ordner kopieren und mit der gpmc.msc (Gruppenrichtlinienverwaltung) sowie der Konfiguration von XenApp / XenDesktop Single Sign On weitermachen.

*UPDATE 16.07.2015*

*UPDATE 25.08.2015*

Im deutschen ADML File für den HdxFlash-Client gibt es einen Fehler: https://jans.cloud/2015/08/citrix-receiver-4-3-admx-templates-fehler-im-deutschen-adml-file/

*UPDATE 25.08.2015*

An einem Arbeitsplatz / Server die Gruppenrichtlinienverwaltung (gpmc.msc) starten und von einem Arbeitsplatz, auf dem der Citrix Receiver bereits installiert ist, das „icaclient.adm“ Template aus „C:\Program Files (x86)\Citrix\ICA Client\Configuration“ zu einem GPO hinzufügen, welches auf Computer Objekte wirkt. Dadurch ergibt sich die Möglichkeit den Receiver per GPO zu konfigurieren (Computerkonfigurartion -> Richtlinien -> Administrative Vorlagen -> Klassische administrative Vorlagen (ADM) -> Citrix Components).

Citrix Storefront Konfiguration per GPO
Citrix Storefront Konfiguration per GPO
  • <KONTO> -> Kontoname
  • <URL-ZUM-STORE> -> https://storefront.domain.tld/Citrix/Store/discovery
  • <BESCHREIBUNG> -> Beschreibung
Citrix ICA SSO erlauben
Citrix ICA SSO erlauben

Alle Einstellungen außer „Smart Card Authentication“ entsprechen konfigurieren (Smart Card Auth aktivieren, sofern Smart Cards genutzt werden).

„Local user name and password“ -> „Enable pass-through authentication“ und „Allow pass-through authentication for all ICA connections“ anhaken.

Citrix ICA SSO erlauben2
Citrix ICA SSO erlauben2

„Web Interface authentication ticket“ -> Beide Optionen aktivieren.

Internet Explorer Intranet Sites
Internet Explorer Intranet Sites

Damit sich der Internet Explorer und / oder der Citrix Receiver erfolgreich per SSO anmelden kann, muss der Internet Explorer noch entsprechen konfiguriert werden. Dazu entweder händisch die URL des Storefront Servers „https://storefront.domain.tld“ in die „Lokalen Intranet Seiten“ packen. Oder komfortabler per GPO verwalten.

Internet Explorer Liste der Site zu Zonenzuweisung
Internet Explorer Liste der Site zu Zonenzuweisung

Die passenden GPOs dazu finden sich unter Computerkonfiguration / Benutzerkonfigration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite

  • Wertname -> Die URL (* wird als Wildcard akzeptiert)
  • Wert -> 1: Intranet Site; 2: Vertrauenswürdige Seite
Storefront SSO Passthrough
Storefront SSO Passthrough

Zum Schluss muss am Storefront noch „Domain Passthrough“ als Authentifizierungsmöglichkeit aktiviert werden und dem Single Sign On steht nichts mehr im Weg.

Storefront SSO Passthrough2
Storefront SSO Passthrough2

Beteilige dich an der Unterhaltung

2 Kommentare

  1. Grüße,

    schönes How to. Vielen Dank dafür.

    Bei mir kommt allerdings an jedem Client der Fehler, dass ich einen Smartcardleser nutzen soll. Ist im Store aber nicht als Methode eingestellt. Die Pass-through Authentifizierung scheitert da dran.

    Ist der Fehler bekannt ?

    Verschiedene Receiver Version getestet, im Moment die aktuellste : 4.2.100.14

    Danke.

    1. Hi,
      hast du in den GPOs Smart Card Auth aktiviert ggfs. dort mal deaktivieren anstelle von nicht konfiguriert? Gibt es an den Clients Smart Cards?
      Du hast weder in der Authentifizierung für den Store die SCs aktiviert noch unter der Receiver für Web Konfig?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.